LNP550 Wes Brot ich ess, des Lied ich sing

Also zum Beispiel einer, ich will jetzt nicht aus dem Buchspoiler, aber der einzige, der mir gerade einfällt, obwohl ich alle Kalender, oder zumindest beide Kalender habe, ist so elf Freunde müsst ihr sein. Die zwölf Apostel. Das ist ja zum Beispiel ein sehr schönes, falsch zugeordnetes Zitat. Du scheinst ja jetzt gerade nicht so eine spaßige Reaktion. Findest du den nicht so witzig?

Wer kennt es nicht, Chaos Communication Camp und solche Orte, die können einen ja sehr in den Bann schlagen und wenn man dann wieder nach Hause kommt, dann denkt man sich so oh, scheiß Realität. Hätte das jetzt nicht noch so weitergehen können? Das wäre doch schön.

Ja, und dann gibt es Veranstaltungen, die die Leute so sehr in den Bann schlagen, dass sie diesen Abzweig in die Realität auch nicht mehr ohne weiteres finden und dann einfach da bleiben und da dann solche Veranstaltungen auch gerne mal in etwas ausgedehnteren Naturgebieten stattfinden, dann so Wälder und Seen und es ist schön und so weiter und man kann sich da auch ganz gut verstecken, tun diese Personen das dann auch und weigern sich einfach die Veranstaltung

zu verlassen, weil es halt so toll ist. Was natürlich für die Veranstalter oft so ein bisschen das Problem hat, dass es schon dann irgendwann auch mal Ende sein muss und es dann vielleicht mal nötig wäre, diese Personen dann auch vom Acker zu bekommen. Aber dann muss man sie halt auch erst mal finden. Und diese Person, die nennt man Elfen.

Unter anderem die wunderbare Erfindung der Elfenfalle, die ganz toll und sehr, sehr, sehr einfach ist. Weil wenn man sich so denkt, wie soll man die denn jetzt finden, der Wald ist groß und so, wo die ihr Zelt haben, naja, da stellt man einfach eine akkubetriebene Box irgendwo in den Wald, die schön die Musik spielt und siehe da, nach einiger Zeit finden sich die Elfen bei der Elfen.

Auf jeden Fall hat uns das so ein bisschen gewundert. Und wo wir dann alle eine leichte Schwäche hatten, war bei der Einschätzung der betroffenen Software. Hier wurden ja im Wesentlichen zwei Pakete genannt, Windchill und FlexPLM. Und ja, wir haben so ein bisschen uns gewundert, was das ist und warum denn das so wichtig ist. Wir haben es ja dann auch erwähnt, Produkt Lifetime Management.

Wenn du das Hops nimmst, dann ist Jackpot. Dort sitzt das Herz des Maschinenbaus. Hinter jeder Maschinenseriennummer hängt ein ganzer Baum an Baugruppen und Teilen. Jedes Ding kriegt eine Identität und einen Versionsbaum mit Konstruktionsdaten dran. Ohne PLM keine Fertigungszeichnung, also Datensätze, keine Fertigung, keine Maschine, kein Umsatz. Falls im Falle von Lufthansa-Technik, jedes individuelle Teil in der Luftfahrt hat einen ganzen Aktenordner an Geburtsurkunde, Logbuch, Flugstunden,

Reparaturen und so weiter dran. Jedes einzelne individuell gefertigte Teil. Wenn man das Ransom nimmt, dann ist aber ruckzuck vorbei mit den Chemtrails. PLM sind High-Stack-Systeme. Es geht hier um mehr als das Sharepoint vom betrieblichen Gesundheitsmanagement, dass solche Firmen am Wochenende von außen zugesperrt werden, wisst ihr ja auch. Insofern feiern wir besser die Maßnahme. Vielleicht ist es ja auch so. Erste Runde war die E-Mail von BSI an den Security-Menschen im Unternehmen.

Und wenn von dort die Urlaubsumleitung oder keine Meldung oder haben wir schon ein Arbeiterretour kam, dann schicken wir halt mal ein Streifenhörnchen vorbei, um dem wurstigen CEO klarzumachen, dass er seiner Sorgfaltspflicht nicht mindestens nachkommt, wenn er der gierigen IT das Budget klein hält. Ähnlich meldet auch Jan in den Kommentaren. Im PLM liegen alle Konstruktionsdaten.

Habe selbst das bei einem Mittelständler mit eingeführt. Daneben packt ein Unternehmen da auch gern alle digitalen Dokumente drin. Insofern ist die Software erheblich wichtiger als die Mail-Server. Wer das PLM hat, hat das Unternehmens-Know-how. Manche haben auch offene Schnittstellen für Lieferanten. Da und wo geheime Produkte wie Militär hergestellt werden, macht ein Patch am Sonntag durchaus Sinn.

Henrik fügt dann noch an, das ist auch gar nicht auf den Maschinenbau begrenzt, auch in der Lebensmittelindustrie, Pharma etc. Kommen spezielle PLM-Lösungen zum Einsatz mit allen Rezepturen, Formeln, Zertifikaten, rechtlichen Prüfungen, Lieferantendaten usw. Also auch hier das gesamte Unternehmenswissen für Mitbewerber auf jeden Fall ein sehr interessanter Datenschatz, wie er hier korrekt schreibt.

Ja, vielen Dank für diese Hinweise, um ehrlich zu sein, das hätten wir uns eigentlich auch selber ableiten können, aber tatsächlich habe ich mich auch mental mit dieser Produktgruppe an Software noch nicht so beschäftigt. Das kommt davon, wenn man nicht in der Industrie arbeitet. Aber ist klar, ich meine heutzutage ist natürlich alles digital und selbstverständlich.

