 im virtuellen Chaosstudio Hamburg treffe ich Manuel Atock, alias Hongkaser. Erhält uns den hochinteressanten, ja hoch brisanten Vortrag, Krieg in der Ukraine, Bomben statt Cyber oder ist der Cyberom selbst ein Kriegs-Showplatz? Dieser Vortrag wird gleichzeitig im Internet übertragen. Liebe Radio-Hörende, gestartet deswegen noch die folgende Ansage. Moin moin und willkommen zum Chaosstudio Hamburg an Tag 2 des D-Wog 2022 Bridging Bubbles. This talk will be held in German. For those of you who would like an English translation, please go to the bottom line of this video frame that are you looking at us right now. There is a menu item to choose your preferred language. The item is called native and it's located to the left of a menu item to adjust the volume. Für Fragen aus dem Publikum haben wir mehrere Möglichkeiten und Kanäle vorgesehen. In der Programmankündigung zu diesem Talk findest du einen Link zum Q&A, zum Question and Answer Pad, in das du deine Fragen schreiben kannst. Wechselgegebenenfalls vorher in den Edit-Modus. Den Hashtag für Twitter und Master-Don bzw. auch den Link in den IRC findest du hier im Videoframe im Top Chat. Unsere freundlichen Signal-Angels sammeln die passenden Tweets bereits während des Talks ein. Im Anschluss an diesen Vortrag kann der Vortragende so darauf eingehen. Manuel Attuck ist Diplom-Informatiker und Master of Science and Applied IT Security and Engineer. Unter dem Namen Hongkase ist er in Hackerkreisen bestens bekannt. Seit über 23 Jahren ist er in der Informationssicherheit tätig und befasst sich mit den Themen Kritis, Hackback, Ethik und Katastrophenschutz. Hongkase ist Gründer und Sprecher der unabhängigen Arbeitsgruppe, kritische Infrastrukturen, AG-Kritis. Hongkase selbst ist gerade in Ägypten, deswegen spielen wir jetzt erst einmal ein Video von ihm ein. Anschließend ist er uns live zugeschaltet und wird all eure Fragen aus dem Q&A, aus dem Question und Answer Pad beantworten. Hallo zusammen, willkommen bei der Divock Bridging Bubbles zum dritten Mal als Ersatz für Cisterhack. Heute geht es um Prudins Krieg in der Ukraine, Bomben statt Cyber. Ich gebe euch mal ein bisschen Überblick über Cyber-Sicherheit, über kritische Infrastrukturen, über Bevölkerungsschutz in Kriegszeiten. Ja natürlich bin ich da kein Kriegsexperte, aber das mit diesem Züber, den kritischen Infrastrukturen und dem Bevölkerungsschutz und dem Katastrophenschutz, da mache ich ja hier und da so Dinge aus Gründen und so. Legen wir also gleich mal professionell angepisst los in der Hasenhorn Edition. So. Was wurde jahrelang von schönen Powerpoint-Folien malenden Cyber-War-Kräckern hochgepriesen? Sabotage kritischer Infrastrukturen als militärische Cyber-Operation im Hybrid Warfare. Ey Leute, Cyber-War ohne Ende. Kritische Infrastrukturen werden weggesybert überall, auch in Deutschland, weil es massive Cyber-Angriffe gab. Oder doch nicht? Was sehen wir denn im Krieg gegen die Ukraine? Das BMI bezeichnet das als massive Cyber-Attacken, was wir da gesehen haben. Erwärmt werden dann halt so Cyber-Geraffel wie Website, DeFacements, DDoS-Angriffe, Datenleaks, dies das. Echter taktischer und gezielter, langanhaltender Cyber-Cyber-Ausfall von Kritis in zum Beispiel Kommunikationssystemen, Wasser oder gar ein Blackout? Naja, Mangel-Warbe. Zum Glück. Aber der Chaosat-Angriff führte zum Beispiel als Kollateralschaden zum Ausfall mehr als 10.000 Satellitenmodems in ganz Europa. Allein 5.800 Windkraftanlagen, die daraufhin in den Automatic Safety Mode gegangen sind, um weiter zu produzieren. Fernwartungen ging aber dann nicht mehr. Aber wer benutzt die vielen anderen Modems? Naja, ukrainisches Militär und die dortige Polizei. Ja, die waren ja das Angriffsziel. Wurden ja hoffentlich eine halbe Stunde oder so außer Betrieb genommen. Aber was haben wir denn noch an Kollateralschaden gehabt? Zum Beispiel ELW2. Ja, richtig. Führungsfahrzeuge, die zur Führung und Koordination von taktischen Einheiten der Feuerwehr, des THW, der Polizei und anderen Hilfskräfte dienen. Bei größeren Einsätzen kann ein Einsatzleitwagen 2 halt eine Einsatzleitung beherben und unterstützen. Satellitenabblink als Vollbeck-Kommunikation in Katastrophen einsetzen. Ja, manch halt erst einmal bis zum Austausch des Modems nicht mehr. Im Ahrtal wäre das ein Problem geworden, da dort keine Botenkommunikation mehr vorhanden war. Durch die Naturkatastrophe einfach mal alles weggerissen. Die Störungen durch diesen offensiven Angriff selber war eben kurz und nicht langanhalten. Der Kollateralschaden allerdings immens, langanhaltend, der Austausch der Modems, dauert ja durchaus mehr Wochen und auch außerhalb des Kriegsgebiets sogar im Ausland, also in Deutschland, vorhanden. Aber okay, was sehen wir denn wirklich von diesem massiven Cyberwar, den Cyberwar auf bunten Powerpoint-Folien von Militärberatern und Wirtschaftsprüfern sowie der Rüstungsindustrie, ja ja, absichtlich männliche Form gewählt und der etisch sehr früh sehr falsch abgebogenen IT-Sicherheitsproduktanbietern als den ultimativ offensiven Weg, wie sich alle Nationen gegenseitig im digitalen Raum wegcybern, Hackback lässt grüßen, ihr Stelle einfügen und Strohballen vom Wind über die Straße rollen lassen. Nee, wir sehen nämlich Waffen gegen Menschen gerichtet und wir sehen Bomben und Raketen, die Kraftwerk und Wasserwerke in Ukraine nachhaltig zerstören. Wir sehen Bevölkerung, bei der deswegen kein Strom und Wasser mehr aus der Leitung kommt. Bunte Powerpoint-Folien von Beratern, die seit Jahren den Cyberwar klären und den Hackback herbeifabulieren, die Realität sieht leider anders aus. Aber so ist das mit KIG, Blockchain, Hackback, Cyberwar, bunten Folien, die einem alles versprechen, einfach alles! Ein bisschen wie Scam und Fishing, findet ihr nicht? Und warum ist das so? Na ja, weil das als