<i>35c3 Vorspannmusik</i>

Herald: Jetzt geht's aber los. Herzlich
willkommen zum Talk Hackerethik - Eine

Einführung. Gehackt wird viel. Ob aus
Spaß, aus Aktivismus oder aus reiner

Neugier. Aber man muss auch immer wieder
mal in sich kehren und überlegen: "okay,

wie weit kann ich eigentlich gehen? Was
ist okay und was nicht?" Klar, die AfD ist

scheiße. Aber darf man deswegen die
persönlichen Daten aller, die mal

irgendeine Webseite von denen irgendwo bei
Facebook geliked haben, veröffentlichen?

Ruf aus dem Publikum: Ja!
<i>Gelächter</i>

Herald: Da hat schon mal einer eine
Meinung.

Es gibt viele Fälle, wo es nicht
immer ganz klar ist, wie wir vorgehen

wollen. Es ist nicht wie in Hollywood, wo
wir den White und den Black Hat Hacker

haben, den Guten und den Bösen, sondern
wir befinden uns immer wieder in

Grauzonen, wo wir überlegen müssen: wie
weit geht es? Und da kann uns die Hacker

Ethik helfen. Etwas was es schon lange
gibt. Und da bekommen wir heute eine

Einführung von Frank. Frank ist schon seit
vielen Jahren Sprecher des CCC und noch

seit viel viel längeren Jahren aktives
Mitglied in unseren Reihen. Und ich freue

mich sehr, ihn heute hier zu haben und
auch für mich nochmal eine erneute

Einführung die Hacker Ethik zu bekommen.
Also begrüßt ihn mit einem großen,

herzlichen Applaus!
<i>Applaus</i>

Frank: Ja, vielen Dank. Die Hackerethik.
Die Hackerethik, die der CCC verwendet,

ist schon ein bisschen älter. Die ist
ursprünglich mal entworfen worden, bzw.

aufgezeichnet worden von Steven Levy,
einem amerikanischen Journalist. Der hat

ein Buch über die Hackerkultur am MIT in
den Achtzigern geschrieben. Das hat den

schönen Titel "Hackers", es wurde 1984
passenderweise verlegt. Und viele von den

Regeln oder Punkten die wir in der CCC
Hackeretik verwenden, gehen darauf zurück.

Allerdings nicht alle. Wir haben einige
dieser Regeln oder Anhaltspunkte, die wir

ja so ein bisschen hochhalten, als
Orientierung verwenden wollen, adaptiert.

Insbesondere Wau Holland hat das damals
getan. Und darüber will ich heute ein

bisschen reden. Warum? Warum brauchen wir
so etwas wie eine Hackerethik? Was ist

eigentlich der Sinn davon? Kann man nicht
einfach machen, was man will? So einfach

Spaß am Gerät haben und nicht länger
drüber nachdenken? Unser Impuls dazu ist,

dass Macht Verantwortung schafft. Wenn wir
gucken wer so sich in der Hacker Community

bewegt, dann sind es häufig Menschen, die
können mehr. Die wissen mehr als der

Durchschnitt, sind häufig energetischer,
auch wenn es manchmal nicht so aussieht.

Haben einen Drang zu wissen, zu forschen,
rauszubekommen, eine unbändige Neugier,

eine endlose Geduld, mit der es dann
möglich ist, Dinge zu schaffen die von

außen aussehen wie Magie. Techno Magier.
Und daraus resultiert aber eben auch die

Möglichkeit Dinge zu tun, die nicht so
toll sind, die schlecht sind, die andere

Menschen ins Unrecht setzen, sie
missbrauchen, dafür sorgen, dass sie ein

schlechteres Leben haben. Und dem
versuchen wir ein bisschen uns etwas

entgegenzustellen. Diese Idee dass Macht
Verantwortung schafft, ist in der heutigen

Gesellschaft mittlerweile nicht mehr ganz
so populär wieder. Wir haben ja eher

gerade eine Tendenz weg von den Werten der
Aufklärung, von Freiheit, Gleichheit,

Brüderlichkeit hin zu Trennung, hin zu dem
Versuch, zu spalten und hin zu dem

Versuch, irgendwie zu sagen so Hauptsache
ich kann mich selber durchsetzen, ist mir

doch egal was die anderen tun. Wir hier -
auf diesem Kongress zeigt sich das immer

besonders - denken dass das der falsche
Weg ist, sondern dass eben die Werte der

Aufklärung, Faktenbasierte Kommunikation,
denken nicht anhand von Wunschträumen

sondern von dem was wirklich ist. Der Weg
vorwärts in eine bessere Zukunft. Was wir

dazu brauchen ist natürlich Wissen. Und
eine der ersten Regeln aus der alten

Hackerethik ist der Zugang zu Computern
und allem, was einem zeigen kann, wie die

Welt funktioniert, sollte unbegrenzt und
vollständig sein. Und hier haben wir genau

diesen Punkt diese... diesen Wert der
Aufklärung, dass die Zugänglichkeit von

Information, wissen können wie ein System
funktioniert, die Verfügbarkeit von

wissenschaftlichen Ergebnissen, von
Dokumentationen. Und dazu gehört auch

manchmal seinen Source Code zu
dokumentieren.

