1
00:00:00,000 --> 00:00:06,095
<i>RC3 2021-Vorspannmusik</i>

2
00:00:07,126 --> 00:00:12,190
Herald: Hello and welcome back to the
xHain stage. The following talk will be

3
00:00:12,190 --> 00:00:16,180
held in German but there will be a live
translation which you can switch to now.

4
00:00:16,180 --> 00:00:20,590
So, jetzt also weiter auf Deutsch:
Willkommen zurück auf der Lichtung der

5
00:00:20,590 --> 00:00:25,570
Stage hier vom xHain. Ich bin euer Herald
Karl. Aber ich habe heute eine etwas

6
00:00:25,570 --> 00:00:30,836
komische Doppelrolle, denn der folgende
Talk, da bin ich auch Speaker. Deswegen

7
00:00:30,836 --> 00:00:34,595
mache ich jetzt erstmal vor allem den
organisatorischen Teil. Ihr könnt Fragen

8
00:00:34,595 --> 00:00:39,640
zu dem folgenden Talk stellen auf Twitter
und Mastodon unter dem Hashtag #rc3xhain

9
00:00:39,640 --> 00:00:46,730
oder auf hackint im IRC im Channel
#rc3-xhain. Ja, jetzt switche

10
00:00:46,730 --> 00:00:49,903
ich in meiner Rolle als Karl von
zerforschung und Lilith, was ist

11
00:00:49,903 --> 00:00:51,218
eigentlich zerforschung?

12
00:00:51,218 --> 00:00:55,350
Lilith: Genau, also zerforschung, wir sind
ein Kollektiv von einer Menge jungen

13
00:00:55,350 --> 00:00:59,899
Menschen. Weniger als 10 momentan. So
genau ist das nunmal schwer zu definieren.

14
00:00:59,899 --> 00:01:04,970
Und wir haben uns im letzten Jahr
irgendwie so zusammengefunden, verteilt

15
00:01:04,970 --> 00:01:09,380
über ganz Deutschland. Miteinander
kommunizierend über Signal und

16
00:01:09,380 --> 00:01:13,305
BigBlueButton und ja, wir haben irgendwann
angefangen aus Interesse uns Technik

17
00:01:13,305 --> 00:01:17,403
anzuschauen. Und seit wir damit angefangen
haben oder innerhalb des letzten Jahres

18
00:01:17,403 --> 00:01:20,609
vor allem, sind wir dann von
Sicherheitslücke zu Sicherheitslücke

19
00:01:20,609 --> 00:01:24,660
gestolpert und heute in dem Talk wollen
wir uns damit beschäftigen, was wir gerne

20
00:01:24,660 --> 00:01:28,080
vor einem Jahr gewusst hätten, bevor uns
das alles passiert ist.

21
00:01:28,080 --> 00:01:34,229
Linus: <i>lacht</i> Das habe ich euch vor einem
Jahr schon gesagt. - Achso, soll ich was

22
00:01:34,229 --> 00:01:39,150
sagen? Ja, ich bin Linus vom Chaos
Computer Club. Der Chaos Computer Club ist

23
00:01:39,150 --> 00:01:44,729
eine Vereinigung von Hackerinnen und
Hackern, eine der größten Vereinigungen,

24
00:01:44,729 --> 00:01:49,710
wenn nicht die größte Europas. Potenziell
haben einige von euch auch schon mal davon

25
00:01:49,710 --> 00:01:57,500
gehört. Wir machen Schwachstellensuche und
Schwachstellenmeldung schon etwas länger

26
00:01:57,500 --> 00:02:05,130
als ein Jahr und ich habe der zerforschung
anfangs ein bisschen mit Rat und Tat zur

27
00:02:05,130 --> 00:02:11,580
Seite gestanden. Und in diesem Vortrag
wollen wir nicht nur das besprechen, was

28
00:02:11,580 --> 00:02:15,680
die zerforschung euch mitteilen möchte,
darüber, wie man meldet, sondern auch so

29
00:02:15,680 --> 00:02:20,190
ein bisschen, wie man auf eine Meldung
reagiert. Denn wenn ich eine Sache auf

30
00:02:20,190 --> 00:02:24,690
jeden Fall beobachtet habe, ist es so: Ich
hatte zwischenzeitlich den Eindruck, dass

31
00:02:24,690 --> 00:02:28,790
die Unternehmen oder die Betroffenen
besser reagieren und in diesem Jahr haben

32
00:02:28,790 --> 00:02:34,360
sie teilweise so besonders ungünstig und
doof reagiert und das wollen wir in diesem

33
00:02:34,360 --> 00:02:39,810
Vortrag auch ein bisschen berühren.
Karl: In dem gesamten Vortrag werden wir

34
00:02:39,810 --> 00:02:44,590
immer wieder Verweise auf allerlei Paper
oder andere interessante Informationen

35
00:02:44,590 --> 00:02:49,630
machen. Dazu haben wir eine Linkliste,
eine Shownote zusammengestellt, die findet

36
00:02:49,630 --> 00:02:54,551
ihr unter https://rc3.zerforschung.org und
da wird dann nach dem Vortrag auch ein

37
00:02:54,551 --> 00:02:59,820
vollständiges Skript erscheinen, falls ihr
das Ganze nochmal nachlesen wollt. So,

38
00:02:59,820 --> 00:03:03,550
dann will ich uns aber nicht länger
aufhalten. Eine Warnung noch: Der

39
00:03:03,550 --> 00:03:11,880
nachfolgende Film wird ermöglicht durch
Cringe-Platzierung und damit MAZ ab!

40
00:03:11,880 --> 00:03:22,931
<i>Tastaturgeräusche</i>
<i>Lachen</i>

41
00:03:22,931 --> 00:03:33,400
Lilith: Oh wow, das sind einfach alle
Daten von der Chaos Cat Community. Oh

42
00:03:33,400 --> 00:03:38,510
Linus ist auch in den Daten. Hey Karl,
soll ich das vertwittern?

43
00:03:38,510 --> 00:03:42,780
Karl: Hä?
Lilith: Äh, äh, soll ich das vertwittern?

44
00:03:42,780 --> 00:03:49,610
Mit der Chaos Cat Community? Ok, dann
mache ich das.

45
00:03:49,610 --> 00:03:56,860
<i>Lachen</i>
Ich tagge mal noch in den Linuzifer. Hey

46
00:03:56,860 --> 00:04:02,599
Linuzifer, schau mal deine Daten. Hat er
doch gesagt,

47
00:04:02,599 --> 00:04:06,352
Sicherheitslücken vertwittern.

48
00:04:10,800 --> 00:04:18,291
<i>Klopfen</i> Aufmachen, Polizei!
Karl: Stopp, so nicht! Das, was wir jetzt

49
00:04:18,291 --> 00:04:22,033
gesehen haben, das war Full Disclosure.
Das bedeutet, dass jemand eine

50
00:04:22,033 --> 00:04:25,716
Sicherheitslücke findet und diese dann
einfach vollständig veröffentlicht. Das

51
00:04:25,716 --> 00:04:28,955
kann euch in richtig krasse
Schwierigkeiten bringen und ist vor allem

52
00:04:28,955 --> 00:04:32,740
gefährlich für die Menschen, deren Daten
dadurch öffentlich werden. Und das ist

53
00:04:32,740 --> 00:04:36,032
auch einfach nicht cool. Es hat schon
einen Grund, warum es in der

54
00:04:36,032 --> 00:04:39,979
Hacker*innenethik heißt: Öffentliche Daten
nützen, private Daten schützen. Und um

55
00:04:39,979 --> 00:04:44,010
diesen zweiten Punkt geht es uns heute,
denn wir beschäftigen uns mit Responsible

56
00:04:44,010 --> 00:04:47,740
Disclosure. Also das ist ein Prozess, wie
ihr einem Softwarehersteller Bescheid