alterweißer verantwortlicher toll klingt, wenn man die Technik und den Cyberraum als Ganzes nicht kennt, auch hier absichtlich männliche Form gewählt. Aber wie genau sähe so ein lang anhaltender Angriff auf eine kritische Infrastruktur aus und was kann eigentlich passieren? Stuxnet hat es quasi 2010 in der Uran-Anreicherungsanlage Natanz vorgeführt. Geschickte Orchestrierungen, Manipulation der Industrial Control Systems und Scata-Komponenten, sowie der Human Machine Interfaces in der Prozessleitechnik sind erforderlich. Und ein jahrelanges Ausforschen der Zielumgebung mit Nachrichtendienstlichen Erkenntnissen und Ressourcen aus USA, Israel und anschließend noch einem niederländischen Wissenschaftler eingeschleust als Spion vor Ort, der den USB-Stick einsteckt. Offenbar war auch ein 1 zu 1 Nachbau der Anlage nach Hallen nötig. Da war er wieder. Putin, der persönlich diese fiesen Cyberwar-Datenpakete beritten nach Deutschland bringt, als Liedhexer auf dem Pferd. Ja, Lolé. Und selbst wenn ein Cyber für sich Angriff so geplant wird, dass zum Beispiel die Prozessleitechnik in der Rohrleitung mit gasgemächten Überdruck erzeugen sollte und die Safety Abschaltung, weil IP fiziert und digitalisiert, manipuliert wurde, wenn du da ein mechanisches Überdruckventil installiert hast, hat es sich nicht weggescibert, sondern ausgescibert. Druckausgleichsventile machen einfach mal, dass das alles völlig belanglos ist. Dicke Folien aber nix dahinter, ja Offensive, aber auch nix dahinter außer Kollateralschäden. Defensive und Safety, verdienen eigentlich alle den Volts of Steel Award Style, sind aber eher unbekannte Helden. Denn Prävention, liebe Leute, ist halt nicht sexy. Zoddele. Jetzt wisst ihr also, wie ein gezielter, langer anhaltender Ausfall von Kritis unheimlich schwer ist, aber Kollateralschäden, ja, die sind sehr realistisch und können nicht vorher kalkuliert oder in der Risikoanalyse berücksichtigt werden, dann könnte man sie ja verhindern. Oder in Kauf nehmen. Nordpedia hat das vor einigen Jahren eindrucksvoll gezeigt. Aber das geht natürlich nur bei einem kleinen Überschaubahn, nicht bei Ausfall von Kritis in Bündnisländern oder bei der eigenen Bevölkerung, als ob sie kann ja mal passieren oder ob sie haben wir gewusst, aber Kollateralschäden, also der bei euch dann jetzt passiert ist, ist halt einkalkuliert gewesen. Hey Leute, wir leben immer noch nicht in Hollywood, wo man fünf Minuten auf der Tastatur rumklimpert und der Ladebalken auf 100% geht. Machen wir uns aber nichts vor. Ich spreche von jetzt und hier. Von lang anhaltenden Ausfällen bei Kritis durch cyberfühlsicher Auswirkungen, die Digitalisierung bei Kritis macht nicht Held. Sie ist sehr langsam und ihr ein Jahrzehnten als in Jahren zu sehen, aber sie kommt und kommt auch kontinuierlich. Und das ist sogar sinnvoll, weil durch Prozessautomatisierung mehr Menschen versorgt werden können. Wenn es nur dadurch ist, dass die Produktion durch die Automatisierung günstiger geworden ist und nicht nur, weil dadurch die produzierten Mengen mehr werden und alle versorgt werden können. Denn eins müssen wir dabei bedenken. Dann müssen weniger Menschen an Wassermangel leiden. Wir haben halt leider viel zu viele Menschen weltweit, aber auch in Deutschland, die am oder unter dem Existenzminimum leben. Denkt dabei auch an die bitte und nicht relativiert. Okay, aber sagen wir mal, der unwahrscheinliche Fall eines Druckabfalls würde eintreten. Putin ließe Kritis in Deutschland erfolgreich langanhaltend ausfallen. Massiv vereinfacht und runder realistisch, aber hey, wir spinnen das Szenario mal gepflegt durch. Wohl er wegen NATO Artikel 5 kein wirklich sinnvoll klingendes Ziel für Putin ein Bündnisfall auszulösen, weil er erfolgreich Kritis in Deutschland angreift und es danach Tote gibt. Aussehens seibe Angriffe ja nicht nur eh schon so kompliziert und enthalten so viel Kollateralschäden, die man nicht vorher sagen kann. Putin müsste doch faktisch teilweise die Datenpakete noch persönlich vorbeibringen, weil große Teile von Deutschland in funk- und netzfreien Arealen existieren. Aber worum sollte es uns bei Kritis in Deutschland wirklich gehen? Die echte Frage ist doch eine ganz andere. Und welche? Naja, Salop, kommen morgen für die Bevölkerung noch Strom und Wasser aus den Leitungen? Wenn nein, warum eigentlich nicht? Dem Strom ist es egal, ob er weggescibert wurde, ob er einer Naturkatastrophe unterlag. Das Artail lässt traurig grüßen. Ich denke an dieser Stelle an die knapp 200 Toten. Und Kritis? Naja, gucken wir mal auf die Arthalbarn. Wird bis zum Beispiel 2025 brauchen, um den alten Stand wieder hinzubekommen. Was bräuchten wir also? Hackback? Vergeltungsschläge? Wenn der Hack passiert ist und wir ein Backhacking machen? Ja, nee, nicht danke. Bitte gehen Sie weiter, Ihre Folien sind hier nix zu sehen. Aber was bräuchten wir denn dann wirklich? Naja, wir bräuchten die Kombination aus BBK und BSI, Bundesamt für Bevölkerungsschutz in der Katastrophenhilfe und Bundesamt für Sicherheit in der Informationstechnik. Also die ideale Kombination aus Physicher und Cyberresilienz, also der Widerstandsfähigkeit der kritischen Infrastrukturen gegen alle Arten und Formen von Gefährdungen und Bedrohungen. Viele Maßnahmen dazu sind übrigens sehr ähnlich, in der Prävention wie auch in der Reaktion. Es sind nämlich nicht die krassen Hacks von den krassen Hackers und Lifehacks und Life-Pen-Tests und Hackbacks und Cyber-Cyber und überhaupt. Ne, braucht es einfach nicht. Bitte gehen Sie weiter, Ihre Folien sind hier nix zu sehen. Aber ist denn jetzt der Cyberraum kein Kriegsschauplatz, fragt Ihr Euch vielleicht. Sagt der Herr, sei dazu? Ja doch, klar, sei das. Aber so wie es im Krieg schon immer war, Informationwarfare als quasi Hybridwarfare-Primärkomponente, Propaganda, Fake-News, Spionage, die