<i>Lachen</i>
Frank: Ja, ich weiß... Dass das

ein Kern unseres Wesens ist. Die
Verfügbarkeit von Informationen war lange

Zeit ein Problem. Na, also wir erinnern
uns: 1984. So ich kann mich noch erinnern

so Mitte der 80er Jahre. Wenn ich
irgendwie Informationen darüber wollte wie

man irgendwie Computer benutzt und
bedient, die jetzt über sagen wir mal

irgendwie das Handbuch zu der in der DDR
raubkopierten Software aus dem Westen

hinausging, musste ich in ne Bibliothek
fahren. Es gab kein Netz. Es gab

Informationen, die waren schwierig zu
beschaffen. Mitte der Achtziger überlegen

wir uns kurz. Da war es so, dass
Informationen tatsächlich ein heißes Eisen

war, die Zugänglichkeit dazu... davon war
bei Weitem nicht selbstverständlich. Ich

kann mich noch genau erinnern, wie ich
nach den illegalen Opcodes im Zilog Z80

Mikroprozessor suchte, den die DDR damals
kopiert hatte. Und da musste ich mich

durch diverse Bücher wälzen, bis ich die
dann gefunden habe. Und das hat eine Weile

gedauert. Heutzutage will man einfach ein
Telefon aus der Hosentasche ziehen und

irgendwie kurz in die Suchmaschine seiner
Wahl benutzen und hätte das Ergebnis in 30

Sekunden. Und trotzdem ist es so dass wir
diese Frage, den Zugang zu Information,

immer noch zum Gegenstand politischen
Aktivismus' machen müssen, weil wir jetzt

das Problem haben, dass Information
entweder mit Daten bezahlt wird, wenn wir

Suchmaschinen wie Google benutzen, oder
für viel Geld gehandelt wird, wenn wir uns

irgendwie diese Wissenschaftsverlage
angucken, die Forschungsergebnisse, die

wir mit unseren Steuergeldern bezahlt
haben, versuchen uns teuer wieder zu

verkaufen. Das heißt dieser Zugang sowohl
zu den Computern als auch zum Wissen über

die Welt ist immer noch ein wichtiges
Thema. Die radikale Formulierung davon

ist: "Alle Informationen müssen frei
sein". Und...

<i>Applaus</i>

Frank: ... Eine Zeitlang, ich weiß nicht,

wer sich noch daran erinnert, auf dem
Chaos Communication Congress wenn wir die

Netzwerk Statistiken gezeigt haben, dann
hatten wir immer so einen schönen Graph,

der zeigte, dass wir mehr ins Netz
hochgeladen haben als aus dem Netz

runtergeladen haben. Das waren gute
Kongresse, wo das so war. Es gibt

natürlich die Kehrseite dabei: alle
Informationen? Alle, wirklich alle

Informationen? Deswegen kam die Regel
dazu, die damals Wau Holland dazu

geschrieben hat: "Öffentliche Daten
nützen, private Daten schützen".

Privatsphäre ist Handlungsfreiheit. Jeder
von uns hat etwas zu verbergen. Das ist

auch gut so, das ist sein gutes Recht.
Niemand ist gezwungen sich zu offenbaren.

Und es ist auch falsch so zu tun, als wäre
es normal, als wäre es vollkommen in

Ordnung, dass man nur wenn man einen neuen
Messenger installiert, sein gesamtes

Telefonbuch hochlädt. Als wäre es total in
Ordnung, Menschen auf Fotos zu taggen, die

davon irgendwie nichts wissen und es
eigentlich auch nicht wollen. So zu tun

als wäre nur weil man selber noch nicht
verstanden hat, dass seine eigenen Daten

möglicherweise einen Wert haben, und zwar
für die eigene persönliche

Handlungsfreiheit, für den eigenen
Spielraum im Leben, als könnte man dieses

Denken auf andere extrapolieren. Diese...
wir erinnern uns, wir reden hier von 1984.

Diese Dualität zu sagen, öffentliche
Daten. Daten, die uns allen nützen.

Wissen, was um uns herum passiert. Wissen,
wie die Verkehrsflüsse sind zum Beispiel.

Wann es möglich ist, zum Beispiel mit der
Bahn zu fahren. Also einfach so simple

Sachen wie Fahrplandaten. Darum schlagen
wir uns immer noch herum. Gibt auch Talks

auf dem Kongress darüber. Das heißt
diese... dieses Thema wird irgendwie nicht

alt. Der Staat und die großen
Konzerne sitzen auf den Daten, auf den

öffentlichen Daten, die uns möglicherweise
ein schöneres Leben eine bessere Zukunft

ermöglichen können. Aber unsere privaten
Daten, wo wir wann gewesen sind, mit wem

wir kommuniziert haben, was wir gerne
haben, wie wir bezahlen, was wir kaufen,

was wir bezahlen, was unsere Suchbegriffe
sind. Diese höchst privaten Daten, die

werden von denen privatisiert und
meistbietend vermarktet. Wir hatten dieses

Jahr eine Reihe von Skandalen, wo es genau
darum ging, dass insbesondere Facebook

aber auch Google und andere Unternehmen in
großem Maße persönliche Daten erhoben und

verhökert haben und damit sogar politische
Manipulationen begangen haben. Und das

zeigt, dass dieses Feld immer noch aktuell
ist. Und wenn man jetzt so schöpferisch

kritisch mit Technologie unterwegs ist,
dann tritt man ziemlich häufig in so einen