Ein ordentlich geführtes Unternehmen, was komplexe Maschinen baut, muss natürlich auch diese komplexe Planung in irgendeiner Form digital durchführen, versionieren etc. Und selbstverständlich ist das wirklich ein Datensatz, der es in sich hat.

Drittens, die Polizei hatte irgendwoher die Daten der Unternehmen, die diese Software einsetzen. Und viertens aber, wenn man jetzt mal wirklich darauf blickt, ändert sich durch eine Schwachstelle an einem derartigen System die Risikosituation eines Unternehmens unmittelbar. Ja, dann muss man, also es ist ja nicht so, wenn du jetzt ein Unternehmen bist und das hat ein PLM, ja, und sagen wir mal, dieses PLM ist absolut sicher.

Diese Software enthält keine Sicherheitslücken, ja. Dann wirst du im Zweifelsfall trotzdem an diese Daten kommen, weil ja die Leute, die du hackst, darauf zugreifen. Der größere Teil von Hacks findet immer noch statt über Facebook. Quasi die errungenen Zugänge und Zugangsmöglichkeiten und Zugangsberechtigungen, die es bei einem solchen System gibt.

Das heißt, selbst wenn das sicher ist, dann kriegst du die Daten darüber, dass du irgendwie den Admin oder den Produktionsleitung oder wen auch immer kompromittiert hast auf seinem Endgerät. Und eine Schwachstelle in diesem System ist auf jeden Fall kritisch, ohne Frage. In der Gesamtrisikobetrachtung des Unternehmens ist es aber jetzt. Ja, natürlich müssen sie das sofort patchen, ohne Frage.

Und sie haben ein riesiges Problem, wenn sie bereits kompromittiert sind und jetzt Angreifer, die es genau auf diese Daten absehen, zufällig sich genau jetzt freuen, dass es diese Schwachstelle gibt und dass sie diese jetzt exploiten können. Dann ist aber trotzdem deine unmittelbar notwendige Handlung nicht unbedingt dieses System zu patchen, sondern sicherzustellen, dass du keine Datenexfiltration hast.

Insofern vielen Dank für die Erläuterung, dass die uns die Kritikalität dieser Schwachstelle klarer macht, eindeutig absolut kritisch. Aber die Ausführungen und Diskussionen, die wir dazu hatten, dass jetzt ausgerechnet die Polizei ausrückt und dass wir das eher beim BSI sehen würden und so, ich glaube, die bleiben davon unberührt. Das wäre mir jetzt nochmal wichtig an der Stelle zu sagen.

Das könnte man jetzt wieder so ein bisschen auch mit einnehmen, also mit auffassen in den Notstand, wo dann die Polizei vielleicht sagt, okay, wenn der Hersteller keine Lösung bereithält, dann müssen wir davon ausgehen, dass die Betreiberinnen dieser Systeme gerade schutzlos sind. Das ist ein wichtiger Punkt, den müssen wir noch mal gelten lassen. Aber dann hätte man die Polizei vielleicht zu dem Hersteller schicken müssen und sagen müssen so, Knast, hier Patch oder Auslüchterungszelle.

Eins von beiden gibt es jetzt für dich. Nicht Freitag um eins macht jeder seins. Also da ist auf jeden Fall was schiefgelaufen. Ich denke nur, ich sehe das nach wie vor nicht unbedingt in den Händen der Polizei, zumindest nicht in erster Eskalationsstufe.

Und das finde ich vor allem, also unabhängig davon, dass ich die inhaltliche Entscheidung richtig finde, finde ich es auch ein wichtiges Signal für die Demokratie, dass du nicht einfach sagst, ach hier komm, jetzt müssen wir mal, ach so, ah scheiße, sorry, ist was anderes rausgekommen, als wir wollten, müssen wir nochmal machen. Das geht nicht.

So, eines der großen Probleme unserer Zeit ist die Social-Media-Sucht. Die Kinder, die hängen den ganzen Tag nur am Internet, da mit ihrem WhatsAppen und so was und ihren Insta und so.

Belohnungssystem im Gehirn ist ein relativ starker Treiber für Lernen, Lernverhalten, klar, wenn etwas gut ist, alte, so klassische, behavioristische Einfachtheorien, aber auch, du musst, wenn ein Gehirn lernen soll, musst du es quasi erkennen können, was positiv ist, damit es nach positiv strebt und dann hast du halt einen Belohnungssystem, um ein Lernen, um in einem Organismus Lernen zu ermöglichen.

Und wenn du jetzt aber etwas baust, was dieses Belohnungssystem triggert, dann heißt das, dass du das Verhalten, was dazu führt, sehr schnell lernst und verstetigst bei einem Menschen. So, jetzt geben wir mal ein Beispiel. Wenn das in einem normalen Leben, das System ist gebaut, dass der Mensch in der Regel das Richtige tut, für sich Richtige. Und das System hat natürlich die Herausforderung, dass langfristige Belohnungen. Schwerer zu lernen sind und nach ihnen zu streben ist, als kurzfristige.

Dafür haben wir dann die Intelligenz, planvolles Handeln, Abwägung und so weiter, damit wir nach langfristigeren Belohnungen streben können, statt immer nur nach der kurzfristigsten, schnellsten. So, jetzt nehmen wir so etwas wie einen Stoff, der das Belohnungssystem triggert.

Beispielsweise Drogenkonsum, insbesondere Kokain. Dann hast du jetzt quasi das Problem, dass du instantly jederzeit dein Belohnungssystem triggern kannst, was auch mit einem angenehmen Gefühl einhergeht und einfach sackschnell lernst, dass dieses Verhalten gut für dich ist. Und dann lernst du halt zu rauchen, zu trinken, Drogen zu konsumieren und so weiter. Oder auch glücksspielsüchtig. All das funktioniert immer über Triggern des Belohnungssystems. Warum funktioniert Glücksspielsucht so gut?