57
00:04:47,740 --> 00:04:52,140
sagt, dass ihr dort eine Sicherheitslücke
gefunden hat. Es spricht nichts dagegen,

58
00:04:52,140 --> 00:04:56,650
die Lücke hinterher trotzdem zu
veröffentlichen, aber halt erst hinterher,

59
00:04:56,650 --> 00:05:00,846
wenn der Hersteller sie geschlossen hat
und alle Risiken behoben sind. Und wie man

60
00:05:00,846 --> 00:05:04,538
das richtig macht, das schauen wir jetzt.
Lilith: Nicht alles, was im Internet

61
00:05:04,538 --> 00:05:09,090
kaputt ist, ist auch direkt ein Datenleck.
Trotzdem wollen wir uns heute wirklich nur

62
00:05:09,090 --> 00:05:13,310
um die kümmern. Also genau diese eine Art
von Sicherheitslücke, wo es Datenabflüsse

63
00:05:13,310 --> 00:05:18,100
in Onlinediensten gibt. Wir fokussieren
uns heute auf Dienste, Apps und Webseiten,

64
00:05:18,100 --> 00:05:21,578
die auch nur von einem Hersteller
betrieben werden. Also wir meinen damit

65
00:05:21,578 --> 00:05:25,341
keine Standardsoftware wie etwa ein
WordPress oder ein Moodle, die jeder auf

66
00:05:25,341 --> 00:05:29,310
seinen eigenen Servern installieren kann.
Wenn wir z. B. bei einer Lernkarten-App

67
00:05:29,310 --> 00:05:33,270
herausfindet, wie ihr die Namen aller
Nutzer*innen abrufen könnt, dann ist der

68
00:05:33,270 --> 00:05:37,645
Talk hier genau richtig für euch. Wenn ihr
das nächste log4shell oder Heartbleed

69
00:05:37,645 --> 00:05:41,459
findet, dann müsst ihr ein paar Sachen
komplett anders machen, als wir das hier

70
00:05:41,459 --> 00:05:45,270
heute erklären. Das wäre aber für diesen
Talk auch einfach ein bisschen zu viel.

71
00:05:45,270 --> 00:05:48,672
Aber da könnt ihr euch dann an Linus
wenden, der kann euch da bestimmt

72
00:05:48,672 --> 00:05:51,695
weiterhelfen.
Linus: Ja, das kann ich machen. Schreibt

73
00:05:51,695 --> 00:05:55,230
ihr einfach an disclosure@ccc.de.
Lilith: Super, da kann euch Linus

74
00:05:55,230 --> 00:05:58,271
weiterhelfen!
Linus: Dat habe ich doch gerade gesagt!

75
00:05:58,271 --> 00:06:04,040
Lilith: Ganz genau. Also, wieder zurück zu
unserem Thema, die Datenlücken. Bevor ihr

76
00:06:04,040 --> 00:06:07,860
in irgendeine Richtung losrennt, wäre es
gut, wenn ihr euch zu aller, aller erst

77
00:06:07,860 --> 00:06:12,630
überlegt, wie schlimm ist diese Lücke
eigentlich? Davon hängt dann nämlich ab,

78
00:06:12,630 --> 00:06:17,830
was ihr tun solltet und wie schnell. Es
ist total klar, jede Sicherheitslücke muss

79
00:06:17,830 --> 00:06:22,244
gemeldet werden. Aber genauso ist auch
klar: Nicht jede Sicherheitslücke ist

80
00:06:22,244 --> 00:06:26,093
gleich schlimm. Wir schauen uns das mal
an, wie man eine Sicherheitslücke ein

81
00:06:26,093 --> 00:06:30,107
bisschen besser einschätzen kann. Dabei
geht es vor allem darum, was für eine Art

82
00:06:30,107 --> 00:06:33,669
von Lücke das ist, wie viele Menschen
betroffen sind und um welche Daten es

83
00:06:33,669 --> 00:06:39,330
genau geht. Zuerst: Was für eine Art von
Lücke ist es? Könnt ihr die Daten lesen,

84
00:06:39,330 --> 00:06:43,300
verändern oder sogar löschen? In unserem
Beispiel vom Anfang, da ging nur das

85
00:06:43,300 --> 00:06:47,380
erste. Das ist aber auch schon schlimm
genug, denn wir können eine Liste aller

86
00:06:47,380 --> 00:06:51,300
Namen, Adressen und keine Ahnung, was das
noch für Daten waren, 'runterladen. Wir

87
00:06:51,300 --> 00:06:55,870
können die Liste aber nicht verändern und
z. B. nicht allen den Vornamen Karl geben.

88
00:06:55,870 --> 00:06:59,720
Außerdem können wir die Liste nicht
löschen. Auch das ist wichtig, denn zur

89
00:06:59,720 --> 00:07:03,870
Sicherheit gehört eben auch, dass Daten
nicht einfach verschwinden können. Wenn es

90
00:07:03,870 --> 00:07:08,360
um persönliche Daten geht, dann sind die
letzten beiden Punkte Verändern und

91
00:07:08,360 --> 00:07:12,920
Löschen der Daten auch echt ungünstig.
Aber es ist eigentlich schon schlimm

92
00:07:12,920 --> 00:07:16,940
genug, wenn die Vertraulichkeit von Daten
verloren geht. Wenn also Menschen

93
00:07:16,940 --> 00:07:20,771
Einblicke in Daten haben, die da absolut
nichts verloren haben. Oder anders

94
00:07:20,771 --> 00:07:25,370
formuliert Datenlecks. Davon gab es in
diesem Jahr echt schon genug Fälle. Wir

95
00:07:25,370 --> 00:07:29,370
haben z. B. bei vielen Corona-
Testszentren, in einigen Audio-

96
00:07:29,370 --> 00:07:33,830
Chatdiensten und sogar in einigen Schul-
Apps Sicherheitslücken gefunden. Und

97
00:07:33,830 --> 00:07:37,669
überall konnten wir auch die Daten von
vielen, vielen tausend Leuten zugreifen.

98
00:07:37,669 --> 00:07:42,500
Karl: Mal ein Beispiel: Vor einiger Zeit
haben wir eine Sicherheitslücke bei einem

99
00:07:42,500 --> 00:07:46,431
Testzentren-Anbieter namens Schnelltest
Berlin veröffentlicht. Die hatten sich so

100
00:07:46,431 --> 00:07:50,335
ein tolles System gebaut, bei dem man sich
online für sein Schnelltest registrieren

101
00:07:50,335 --> 00:07:54,191
konnte und dort dann auch das Testergebnis
bekam. Wir haben uns dort testen lassen

102
00:07:54,191 --> 00:07:57,979
und danach mal genauer geschaut, wie das
System eigentlich funktioniert. Dabei

103
00:07:57,979 --> 00:08:01,663
haben wir eine Schnittstelle gefunden,
über die eine Liste aller im System

104
00:08:01,663 --> 00:08:05,520
registrierten Personen abgerufen werden
konnte und über eine weitere Schnittstelle

105
00:08:05,520 --> 00:08:11,490
sogar deren Testergebnis. Das waren
insgesamt fast 700.000 Tests mit allen

106
00:08:11,490 --> 00:08:16,000
Daten: Name, Adresse, Email-Adresse,
Telefonnummer, Perso-Nummer und sogar das

107
00:08:16,000 --> 00:08:21,289
Testergebnis. 400.000 Personen waren
betroffen. Doch in diesem Fall kam es noch

108
00:08:21,289 --> 00:08:26,710
schlimmer. Wir konnten nicht nur alle
Tests aus dem System lesen, sondern selber

109
00:08:26,710 --> 00:08:31,070
auch neue anlegen und deren Ergebnis
speichern. Wir konnten also für beliebige