Konfliktfall genau an diesem Punkt. Gerade
heute schon wieder in meiner Inbox jemand

der gestolpert ist über eine Datenbank mit
tausenden Daten von Menschen, die höchst

privat sind und jetzt natürlich fragt,
okay, was mache ich denn jetzt? Wie gehe

ich denn jetzt damit um? Soll ich die
veröffentlichen? Soll ich versuchen mit

dem Betreiber dieses Dienstes zu reden?
Soll ich es ignorieren? Soll ich

versuchen, all diesen Menschen eine Mail
zu schreiben und zu sagen: "Hier guck mal,

deine Daten liegen übrigens da offen im
Internet rum" und es sind keine einfachen

Abwägungen. Also man hat eine große Macht,
man kann an so einer Stelle ne Menge Mist

bauen, der das Leben von Menschen stark
negativ beeinträchtigt. Und diese... mit

dieser Verantwortung umzugehen, ist nicht
immer einfach. Wir hatten auf vergangenen

Kongressen mal eine Telefonnummer, die
Hackerethik Hotline, wo wir gesagt haben:

"okay wenn du zufällig im Internet über
Dinge gestolpert bist, wo du dir denkst

naja das könnte möglicherweise jetzt ein
bisschen schwierig werden", ruf uns an.

Und die Fälle, die wir da bekommen haben
drehten sich eigentlich fast immer darum,

dass Daten irgendwie schlecht geschützt
waren, dass auch Daten erhoben wurden, die

nicht erhoben hätten werden sollen und man
befindet sich da natürlich in so einer

gewissen Zwickmühle. Am Ende ist unser Rat
da immer zu sagen: Tu das, was am

wenigsten Schaden macht, aber dafür sorgt
dass dieser Missstand abgestellt wird. Und

ist in der Regel natürlich etwas was
irgendwie mit den... darauf hinausläuft,

mit dem Betreiber dieser Systeme zu reden.
Was wir auch gerne tun. Also wenn ihr in

solch einer Situation seid, kommt zu uns
wir helfen da gerne weiter, weil es ist in

der Regel sehr viel einfacher wenn der
Anruf so geht: "Guten Tag. Frank Rieger,

Chaos Computer Club. Ich hätte gerne mal
den technischen Geschäftsführer

gesprochen." In der Regel werde ich sofort
durchgestellt.

<i>Gelächter</i>
Als wenn sie da versuchen irgendwie...

"Guten Tag, ich bin John Doe Hacker, ich
hab da ihre Daten." Das geht in der Regel

schief. Heise Security macht auch so etwas
ähnliches, die helfen auch in solchen

Fällen. Also wir sind da nicht alleine.
Wir versuchen halt irgendwie, da möglichst

auch Andere, die irgendwie mit solchen
Fällen qualifiziert umgehen können, zu

helfen und voranzubringen. Letzten Endes
geht es darum: haben solche Unternehmen

eigentlich ein Unrechtsbewusstsein? Sind
die willens und in der Lage, da zu handeln

oder ist es denen eigentlich total egal?
Und was wir da häufiger jetzt haben, ist

so eine Art Umarmungsstrategie. "Schön,
dass Sie anrufen. Wir wollen natürlich

sofort gerne alles helfen, aber wir
brauchen leider ein halbes Jahr dafür."

Solche Probleme stellen sich tatsächlich
heutzutage in der Realität, dass versucht

wird, möglichst auf Zeit zu spielen,
möglichst viel Zeit raus zu schinden.

Während dieser Zeit liegen die Daten
häufiger dann immer noch ein halbes Jahr

im Internet, und sowas ist natürlich
inakzeptabel. Das heißt, das Abstellen von

solchen Missständen ist tatsächlich
oberste Priorität. Die Frage, wie wir

dafür sorgen können, dass möglichst viele
öffentliche Daten zur Verfügung stehen,

also die etwas abgemilderte Form von "Alle
Informationen sollen frei sein". Hat

natürlich auch eine Menge mit zivilem
Ungehorsam zu tun. Ein schönes Beispiel,

was wir dieser Tage hatten, war die
Öffentlichmachung alle Gesetzblätter im

Internet. Man denkt sich so Deutschland,
Gesetze, na ja klar sind die im Internet.

Stellt sich raus: die sind bisher...
gehören die dem Bundesanzeiger Verlag,

einer privaten Organisation, die
profitabel betrieben wird von einem

Verlag. Und nachdem dann eine Initiative
die Daten halt einfach mal ins Netz getan

hat und gesagt hat "Entschuldigung wir
sind hier Deutsche, wir müssen doch wohl

unsere Gesetze haben können, ohne dass wir
irgendwie dafür Geld bezahlen, hallo?",

ging es dann plötzlich ganz schnell und
die Justizministerin hat verkündet, dass

die Daten, also diese Gesetze und
Verordnungen demnächst kostenfrei digital

zur Verfügung stehen. Also da sieht man
tatsächlich: es funktioniert.

<i>Applaus</i>
Und diese Aussicht darauf, dass die eigene

Aktivität was zum Besseren verändert, dass
das eigene Handeln nicht bedeutungslos

ist, dass das, was wir tun mit dem was wir
können und wissen einen Unterschied macht.