sind jetzt eben auch im Cyberraum, zusätzlich zu außerhalb dessen dazugekommen. Es sind alles halt bekannte Militärtechniken, die jetzt eben auch unseren von allen gemeinsam genutzten Cyberraum dafür erschlossen haben. Ja genau, den einen und für uns alle, es gibt halt nur den einen Cyberraum. Im konventioneller Krieg mit Waffen und Raketen und Bomben in der Ukraine mag vielleicht bedeuten, dass putinskinetische Wirkmittel nur in der Ukraine einschlagen und die Bewohnerinnen oder Bevölkerung tatsächlich flüchten müssen, werden wir 200 Kilometer weiter in Latte-Matiato schlürfen, mit Hafermilch, auf Eis. Noch etwas Wunderbares hat dieser Cyberraum bewirkt, darf man auch nicht vergessen, dass wir ständig neue Informationen aus der Ukraine halten und das Geschehen nicht im stillen Vor sich hin passiert. Die Welt kann nur deswegen so intensiv hinschauen und alles beobachten. Critis, Sektor IT und TK halt, Zvika Smiley. Aber wir müssen eben auch mit den Fake News und der Propaganda umgehen lernen. Das ist noch ein sehr komplexes Kapitel, das wir adressieren müssen. Das ist halt alles gar nicht so einfach, denn wer sich die Beteiligten staatlichen und nicht staatlichen Akteure, wir schauen uns sie mal an, wer ist das in diesem einen Cyberraum? Naja, wir haben da Militär und damit Cyberkombatanten, wir haben Geheimdienste und die können überall dahinter stecken. Wir haben Cybercrime wie Ransom and Co. Conti les Grücen, die übrigens auch mit dem Geheimdienst offenbar gemeinsame Sachen machen in Teil. Kritische Infrastrukturen inklusive dem Staat und der Verwaltung. Wir haben Wirtschaft drin, wir haben Wissenschaft drin, wir haben Forschung drin, wir haben die Zivilgesellschaft drin und die teilt sich sogar noch mal auf in die Bürgerin, in die Ethik noch nicht aufs gereiften Jugendlichen, die halt noch ein bisschen Formung in der ganzen Moral brauchen. Destruktive Cyber-Hooligans, die irgendwie einfach nur Randale machen wollen und am Stein hervorkommen und sagen, ich hack euch alle weg, Hauptsache zerstören. Aber auch so was wie Hacker-Kollektive, wie zum Beispiel Anonymos. Ihr seht, das ist ein extrem buntes Feld, aber haben wir jetzt wirklich wirksame Gegenmaßnahmen und visäen geeignete Maßnahmen aus. Bunte Powerpoint-Folien sind es schon mal nicht. Lead-Hack-Saw-Offensive-Hackers aller Hack-Back-Cyber-War-Cyber-Geraffel-Dinks, ja offenbar auch nicht. Was bleibt denn dann übrig? Ja genau, Herr Hase wird wieder langweilig. Die Basis-Sicherheitsmaßnahmen wie Backup und dokumentierte ordentlich gelebte IT-Sicherheitsprozesse, langweilige Sicherheitsmaßnahmen wie zum Beispiel der zufällig ausgewählte BSC-Grundschutz, der Zufallsgenerator sagt vier. Alle kennen ihn, aber keiner will ihn komplett umsetzen. Alle wollen Wiederherstellung, aber keiner will Backups. Es sind aber die defensiven Menschen, die Cyberresilienz aufbauen, Ingenieure, IT-Security-Expertinnen, geschulte Administratorinnen, Menschen, die tätig sind in den Zerts in den Computer-Emergency-Response-Teams und Security-Operation-Centern. Oder wenn die Einsen umfallen, schnell dafür sorgen, dass sie wieder aufgehoben und aufgestellt werden, in der Digital Forensics und Incident-Response D4 und sich bei first.org tummeln auf den Veranstaltungen oder im BSI Zertbund tätig sind. Wir brauchen also mehr Resilienz. Cyberresilienz. Und ja, das ist machbar. Gehen wir also die langweilige IT-Sicherheit an. Was bräuchten wir darüber hinaus? Na ja, ganz zufällig sagt der Generator schon wieder vier. Was ein Zufall. Na, ein THW haben wir schon. Ja, ja, einige wissen, was jetzt schon kommt. Und wisst ihr was? Es freut mich, ehrlich. Die Botschaft ist also längst angekommen. Das ist cool, aber für die, die es noch nicht wissen. Ergänzend bräuchte es nämlich zur Reaktion Cyber-Hilfswerk. Die AG Critis hat das als Konzept drei Jahre lang auch mit Workshops zusammen mit dem BBK, BSI und CCC. Danke an dieser Stelle nochmal für die großartigen Inputs. Erarbeitet, drei Jahre erarbeitet und Anfang 2020 veröffentlicht. Ist also jetzt schon fünf Jahre alt das Konzept. So langsam kann es laufen und es flüge. Die Zivilgesellschaft könnte also die Reaktion bei Cyber-Großschadenslagen ideal ehrenamtlich ergänzen in der Zukunft. Mit all dem vielen Know-how zu Industriesteuernlagen, zu Prozessautomatisierung und auch Erfahrungen aus dem Leitstand von Critis, den Schutz der Bevölkerung durch die Bevölkerung leisten. Wie aus der Sicherheitsforscherin Community, andere Wissenschaftlerinnen und Zivilistinnen und die Rentnerinnen jahrelang in Critis tätig waren und umfassend Know-how haben, interessierte Technik begeisterte Junghacker und Hexen, so viel derzeit ungenutztes Potenzial. Die AG Critis hat viel Zuspruch und Anfragen von diesen Gruppen erhalten, bei einem Cyber-Hilfswerk mitmachen wollen zu dürfen. Der Bedarf ist da, der Wunsch und die Hilfe ist auch da, das Know-how ist da. Wir könnten alles absichern, sodass was in Zukunft präventiv sicher bekommen und reaktiv sofort wirken, wenn wir sehen, es gibt eine Bedrohung und wir können dagegen steuern. Im Koalitionsvertrag wurde es sogar im November 2021 aufgenommen und beginnt der Umsetzung. Wir halt großartig werfen also, dass das Bundesinnenministerium auf die AG Critis zukommt und wir können ehrenamtlich eine Organisationsaufbau eines CRW begleiten und beraten. Also weg vom Cyber-Warren offensivem Auf- und Ausbau zu echtem Schutz der Zivilgesellschaft durch den Schutz kritischer Infrastrukturen, egal ob im Krieg oder in Friedenszeiten. Ich habe fertig. Danke fürs Zuhören, viel Spaß bei den folgenden und sehr spannenden Vorträgen auf der CCC-DeVoc Bridging Bubbles. Bis dann. Wir übertragen heute für euch live einen Vortrag des D-Voc des digital verteilten Online-Chaos. Auf der Website di.c3voc.de könnt ihr mehr darüber erfahren. Unser