110
00:08:31,070 --> 00:08:35,310
Personen eintragen, sie hätten einen
negativen PCR-Test gemacht, ohne dass sie

111
00:08:35,310 --> 00:08:39,240
je ein Testzentrum von innen gesehen
hätten. Wir haben das mal versucht. Für

112
00:08:39,240 --> 00:08:45,709
Robert Koch, geboren 1843. Gut, dass der
Test negativ war. Mit 178 Jahren wäre so

113
00:08:45,709 --> 00:08:49,579
eine Corona-Infektion sicher voll
gefährlich. Damit konnten wir also fremde

114
00:08:49,579 --> 00:08:53,490
Daten lesen und neue Daten ins System
schreiben. Und ihr ahnt es schon. Wir

115
00:08:53,490 --> 00:08:57,808
konnten auch Daten aus dem System löschen.
Eine Katastrophe aus Sicht der IT-

116
00:08:57,808 --> 00:09:02,023
Sicherheit und der Gesundheit. Wenn ihr
nun wisst, was ihr mit den Daten machen

117
00:09:02,023 --> 00:09:05,543
könnt, geht es weiter mit der
Einschätzung, wie viele Personen betroffen

118
00:09:05,543 --> 00:09:09,300
sind und welche Daten dieser Person mehr
oder weniger frei rumfliegen. Denn

119
00:09:09,300 --> 00:09:13,093
offensichtlich ist eine Lücke mit vielen
Betroffenen schlimmer, als eine mit

120
00:09:13,093 --> 00:09:17,163
wenigen. Wenn also eine große Anzahl
Menschen betroffen ist, sind wir schon bei

121
00:09:17,163 --> 00:09:20,860
Alarmstufe Dunkelrot. Aber so ganz
pauschal kann man das auch nicht sagen.

122
00:09:20,860 --> 00:09:25,040
Denn wenn es um höchst private Daten geht,
dann sind auch wenige Betroffene schon

123
00:09:25,040 --> 00:09:30,189
eine sehr große Sicherheitslücke. Ein paar
Beispiele für solche Daten stehen schon in

124
00:09:30,189 --> 00:09:35,279
der Datenschutzgrundverordnung in Artikel
9, also z. B. Gesundheitsdaten wie Corona-

125
00:09:35,279 --> 00:09:39,370
Testergebnisse, Daten zur sexuellen
Orientierung, zur weltanschaulichen

126
00:09:39,370 --> 00:09:42,360
Überzeugung, zur
Gewerkschaftszugehörigkeit und noch ein

127
00:09:42,360 --> 00:09:46,709
paar mehr. Wenn es also auch noch
besonders sensible Daten sind, dann sind

128
00:09:46,709 --> 00:09:50,730
wir bei Alarmstufe dunkel-dunkel-
dunkelrot. Und das ist der Punkt, wo wir

129
00:09:50,730 --> 00:09:54,781
allerspätestens anfangen sollen, alles was
wir herausgefunden haben, aufzuschreiben.

130
00:09:54,781 --> 00:10:01,410
So: Es war einmal in einer Software vor
langer Zeit ...

131
00:10:01,410 --> 00:10:06,069
Lilith: Moment Karl. Ein Report, das ist
doch kein Roman. Also noch mal einen

132
00:10:06,069 --> 00:10:09,998
Schritt zurück. Nehmen wir an, wir haben
eine relevante Sicherheitslücke gefunden

133
00:10:09,998 --> 00:10:13,879
und wissen durch die Kriterien von eben,
wie schlimm sie ist. Und jetzt wollen wir

134
00:10:13,879 --> 00:10:17,910
uns an das Responsible Disclosure-
Verfahren wagen und die Sicherheitslücke

135
00:10:17,910 --> 00:10:22,579
melden. Um ehrlich zu sein: Das ist uns
jetzt schon sehr oft passiert. Aber eine

136
00:10:22,579 --> 00:10:26,809
ordentliche Portion Adrenalin, die haben
wir dabei immer noch im Blut. Ist ja auch

137
00:10:26,809 --> 00:10:30,470
völlig normal. Da hat man
höchstwahrscheinlich gerade Daten anderer

138
00:10:30,470 --> 00:10:34,464
Leute gesehen, die man nicht hätte sehen
sollen. Da geht der Puls halt schon mal

139
00:10:34,464 --> 00:10:39,079
hoch. Deshalb ist das Allerwichtigste in
so einer Situation: Erstmal Ruhe bewahren,

140
00:10:39,079 --> 00:10:42,999
noch mal nachschauen, habe ich da gerade
wirklich diese Sicherheitslücke gefunden

141
00:10:42,999 --> 00:10:46,978
und habe da wirklich diese Daten anderer
Leute gesehen, die ich nicht hätte sehen

142
00:10:46,978 --> 00:10:51,499
sollen? Ich weiß. Guckt einfach noch mal
nach. Das klingt immer einfacher als es

143
00:10:51,499 --> 00:10:55,990
ist. Ganz wichtig ist dabei immer: Müllt
nie in den Daten anderer Leute. Ich meine,

144
00:10:55,990 --> 00:11:00,139
das steht schon in der Hacker*innenethik.
Legt euch also, wenn immer es geht, einen

145
00:11:00,139 --> 00:11:04,550
zweiten Account an oder fragt Freundinnen,
ob ihr deren Account benutzen könnt. Wenn

146
00:11:04,550 --> 00:11:08,439
ihr glaubt, dass ihr Daten verändern oder
löschen könnt, bei denen es gar nicht

147
00:11:08,439 --> 00:11:12,600
hätte möglich sein sollen, dann versucht
es logischerweise auf gar keinen Fall an

148
00:11:12,600 --> 00:11:16,809
den Daten anderer Leute. Wenn dann
wirklich alles so ist, wie ihr es vermutet

149
00:11:16,809 --> 00:11:21,329
habt, dann geht es ans Schreiben. Ihr
dokumentiert die Lücke und das gleich für

150
00:11:21,329 --> 00:11:25,550
mehrere Zielgruppen. So ein Dokument, das
geht nämlich üblicherweise durch mehrere

151
00:11:25,550 --> 00:11:30,029
Hände. Zuallererst kommt das zu Leuten,
die nur die ersten paar Sätze lesen

152
00:11:30,029 --> 00:11:33,949
werden, die dann aber dafür verantwortlich
sind, dass das Dokument bei denjenigen

153
00:11:33,949 --> 00:11:38,309
ankommt, die auch den Rest eures
Geschreibsels verstehen können. Deswegen

154
00:11:38,309 --> 00:11:42,259
sollten die ersten Sätze für alle Menschen
verständlich sein und die wichtigsten

155
00:11:42,259 --> 00:11:47,290
Fakten sollten da direkt rein. Dazu
gehören z. B. wie viele Leute sind von der

156
00:11:47,290 --> 00:11:50,989
Sicherheitslücke betroffen und welche
Daten von diesen Leuten sind betroffen?