Darum geht es in der Hackerethik. Es ist
nicht egal, was ihr tut, es ist nicht so

dass da draußen in der Welt sich nichts
verändert, wenn man nicht an der richtigen

Stelle das richtige tut. Ein ganz
wichtiger Punkt, den wir seit Anbeginn des

Chaos Computer Clubs haben, ist: Wir
wollen Hacker und Hackerinnen nicht danach

beurteilen, wie sie aussehen oder wo sie
herkommen oder aus welcher sozialen

Schicht sie kommen oder wie viel Geld sie
haben oder was auch immer. Eigentlich

interessiert nur, was sie können und was
sie wissen, was sie für Energie haben, was

ihr Ziel ist. Und man muss sich immer mal
wieder vergegenwärtigen dass das ein

ziemlich radikaler Anspruch ist. Zu sagen,
wir sind eine Meritokratie. Wir möchten

eigentlich nicht aus irgendeiner anderen
Grundlage über Menschen urteilen als

darüber, was sie tun. Dieser Ansatz ist
natürlich umstritten. Einerseits von den

Konservativen, die sagen "So aber hoher
Status muss doch irgendwie sein Privileg

haben." Andererseits von Leuten die sagen
"Ja ne, Menschen können doch gar nicht so

verschieden sein." Man muss sich wieder
vergegenwärtigen 1984 ist eine Zeit, in

der die Nerds in der Regel in den Klassen
noch im Papierkorb steckten. An denen

Leute die irgendwie besser waren in Mathe
nicht so richtig die populären Kids in der

Schule waren. Als jemand der sich für
Computer interessierte und Netze und all

diese Dinge, war man jetzt nicht so
unbedingt so der Held in der Klasse. Und

der Chaos Computer Club war schon immer
eine Heimat für solche Menschen. Die

meisten von uns sind dahin gekommen genau
weil wir da zum ersten Mal Leute getroffen

haben, die dieselben Interessen hatten,
die genauso weird und verrückt und schräg

waren, wie wir selber. Und das
vorherrschende Gefühl, wenn man auf so

einen Kongress kommt so... ankommt und
denkt so: "Endlich zu Hause. Endlich unter

den Menschen die wissen, dass das was mich
interessiert auch wichtig ist." Und die

genauso daran interessiert sind, was ich
tue, wie interessiert daran bin, was sie

tun. Und diese... diesen Grundsatz, diese
Gleichheit in unserem Tun und unseren

Interessen ist es, was den Kern des Clubs
ausmacht. Wo wir nicht von abweichen

werden. "Misstraue Autoritäten - fördere
Dezentralisierung". Der Chaos Computer

Club ist schon immer eine Organisation
gewesen, wo die Zentrale "Dezentrale"

hieß, aus dem einfachen Grund weil wir
gesagt haben, okay wir wollen eigentlich

nicht so viel Zentralisierung haben. Klar
gibt es Erfakreise, die ein bisschen

wichtiger sind, die ein bisschen aktiver
sind, wo mehr Menschen sind so. Aber es

gibt jetzt nicht das Hauptquartier oder
so. Und wenn man sich diesen Congress

anguckt und wie dieser Congress
organisiert ist, gibt es eine große Menge

von Teams, von Freiwilligen, die hier ihre
Zeit und ihre Energie reinstecken und die

sich eine Aufgabe suchen. Die sich ein
Ziel setzen und sagen, so "Wir wollen

dafür sorgen, dass dieser Teilbereich
bestmöglich erledigt wird. Da stecken wir

unsere Kreativität, unsere Energie, unser
Tun rein." Und genauso funktioniert der

Chaos Computer Club auch insgesamt. Das
heißt, es gibt da nicht irgendwie ein

Organigramm oder irgendwie den großen
Verein der irgendwie schön strukturiert

ist wie eine Pyramide, sondern das ist
halt eher so ein Gewusel. Wir versuchen zu

sagen, so, denk für dich selber, werd
selber aktiv, versuch selber das zu tun

was nötig ist ohne darauf zu warten, dass
dir irgendjemand sagt, wo vorne ist. Die

Strukturen, die wir haben sind ein
bisschen schwierig zu verstehen wenn man

aus so einer... Da gibt's ja so ein Verein
und so ein Verein hat so einen Vorstand

und der Vorstand hat so einen Vorsitzenden
und der Vorsitzende sagt wo's lang geht -

Denke kommt, ist man am Computer Club ein
bisschen falsch. Ist nicht das was wir

tun. Der Chaos Computer Club funktioniert
so, dass wir sagen: Es gibt Gruppen, die

machen Dinge. Und da wird dann schon
irgendwie zusammen wuseln. Wir haben Chaos

auch im Namen stehen, nicht ohne Grund.
Wir haben ja festgestellt über die Zeit

funktioniert mal gut mal weniger gut. Hat
natürlich auch Nachteile. Wir sind nicht

besonders gut daran, zum Beispiel sehr
lange an irgendeinem Thema dranzubleiben.