Speaker Honkase ist selbst gerade in Ägypten. Nun ist er uns live zugeschaltet und er wird nun eure Fragen aus dem Q&A, aus dem Question & Answer-Pet beantworten. Wir nehmen eure Fragen auf und ihr findet den Link zu diesem Pet in der Programmeinkündigung zu diesem Talk. Lieber Honkase, Willkommen und ich winke dir nach Ägypten zu. Du sitzt entspannt am Pool und hast doch gerade einen Vortrag gehalten, der, wenn man ihn in der Tiefe sacken lässt, irgendwie einen doch schau dann best. Ich habe die erste Frage. Neben der schlechten Internetversorgung in D, im Vergleich zu deiner Leitung nach Ägypten, wie können wir eigentlich mehr Resilienz, mehr Medienkompetenz und mehr gelernte Cybersicherheit in der Bevölkerung erreichen? Also nicht nur gegen Emotet und Co., sondern wie du es gesagt hattest, auch gegen moderne Spionage 2.0. Ja, hallo erstmal. Das ist eine sehr umfassende Frage, die eigentlich schon drei Fragen benaltet, weil der Silenz, Medienkompetenz und gelernte Cybersicherheit und dann noch Spionage 2.0. Also eigentlich schon vier Fragen. Okay, versuche ich mal auf alles viel einzugehen. Also, wie bekommen wir mehr Resilienz hin? Das ist ja nicht so, dass man irgendwo einen Knopf drückt oder irgendwo eine Blockchain aktiviert oder eine KI und dann ist das schön. Sondern Resilienz bekommen man insbesondere dann hin, wenn man sich kranken über die Kernfrage, die ich auch im Vortrag schon gesagt habe, macht und sagt, was sind die konkreten Bedrohungen und Gefährdungen gegen kritische Infrastrukturen? Wie können wir eigentlich die Frage sauber beantworten? Kommt morgen noch Strom und Wasser aus der Leitung? Ja oder nein? Wenn wir Nein sagen müssen, weil es gelb eine Bedrohung oder Gefährdung, dann müssen wir uns eben auch genau dieses Szenario anschauen, was ist die Bedrohung, was sind die Maßnahmen dagegen? Wie wahrscheinlich ist der Eintritt? Welche ganz banalen Maßnahmen kann man dagegen steuern? Nämlich zum Beispiel diese Überdruckausgleich-Ventine. Und insofern kann man Resilienz also nicht hinbekommen, indem man sowas wie Hackback oder aktive Cyberabwehr als Prinzip doch Vergeltungsschlag nutzt und sagt, na ja, dann cybern wir jetzt zurück. Dadurch kommt ja nicht mehr Strom oder Wasser aus. Das ist ja erst im Nachgang, nachdem der Schaden erschaffen ist. Resilienz ist also davor. Es ist die Defensive. Es ist wirklich, ich sage immer, klamme Auf-Cyber, klamme Zu-Resilienz, weil es egal, ob es weggesybert wird oder ob es wie im Ahrthal Naturkatastrophe wegreißt. Und da kann man hinkommen, indem man zum Beispiel total banal diese Grundschutz Anforderungen umsetzt, die Basisanforderungen, wo man schon viel IT-Basis wissen, in die die Systemlandschaft integriert und damit schon eine gewisse Resilienz gegen Standardangere fährt. Und dann muss man eben auch gucken, ob man eben weitere Maßnahmen finden kann, mit denen man eben auch noch ein Stück Resilienter wird. Und jedes Stück Resilienz heißt eigentlich auch mehr Stabilität in der Versorgungsleistung der Bevölkerung. Und da müssen wir eigentlich kommen zur Medienkompetenz. Ja, die Medienkompetenz, wie können wir die erreichen? Ich glaube, ich habe mich schon einmal fusselig geredet, aber ich tue mir gerne nochmal Fussel und Quasselöl drauf und rede weiter. Seit Jahrzehnten versuchen wir zu sagen, alle Medienkompetenz geht ja nicht einfach so, sondern die muss in die Bevölkerung steuern. Und es muss eigentlich schon anfangen, ja, nicht erst im Studium, sondern in der Schule, vielleicht sogar Grundschule aus meiner Sicht eigentlich sogar schon im Kindergarten. Das heißt, man muss den Kindern, den Schülerinnen heutzutage eigentlich schon zum frühstmöglichen Zeitpunkt beibringen. Was bedeutet Medienkompetenz zu sein? Was bedeutet es zu recherchieren? Was ist eigentlich IT und IT-Sicherheit? Wie geht man mit Algorithmen und Datenstruktur um? Die Kinder, die das jetzt lernen würden, werden ja mit autonomen Fahrzeugen konfrontiert werden. Die werden mit Liesel Autonomous Weapon Systems irgendwie agieren müssen. Die werden sich vielleicht auch echte KI an Fragestellungen angedeihen lassen müssen, während wir noch mit Machine Learning und irgendwie fusseliger RandsKI, die eigentlich nur Statistik ist, gerade aktuell agieren. Das ist also wirklich das, was man in der Medienkompetenz machen müsste. Und Sekunde, ich muss hier mal die Linken wegzulehnen. Der dritte Teil der Frage war ja gelerntes Albersicherheit. Du sprachst ja von Spionage, also nicht nur Emotet, die ganze Malware, sondern quasi Spionage 2.0. Also die alten klassischen Methoden, natürlich jetzt im Cyberspace, ich will nicht sagen neu erfunden, aber mit der neuen Technik ist das alte gleiche Spionage. Also wenn es um die Spionage geht, sieht es ja so aus. Ich fand das ganz treffend, was mal ein hoher militärischer Banter aus Niederlande gesagt hat, der gesagt hat, Spionage ist das zweitelte gewerbene Welt. Das war für ihn völlig normal, dass Spionage eben und überall existiert. Wir haben ja auch in Situationen, wie der DDR erlebt, wie Kraftspionage sein kann und wir sehen aktuell, ich will jetzt nicht die DDR relativieren, aber aktuell noch viel gieriger in dieser Cyberspionage agiert wird, dass man Informationen gewinnt, Fake News verbreitet, Massenraten vorhielt, was ja schon wirklich ein aberatiges Ausmaß enthält. Man kann nicht mehr nur ein Telefon anzapfen, man muss irgendwie die Sprache sprechen, man macht automatische Transkripte, man zeichnet irgendwie alles aus, selbst verschlüsselte Verbindungen, kann die ab und später, wenn man sich vorhielt und die Schlüsselkante oder gebrochen werden kann, im Nachhinein auch darüber die Historie noch einmal nachvollziehen. Sobald es über den Cyberraum und diese ganzen Partie-Möglichkeit tatsächlich die Spionage, ich sage mal zu einem Eldorado, das Internet