Naja, das Beste, wie du ein Verhalten nachhaltig stabil machst, ist, wenn es nicht immer die Belohnung gibt, sondern wenn die Belohnung intermittierend kommt. Das ist das Beste für Verhaltensstabilität. Kann man sich auch sehr einfach erklären, funktioniert bei, wenn man Hunde erzieht, anfangs kriegen die für das Verhalten, was sie zeigen sollen, Leckerli und dann schleißt du den Leckerli langsam aus. Dann kriegen die nur noch jedes zweite Mal, jedes dritte Mal, jedes fünfte Mal.

Und was der Effekt davon ist, ist, dass sie sich immer mehr Mühe geben, weil die versuchen herauszufinden, warum der Leckerli gerade nicht gekommen ist. Ob sie vielleicht sich nicht schnell genug hingesetzt haben. Und wenn du dann einfach nur noch ab und zu so ein Leckerli gibst, dann kriegst du diese Verhaltensstabilität sehr viel stärker hin, als wenn du abrupt aufhören würdest, ein Leckerli zu geben. Dann werden die das nämlich nicht machen.

Wenn die einfach sagen, ach so, okay, ist vorbei, ich kriege kein Leckerli mehr. Vielleicht muss ich das Verhalten nicht mehr zeigen. Also intermittierende Verstärkungspläne sind nochmal besonders gut.

Um zu einer Belohnung zu führen. Und Social Media, hier Like, Klick und so weiter, weitermachen, Belohnung, etwas Interessantes gesehen, wenn es uninteressant ist, kann ich schnell wegmachen, ist sehr geeignet dazu, kann man sehr einfach interpretieren als etwas, das an das Belohnungssystem anspricht und dass die... Dass man als intermittierenden Verstärkungsplan interpretieren kann, der eben zu einer Stabilisierung dieses Verhaltens führt.

Insbesondere, wenn die Plattform darauf ausgelegt ist zu sagen, naja, wir funktionieren über Werbung und Werbung können wir nur zeigen, wenn die Leute hier sind. Das heißt, wir optimieren jetzt auch nochmal darauf, dass die Menschen hierbleiben, indem wir die Timeline kuratieren und das Interesse quasi sich immer übertreffen und so weiter.

Das heißt, hier ist tatsächlich, und das glaube ich ist absolut unstrittig, ein Software-System gebaut, was erkennbar darauf optimiert, das Verhalten zu stabilisieren, dass die Menschen da sind und das ist eben letztendlich Sucht. Oder kann man eben als Sucht interpretieren oder kann in besonders pathologischen Fällen eben bis zu suchtartigem Verhalten, in suchtartiges Verhalten, sag ich mal, auch mit nennenswerten sozialen oder individuellen Konsequenzen führen.

Hier hat eine 20-Jährige geklagt eben in Los Angeles, weil sie über die Suchtgefahren nicht ausreichend aufgeklärt wurde und hat drei Millionen Dollar bekommen. 70 Prozent davon soll Meta zahlen, dann eine Strafzahlung von weiteren drei Millionen, die beide Unternehmen in gleichem Verhältnis tragen sollen. Die haben jetzt Berufung angekündigt. Snapchat und TikTok sind dem Prozess durch einen Vergleich entgangen.

Die Klägerin hat argumentiert, ich denke schlüssig argumentiert, die Plattformen haben ihre Dienste absichtlich so gestaltet, dass sie süchtig machen müssen.

Sie hat aber dann eben das war der andere Aspekt, den ich nannte sie hat Depressionen und Angstzustände die sie hatte darauf zurückgeführt und ja, fände ich jetzt gar nicht, also, finde ich mal gut finde ich mal interessant, dass das mal thematisiert wird, demnächst hast du dann, weißt du, wie man Nikotinsucht versucht man ja auch mit diesen Rauchen macht impotent und Lunge kaputt und Kinder und Krebs, dann kriegen wir demnächst Weißt du, so Schocker-Bilder.

Wenn du Snapchat aufmachst, kommt erst mal so ein...

gesagt, ja, da müssen wir die Kinder vorschützen, ja, Fun Fact, das ist nicht nur für Kinder ein Problem, aber das habe ich auch schon ausgeführt und jetzt haben sie festgestellt, ja, die diese Altersbegrenzung, da scheinen uns die Unternehmen gar nicht genug, anzustrengen, ja, sie führen also jetzt Ermittlungen gegen Facebook, Instagram, Snapchat, TikTok und YouTube, dass sie die ihre gesetzliche Verpflichtung, eine Altersbeschränkung aufrechtzuerhalten, nicht engagiert genug nachkommen.

Und na gut, was ist dazu zu sagen? Die Kinder, also die Unternehmen haben natürlich kein Interesse daran, sich dieser Kundschaft zu verwehren. Das war zu erwarten. Das andere Thema, was wir regelmäßig ansprechen, ist, wenn du das konsequent durchziehen willst, dann musst du die Leute halt nach dem Ausweis fragen. Und hier hast du jetzt genau diese Diskussion oder diesen Clinch zwischen dem Staat, der da irgendein potenziell ziemlich fehlgeleitetes Gesetz durchsetzen möchte und dem Staat.

Den Plattformen, die eigentlich kein Interesse haben, das durchzusetzen, die sich aber natürlich freuen, wenn sie demnächst alle ihre Nutzerinnen auch noch mit Ausweis frei Haus geliefert kriegen, und so quasi noch eine sehr viel bessere Datenerfassung, eine reliablere Datenerfassung über die Leute haben.

Und das führt also auch ins Ungemach. Ja, währenddessen gibt es dann, also besser wäre, das einfach grundsätzlich zu verbieten, das Geschäftsmodell und dann hätten wir, glaube ich, die Probleme nicht nur für Kinder gelöst. Der wissenschaftliche Dienst des Bundestages sollte mal herausfinden, ob wir das nicht auch machen können, so ein Social-Media-Verbot, also Altersgrenzen für Social Media und haben vier Gründe gefunden, warum man das nicht machen kann.