Es sei denn jemand interessiert sich
dafür. Immer wenn ihr denkt so der Chaos

Computer Club müsste doch jetzt zu diesem
Thema unbedingt mal was sagen und er tut

es nicht, dann kann es entweder zwei
Gründe haben: Entweder es gibt da keine

irgendwie geartete Konsensfindung zu. Wir
sind uns darüber nicht einig. Ein Beispiel

dazu war zum Beispiel Google Streetview.
Oder es interessiert einfach niemanden.

Das kann auch passieren. Die
Möglichkeiten, die wir dadurch haben oder

nicht haben, ergänzen sich mit anderen
NGOs natürlich ganz gut, die halt ein

bisschen mehr Kontinuität da reinbringen,
aber wir denken, dass genau diese

Unabhängigkeit zu sagen "Es gibt eben
keine Zentrale die sagt: Jetzt machen wir

aber das", sondern Themen werden beackert
oder angegangen, wenn Leute Bock drauf

haben. Wenn sie das Gefühl haben ist es
notwendig, wenn es ihnen Spaß macht. Dass

es uns einfach die Möglichkeit gibt,
solche Dinge wie diesen Wahnsinns Kongress

hier zu stemmen. Überlegen wir mal kurz,
17 000 Leute und das Ganze wird von

Freiwilligen gemanaged?
<i>Applaus</i>

F: Autoritäten führen in der Regel dazu,
dass sich Dinge verfestigen, dass es keine

Bewegung gibt, dass Neues es schwieriger
hat. Deswegen versuchen wir das irgendwie

zu vermeiden, wenn es geht. Ja der Teil,
den Carina vorhin so schön mit irgendwie

Black Hat, White Hat, Grauhut oder wie
auch immer beschrieb, den hat Wau damals

als "Mülle nicht in den Daten anderer
Leute" beschrieben.

Ruf aus dem Publikum: Falsch, der ist von
mir!

Frank: Entschuldigung
Rufer: Der ist von Mir!

Frank: OK Tschuldigung, war ich falsch
informiert.

<i>Gelächter</i>
<i>Applaus</i>

Frank: Ihr seht, der Vorteil von
Dezentralität und Misstrauen von

Autoritäten ist, dass manchmal die
Autoritäten im Saal sitzen und einem

korrigieren, finde ich gut. Ja, "Mülle
nicht in den Daten anderer Leute". Die

Frage was passiert wenn man so ein System
gehackt hat und man steht jetzt vor so

einer Datenbank. Oder man hat jetzt
plötzlich die Macht, Dinge zu tun die man

vorher nicht tun konnte, ist natürlich so
alt wie dieser Club. So alt wie die

Fähigkeit, in anderer Leute Systeme
einzudringen und sie zu manipulieren.

Hacking definieren wir als den
schöpferisch kritischen Umgang mit

Technologie. Wir definieren uns nicht als
das Einbrechen in anderer Leute Systeme,

um damit Schindluder zu treiben, wie es im
Rest der Welt so gerne definiert wird. Und

die Frage "Wie geht man in so einem Fall
vor?" ist natürlich nicht ohne weiteres

und nicht ohne... nicht ganz so einfach zu
beantworten. Wir versuchen... in der

Regel, wenn wir mit solchen Fällen
konfrontiert sind, nicht zu sagen "okay,

und dann machst du das oder das oder das
oder das" sondern wir versuchen Fragen zu

stellen. Die wichtigste Frage ist: Und was
passiert dann? Wie geht es denn weiter

danach? Wenn du was auch immer du gerade
vorhast getan hast. Überraschenderweise

stellen sich die meisten Leute diese Frage
nicht. Man denkt erst einmal nur bis zu

dem "Und dann veröffentliche ich die Daten
und schreib' eine Pressemitteilung dazu

und dann wird schon alles gut werden." In
der Regel ist das nicht der Fall. Die

Erfahrung zeigt, meistens geht das Leben
danach weiter und es wird dann halt

schwieriger. Das heißt die Frage "Was
passiert dann?" ist die, die man sich in

solchen Fällen immer mehrfach
hintereinander stellen sollte. Wir haben

diese Verantwortung, die damit kommt dass
man zum Beispiel andere Leute in das Thema

einbringen kann, oder dass man Systeme
manipulieren kann, mittlerweile in

Skalierungsfaktoren, die wir früher für
quasi unmöglich gehalten hatten. Auf dem

letzten Kongress kam jemand zu mir. Die
hatten einen Botnet gebaut, eigentlich

mehr so aus Versehen. Die hatten... ja
tatsächlich! Es lief halt so, die hatten

halt einen Fehler in einem beliebten IoT-
Gerät gefunden und haben dann halt einen

Bot dafür gebaut, der sich halt so ein
bisschen verbreitete. Und dann dachten

sie, ach naja, es wäre doch eigentlich
ganz schön, wenn der auch noch gucken

könnte, ob andere Geräte in demselben
Netzwerk auch dieselbe Schwachstelle haben

und sich dann da auch installiert. Und der
Bot hat nichts weiter getan, der hat halt

nur sich installiert, also hat kein DDoS
gemacht oder irgendwas. So einfach nur...