ist so ein Wilder Westen und zum Eldorado dieser Cyberspionage-Gritspiele irgendwie geworden und die Arten völlig aus und da müssen wir tatsächlich was gegentun, das ist ganz wichtig. Das sieht man auch in den Ukraine-Krieg, da passiert sehr viel Spionage-Information-Warfare. Wir haben kein Cyber-Warfare, wir haben eine Information-Warfare, wir haben Fake-News, wir haben Deep-Fake-News, wir haben jetzt ganz krass, wo ich Gänsehaut kriege, wie das selbst die Ukrainer nicht mehr sauber arbeiten und sagen, wir haben hier mehrere Tausend Soldaten sozusagen per Face-Recognition von Clearview-AI identifizieren lassen und haben dann die... Es ist die Wahrheit, dass er Dorf war in jedem Kriegs-Seil, das war nie aktueller denn heute. Genau, genau und dass man dann mit diesen Face-Recognition-Systemen auch noch hingeht und dann irgendwie die Wittmann oder die Mütter ausfindig macht und sagt, hier übrigens ein Bild von deinem toten Sohn, der im Krieg gegen uns gefallen ist. Das sind ja Information-Warfare und Psychological-Warfare-Strategien, die ja durchaus und aus der Spionage, aus den Heimdiensten, aus der Kriegsführung dieser Richtung kommen. Da muss man sich wirklich gegen aufstellen, da gibt es natürlich verschiedene Methoden, insbesondere natürlich das politische Diplomatie und das gemeinsame Miteinander. Vielleicht auch, da verwendete ich ganz immer gerne auf den Cyberbees und den Perceptikern, dass wir auch so eine Art Cyber- digitale Rüstungskontrolle quasi brauchen. Wie weit gehen wir eigentlich in der Spionage, wenn es überhandelt wird es nicht mehr gesund? Genau, diesen Fragenkomplex mal negativ aufgefasst, sind wir, ich beziehe das mal jetzt auf Deutschland, überhaupt in der Lage zu bestehen, wenn man sich die, in Anführungsstrichen, Fähigkeiten von russischen gegebenenfalls amerikanischen, chinesischen Cyberattacken ansieht. Also Hackback klingt gut, aber irgendwie klingt das kaum realistisch, ist die Frage. Also Hackback klingt gut, aber das klingt auch nur gut, so lang man hat auf runden Folien von welchen Cyber-War-Jüngern sich anschaut. Da klingt es nämlich toll, man hat das unter Kontrolle, alles ist schick, die Realität sieht so aus, dass man eine Attacke gegen ein fremdes System niemals mit der hohen Gewährleistung angreifen kann, zu sagen, da passt es schon nischt, ich habe alle so unter Kontrolle. Das wird aber ständig suggeriert, das ist eine falsche Suggerierung, die klingt aber so toll. Es ist ja wie so ein Nigeria-Scam, und es klingt aber zu schön. Und ja, in Wirklichkeit brauchen wir aber andere Fähigkeiten. Wir müssen diese Attacke aufdecken, wir müssen dagegen steuern können, wir müssen es jetzt leerelaufen lassen. Und das nur wieder bei der Resilienz. Wenn du eine resiliente Systeme hast, die gegen sowas widerständsfähig sind, dann kommt so ein Angriff nicht durch, und dann ist es halt langweilig für den Anteil. Die Deutschen tun sich aber übrigens auch sehr aktiv in der Spionage, und wir haben jetzt zum Beispiel im BND-Gesetz reingeschrieben, der BND darf jetzt ausländische Telekommunikationsdienstleister hacken. Das sind kritische Infrastrukturen, wir machen das sogar per Gesetzesladung an. Irgendwie fällt es mir schwer, mich darüber zu freuen. Aber die nächste Frage greift es tatsächlich auch auf, indem sie sehr hart formuliert auch, wäre es nicht empfehlenswert, einen konkreten Maßnahmenplan für Kritis herauszugeben, anstatt wie es die DSGVO alles sehr offen, produktneutral und individuell zu formulieren. Also ich sehe da zwischen den Zahlen die Frage, können wir uns diese Offenheit überhaupt noch leisten? Doch müssen wir uns leisten, und wir sollten uns unbedingt leisten. Ich verstehe den Gedankengang hier hinter. Wir haben Ende der 90er angefangen mit weltweiten Beratungen und Audits, für kritische Infrastrukturen, und habe damals dann auch schon gesagt, diese Sicherheitskataloge sind alle viel zu ungenau, wir müssen viel konkreter und noch genauer werden, und alles Haar klein vorgeben. Das ist aber tatsächlich eigentlich eine schlechte Lösung. Das ist nämlich die Lösung für, wenn die gesamte Bevölkerung einfach mal digital ahnungslos ist, so wie wir es in Deutschland hier haben, durch die mangelnde Bildungspolitik. Wir müssen die Leute auf einen Kompetenzstand bringen, und dann müssen wir eben auch formulieren, was ist denn das Ziel, was wollen wir erreichen, welche Schutzmaßnahmen sind sinnvoll, und die Details müssen individuell vorgenommen werden, denn es ist immer ein individueller Mix von dem, was man braucht für die Bedrohungsszenarien. Würde ich jetzt in jeder kritischen Infrastruktur vorgeben, so ein Arthalszenario darf nicht passieren. Ja, alle die nicht in einem Tal sitzen, da macht es ja keinen Sinn. Ja, die würden das Geld da rein investieren, aber nicht in die Schutzmaßnahmen, die sie dann wirklich bräuchten, weil wir haben ja gesagt, jeder muss in so ein Arthalszenario investieren. Und von daher muss man also diesen offenen Weg halten, um zu sagen, das, was deine Bedrohung und Gefährdung ist, die adressierst du bitte für deinen Standort, und das, was für dich absolut keine Bedrohung und Gefährdung ist. Die kann dir wundern sein. Das ist ja auch nicht schlimm. Es ist völlig okay, aber wir müssen die Betenz aufbauen, das so zu verstehen. Es ist nicht IT und die ganze Kombination davon, und dann noch ein Produktionsanlagen. Es ist ein hochkomplexes Zusammenspiel von Anlagen, Komponenten, Schaltkreisen, Relais, von Dienstleistern und von Verbindungen. Und man kann auch nicht einfach sagen, ja, dann nehme ich Kritik, Infrastruktur und Offline, dann haben wir kein Problem mehr. Wie machst du dein Telekommunikationsnetz offline? Wie machst du dein Online-Wenging offline? Wie willst du denn das Stromnetz offline regulieren und steuern, damit 50 Hertz reinkommt, das funktioniert so