157
00:11:50,989 --> 00:11:55,569
Verzichtet dabei möglichst komplett auf
die technischen Details. Dafür habt ihr im

158
00:11:55,569 --> 00:12:00,360
Report später noch genug Platz. Wenn ihr
die Lücke auch an offizielle Stellen wie

159
00:12:00,360 --> 00:12:04,829
das CERT-Bund oder die Datenschutzbehörden
meldet, ist es super super super sinnvoll

160
00:12:04,829 --> 00:12:08,720
direkt auch zu beschreiben, um was für
einen Dienst oder Produkt es geht. Weil

161
00:12:08,720 --> 00:12:12,309
das hilft diesen Stellen dann nämlich
dabei, die Lücke schneller und besser

162
00:12:12,309 --> 00:12:15,839
einzuschätzen.
Karl: Stellen wir uns z. B. rein fiktiv

163
00:12:15,839 --> 00:12:19,946
vor, die Chaos Cat Community hat eine App
veröffentlicht, über die die Mitglieder

164
00:12:19,946 --> 00:12:23,579
ihre Daten verwalten können. Die hat eine
Sicherheitslücke und ihr habt die

165
00:12:23,579 --> 00:12:27,779
gefunden. Dann könntet ihr z. B. sowas
schreiben. "In der Mitglieds-App der Chaos

166
00:12:27,779 --> 00:12:31,160
Cat Community können durch eine
Sicherheitslücke die Daten aller

167
00:12:31,160 --> 00:12:35,839
Mitglieder abgerufen werden. Dazu gehören
Name, Adresse, Bezahlstatus und

168
00:12:35,839 --> 00:12:40,529
Impfstatus" und den Rest, den schreibt ihr
dann für eine technisch halbwegs fitte

169
00:12:40,529 --> 00:12:44,560
Zielgruppe, die wissen, was eine API ist
und wie man die benutzt. Schreibt also

170
00:12:44,560 --> 00:12:48,019
technisch präzise, aber kurz und
verständlich. Schreibt keine

171
00:12:48,019 --> 00:12:53,079
Bachelorarbeit, keinen Roman, sondern eine
gute Dokumentation. Da können Screenshots

172
00:12:53,079 --> 00:12:56,769
helfen, um das Problem besser zu
beschreiben und nachvollziehbarer zu

173
00:12:56,769 --> 00:13:02,819
machen. Dabei beschreibt ihr 1., was genau
die Sicherheitslücke ist und in unserem

174
00:13:02,819 --> 00:13:07,910
Beispiel könntet ihr dann z. B. sowas
schreiben wie: "Ich habe die API der Chaos

175
00:13:07,910 --> 00:13:13,249
Cat Community Mitglieder-App aufgerufen
und herausgefunden, dass ich über den API-

176
00:13:13,249 --> 00:13:19,429
Endpunkt /Members/{id} durch das
Hochzählen der Mitgliedsnummer (id)

177
00:13:19,429 --> 00:13:25,244
persönliche Daten aller Mitglieder abrufen
kann. Ein Profil sieht dabei z. B. so aus

178
00:13:25,244 --> 00:13:31,639
[...]" 2. Die Auswirkung: Auch relativ
kurz. Für diesen Fall z. B. "Durch diese

179
00:13:31,639 --> 00:13:35,649
Sicherheitslücke habe ich Zugriff auf die
gesamte Mitgliedsdatenbank der Chaos Cat

180
00:13:35,649 --> 00:13:40,809
Community, kann also von allen Mitgliedern
Name, Adresse, Geburtsdatum, Bezahlstatus

181
00:13:40,809 --> 00:13:46,089
und natürlich, dass sie Mitglieder sind,
erfahren." Das ist zum einen wichtig,

182
00:13:46,089 --> 00:13:50,170
damit die Gegenseite schnell verstehen
kann, wie schlimm diese Lücke ist. Und zum

183
00:13:50,170 --> 00:13:54,350
anderen hilft es den Aufsichtsbehörden
dabei, besser einzuschätzen, ob sie gegen

184
00:13:54,350 --> 00:13:58,209
das Unternehmen vorgehen müssen. Als 3.
geht es darum, wie man die Lücke

185
00:13:58,209 --> 00:14:02,399
nachvollziehen kann. Beschreibt das in ein
paar Sätzen. Wenn ihr ein kurzes Skript

186
00:14:02,399 --> 00:14:06,205
habt, das das tut, könnt ihr auch das dort
direkt einfügen. Sonst beschreibt in

187
00:14:06,205 --> 00:14:11,050
klaren Schritten, was man tun muss. Z. B.
1. Mitglied der Chaos Cat Community

188
00:14:11,050 --> 00:14:13,559
werden.
Linus: Katzen sind immer gut!

189
00:14:13,559 --> 00:14:19,990
Karl: 2. In der App anmelden, danach den
Login-Code merken. 3. Diese URL aufrufen.

190
00:14:19,990 --> 00:14:24,540
4. Das Profil von Katzi McCatface ist zu
sehen.

191
00:14:24,540 --> 00:14:28,850
Lilith: Und manchmal kann man auch noch
ganz gute Tipps geben, wie die Lücke

192
00:14:28,850 --> 00:14:32,820
geschlossen werden kann. Wenn ihr da was
habt, dann schreibt auch das in den Report

193
00:14:32,820 --> 00:14:36,841
'rein. Aber das muss auch nicht sein. Das
ist schließlich Aufgabe des Unternehmens

194
00:14:36,841 --> 00:14:40,989
und nicht eure, das herauszufinden.
Nachdem ihr alle Infos für euren Report

195
00:14:40,989 --> 00:14:44,990
zusammen habt, dann muss das Unternehmen
davon erfahren und dafür gibt es auch

196
00:14:44,990 --> 00:14:50,610
wieder mehrere Möglichkeiten.
<i>Telefonklingel</i>

197
00:14:50,610 --> 00:14:56,309
CEO: Hack, Hack, Hack, guten Hack Hase,
wir machen die Bänke für die Daten, wie

198
00:14:56,309 --> 00:14:58,988
kann ich Ihnen helfen?
Karl: Ja, hier ist Karl von der

199
00:14:58,988 --> 00:15:01,232
zerforschung. Wissen Sie, warum ich
anrufe?

200
00:15:01,232 --> 00:15:04,769
CEO: Möchten Sie eine Bestellung aufgeben
oder haben Sie eine Reklamation?

201
00:15:04,769 --> 00:15:09,009
Karl: Weder noch. In Ihrem CRM ist durch
eine CSRF mit missing authentication full

202
00:15:09,009 --> 00:15:12,779
access auf die PPI Ihrer Customers
möglich.

203
00:15:12,779 --> 00:15:18,299
CEO: Wir haben MDF, HDF, Multiplex,
Vollholz. Was Anderes haben wir nicht.

204
00:15:18,299 --> 00:15:22,611
Karl: Achso, ne. Da haben Sie mich
falsch verstanden. Ich habe da eine

205
00:15:22,611 --> 00:15:26,641
Sicherheitslücke bei Ihnen gefunden, durch
die ich die Daten all Ihrer Kund*innen

206
00:15:26,641 --> 00:15:29,174
abrufen könnte. Hätten Sie 5 Minuten Zeit
für mich?

207
00:15:29,174 --> 00:15:32,049
CEO: Ja, das ist schlecht.
Karl: Ja, genau.

208
00:15:32,049 --> 00:15:35,519
CEO: Und was machen wir jetzt?
Karl: Und da wollte ich jetzt mit Ihnen

209
00:15:35,519 --> 00:15:38,910
sprechen, wie ich mich am besten an Sie
wende, damit das möglichst

210
00:15:38,910 --> 00:15:44,519
schnell behoben wird.
CEO: Das hat, das hat, das hat jemand für

211
00:15:44,519 --> 00:15:48,499
uns gemacht. Ich kann Ihnen, wenn Sie dran
bleiben, kann ich Ihnen Kontakt

212
00:15:48,499 --> 00:15:51,949
'raussuchen, den Sie anrufen können.
Karl: Ja, das ist perfekt.

213
00:15:51,949 --> 00:15:57,350
CEO: Super, danke. Bis gleich!
Karl: In vielen Situationen ist es

214
00:15:57,350 --> 00:16:01,569
wahrscheinlich am einfachsten, über das
Schwachstellenformular des BSIs zu gehen.