Erstens der Anwendungsvorrang, also im Zweifel würde EU-Recht vor nationalem Recht gelten und die EU hat bereits einen Rechtsrahmen für soziale Medien. Und zweitens vollständige Harmonisierung des Binnenmarktes, wir wollen ja möglichst einen harmonischen Binnenmarkt bieten für das Kapital Und wenn da jetzt unterschiedliche Einzelregelungen stattfinden, dann verletzt das die Harmonisierung des Binnenmarktes. Was du nicht haben willst, ist ein unharmonischer Binnenmarkt. Das willst du nicht.

Und dann gibt es das Herkunftsland-Prinzip. Denn das bedeutet, dass die internationalen Konzerne nur in dem Mitgliedstaat reguliert werden sollen, wo sie auch ihren Sitz haben. Das ist dann natürlich, wie wir wissen, Irland. Und dann gibt es viertens noch das Elternrecht. Das steht im Grundgesetz. Das ist das grundrechtlich gewährleistete Erziehungsrecht der Eltern. Eingriffe in die Kindererziehung, also staatliche Eingriffe in die Kindererziehung sollen dadurch verhindert werden.

So schreckliche Dinge wie Schulpflicht zum Beispiel.

Heißt ja nicht, also wissenschaftlicher Dienst des Bundestages ist ja traditionell, so well yeah that's just like your opinion man.

In Deutschland, und das ist auch zu erwarten und notwendig, gibt es jetzt eine ausführliche Debatte. Um den Phänomenbereich der digitalen Gewalt ausgelöst durch, wir haben es in vor zwei Sendungen behandelt, den Ulmen-Fernandes-Fall. Und bei einem solchen Thema, immer wenn, oder häufig, wenn solche Themen diskutiert werden, beobachtet man leider, leider, leider, so ein Derailing der Diskussion.

Da gibt es also irgendwie toxische Mechanismen, die es verhindern, dass eine nüchterne, zielgerichtete Debatte den Konflikt würdigt. Allen voran Bundeskanzler Merz. macht sowas kaputt. Der äußert sich zu diesem Thema und da fällt dir nichts mehr zu ein. Wir haben Christian Ulmen, so weiß und deutsch, wie sie kommen.

Und das Erste, was unser Bundeskanzler ebenfalls so weiß und deutsch, wie sie kommen, dazu sagt, ist, wir müssen auch ansprechen, dass ein beachtlicher Teil dieser Gewalt aus den Gruppen der Zuwanderer in die Bundesrepublik Deutschland kommt. Also das ist so ungefähr eine der faktenfremdesten Aussagen, die du in diesem Kontext überhaupt tätigen kannst.

Klar, die Leute, die sich auskennen, die Leute, die den Phänomenbereich vielleicht schon länger behandeln, aber nichts in unserer Medienlandschaft, nichts in unserer Politik hat Mechanismen, die dahin korrigieren. Stattdessen hast du, und nochmal, es geht wirklich um die Toxizität der Debatte, stattdessen hast du jetzt halt natürlich auch durch derartig dämliche Einlassungen, eine Kultur, wo, wenn sich jetzt Stimmen zu Wort melden.

Die einen Aspekt dieses sehr vielschichtigen Problems behandeln wollen, es sehr wahrscheinlich ist, dass sie direkt von einer anderen Seite niedergeschrien werden, weil sie einen anderen wichtigen Aspekt der Debatte unterbeleuchten.

Und das siehst du allenthalben, egal wer sich dazu äußert, dass hier ein Diskussionsfeld, eine Diskussionskultur geprägt ist, Allen voran nochmal, durch, also ehrlich gesagt sogar mehr durch unsere Bundesregierung als durch die mediale Begleitung dieses Phänomens, die eine sachliche, vernünftige, zielorientierte, lösungsorientierte Auseinandersetzung mit dem Thema komplett verhindert.

Ich meine, der Merz ist sogar so dämlich, dass er noch nicht einmal auf die Pläne des Justizministeriums eingeht. Also er sagt noch nicht mehr, das wäre das eine, was du von so einem Bundeskanzler erwarten würdest, dass er sagt, ja, meine Justizministerin, die arbeitet da gerade dran, das Thema ist ernst, wir behandeln das jetzt. Das macht er nicht. Er sagt dann irgendwie so, ja, also Vorratsdatenspeicherung wird sicherlich nicht ausreichen und die Ausländer müssen alle raus.

Was, also ich meine, was für eine Kultur, ja. Und dann natürlich, dann hast du in dem Kontext dann irgendwelche Dieter Nurs und so, die auch natürlich jede rationale, ausgewogene Auseinandersetzung mit irgendwelchen Dummsprüchen torpedieren. Und dann hast du eine komplett kaputte Debatte und das ist wirklich zu beklagen. Ich empfehle in dem Zusammenhang, also wirklich eine der Personen, die ich insgesamt in diesem Themenfeld für wirklich diejenige halte, der man zuhören sollte, ist Anne Roth.

Die hat mehrere Vorträge zu diesem ganzen Themenbereich Digitale Gewalt auf dem CCC-Kongress und anderen Events des CCC gehalten. Sie behandelt das Thema seit, ich weiß nicht wie vielen Jahren, lange. Und sie ist aber gleichermaßen eben im Bereich der Digitalpolitik erfahren, also ich muss jetzt auch wieder sagen, ob das jetzt schon über ein Jahrzehnt ist, dass sie in dem Bereich eben im Bundestag in unterschiedlichen Mitarbeiterinnenrollen für tätig ist. Und wer ihre Historie kennt.