nicht. Also wir brauchen diese Kompetenzen, wir brauchen das noch hau und wir müssen das in einem High-Level-Szenario beschreiben, was das Ziel ist, und die dürfen mit der Individuell da hingehen. Aber sie müssen auch gehen und ankommen. Um es im Pandemie-Sprech mal zu versuchen, sind wir was Cyber-Sicherheit anbetrifft, immunologisch noch naiv? Ja, wir sind nicht nur naiv, wir sind auch endkompetent. Wenn wir uns die teilweise militären und Behörden angucken, wenn wir uns die Politikerinnen angucken, wenn wir uns anschauen, Revipathlieren lassen, dann hat man teilweise Seeophiles zum Besten gegeben. Mein Gott, also gib mir noch ein Obst, die Hand reicht für den Facebook nicht mehr aus. Der ist ja gruselig anzuhören und irgendwie alles in so einem schlechten Slapstick, aber die Realität ist, das ist deren Weltbild und die meinen das auch noch ernst. Wir müssen da hinkommen, dass diese Aufklärung stattfindet und dann hört dieses Elend auf, aber vorher wird das nichts. Tut er greif gleich die nächste Frage rein. Gibt es überhaupt Maßnahmen, die man sinnvoll zur Abwehr gegen einen gezielten Cyberangriff treffen könnte, die tatsächlich über das hinausgehen, was man nicht ohnehin zur Abwehr von Naturkatastrophen und großen Unfällen treffen könnte? Definitiv gibt es die. Das müssen wir jetzt nicht hier in aller Ausprägung diskutieren, aber es ist nun mal so. Ich verweise wieder auf die Bedrohung und Gefährdung. Ich schaue mir eine Bedrohung und eine Gefährdung an und dann muss ich überlegen, welche Maßnahmen er greifig ist. Es ist eine hohe Überlappung bei den ganzen Cybermaßnahmen, die wir dann haben. Zur Abwehr von Naturkatastrophen ist ein Backup geil. Ich kann das wieder einspielen. Das ist genauso bei großen Unfällen sehr geil und es ist auch geil bei einem Renzberg-Gruf. Aber es ist halt nicht geil, wenn ich nur ein ansiges Backup von einem Jahr gemacht habe und nicht mal die Wiedererstellung versucht habe in einem Online-Vorhalten. Entweder habe ich eine vernünftige Maßnahmen und ich habe sie vollständig durchdacht und eine Risik- und Nebenwirkung rauskomplimentiert, indem ich sie sauber umgesetzt habe. Oder ich habe halt eine schlechte Lösung. Eine schlechte Lösung ist halt leider schlecht. Das ist keine Lösung. Wir haben zu viele schlechte Lösungen, davon müssen wir weg. Unter Maßnahmen gibt es, die müssen wir umsetzen. Die sind alle bekannt. Man kann ja kaum hecken. Aber eine Wasserversorgung ist sehr wohl. Kannst du da vielleicht vor dem Hintergrund ein bisschen die Unterschiede zwischen kurzen, mittelfristiger und langfristigen Ausfällen kurz beleuchten? Ja, was wir beispielsweise in der Ukraine sehr viel gesehen haben, waren ja kurzfristige Ausfälle. Da gab es Ausfälle, keine Ahnung, da gab es digitale Sitzblockade gegen die Webseite. Erst mal ein Kleppner, dann entscheidet man keinen Krieg so. Aber gut, gab es, der Kreis der China fällt um und nachher ist die Seite wieder erreichbar. Das ist kurzfristig. Wenn ein solcher Angriff auch gegen eine kurze Infrastruktur gefahren wird, kurzfristig, dann ist sie halt eine Weile nicht verfügbar. Dann kann man es kompensieren. Da entstehen normalerweise nicht sofort Todesfälle. Wenn wir mittelfristige Angriffe haben, dann geht das schon eher in die Richtung, okay, es ist langanhaltender und es kann auch Stress produzieren bei bestimmten Szenarien, die aber immer noch meistens regional eingeschränkt sind oder zeitlich begrenzt sind oder sogar weit ist. Das heißt, kommt vielleicht mal eine Stunde kein Wasser aus dem Hahn oder braune Suppe, weil es jetzt irgendwie sogar physisch beschädigt war. Ein langfristiger oder langanhaltender Ausfall sieht ja so aus, dass wir beispielsweise dort statt den Stromausfall haben. Stromausfall ist kurzfristig und regional eingeschränkt. Ein Blackout ist sehr langanhaltend und ist überwiegend. Das spricht eigentlich schon fast am Deutschlachbein. Und wenn wir ein Blackout haben, dann hast du ja eine Kaskadierung von Problemstellen. Das erste ist ja der Stromesweg. Damit kannst du erstmal alles nicht mehr bedienen, was irgendwie mit Stroms tun hat. Aber da hört es ja nicht auf. Mit Strom wegfallen fällt irgendwann auch Wasserversorgung weg. Denn die Wasserpumpen laufen nun mal mit Strom. Und die Dieselgeneratoren sind irgendwann auch leer gelaufen. Ach so, man kann ja Diesel nachtanken. Ne, warte mal, wie viele Tankstellen haben wir in Deutschland? 15.000. Wie viele haben Notstrom? Ungefähr 150. Ah, skaliert schlecht. Also wird es relativ schnell nach ein, 2, 3 Tagen je nachdem Dieselmangel geben. Und mit diesem Dieselmangel wird dann auch so was wie eine Wasserpumpel nicht mehr laufen. Und dann haben wir ein Strom- und Einwasserausfall. Jetzt könnte man sagen, wir müssen aber Strom wieder hin. Und dann schaltet man die Wasserpumpe wieder an. Und dann ist alles easy, weit gefehlt. Wenn du eine bakterielle Verunreinigung von Wasser in der Rohrleitung hast, musst du das 2 Wochen durchspülen. Und dann kannst du wieder das Wasser verwenden. Das heißt, das ist mindestens ein Ausfall von 2 Wochen, wenn du wirklich schaffst, dass das Wasser verunreinigt ist. So. Und so gibt es großbeckereien. Großbeckereien in der Ernährungsindustrie, ich denk manchmal, die backen die Brötchen und die holen wir dann morgens fertig aus der Kleinbeckerei. Ja, gut, schwang drüber, interessiert rein. Die Großbeckerei versorgen aber auch Krankenhäuser und Seniorenbeckereien. Jetzt haben die kein Strom. Und dann haben die ernsthafte Probleme mit ihrer Teig, also die haben ja Tonnen von Teig in den unterschiedlichen Werdegängen sozusagen. Jetzt haben wir also dann ein Kühlungsproblem und der Teig geht kaputt. Und machen wir dann, wir werden Monate brauchen, diesen Teig in der Menge wieder anzusetzen, die Produktion hochzufahren und damit auch keine Brötchen. Um diese