215
00:16:01,569 --> 00:16:07,860
Das geht auch anonym. Das findet ihr unter
dieser URL. Wenn ihr das ausfüllt, schickt

216
00:16:07,860 --> 00:16:12,129
ihr die Schwachstellenmeldung direkt an,
das CERT-Bund, also das Computer Emergency

217
00:16:12,129 --> 00:16:15,910
Response Team des Bundes. Das ist ein Team
beim Bundesamt für Sicherheit in der

218
00:16:15,910 --> 00:16:20,449
Informationstechnik. Deren Hauptjob ist
dafür zu sorgen, dass die Infrastruktur

219
00:16:20,449 --> 00:16:24,680
der Bundesverwaltung sicher ist. Also z.
B., dass niemand den Bundestag hackt.

220
00:16:24,680 --> 00:16:29,179
Daher sind die auch Ansprechpartner:in für
Leute wie euch, wenn ihr Schwachstellen in

221
00:16:29,179 --> 00:16:33,926
der Infrastruktur des Bundes findet. Aber
nebenbei kümmern die sich auch darum,

222
00:16:33,926 --> 00:16:37,750
zwischen Sicherheitsforscher*innen und
Unternehmen zu vermitteln. Also euren

223
00:16:37,750 --> 00:16:41,669
Report entgegenzunehmen, in der Regel
innerhalb weniger Stunden zu prüfen, und

224
00:16:41,669 --> 00:16:46,479
dann den betroffenen Unternehmen Bescheid
zu sagen. Das macht es für euch jetzt ein

225
00:16:46,479 --> 00:16:50,379
bisschen einfacher, denn ihr müsst keinen
direkten Kontakt zum Unternehmen haben.

226
00:16:50,379 --> 00:16:54,264
Außer natürlich, ihr wollt das. Und wenn
das BSI einem Unternehmen schreibt, dann

227
00:16:54,264 --> 00:16:58,097
kümmern die sich oft sehr sehr schnell
darum, die Sicherheitslücken zu schließen.

228
00:16:58,097 --> 00:17:01,981
Denn so ein Bundesadler auf dem Briefkopf
macht einigen Eindruck. Ansonsten haben

229
00:17:01,981 --> 00:17:05,373
die auch rechtliche Möglichkeiten und
können z. B. eine Produktwarnung

230
00:17:05,373 --> 00:17:08,694
aussprechen. Dabei warnen sie dann
öffentlich vor der Software eines

231
00:17:08,694 --> 00:17:13,030
Herstellers. Und das wollen die Hersteller
auf keinen Fall. Das kam aber erst 3 mal

232
00:17:13,030 --> 00:17:17,120
vor. Damals wurden Android-Handys
verkauft, die bereits mit Schadsoftware

233
00:17:17,120 --> 00:17:22,640
ausgeliefert wurden. Doch eins solltet ihr
immer im Hinterkopf haben: Das BSI ist

234
00:17:22,640 --> 00:17:27,420
eine Sicherheitsbehörde wie Polizei und
Geheimdienste und ist dem Innenministerium

235
00:17:27,420 --> 00:17:33,050
nachgeordnet. Das CERT-Bund arbeitet zwar
anders als Polizei und Geheimdienste und

236
00:17:33,050 --> 00:17:37,610
aus unserer Perspektive ziemlich
unabhängig. Aber überlegt euch immer, was

237
00:17:37,610 --> 00:17:42,540
ihr denen erzählt und meldet. Eine Lücke,
die sich z. B. für einen Staatstrojaner

238
00:17:42,540 --> 00:17:46,730
eignet, wie das nächste Heartbleed oder
log4shell, würden wir denen eher nicht

239
00:17:46,730 --> 00:17:51,940
melden. Damit das in Zukunft nicht mehr
nötig ist, fordern wir: Das BSI muss eine

240
00:17:51,940 --> 00:17:55,740
unabhängige Behörde werden. Der
Hacker*innen-Paragraf muss abgeschafft

241
00:17:55,740 --> 00:17:59,017
werden und genauso Frontex.
Linus: Ja, das fordern wir schon lange.

242
00:17:59,017 --> 00:18:02,949
Soweit so gut. Es gibt aber auch ein paar
Sachen, die ihr beachten müsst bei eurem

243
00:18:02,949 --> 00:18:08,140
Bericht. Erstmal: Von vorne herein alles
erzählen, was ihr wisst. Kein Wissen

244
00:18:08,140 --> 00:18:13,382
zurückhalten und dann keine Forderungen
stellen. Keine Frage nach Geld, nicht nach

245
00:18:13,382 --> 00:18:17,368
einem T-Shirt, nicht nach Schokolade,
nicht nach irgendwelchen Geschenken. Gar

246
00:18:17,368 --> 00:18:21,428
nichts. Ihr verlangt überhaupt nichts und
ihr legt alles Wissen sofort mit allen

247
00:18:21,428 --> 00:18:25,530
Empfehlungen auf den Tisch. Im
Umkehrschluss müsst ihr aber auch

248
00:18:25,530 --> 00:18:29,732
aufpassen, dass ihr keine Forderungen an
euch stellen lasst. Also irgendwelche

249
00:18:29,732 --> 00:18:34,740
Geheimhaltungsvereinbarung, irgendetwas,
was ihr unterschreiben sollt, was häufig

250
00:18:34,740 --> 00:18:38,620
übrigens auch Bedingungen sind bei Bug
Bounties, da muss man sehr vorsichtig

251
00:18:38,620 --> 00:18:42,740
sein, weil ihr da gerne mal ungewollt oder
unbedacht oder unvorsichtig einen

252
00:18:42,740 --> 00:18:47,631
Knebelvertrag eingeht, der euch nachher
daran hindern soll, über die

253
00:18:47,631 --> 00:18:52,520
Sicherheitslücke zu sprechen oder noch
einmal dieses Thema von den betroffenen

254
00:18:52,520 --> 00:18:58,450
Unternehmen anzuschauen. Also
keine Forderungen stellen und keinen

255
00:18:58,450 --> 00:19:02,870
Forderungen entsprechen, erst recht keinen
Geheimhaltungvereinbarungen, sogenannten

256
00:19:02,870 --> 00:19:06,260
NDAs.
Lilith: Wir haben diesen Fehler auch mal

257
00:19:06,260 --> 00:19:10,253
gemacht und darüber ärgern wir uns echt
bis heute. Damals hatten wir noch nicht so

258
00:19:10,253 --> 00:19:14,217
viel Erfahrung und haben Sicherheitslücken
über das offizielle Bug Bounty Programm

259
00:19:14,217 --> 00:19:17,930
eines Softwareherstellers gemeldet. Was
wir dabei überhaupt nicht bedacht haben

260
00:19:17,930 --> 00:19:21,343
ist, dass das Programm eine
Verschwiegenheitklausel hatte, so dass wir

261
00:19:21,343 --> 00:19:25,271
bis heute nichts darüber erzählen oder
schreiben dürfen, was der Hersteller uns

262
00:19:25,271 --> 00:19:28,937
nicht vorher freigegeben hat. Genau das
ist, was die Hersteller mit solchen

263
00:19:28,937 --> 00:19:32,692
Abmachungen erreichen wollen. Das Narrativ
zu kontrollieren und euch daran zu

264
00:19:32,692 --> 00:19:36,701
hindern, frei über diese Schwachstellen zu
sprechen. Und das ist ein Problem, weil

265
00:19:36,701 --> 00:19:40,480
auch wir als gesamte Gesellschaft, wir
müssen über Sicherheitsprobleme in

266
00:19:40,480 --> 00:19:44,120
Software reden können. Denn nur so können
wir auch darüber sprechen, wie

267
00:19:44,120 --> 00:19:47,820
möglicherweise neue gesellschaftliche
Maßnahmen aussehen, damit wir solche

268
00:19:47,820 --> 00:19:51,689
Lücken in Zukunft nicht mehr so viel
haben. Versucht auch nicht, den

269
00:19:51,689 --> 00:19:55,449
Unternehmen, denen ihr da gerade eine
Sicherheitslücke gemeldet habt, irgendwie