In dem digitalpolitischen Kontext aktivistischer Weise schon mindestens seit jetzt auch 15, 20 Jahren wahrscheinlich, weil sie Betroffene war von Überwachungsmaßnahmen im Rahmen eines Ermittlungsverfahrens, das völlig fehlgeleitet war. Das ist eine lange Geschichte, aber können wir auch nochmal drauf eingehen. Das ist eine Person, die ist in dem gesamten Phänomenbereich, der hier zu berücksichtigen ist. Staatliche Überwachung. Strafbarkeitslücken, die Phänomene, die es da überhaupt gibt.

Das ist eine Person, die hat das alles einfach im Blick. Und dann aber stattdessen, wer schreit rum? Dieter Nuhr oder was?

Und Friedrich Merz über die Ausländer oder so. Also das ist ja wirklich…, Und nochmal, das ist jetzt auch nicht überraschend, weil ich meine, jedes Mal, wenn irgendwelche beknackten Themen diskutiert werden, also was weiß ich, sei es Terrorismus, sei es Kindesmissbrauch oder so, dann derate die Debatte automatisch und da müssen wir irgendwann mal eine Korrektur für finden, dass wir das, dass diese, also das führt halt nirgendwo hin.

Das führt einfach nur zu dieser gesellschaftlichen Spaltung, zu Angegriffenheiten, dann ein Double Down. Und nochmal, ich will gerade gar nicht über die Inhalte selber reden, sondern einfach nur um, dass eine derartige Diskussionskultur, die kann nicht zu einem guten Ergebnis führen.

die sie jetzt braucht. Muss ich wirklich sagen. Höchst fahrlässig, verantwortungslos und das lässt sich kaum noch mit Dummheit entschuldigen.

auch im Rahmen eines allgemein gesellschaftlich akzeptierten Konsens.

Und weil mehren sich nun die Hinweise, dass Maven hier daran beteiligt war. Entsprechend gibt es da jetzt Untersuchungen und in Deutschland wird ja auch weiterhin diese gesamte Parlamentiereinführung sowohl auf den Länderebenen als auch auf den Bundesebenen diskutiert.

Und hier gibt es jetzt eine Reihe an Gesetzesentwürfen, auch für das BKA-Gesetz, Bundespolizeigesetz, Asylgesetz und was nicht alles, wo sich jetzt eine Reihe an zivilgesellschaftlichen Organisationen mit einer Stellungnahme zu Wort melden, um die Einführung dieser Software, nicht nur der spezifischen Software. Sondern auch ähnlicher Systeme möglichst zu verhindern. Auch wendet sich diese Stellungnahme gegen den Einsatz biometrischer Massenerkennungssysteme.

Und ja, ich bin mal gespannt, wie erfolgreich wir da werden, aber es ist schon natürlich absurd, dass du auf der einen Seite siehst, was für Folgen diese Systeme haben, auf der anderen Seite, was jetzt der Alex Karp in letzter Zeit so auch an öffentlichen Formulierungen, öffentlichen Aussagen tätig, das ist ja schon auch sehr haarsträubend.

Und dagegen wenden sich jetzt gegen diesen gesamten Bereich in dieser spezifischen Stellungnahme AG Kritis, Algorithm Watch, Amnesty International, Chaos Computer Club, D64, Digitale Gesellschaft, Humanistische Union, Justice Collective Load e.V., das Komitee für Grundrecht und Demokratie, die neue Richterinnenvereinigung, Pro Asyl, der Republikanische Anwältinnen- und Anwälteverein, Seebrücke und die Vereinigung demokratischer JuristInnen.

Und ich bin mir sicher, dass wir auch da eine total ausgewogene gesellschaftliche Debatte dann unter Friedrich Merz Regentschaft genießen können.

Und dazu hast du halt üblicherweise einen riesigen Staff, der durchtrainiert ist und der diese ganzen Informationen zusammensammelt, also alle Intelligenzdienste sozusagen, militärischer und vielleicht auch nicht militärischer Natur und dann möchtest du halt da schnell zu Ergebnissen kommen. Und dann hat man halt gesehen, oha, supi, hier mit LLM-basierter Technologie kann man da ganz schnell irgendwelche Schlüsse draus ziehen.

Ich bin mir jetzt nicht so sicher, ob dieser Fall, dieser konkrete angesprochene Fall mit der Mädchenschule so nicht passiert wäre. Hätte man hier auf traditionelle Methoden gesetzt, das kann ja keiner garantieren. Trotz alledem ist das natürlich genau so ein Punkt, wo man eben vor allem nachher nicht mehr sagen kann, warum ist denn das jetzt eigentlich passiert. Und die Nichtnachvollziehbarkeit dieser Entscheidung ist natürlich ein großes Problem.

Nicht, dass jetzt die aktuelle amerikanische Regierung besonders dadurch hervortreten würde, dass ihre Fehler eingesteht und auch nur irgendetwas zugeben würde. Aber grundsätzlich willst du natürlich ein System haben, wo du eben auch Dinge belegen kannst. Kann sehr gut sein, dass hier einfach die Information nicht korrekt war, dass ja also einfach bei diesem Militärkomplex niemals die Information erfasst wurde, dass dieses andere Gebäude nicht mehr dazu gehört.

Aber man weiß es halt jetzt auch nicht und AI-basierte Systeme sind hier einfach auch Systeme, die Verantwortung an die Maschine abtreten und genau das ist das Problem.

Was nicht heißen soll, dass die militärischen Nutzer, es sind glaube ich zwei sehr unterschiedlich zu bewertende Anwendungsbereiche der gleichen Software und das ist ja dann doch schon sehr dystopisch, Dass du letztendlich ein Softwaresystem aus dem militärischen Umfeld und die biometrische Massenüberwachung und sowas irgendwie dann quasi in deinem eigenen Staat ausrollst.