Produktionszyklen und die Produktionskreisläufe. Genau, korrekt. Und die Komplexitäten. Das heißt, wenn man etwas stoppt, vor allem auch chemische Prozesse beispielsweise, dann dauert das einfach echt lange, bis man wieder auf dem Niveau ist. Das sind langanhaltende Ausfälle und die können tatsächlich schädlich sein. Es gibt cyberfühlsiche Angriffe, die an fühlsichen Schaden bewirken, wie bei Stuxnet. Es gibt eigentlich nur Stuxnet, alle anderen haben immer Fasal zum Glück. Aber die haben es nicht hingekriegt, einen echten Angriff durchzudecklinieren, dass er langanhaltenden Ausfällen produziert. Deswegen sage ich ja, die Cyberrohrgedöhne ist alles blau für bunte Folie. Tatsächlich fällt mir ... Du hattest grad ... Okay. Sag mal, über das Sprungbrett Backpack gedacht, fehl mir gerade noch die Frage zu, wie schützen sich denn andere Länder und Staaten, könnten wir nicht deren Resilienz, deren Abwehrmechanismen, ich will nicht sagen kopieren, aber davon lernen, wie schützen sich andere? Können wir definitiv helfen, ist beispielsweise im Austausch mit vielen Ländern, dass das THW genauso. Im Katastrophenschutz ist das normal, dass man gegenseitig die Ernte beibringt. Es gibt zum Beispiel, nehmen wir mal ein ganz anderes Thema, nehmen wir mal die Versorgung der Bevölkerung mit Ernährung, Kriegsfall, Stromaus, Blackout oder was auch immer. In Deutschland ist es so, dass wir die ganzen Lagerbestände sehr intensiv abgebaut haben um, na ja, minimal ist. Fängt schon damit an zu fragen, nehmt irgendein Nachbar, Nachbarin und sagt, wo ist der nächste Notfall, Wasser in den Namen und wo du zu Wasser herkriegen, wenn bei dir wo es kein Wasser mehr läuft. In Deutschland kann dir keiner die Antwort geben. Das ist wirklich absolute Ausnahme. Ich frage das in Griechenland oder Türkei, sagen wir, da hinten die Straße runter rechts, aber wenn du gutes Wasser haben willst, da oben am Werk, da ist in der dritten Ecke links, da ist ein richtig klares Bergwasser und die haben dann einfach immer 2, 3, 20 Liter Tankstab. Das ist für die normalen, weil die haben regelmäßige Ausfälle. In Deutschland ist das halt nicht und wenn du dann guckst, wir haben immer mehr diese Versorgung abgebaut. In anderen Ländern gibt es zum Beispiel das Konzept, dass man sagt, na ja, wir bieten jetzt einfach mehr Lagerfläche bei den Discountern und bei den großen Unternehmen, die die Bevölkerung mit Supermärkten und die haben einfach deutlich mehr Lagerhaltung, als sie eigentlich machen würden und es zahlt einfach die Regierung und wenn dann aber ein Notfall ist, dann hat die Regierung Vorzugsrecht und kann auf dieses Lager zugreifen. Du hast also einen rollierenden Verbrauch, es kommt immer neue Ware rein, alte raus, du hast keine Ware, die du dann als Ramsch entsorgen musst oder vernichten oder verschenken oder damit auch immer. Konzepte sind alle da, müsste man nur machen, aber Prävention ist nicht sexy und damit kann es dann halt auch als Politikerin kein Blumentopf gewinnen. Natürlich sind bestimmt auch viele Retondanzen aufgelöst worden aus ich vermute Effizienzgründen, wenn ich zum Beispiel ein Voice over IP oder das ISDN-System denke, was beides gleichzeitig zu betreiben, sich nicht gelohnt hat aus Effizienz aus Kostengründen. Das heißt, nicht nur auf zwischenmenschliche Ebene hattest du angesprochen, das sind anderen Ländern die Menschen noch mehr miteinander sprechen dort wieder mehr miteinander helfen zu interagieren sondern auch eben wieder Retondanzen mehr aufzubauen. Große Lagerhalle hattest du erwähnt oder auch verschiedene parallel laufende Systeme. Denn ich glaube, das THW hat noch ein ganz anderes System als Polizei und Ferner werden. Parallel, oder? Definitiv. Also ich kann dir da noch zustimmen, das ist gut für die Redundanz. Also müssen wir nicht alles kapitalistisch bis zum maximalen Effizienzausnutzung hofskalieren, sondern vielleicht sagen, wir lassen einfach mal ganz bewusst und gezielt 10 oder 20 Prozent oder wie viel auch immer, das muss man immer in die Sektor oder sogar Branche prüfen an Redundanz übrig und müssen nicht Hochleistungssysteme bis zum letzten Euro tun, weil diese Redundanz im Zweifelsfalle dann auch ein Teil von Resilienz ist, den wir dringend gebrauchen können in einem solchen Fall. Sie haben, nicht gebrauchen, zu müssen, ist der beste Fall. Sie zu brauchen, aber nicht zu haben, ist eine ganz schlechte Idee. Und wir stehen im Moment eher in dieser zweiten Seite. Das werden natürlich ganz spannende politische Entwicklungsprozesse auch sein, weil offenbar hier, mindestens in diesem Bereich, der Markt eben nicht alles regelt und dann in der Politik da die entsprechenden Mechanismen zu etablieren, wie man Redundanz bewertet und sich lohnt in Anführungsstrichen halt diese Redundanzen wieder aufzubauen. Ich glaube, das wird noch spannend. Immerhin eine Anmerkung dazu, immerhin haben wir eine neue Regierung, die zumindest bei sowas zuhört und auch interessiert ist. Das war ja Jahrzehnte nicht der Fall und dann, ja, also ich hab Hoffnung. Ich kann eigentlich schlechter werden. Das ist doch mal so ein Zwischenstatement. Eine letzte Frage habe ich tatsächlich nämlich noch. Ich lese das mal so direkt vor. Was machst du, dass sich die neue Version von Industroyer auch in D durchsetzen kann? Würde sie sich denn auch außerhalb der Ukraine verbreiten? Kannst du was mit dem Begriff Industroyer? Industroyer war ein Angriff auf das ukrainische Stromnetz vor circa 6 Jahren oder so und Industroyer 2 der Fahrt aktuell die Runde macht, wurde analysiert. Da war auch ein cyberphysischer Angriff auf die Stromversorgung in Ukraine abgezielt worden. Auch da hat man wieder versagt und es nicht hinbekommen, zum Glück. Auch da wieder die Cyberwarfolien Junkies haben leider wieder Schöne Scam verbreitet. Aber die Realität sieht nun mal so aus, dass