270
00:19:55,449 --> 00:19:58,976
eure Beratungsdienstleistung oder
irgendwas anderes zu verkaufen. Geht auch

271
00:19:58,976 --> 00:20:02,544
nicht darauf ein, wenn die euch danach
fragen. Sagt einfach: "Ne, machen wir

272
00:20:02,544 --> 00:20:06,304
nicht. Ich habe euch jetzt was gemeldet
und damit muss gut sein." Das Risiko ist

273
00:20:06,304 --> 00:20:10,210
einfach zu groß, dass sie das dann später
sonst gegen euch verwenden. Wenn ihr euch

274
00:20:10,210 --> 00:20:13,923
irgendwie unsicher seid, ob euer Report,
so wie er gerade ist, gut ist oder ihr

275
00:20:13,923 --> 00:20:17,492
euch sonst in irgendeiner Situation
irgendwie auch nur ein bisschen unsicher

276
00:20:17,492 --> 00:20:21,206
seid, dann frag lieber nochmal jemanden,
der damit mehr Erfahrung hat. Das kann

277
00:20:21,206 --> 00:20:24,007
z. B. der Linus machen.
Linus: Ja, das kann ich machen,

278
00:20:24,007 --> 00:20:27,934
schreibt ihr einfach an disclosure@ccc.de
Lilith: Genau, das kann der Linus machen.

279
00:20:27,934 --> 00:20:31,943
Und das ist auch nichts, wofür man sich
irgendwie schämen sollte. Wir haben das

280
00:20:31,943 --> 00:20:36,161
auch schon ganz oft gemacht, andere Leute
zu fragen. Und statt Linus könnt ihr auch

281
00:20:36,161 --> 00:20:40,360
einfach uns, zerforschung, fragen. Ihr
erreicht uns unter hallo@zerforschung.org

282
00:20:40,360 --> 00:20:43,940
und wir machen das super super gerne.
Linus: Ja zerforschung kann das auch

283
00:20:43,940 --> 00:20:46,087
machen, dann muss ich das nicht alles
machen.

284
00:20:46,087 --> 00:20:48,028
Die machen das bestimmt auch sehr gerne.

285
00:20:48,028 --> 00:20:51,946
Lilith: Ey Linus, das habe ich doch gerade
schon gesagt. Ihr solltet außerdem eine

286
00:20:51,946 --> 00:20:55,970
Sicherheitslücke immer zügig reporten.
D. h. jetzt nicht, dass ihr es überstürzen

287
00:20:55,970 --> 00:21:00,350
müsst, aber ihr solltet z. B. nicht eine
Lücke finden, sie testweise mal ausnutzen

288
00:21:00,350 --> 00:21:04,293
und dann wert ihr das erstmal in die Ecke
und schreibt wochenlang keinen Report.

289
00:21:04,293 --> 00:21:08,284
Denn wenn das Unternehmen die Lücke von
sich aus in der Zeit findet und die dann

290
00:21:08,284 --> 00:21:12,122
über ihre Logs z. B. rausfinden, dass ihr
die ausgenutzt habt und nicht Bescheid

291
00:21:12,122 --> 00:21:15,997
gesagt habt, dann wirkt das auf die
Unternehmen vielleicht erstmal böswillig,

292
00:21:15,997 --> 00:21:19,986
weil die wissen ja nicht, dass ihr gute
Absichten habt und da wieder rauszukommen

293
00:21:19,986 --> 00:21:23,626
und seine guten Absichten zu beweisen, das
ist dann manchmal wirklich sehr

294
00:21:23,626 --> 00:21:28,480
kompliziert und deswegen meldet Lücken von
euch aus, sobald ihr das einmal gut

295
00:21:28,480 --> 00:21:33,210
durchdacht habt und den Report formuliert
habt, schickt ihn zeitnah raus. D. h.

296
00:21:33,210 --> 00:21:37,520
übrigens auch, schreibt alles in den
Report, was ihr wisst. Wenn ihr dabei

297
00:21:37,520 --> 00:21:41,523
nämlich einfach Infos zurückhaltet, dann
kann es auch schnell so aussehen, als

298
00:21:41,523 --> 00:21:45,440
würdet ihr das vielleicht absichtlich
machen. Und was eine echt beschissene Idee

299
00:21:45,440 --> 00:21:49,450
ist, ist dann Geld zu verlangen, um
irgendwie alles zu erzählen, was ihr

300
00:21:49,450 --> 00:21:53,760
wisst, weil ihr wisst ja: Erpresserisch
wirken, das kann ganz schnell böse enden.

301
00:21:53,760 --> 00:21:59,330
Also macht das auf keinen Fall. Was auch,
sowohl bei den Unternehmen, als auch bei

302
00:21:59,330 --> 00:22:02,761
den Behörden, wirklich nicht gut ankommt
ist, wenn ihr einfach einen

303
00:22:02,761 --> 00:22:06,850
automatisierten Report mit eurem
Schwachstellenscanner generiert und den

304
00:22:06,850 --> 00:22:11,010
dann einfach direkt verschickt. Also nicht
falsch verstehen, auch so Scanner können

305
00:22:11,010 --> 00:22:15,460
total wichtige Hinweise liefern. Aber wenn
ihr so einen Hinweis habt, dann steht ihr

306
00:22:15,460 --> 00:22:19,770
halt immer erst total am Anfang. Also
springt ihr jetzt einmal zurück zum Beginn

307
00:22:19,770 --> 00:22:22,370
unseres Vortrags und fangt an, diese Lücke
zu bewerten.

308
00:22:22,370 --> 00:22:27,630
Karl: Das klingt jetzt vielleicht nach
viel Spaß und das ist es auch. Aber es ist

309
00:22:27,630 --> 00:22:31,224
wichtig, dass ihr vor jedem Schritt
gründlich nachdenkt. Denn es kann auch

310
00:22:31,224 --> 00:22:35,177
viel schiefgehen. Wenn ihr so eine Lücke
gefunden habt und sie meldet, dann sagt

311
00:22:35,177 --> 00:22:40,100
ihr damit implizit auch: Hey, ich habe die
Lücke ausgenutzt. Das geht natürlich kaum

312
00:22:40,100 --> 00:22:44,160
anders. Aber in Deutschland könnte das
eine Straftat sein. Nach dem sogenannten

313
00:22:44,160 --> 00:22:48,860
Hacker*innen-Paragrafen 202
Strafgesetzbuch. Der verbietet es sich

314
00:22:48,860 --> 00:22:53,780
Zugriff auf besonders geschützte Daten zu
verschaffen. Das klingt erstmal sinnvoll,

315
00:22:53,780 --> 00:22:58,000
aber der Paragraf ist super unklar und
wird dadurch auch gefährlich für Menschen,

316
00:22:58,000 --> 00:23:02,480
die eigentlich nichts Böses im Schilde
führen. Selbst die CDU, die sich dieses

317
00:23:02,480 --> 00:23:06,190
Gesetz ausgedacht hat, versteht die
Paragrafen nicht richtig und hat Lilith

318
00:23:06,190 --> 00:23:09,820
neulich angezeigt, nachdem sie eine
Sicherheitslücke in der CDU-App gefunden

319
00:23:09,820 --> 00:23:13,950
hat. Die hat sie natürlich richtig
gemeldet, aber das war der CDU egal. Die

320
00:23:13,950 --> 00:23:17,540
Staatsanwaltschaft hat am Ende gesagt:
"Hey, die Daten waren so schlecht

321
00:23:17,540 --> 00:23:21,340
geschützt, das war nicht strafbar, darauf
zuzugreifen." Aber

322
00:23:21,340 --> 00:23:25,510
Sicherheitsforscher*innen sind da
natürlich trotzdem in Gefahr. Und liebe

323
00:23:25,510 --> 00:23:29,900
CDU und alle betroffenen Unternehmen, es
ist eine richtig schlechte Idee,

324
00:23:29,950 --> 00:23:35,080
Sicherheitsforscher*innen anzuzeigen. Und
nur wirklich sehr sehr schwierige Menschen

325
00:23:35,080 --> 00:23:39,680
versuchen das. Von denen haben wir zum
Glück bisher wenige kennengelernt, aber es

326
00:23:39,680 --> 00:23:44,260
gibt sie. Daher hoffen wir sehr, dass
dieser Paragraf bald abgeschafft wird.