Das sind halt alles so Dinge, die vor 10, 15 Jahren wäre das noch ein schlechter Film gewesen, den man nicht gedreht hat, weil das so ein bisschen übertrieben dystopisch wäre.

Ich habe ja vor echt einigen Jahren mit dem Kai Biermann zusammen den Vortrag hier in der Hackback Edition gehalten, wo die Bilder sind da. Also das ist genau der. Man kann also quasi jetzt sagen, das haben wir auf dem 37C3 gehalten. Das ist also jetzt über zwei Jahre her, jetzt hat es auch die Polizei, jetzt hat es die deutsche Polizei auch hingekriegt. Mir ist das ein bisschen unklar.

Natürlich wird auch nicht irgendwie erklärt, wie sie die jetzt identifiziert haben, vielleicht haben sie dann... Unseren Vortrag gesehen oder so.

Und in dem, wie gesagt, das ist ja alles Kai's Recherche, der hat dann da auch schon so FBI, Akten identifiziert, wo das FBI dann nämlich auf irgendwie ein Kryptowallet, was mit dieser Uhr geschützt war, zugreifen konnte, weil die irgendwie in irgendeinem Foto war und da schon mal ein bisschen Geld abgeschöpft hat.

Das heißt, der Typ, ich kann mir nun wirklich nicht vorstellen, dass das jetzt durch deutsche Behörden identifiziert wurde, wenn das FBI dem schon Krypto weggenommen hat und Kai Biermann das schon vor zweieinhalb Jahren irgendwie darüber geschrieben und darüber Vorträge gehalten hat, über den Typen.

Meine Güte, wofür schreiben wir das? Da ist nichts dran.

Und ja, leider genau. Also diese Kragenweite hat dieser Cash-Betail noch nicht. Jetzt wurden nämlich seine E-Mails geleakt. Und ich habe... Immer mal wieder so drüber gesprochen, ich meine, E-Mails werden halt geleakt, weil Passwörter leaken. Und dieses Passwortproblem, das wird man irgendwann mal lösen müssen. Und insbesondere auch das E-Mail-Problem. Weil in so E-Mail-Inboxen akkumulieren sich ja die ganze Zeit nur Daten. Und zwar auch genau die, mit denen sich Leute auseinandersetzen.

Und das ist aus dieser ganzen, Information Security Perspektive ein etwas sehr schlechtes, so ein E-Mail-Ding. Kann ich auf jeden Fall nur dazu raten, regelmäßig auch so die Inbox zu leeren oder zu archivieren und sich eben zu fragen, brauche ich denn die E-Mails von, was weiß ich, 2024 noch, da oder ist es vielleicht sinnvoller, die mal in ein lokales Postfach zu legen? Da kann man viel machen.

Auch diese Teilerei von Attachments sollte halte ich also auch für etwas, was auf Dauer dann eben, da kumuliert eine ganze Menge und mit KI werden solche Daten halt auch sehr viel schneller und schöner zu einer Story, durchsuchbar, prüfbar und so, da werden wir noch viel von haben.

Lernte auch der BND-Vize.

Ich meine, wir haben auch vor ein paar Wochen schon hier darüber gesprochen. Und was dann passiert ist, wenn du dann die PIN eingibst, dann registrieren sie quasi ein Gerät zu deinem Account und haben dann Zugriff. Eventuell schmeißen sie dich sogar von deinem eigenen Account raus. Das ist dann der Moment, an dem sie den dauerhaft übernommen haben beziehungsweise du ihn dir dann zurückholen musst, indem du quasi wieder beweist, dass du Inhaberin dieser Telefonnummer bist.

Wenn sie klug genug sind, dann ändern sie aber sogar noch schnell die Telefonnummer.

Eine Sache, die man so im Bereich des Hacking öfter sieht und behandelt, wenn man jetzt so Incidents managt und so, ist der sogenannte Business-E-Mail-Compromise, wo also ein E-Mail-Account einer angestellten Person kompromittiert wird und was machen die Angreifer dann? Sie haben jetzt Zugriff auf den E-Mail-Verlauf einer Person. Jetzt könnten Sie natürlich versuchen, im Namen dieser Person irgendwelche Anweisungen zu verteilen. Auf jeden Fall werden Sie natürlich alle diese E-Mails lesen.

Was du aber jetzt in letzter Zeit häufig siehst, ist, dass sie spezifisch nicht im Namen dieser Person agieren, sondern mitunter quasi existierende E-Mail-Threads weiterführen. Von einem anderen, von einem eigenen Angreifer kontrollierten Server unter einer Domain, die sehr ähnlich aussieht und damit dann der betroffenen Person quasi vorgaukeln, dass ein Gespräch weitergeht. Stell dir vor, du hast einen Chat mit vier Leuten, du hast einen E-Mail-Austausch mit vier Leuten, ja.

Und in diesem Thread antwortet eine dieser vier Personen dir wieder, ja. Wenn du jetzt den Thread weiterführst, dann drückst du natürlich auch wieder auf Reply All. Na klar, weil du willst ja wieder mit diesen vier Leuten weiterschreiben. Und was die Angreifer jetzt tun, ist, die schreiben dir, haben aber die anderen zwei Leute auch ausgetauscht. Sie schreiben dir von einer Fake-Adresse, führen sie den Thread weiter.

Sie haben aber alle anderen Kommunikationsteilnehmenden ausgetauscht mit quasi so Look-alike-E-Mail-Adressen unter einer anderen Domain.

Aber wenn du dann erkennst, naja, weil du so eben Vertrauen, dass es halt schon gibt. Weiterführen kannst, dann macht das halt Sinn. Ich finde es immer sehr interessant, was Angreifende halt so lernen und welche Taktiken sie daraus eben ableiten.