hat sich einfach nur propagiert. Und nach
Hause telefoniert und gesagt "Hier bin

ich". Und... naja dann saßen die halt so
auf einer niedrigen sechsstelligen Anzahl

von IoT-Geräten und dachten sich so: "Hm,
und nu? Was machen wir denn jetzt?" Und

oft genug gibts dann halt so
Komplikationen. Man wird jetzt sagen so In

einer idealen Welt, Hollywood-Szenario,
würde man sagen "Na ja, dann benutzt du

diesen Bot halt, um irgendwie diese Lücke
zu schließen und sich danach selber zu

löschen und wenn du damit fertig bist dann
sagen wir dem Hersteller Bescheid." Stellt

sich raus: dat geht nicht schadensfrei.
Also ein Teil der Fälle wäre es dazu -

bei bestimmten Firmware-Versionen oder
Hardware-Versionen - wäre es dazu

gekommen, dass es da halt dann zu einem
Geräteverlust gekommen wäre. Was jetzt

nicht so unbedingt das Tollste ist. Auf
der anderen Seite kann man jetzt sagen:

"Aaja, wäre jetzt andererseits auch denkbar,
dass irgendjemand anders dieselbe Lücke

findet und da halt ein DDoS Netzwerk
daraus baut. Was machen wir jetzt?" Am

Ende hat sich die Sache relativ einfach
geklärt, weil die Lücke dem Hersteller

offensichtlich auch irgendwie aufgefallen
ist, und der dann halt mit der nächsten

Firmware-Version von sich aus einen Patch
nachgeschoben hat. Deswegen ist die Sache

nicht öffentlich geworden und es gibt
immer noch ein paar Tausend Geräte da

draußen, die angreifbar sind, aber nicht
mehr in der Dimension. Aber es war

ganz interessant genau dieses Mal zu
durchdenken, weil in der Regel haben wir

jetzt wirklich das Problem, wenn wir eine
Sicherheitslücke haben, dass wir nicht

mehr davon reden, dass man mal einen
Server aufmacht. Wir können mittlerweile

mit den Bandbreiten, die wir haben das
vollständige Internet enumerieren. Wir

können alle Server im Internet finden, die
eine bestimmte Lücke haben. Es gibt

genügend Suchmaschinen, mit denen man,
wenn man die Muster nach denen man fragt

für eine Sicherheitslücke entsprechend gut
aufbaut, wirklich fast alle Maschinen im

Internet findet, oder alle IoT-Geräte
findet, die diese Lücke aufweisen. Das

heißt, auf einer Sicherheitslücke zu
sitzen, die plötzlich Zehntausende,

Hunderttausende oder gar Millionen Geräte
betrifft, ist nicht unwahrscheinlich. Es

ist nicht so, dass einem das nicht
passieren kann. Manchmal guckt man auch

lieber gar nicht nach, gibt es auch. Also
ich kenne Leute, die sagen: "Okay ich habe

hier eine Lücke gefunden, ich geb die mal
lieber nicht in so eine Suchmaschine ein,

weil ich will es eigentlich gar nicht
wissen." Kann man machen, ist aber

eigentlich verantwortungslos, weil man
dann nicht dafür sorgt, dass das Problem

aus der Welt geht. Wir reden jetzt bisher
immer davon, Systeme aufzumachen und

Sicherheitslücken zu finden. Viele von uns
sind aber auch damit beschäftigt, Systeme

zu bauen. Also dafür zu sorgen, dass
wir... unsere Computer funktionieren, dass

Datenbanken funktionieren und so weiter
und so fort. Neben der offensichtlichen

Verantwortung, dafür zu sorgen dass die
Systeme halbwegs sicher sind, soweit es

halt eben die Technologie erlaubt, gibt es
auch eine andere Verantwortung. Und das

ist die Verantwortung dafür, was die
Systeme tun. Und wir haben genau dieses

Skalierungsproblem auch auf der anderen
Seite. Wenn wir heute ein System bauen,

nehmen wir mal, ganz harmlos, ein
Datingportal, dann fallen in diesem

Datingportal tonnenweise Daten an, höchst
sensible Daten. Will man es? Will man,

dass diese Daten so gespeichert sind, dass
sie irgendwann mal jemand, der über eine

Sicherheitslücke stolpert, zum Opfer
fallen und der die möglicherweise

kriminell verwendet oder für Erpressung
verwendet? Will man Systeme bauen, die ein

hohes Schadenspotenzial haben? Oder will
man seine Energie vielleicht lieber darauf

verwenden, Systeme zu bauen, die das 
Leben besser machen, in dem z. B. Daten

ordnungsgemäß verschlüsselt sind, in dem
die Daten vielleicht gar nicht erst

erhoben werden, in dem dafür gesorgt wird,
dass die Menschen, die diese Systeme

verwenden, nicht im Unklaren darüber
gelassen werden, was mit ihren Daten

eigentlich passiert. Und immer wenn ich so
gucke - es gibt so jedes Jahr so eine

Landkarte der Firmen, die in der
Werbeindustrie tätig sind. Das sind

Tausende. Firmen, die nichts weiter tun
als dafür sorgen, dass wenn man auf eine

Webseite geht, die Daten aus den Cookies
und aus sonstigen Identifikationsmerkmalen

möglichst schnell weitergeleitet werden
und Leute darauf bieten können, welche

Werbung sie einem jetzt irgendwie
reinspielen. Und ich denke mir immer so:

da müssen Leute sitzen, die programmieren
den Scheiß. Da müssen Leute sitzen, die

ihren Tag damit verbringen, dafür zu
sorgen, dass die Bilder von dramatisch

ausgeleuchteten Zahnpastatuben schneller
bei mir im Browser landen und die wissen,

dass ich lieber Pfefferminz Zahnpasta mag,
als welche mit Himbeergeschmack. Ist das

ein Lebenszweck? Fühlt man sich 
dabei irgendwie gut?