ein langerne Ausfall einfach hochkomplex ist. Ich glaube die neue Version hat also dies Jahr jetzt eigentlich schon durch. Man hat sie analysiert, man hat festgestellt, da war ein Angriff. Man kann natürlich Teile dessen und das Reverse-Engineering davon missbrauchen und gegen deutsche Systeme nutzen, klarer Fall. Das werden sich jetzt alle Geheimdienste und militärischen Geheimdienste anschauen und werden sagen, jetzt können wir noch mehr den digitalen Waffenstand füllen und noch mehr Ahnung aufbauen. Und das geht natürlich ein bisschen in eine schlechte Richtung, aber das Welt war geschockt und danach haben alle gesagt, geil, will ich auch können. Statt zu sagen, seid ja alle wahnsinnig, macht das weg, ja. So reagiert die Politik auch so was. Also insofern gehe ich davon aus, dass Industrial Destroyer 2 und alle anderen kommenden Schadstoffferne, cyberphysische Vorfälle bewirken wollen. Natürlich auch irgendwann gegen Deutschland eingesetzt werden und sich auch außerhalb der Ukraine verbreiten. Wir haben ja schon mit Notpatia gesehen, dass der Angriff gezielt gegen Ukraine war, aber ganz schön krass auf der Welt verbreitet hat, ist halt ein bisschen ausgeartet, kann mal passieren, wenn man halt scheiß viel Kollateralschaden verursacht, aber eben diese Risikolager nicht vorher bestimmen kann. Das ist ja das, was ich Tag einen Tag aus versuche zu erklären, man sieht nur diesen Teil vom Risiko und dieses ganze Ding kann man gar nicht bewerben und dann erzählen immer, hey, wir haben mit Hackback und Offensive voll alles und alles wegsaibern, völliger Hunger und vielleicht noch eine letzte Erkrankung zu ja, Industrieuern und dergleichen Wärme, irgendwann auch in Deutschland kommen, wir werden es gar nicht aufhalten können. Wir hätten natürlich die Möglichkeit ein ganz zufällig von der AG Critis konzipiertes Cyber-Hilfswerk-Gitze zu rufen, um zu sagen, naja, when the shit did hit the fan und es ist ja nicht die Frage ob, sondern wann das passiert. Und ich garantiere, dass das passieren. Wenn die Scheiße den Ventilator trifft, ja. Wir haben aber auch wieder vorbereitet und sagen okay, wir haben Cyber-Hilfswerk, wir haben technisches Hilfswerk, wir haben die Hilfsorganisationen, wir haben die freiwillige Feuerwehr und wir haben alles Mögliche und können einfach gemeinsam koordiniert eine cyberphysische Attacke, die auch wirklich zu einem langerhaltenden Ausfall geführt hat, wieder eindämmen. Wenn das mit einer Explosion oder was auch immer kombiniert war weil natürlich auch durch einen cyberphysischen Angriff einer Cyber-Hilfswerk gemeinsam mit dem THW in diese Lage reinfahren und die Kriseminuschen und Steuern mit unterstützen und wieder sozusagen vor die Lager zu machen und das ganz hart zu schließen. Brauchen wir deswegen vielleicht, was so nach den Kategorien ABC-Waffen, also Atombomben, biologische Waffen und chemische Waffen, eine neue Kategorie wie DE, wie digital und besteht sozusagen da die Gefahr, dass, wenn wir das erstmal rausgelassen haben, wie biologischen Waffen, dass sich die dann in der Natur verbreiten, dass, wenn wir erstmal solche Digitalen in Science-Fiction gab es die berühmten Naniden, die der Data nur noch mit Schwierigkeiten wieder eingefangen hatte, bestätige Gefahr, dass ich quasi oder ist das tatsächlich real, dass sich solche Mechanismen längst eingenistet haben, als kleine schlafende Parasiten, die natürlich dann wach gekitzelt werden, dass sich sowas verbreiten, dass er nicht, glaube ich. Das wird noch kommen, aber was es schon gibt, ist, man muss ernsthaft die Frage stellen, ob man digitale Waffen definiert und dann auch einen digitalen Waffen-Sperrvertrag vielleicht mal angeht und ob das jetzt digitale Waffensinn, Waffensinn oder nicht, sie können zumindest schaden bewirken und zurückgehaltene Sicherheitslöten sind ja eine Vorbereitung Die Amantaner haben ihren digitalen Waffenschrank extrem gefüllt, ist ja abgegriffen worden, daraus ist ja in Deutschland abgegriffen worden und dann beim CLA und dadurch ja noch mit ja entstanden ernsthaft Schadstofffonds. Insofern hat man ja den digitalen Waffenschrank der CLA leer gewonnen, also und wenn dies nicht absichern können, ja, dann ich meine, wer bleibt denn dann übrig? Wer schafft's denn dann? Die haben ein echt großes Budget und haben es nicht auf die Kette gekriegt. Insofern sollten wir uns dringend Gedanken machen bin ich wieder bei Cyber-Prize und Perseplikon das war ein digitalen ja, eine Rüstungskontrolle Digitalwaffensperrvertrag können wir es in der Richtung brauchen und wir müssen da mehr Forschung reinpacken um zu sagen, was ist denn die richtige Art und Stand heute könnte ich die auch nicht geben, genauso wie alle Expertinnen das nicht geben können weil es einfach noch, wir sind ungefähr am ersten Schritt damals wo bei Atomwaffen, als man gesagt hat die wollen wir eigentlich auch schweren und echten regulieren, haben alle gesagt wie gesagt, das funktioniert ja nie aber wir haben sie jetzt regulieren wir haben sogar die großen Mächte selbst diesen verrückten Kerl dazu gebracht dass er abgebaut hat, er hat immer noch zu viel ja, okay, aber zumindest nicht viel zu viel zu viel zu viel und das ist doch schon mal ein Anfang das war eine gute Entwicklung, da müssen wir bei digitalen Waffen auch noch beginnen ein starkes Statement, aber die Forderung nach einer Abrüstung für digitale Waffen lieber Honkase, habe sehr sehr herzlichen Dank für diesen erschreckend faszinierenden spannenden Talk für die Bereitschaft, dass du aus Ägypten die Questil und Ansatz mitgemacht hast wir hören im Hintergrund so ein bisschen dass dein Urlaub weiter nach dich, nach dir fragt und ich möchte an dieser Stelle sozusagen schließen mit einem kurzen, aber herzlichen und heftigen Dankeschön an alle Engel im Hintergrund, die auf dieses Event werden wir öffnen.