Jetzt wieder zurück zu diesem Signal-Ding. Wenn du also das mal vergleichst, sodass du den Signal-Account übernimmst und eigentlich weißt, die große Wahrscheinlichkeit ist, dass du den sehr schnell wieder verlierst und eventuell willst du sogar, dass du den schnell wieder verlierst, damit keine große Untersuchung stattfindet. Welche Einsichten kannst du in diesem kurzen Zeitraum, den du Zugriff auf den Signal-Account hast, gewinnen?

Ja klar, wenn du einen Account übernimmst, du kriegst nicht die alten Nachrichten. Was du aber kriegst, sind die Kontakte und Gruppen. Und viele Gruppen sind zum Beispiel so, dass es Einladungslinks gibt, dass du quasi öffentliche Gruppen hast.

Also, dass du jetzt das, keine Ahnung, so ein klassisches Beispiel, ich habe eine, was weiß ich, unsere Hochzeit, dann und dann und hier ist der Link, da könnt ihr in die Gruppe kommen, weil du weißt, dass du möchtest, du hast im Prinzip keine geschlossene Benutzergruppe, sondern eine, wo du möchtest, dass möglichst viele Leute einfach reinkommen können.

Und diese Gruppen, ihre Konfigurationen und ihre vielleicht zum Beispiel sogar offenen Möglichkeiten dieser Gruppe beizutreten die kriegst du halt auch durch diesen kurzen Zugriff und eine der naheliegenden, Dinge wäre, darauf ein paar Monate zu sitzen, und dann einfach mal mit einem anderen Account den Gruppen beizutreten. Dann hast du wieder das, eine langfristig etablierte Kommunikationsgruppe, eventuell groß, in der du jetzt mit einer komplett anderen Zockpuppet drin bist.

Und das scheint jetzt gerade zu passieren. Also wenn ihr in Signal, und das übrigens nicht nur bei Signal, sondern auch bei WhatsApp, wenn ihr da Gruppen habt und stellt auf einmal fest, dass da jetzt so neue Figürchen reinkommen, wo man nicht genau weiß, wieso.

Das wäre dann doch ein sehr, sehr großes Signal, mal nachzuschauen, ob denn eventuell nicht eine in dieser Gruppe eine Person ist, die kompromittiert wurde oder war, sonst wäre dieser öffentliche Link ja nicht irgendwo hingeliegt oder dieser öffentliche Zugang nicht geleakt. Das kann natürlich auch sein, dass das irgendwie über eine E-Mail mal verschickt wurde oder so. Aber diese Nachwelle, die scheint jetzt gerade stattzufinden. Wollte ich mal so erzählen.

Aber man würde ja schon erwarten, dass jemand, der in der BND-Vize war und irgendwie NATO-Kommunikation und Diplomat und so, das ist ja nun wirklich jemand, der für sich selber das absolut höchste Threat-Model voraussetzen muss. Und wo man erwarten würde, dass er im Prinzip eigentlich eine Paranoia vor einem elektronischen Gerät hat.

Und eigentlich, wenn er eine Nachricht kriegt, in der der Signal-Support sagt, gib mal bitte deinen PIN, dass er dann, was weiß ich, den Bundeskanzler anruft und sagt, ey, hör mal kurz auf, gegen Ausländer zu hetzen. Ich glaube, wir haben ein ernsthaftes Thema. Ich glaube, ein Ausländer hat mein Handy. Und nicht sagt, ach ja, hier, zack, oh, scheiße, Account. Das ist also irritierend.

Berlin, in Berlin haben wir ja auch eine CDU-Regierung und da passiert jetzt eine, da ist auch so etwas irritierend. Also es gibt Informationsfreiheitsgesetze. Informationsfreiheitsgesetze sind erstmal sehr wichtig, weil sie die staatliche, dieses klassische transparenter Staat, private Bürgerin, diese mächtige Institution Staat, wollen wir unter Kontrolle haben, viel Licht und viel Veröffentlichung von den Vorgängen, Entscheidungsgrundlagen usw. Schaffen Vertrauen in die Institutionen.

Vertrauen in die Institutionen wollen alle haben, Kontrolle wollen aber die Individuen, die diese Institutionen kontrollieren, lieber nicht. Das ist auch so ein wunderbarer Wert der Demokratie, für den alle kämpfen, die noch nicht, in den mächtigen Positionen dieser Demokratie sind und sagen, Kontrolle, ich weiß gar nicht. Das sind verschiedene Leute ja falsch, was wir hier machen. Das ist ja total ungünstig.

Wir kennen alle, fragt den Staat und diese ganze Argumentation, warum Informationsfreiheit eben so unglaublich wichtig ist.

Jetzt gibt es natürlich aber auch diesen gesamten Phänomenbereich, der interessanterweise auch ein bisschen unterbelichtet wurde, dass die AfD ja systematisch Fragen zu kritischen Infrastrukturen gestellt hat, eher so im Rahmen parlamentarischer Anfragen und so und dass da Informationen quasi ans Tageslicht gekommen sind, wo man sagen würde, das ist eigentlich, da könnte man jetzt, also stellt sich die Frage A, ist das so gut, wenn das öffentlich ist, was ist, wenn wir hier Feinde haben,

die dieses Wissen über neuralgische Punkte der kritischen Infrastrukturen, denen das nützt, ja, und B, warum interessiert das die scheiß AfD eigentlich, ja, Da sind doch gar keine Ausländer. Das sind ja nur neureigische Punkte unserer öffentlichen kritischen Infrastrukturen. Das heißt, da gab es auf jeden Fall auch wirklich durchaus begründete Fragen, ob denn nicht da die AfD einfach nur die Wunschliste eines anderen Staaten abarbeitet.