Arbeitet hier jemand in so einer Branche? 
<i>Gelächter</i>

Nein. Kennt jemand jemanden,
der in so einer Branche arbeitet?

<i> Gelächter </i>

Geht's denen gut irgendwie? Und ich denke,
dass wir... dass Hackerethik auch bedeutet,

sich zu überlegen, was man mit seiner
Lebenszeit anfängt. Wofür man seine Zeit

verwendet, was die Dinge sind, die man
hinterlässt oder die Bewegung, die man in

Gang setzt, die Trends die man schafft.
Und ich glaube, da sollte man ein bisschen

länger drüber nachdenken. Ich verurteile
niemanden, der in so einer Branche

arbeitet. Wir müssen alle irgendwie unsere
Miete bezahlen, aber möglicherweise kann

man seine Talente auch anders verwenden,
da wo sie tatsächlich einen positiven

Unterschied machen. Viele von uns tun das
hier. Ich kenne auch etliche, die sagen:

"Okay, ich arbeite in so einer eher etwas
schattigen Branche, wo es nicht so schön

ist, aber dafür habe ich irgendwie mehr
Freizeit, die ich halt in gute Dinge tun

kann." Ist auch ein Tradeoff, der aus
meiner Sicht jetzt nicht völlig falsch

ist, aber darüber nachzudenken, das eigene
Handeln zu reflektieren, infrage zu

stellen, zu gucken, ob das was man da
gerade macht, noch das ist, was man

eigentlich tun sollte und wollte, ob die
Ideale mit denen man mal angefangen hat

noch irgendwas damit zu tun haben, ist auf
jeden Fall gelegentlich ein ganz guter...

ganz gute Übung.
<i>Applaus</i>

Wenn man, egal ob man in Systeme eindringt
oder über Sicherheitslücken stolpert oder

Systeme baut... eine gute Frage ist:
"Heiligt hier eigentlich gerade der Zweck

die Mittel?" Oder konkreter: "Was wäre,
wenn das, was du da gerade tust, dir jemand

zufügen würde, wenn du davon betroffen
wärst, wär's dann immer noch okay?

Würdest du denken, okay, unter den und den
Voraussetzungen ist es eine legitime

Handlung, ist es ein Vorgehen, was du
irgendwie gutheißen würdest, auch wenn du

selber betroffen wärst?" Und kann man
natürlich irgendwie sich schönreden oder

so. Aber einer dieser Fälle ist halt: was
passiert eigentlich, wenn man Technologie

verwendet gegen echte oder 
wahrgenommene politische Gegner und

sie damit quasi legitimiert. Was passiert 
denn, wenn das selbe mit deinen Freunden

passiert? Bist du dann immer noch der 
Meinung, dass das eine coole Sache war?

Die Antwort darauf kann "ja" sein. Also es 
kann sein, dass man sagt: "Okay, es ist

vollkommen in Ordnung" oder man kann 
sagen: "Naja vielleicht hätte man dann

doch nochmal einen Moment länger 
drüber nachdenken sollen."

Eine Variante davon ist: "Schießen wir 
gerade mit Kanonen auf Spatzen?"

Wir haben häufiger mal so Fälle, 
wo Menschen kommen und sagen so:

"Hier, ich hab hier diesen Online-Shop 
aufgemacht und da war das PHP ein

bisschen älter und hab da irgendwie 
2600 Leute gefunden, die Lebkuchen gekauft

haben. Na ja gut okay man muss halt etwas
damit tun. Wenn das nun der erste Online-

Shop ist den, der oder diejenige gerade
aufgemacht hat, dann ist natürlich der

Puls noch ein bisschen höher und irgendwie
die Aufregung groß. Aber gut, dann muss

man halt sagen okay, ja dann reden wir
halt mit dem Anbieter, helfen ihm sein PHP

upzudaten, sorgen dafür, dass die Daten
nicht ins Netz gehen und kriegen

vielleicht noch eine Packung Lebkuchen
geschenkt, wenn alles gut gegangen ist. Da

müssen wir jetzt kein großes Fass draus
machen. Also wir müssen jetzt nicht

irgendwie da eine Pressemitteilung draus
machen, dass irgendwie... keine Ahnung...

lebkuchen24.now (fiktive adresse) seine
Daten im Netz hatte. Also wir machen nicht

aus allem was uns was zu uns kommt
irgendwie tatsächlich eine

Pressemitteilung, sondern nur dann wenn es
darum geht, dass entweder wirklich mit

sehr sensitiven Daten hochgradig schlampig
umgegangen wird und auch sagen wir mal

die Betreiber von solchen Systemen dann 
auch so eine gewisse Beratungsresistenz

zeigen, dann kann es halt schon passieren, 
dass es dann auch eine Pressemitteilung

wird. Aber in der Regel versuchen wir, 
möglichst die Sachen zu erledigen, ohne

dass da jemand zu Schaden kommt 
und niemand dabei heult.