327
00:23:44,260 --> 00:23:47,780
Damit sind wir übrigens nicht die
Einzigen. Das haben neulich auch ganz

328
00:23:47,780 --> 00:23:52,870
viele IT-Sicherheitsforscher*innen in
einem offenen Brief gefordert. Überlegt

329
00:23:52,870 --> 00:23:57,900
euch also gut, ob ihr eure Identität
herausgeben möchtet. Melden geht ja auch

330
00:23:57,900 --> 00:24:02,430
ohne euren richtigen Namen. Und denkt
dran: Im Internet seid in der Regel nicht

331
00:24:02,430 --> 00:24:07,100
anonym unterwegs. Schützt euch am besten
von Anfang an. Denn wenn ihr etwas

332
00:24:07,100 --> 00:24:11,330
gefunden habt, dann wurde eure IP-Adresse
schon irgendwo mitgeloggt und es ist zu

333
00:24:11,330 --> 00:24:17,020
spät, sich noch um Anonymität zu kümmern.
Dazu haben Linus und ths neulich schon

334
00:24:17,020 --> 00:24:20,749
einen sehr guten Talk mit dem Titel "Du
kannst alles hacken, du darfst dich nur

335
00:24:20,749 --> 00:24:24,151
nicht erwischen lassen" gehalten.
Linus: Oh, da habe ich zusammen mit

336
00:24:24,151 --> 00:24:26,938
Thorsten mal einen Vortrag drüber gehalten
unter dem Titel:

337
00:24:26,938 --> 00:24:30,838
"Du kannst alles hacken,
du darfst dich nur nicht erwischen lassen"

338
00:24:30,838 --> 00:24:33,310
Karl: Ja genau. Dazu hat Linus und ths

339
00:24:33,310 --> 00:24:36,288
neulich zusammen schon einen sehr guten
Talk mit dem Titel ...

340
00:24:36,288 --> 00:24:39,377
Linus: Habe ich doch gerade gesagt.
Karl: Und wenn ihr mit dem Unternehmen

341
00:24:39,377 --> 00:24:43,933
kommuniziert, solltet ihr ebenfalls sehr
vorsichtig sein. Haltet keine relevanten

342
00:24:43,933 --> 00:24:48,110
Informationen zurück, aber passt auch auf,
euch nicht unnötig zu belasten. Und

343
00:24:48,110 --> 00:24:52,190
erwartet auch nicht, dass das Unternehmen
euch von Anfang an super dankbar ist.

344
00:24:52,190 --> 00:24:56,160
Gerade zu Beginn sind die oft erstmal im
Schock und wissen nicht so recht, was da

345
00:24:56,160 --> 00:25:00,640
eigentlich gerade passiert. Dabei dürfen
sie euch natürlich nicht drohen, anzeigen

346
00:25:00,640 --> 00:25:05,400
oder ähnliches. Aber vielleicht sind sie
am Anfang ein bisschen pampig. Und wie

347
00:25:05,400 --> 00:25:10,290
bereits gesagt, seid extrem vorsichtig,
auf keinen Fall irgendwas zu tun, was euch

348
00:25:10,290 --> 00:25:16,100
als Drohung oder Erpressung ausgelegt
werden könnte. Generell empfehlen wir eure

349
00:25:16,100 --> 00:25:19,620
Wohnung einfach immer in einem
durchsuchungsbereiten Zustand zu halten.

350
00:25:19,620 --> 00:25:24,740
Es ist super scheiße, dass das gerade
nötig ist, aber aktuell ist es so und

351
00:25:24,740 --> 00:25:29,340
manchmal kommen die Bullen ja auch aus
einem ganz anderen Grund vorbei. Hier

352
00:25:29,340 --> 00:25:33,400
würden wir den Talk "Sie haben das Recht
zu schweigen" von Udo Vetter empfehlen.

353
00:25:33,400 --> 00:25:36,227
Den findet ihr z. B. auf
https://media.ccc.de und dort wird

354
00:25:36,227 --> 00:25:38,894
ausführlich erklärt, wie ihr euch am
besten schützt.

355
00:25:38,894 --> 00:25:42,390
Lilith: Aber wo wir gerade darüber
sprechen, sich selbst zu schützen, das

356
00:25:42,390 --> 00:25:46,285
gilt natürlich nicht nur für eure Technik.
Karl: Passt auf euch auf. Und ich weiß,

357
00:25:46,285 --> 00:25:50,075
das ist leichter gesagt als getan.
Lilith: Denn wenn man tatsächlich so eine

358
00:25:50,075 --> 00:25:53,330
Sicherheitslücke gefunden hat und all die
Schritte anstehen, dann kann das ganz

359
00:25:53,330 --> 00:25:56,490
schön stressig werden.
Karl: So eine Meldung kann viel Zeit,

360
00:25:56,490 --> 00:26:01,810
Nerven und auch eine Menge Schlaf kosten.
Lilith: Deshalb kümmert euch auch um eure

361
00:26:01,810 --> 00:26:06,480
Gesundheit, körperlich und auch geistig.
Karl: Am besten sucht ihr euch Verbündete.

362
00:26:06,480 --> 00:26:10,150
Gute Freund:Innen, Menschen, mit denen ihr
reden könnt, denen ihr vertraut und die

363
00:26:10,150 --> 00:26:13,880
euch auch mal sagen, dass jetzt mal
Schluss ist mit der Hackerei. Und

364
00:26:13,880 --> 00:26:17,460
stattdessen Zeit für einen Ausflug. Z. B.
zu einem hübschen Zug.

365
00:26:17,460 --> 00:26:22,230
L: Gegenseitig aufeinander aufpassen geht
nämlich viel besser zusammen als jeder für

366
00:26:22,230 --> 00:26:24,580
sich alleine.
K: Und es tut einfach gut.

367
00:26:24,580 --> 00:26:27,630
L: Denn zerforschung, das ist genau das.
Eine krasse Herde.

368
00:26:27,630 --> 00:26:31,670
K: Und zusammen haben wir es geschafft,
dieses Jahr viel mehr zu erreichen, als

369
00:26:31,670 --> 00:26:34,891
jede von uns einzeln geschafft hätte.
L: Und wir hatten auch noch richtig,

370
00:26:34,891 --> 00:26:38,980
richtig viel Spaß dabei.
K: Außerdem haben wir so die Pandemie, bis

371
00:26:38,980 --> 00:26:43,370
jetzt, ein bisschen besser ausgehalten.
L: Für uns ist total klar: Ohne dieses

372
00:26:43,370 --> 00:26:45,770
Kollektiv hätten wir das alles überhaupt
gar nicht hinbekommen.

373
00:26:45,770 --> 00:26:50,380
K: Schon alleine zeitlich. Es ist einfach
unglaublich entlastend, wenn man Aufgaben

374
00:26:50,380 --> 00:26:53,850
auch mal abgeben kann.
L: Und mehrere Köpfe denken immer besser

375
00:26:53,850 --> 00:26:58,160
als nur einer. Durch das Kollektiv haben
wir unterschiedlichste Perspektiven und

376
00:26:58,160 --> 00:27:02,500
total unterschiedliche Skills.
K: Und das ist einfach mega praktisch und

377
00:27:02,500 --> 00:27:05,790
schön.
L: Natürlich kommt es vor, dass wir

378
00:27:05,790 --> 00:27:09,370
überhaupt keine Lust haben manchmal.
K: Wenn wir uns bspw. an einem

379
00:27:09,370 --> 00:27:13,460
Dienstagabend um 23 Uhr 42 zusammensetzen
und feststellen:

380
00:27:13,460 --> 00:27:16,030
L: Ey, bis morgen um 6 Uhr muss der Text
fertig sein!