Und dass man also quasi bei vielen Vorgängen und Informationen einfach per default sagt, das muss man gar nicht mehr anfragen. Und jetzt haben sie gesagt, sie novellieren das, haben sie auch getan und schreiben jetzt, ja, Anfragen zu kritischen Infrastrukturen, Reicht quasi als Begründung, diese Anfrage dann abzulehnen. Also alles, was. Eine Informationsgattung ist, die kritische Infrastrukturen betrifft, ist nicht mehr von dieser Informationspflicht erfasst.

Und das hat leider relativ breite Konsequenzen, weil unklar ist, was überhaupt eine kritische Infrastruktur ist, wie das benannt wird und wenn du nur auf die, also der Begriff selber, das ist sogar Kunst und Kultur gehört da glaube ich zu, es gibt also eine sehr breite Definition, was jetzt eine, was kritische Infrastruktur darstellt.

Und ich habe mich damals damit auseinandergesetzt, als es um IT-Sicherheitsgesetz 1 ging, da gab es dann Werte per Verordnung und so weiter auf der Bundesebene, aber hier gibt es also eine Änderung an dem Informationsfreiheitsgesetz, die unspezifisch sehr breit ist und wo unklar ist, wie wird jetzt etwas zur kritischen Infrastruktur.

Und das heißt, dass quasi ein sehr großes Missbrauchspotenzial besteht, dass demnächst jemand sagt, was im Moment, kann man hier irgendwie einen Bezug zu kritischer Infrastruktur herstellen und sagen, dass das Informationsfreiheitsgesetz hier nicht gilt. Das ist in Berlin dann jetzt so passiert und dann auch noch dazu ohne großartige Diskussion oder Austausch, zack, bumm, fertig, nächster.

Und dann, ja, tut mir leid, das. Ach so, Ihre Anfrage betrifft, Ihre Informationsfreiheitsanfrage betrifft leider Staat und Verwaltung. Das geht natürlich dann nicht.

Damals ging es um Windows Security und das war so diese Zeit, als eigentlich auch das Bewusstsein um Security überhaupt erst so richtig auf die Agenda kam also kann man sich jetzt fast gar nicht mehr vorstellen aber das war so, die Leute waren dann so auf Facebook mit HTTP ohne S und so und dieses ähm.

Diese Bemühungen großer Unternehmen, ihre Betriebssysteme auch wirklich mal umfangreich auf Security abzuklopfen und sich wirklich darüber Gedanken zu machen, welche Angriffsfaktoren es gab, das begann da eigentlich erst. Also jetzt nicht genau 2006, sondern schon ein bisschen früher, aber das ist ja im Prinzip auch ein fortwährender Prozess.

Und FX war ein extrem findiger Kerl, der so schnell dadurch aufgefallen ist, dass er so ziemlich alles aufkriegt, was bei 3D auf den Bäumen ist und der sich extrem reingenerdet hat, aber der eben auch die Community vorangebracht hat, der Konferenzen veranstaltet hat, die PH-neutral.

Das war dann auch immer eine wilde Mischung aus Partykultur auf der einen Seite, aber eben auch so ein Sammelpunkt für so eine internationale Security-Szene, die dann also sich auch vor allem dann in Berlin abgespielt hat. Und so wurde dann auch durch FX nicht zuletzt auch Berlin so ein Standardort des internationalen Security-Austauschs, die ja dafür bekannt ist, sehr international unterwegs zu sein und Konferenzen überall zu haben.

Und ja, und dabei hat er also auch einen interessanten Stil an den Tag gelegt und war eigentlich immer ein großer Treiber. Er ist dann leider vor einigen Jahren sehr krank geworden und von daher dann schon ein bisschen raus aus dem Spiel. Und ja, jetzt ist er halt leider verstorben und das ist natürlich sehr tragisch.

Wir verlinken auch nochmal auf eine Seite, wo diverse Projekte, Würdigung von vielen Leuten zu finden sind, die ihn gut kannten und ihn dann, entsprechend nochmal beschrieben haben.

Ich denke, was die so besonders hervorheben, ist halt, dass viele Menschen, die eben auf ihrem beruflichen Weg arbeiten, von ihm begleitet wurden oder irgendwann mal bei ihm in der Firma Recurity Labs angefangen hatten, sagen, ja, das war ein Mentor und Förderer, jemand, der eine starke Neugier hatte, der die Menschen zusammengebracht hat und Leute ermutigt hat, Wissen nicht gehortet hat und dann blicken dann doch sehr viele Leute darauf

zurück, dass sie gewissermaßen durch die Zusammenarbeit Zusammenarbeit mit ihm, wichtige Prägungen in ihrem Leben stattgefunden haben. Und das ist natürlich schon also einfach, ich fasse das eigentlich so ein bisschen zusammen, dieses Hacker-Mindset. Technisch brillant, Offenheit, Neugier und von dieser Neugier getrieben eben vielleicht nicht ganz so viel. Ego-Bezug, sondern halt wirklich einfach nur ein technisches Interesse von das ist kaputt, wenn du willst und wir machen das jetzt.

Und das hat Thorsten auch in seinem Nachruf, also von Thorsten Schröder ist er auch einer als sehr prägend auch für ihn beschrieben. Ja.

Allerdings müssen wir noch erwähnen, dass unser lieber Kollege Thomas, den ihr ja alle kennt ja aus dieser Sendung der ist ja auch dick im Geschäft, Investor der greift dann schon auch mal nach den Sternen und unter anderem ist er halt Aktionär der Deutschen Telekom, will man gar nicht meinen, kritischer Aktionär Das auf jeden Fall. Ich bin mir nicht sicher, ob er mehr als eine Aktie besitzt, aber die hat er. Und das erlaubt natürlich auch, dass man Aussprache üben darf auf der Hauptversammlung

der Deutschen Telekom AG, die jüngst stattgefunden hat. Was?