Einer der schönsten Teile 
der Hackerethik ist:

man kann mit einem Computer Kunst und
Schönheit schaffen. Und für uns ist es

vielleicht mittlerweile
selbstverständlich, weil die meiste Kunst

die wir kennen kommt aus dem Computer,
wenn man zum Beispiel Filme anguckt.

Schönheit kann man vielleicht drüber
reden, aber wenn wir runtergehen in die

Assemblies und das Hackcenter und gucken,
was die Leute so machen mit ihren

Computern und wie schön es ist und wie
viel Ästhetik und wie viel Charme da drin

steckt, ist eigentlich vollkommen klar,
dass es selbstverständlich geworden ist.

Und das Interessante daran ist: damals war
das nicht so. Damals waren Computer diese

Dinger die halt irgendwie an Text
Terminals hingen und wenn man sie echt

gequält hat und wirklich viel Zeit hatte
und vielleicht sogar schon eine

Grafikkarte hatte, konnte man vielleicht
mal so etwas wie irgendwie eine Mandelbrot

Grafik rendern, die sehr schön war,
dauerte halt nur sehr lange. Und wenn man

Glück hatte, konnte man sie auf seinem
neuen Nadeldrucker auch noch ausdrucken

und an die Wand hängen. Ja, das ist so
'84, wir müssen davon zurückgehen.

Trotzdem, es ist tatsächlich eines der
Dinge, die mich immer wieder angenehm

berührt, dass Menschen immer noch daran
denken, dass man mit Computern auch

wirklich Kunst und Schönheit schaffen
kann. Der letzte Punkt ist einer der

kontroversesten. Wenn man aus der IT-
Security kommt. Da stellt sich dann so

Montagmorgen beim News lesen häufiger
schon mal so dieses: "Will ich nicht

vielleicht doch lieber irgendwas mit Holz
oder Metall machen oder Schafe züchten

oder Orchideen oder Rosen oder so?" Und
man kann ja schon so ein bisschen zynisch

werden. Gerade so IT-Security ist ja so
ein Feld, wo man so dem... immer das Gefühl

hat wird halt nicht besser außer man
kümmert sich selber drum. Aber wir sollten

nicht so zynisch sein. Tatsächlich ist es
so, dass Computer für viele Menschen das

Leben wirklich sehr viel besser gemacht
haben. Ich habe mit vielen Menschen

kommuniziert auf dem Congress hier und im
Vorfeld und mir einfach erzählen lassen,

wie Computer ihr Leben besser gemacht
haben. Und da sind Menschen dabei, die

können nicht sehen, die hören schlecht,
die haben Orientierungsprobleme, die sind

schon ein bisschen älter. Und für diese
Menschen sind computergestützte Systeme

um ihren Alltag besser zu bewältigen
essenziell und lebenswichtig. Die haben

ihr Leben wirklich besser gemacht. Die
meisten von uns wüssten gar nicht mehr,

wie sie ihr Leben ohne Computer wirklich
bewältigen sollten. Wir wissen nicht mehr

so richtig wie es geht ohne Computer uns
Informationen zu beschaffen. Ich weiß

nicht: Wer war irgendwie in den letzten
vier Wochen in einer Bibliothek? Wer kennt

jemand, der in der Bibliothek war? Okay,
immerhin ein paar. Wir sind nach der

Zombie-Apokalypse nicht vollständig
verloren. Merkt euch die Hände.

<i>Gelächter</i>
Ja, aber die Realität ist nicht nur

Informationsbeschaffung, sondern auch
Kommunikation, alle Dinge, bei denen wir

uns orientieren, sowas wie digitale
Landkarten, sowas wie die Wikipedia in der

Hosentasche. Sowas wie digitale Bücher,
die es möglich machen in Urlaub zu fahren

ohne dass man einen zweiten Rucksack
braucht. Diese Dinge haben wir alle mit

Computern gebaut und dafür zu sorgen, dass
es so bleibt, dass wir die positiven

Aspekte davon weiter haben und weiter
ausbauen können. Die negativen Aspekte,

all die ganzen Probleme, die wir gerade
haben mit irgendwie schon schwindenden

Aufmerksamkeitsspannen. Mit dem Hass in
den sozialen Medien, mit der Spaltung der

Gesellschaft in Segmente, die nicht mehr
miteinander reden können, weil sie nicht

einmal dieselbe Faktenbasis haben, sollten
uns nicht davon ablenken, dass wir eine

Menge sehr positive Sachen haben und wir
vielleicht bestimmte Sachen einfach

abschalten sollten. Ich meine, niemand
stirbt, wenn Facebook morgen abgeschaltet

wird.
<i>Applaus</i>

Aber wir sollten nicht den Fehler begehen,
zu sagen: "Ach diese Computer, sind doch

alle doof!" Wie gesagt, wenn man ein IT-
Security arbeitet: so ein Hobby mit Holz

ist eine gute Sache. Kann ich sehr
empfehlen. Auch Löten ist ganz gut. Aber

im Prinzip hat dieser Satz immer noch
seine Gültigkeit. In diesem Sinne vielen

Dank für's Zuhören und viel Spaß am Gerät.
<i>Applaus</i>

<i>35c3 Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!