381
00:27:16,030 --> 00:27:19,030
K: Und die Threads für Social Media.
L: Und irgendwer muss uns noch so ein

382
00:27:19,030 --> 00:27:22,430
Titelbild für den Blogpost basteln.
K: Das ist wirklich nicht immer spaßig.

383
00:27:22,430 --> 00:27:26,760
L: Aber gemeinsam geht das dann doch immer
irgendwie. Und am Ende macht es uns immer

384
00:27:26,760 --> 00:27:29,530
wieder sehr, sehr glücklich, wenn wir das
Ergebnis sehen.

385
00:27:29,530 --> 00:27:33,660
K: Also, sucht euch Freund:Innen, bildet
Banden und meldet eure Sicherheitslücken

386
00:27:33,660 --> 00:27:37,390
gemeinsam.
L: Gut. Angenommen, ihr habt jetzt alles

387
00:27:37,390 --> 00:27:41,030
richtig gemacht und ihr sagt jetzt im
Unternehmen Bescheid. Wir schauen uns

388
00:27:41,030 --> 00:27:44,340
jetzt an, was danach passiert.
<i>Musik</i>

389
00:27:44,340 --> 00:27:47,080
CEO: 24?
<i>Telefonklingel</i>

390
00:27:47,080 --> 00:27:59,901
CEO: Hack, Hack, Hack, guten Hack, wir
bauen die Bänke für Ihre Daten, wie kann

391
00:27:59,901 --> 00:28:02,230
ich Ihnen helfen? Datenabfluss haben wir
keinen, wir haben ganz normalen, wir haben

392
00:28:02,230 --> 00:28:07,720
einen Industrieausguss einfach und dann
Spülausguss. Datenabfluss? Ist das eine

393
00:28:07,720 --> 00:28:21,700
Krankheit oder was? Wie Kunden? Was, was
soll d. h. Kundendaten? Sind sie na, ne,

394
00:28:21,700 --> 00:28:30,590
also. Da rufe ich, nein, da, da rufe ich
die Polizei. Das geht so nicht! Ja ich

395
00:28:30,590 --> 00:28:36,157
habe einen Notruf. Also ich habe, haben
Sie eine Cyber Polizei irgendwas? Ich habe

396
00:28:36,157 --> 00:28:38,870
einen Anruf gerade gehabt, der wollte mich
erpressen oder sonst irgendwas. Der hat

397
00:28:38,870 --> 00:28:42,890
was mit Daten gesagt, Daten Abfluss, wir
hätten, der hätte alle meine Kundendaten.

398
00:28:42,890 --> 00:28:48,650
Nein, ich weiß nicht, der hat, Namen hat
er gesagt, ich weiß nicht, ich habe es mir

399
00:28:48,650 --> 00:28:52,180
nicht gemerkt, irgendwas, was adelig es,
von zerforschung oder so was in der

400
00:28:52,180 --> 00:28:58,610
Richtung. Ja ich bleibe dran.
Lil: Tja, liebe Unternehmen, jetzt kommen

401
00:28:58,610 --> 00:29:03,820
wir mal zu euch. Eigentlich sind eure
Aufgaben relativ einfach erklärt. Seid

402
00:29:03,820 --> 00:29:08,220
freundlich und offen gegenüber der
Meldenden, schließt die Lücken und kommt

403
00:29:08,220 --> 00:29:16,990
gar nicht erst auf die Idee, uns zu
verklagen. Naja, ein bisschen was haben

404
00:29:16,990 --> 00:29:20,380
wir dann vielleicht doch noch zu erzählen.
Vorweg: Ihr kommuniziert in einem

405
00:29:20,380 --> 00:29:24,769
Responsible-Disclosure-Prozess oft mit
einer Person oder einem Team, die das in

406
00:29:24,769 --> 00:29:29,440
ihrer Freizeit machen. Das bedeutet: Geht
wirklich ordentlich mit den Leuten um.

407
00:29:29,440 --> 00:29:33,440
K: Aber eigentlich fängt eure Aufgabe
schon weit vorher an. Lange bevor ihr die

408
00:29:33,440 --> 00:29:37,620
Hacker:Innen am Hörer habt. Der allererste
Schritt für euch als Unternehmen ist es,

409
00:29:37,620 --> 00:29:41,200
erreichbar zu sein. Denn Fehler können
passieren. Aber wenn jemand diese

410
00:29:41,200 --> 00:29:44,960
außerhalb eurer Organisation findet, dann
sollten die euch möglichst einfach

411
00:29:44,960 --> 00:29:49,080
mitgeteilt werden können. Die wichtigste
Frage, die sich Sicherheitsforscher:Innen

412
00:29:49,080 --> 00:29:53,390
da oft erstmal stellen, ist: Wie erreicht
man euch? Da hat es sich bewährt, dass ihr

413
00:29:53,390 --> 00:29:56,720
auf eurer Website eine spezielle E-Mail-
Adresse für Sicherheitsangelegenheiten

414
00:29:56,720 --> 00:30:02,223
stehen habt, wie z. B. security@ Es ist
außerdem sehr ratsam, dass diese E-Mail-

415
00:30:02,223 --> 00:30:06,720
Adresse dann auch von mehreren Personen
gelesen und regelmäßig abgerufen wird.

416
00:30:06,720 --> 00:30:09,360
Denn es bringt nichts, wenn ihr eine
wichtige Sicherheitslücke gemeldet

417
00:30:09,360 --> 00:30:13,210
bekommt, aber die verantwortliche Person
gerade im Sommerurlaub ist oder eh nur

418
00:30:13,210 --> 00:30:17,200
einmal im Monat nachschaut. Die
ankommenden Mails sollten am besten direkt

419
00:30:17,200 --> 00:30:20,830
von technisch kompetenten Personal gelesen
werden, damit alles möglichst schnell

420
00:30:20,830 --> 00:30:25,500
gehen kann. Ihr solltet auch regelmäßig in
den Spam-Ordner schauen, denn Hacker:Innen

421
00:30:25,500 --> 00:30:28,860
nutzen manchmal ihre eigenen Mailserver
und die schaffen es nicht immer in den

422
00:30:28,860 --> 00:30:33,360
Posteingang, gerade bei Google und
Outlook. Das mit der Erreichbarkeit klingt

423
00:30:33,360 --> 00:30:37,080
erstmal trivial, aber wir erleben es
regelmäßig, dass wir erstmal keine

424
00:30:37,080 --> 00:30:41,180
expliziten Ansprechpartner:In für solche
Sicherheitsprobleme finden. Das bedeutet

425
00:30:41,180 --> 00:30:45,480
dann: Wir schreiben an alle E-Mail-
Adressen, die wir finden. Aus dem

426
00:30:45,480 --> 00:30:49,041
Impressum, der Datenschutzerklärung oder
der Kontaktseite. Und das ist natürlich

427
00:30:49,041 --> 00:30:53,230
auch für euch als Unternehmen suboptimal,
denn dann landet die Meldung direkt bei

428
00:30:53,230 --> 00:30:56,570
einer Menge verschiedener Leute. Die sind
meist gar nicht auf Sicherheitsmeldungen

429
00:30:56,570 --> 00:31:00,590
spezialisiert und können diese nicht
richtig einschätzen. Dann herrscht erstmal

430
00:31:00,590 --> 00:31:04,730
Panik. Niemand weiß, was zu tun ist und
dann kann alles Mögliche passieren. Die

431
00:31:04,730 --> 00:31:07,940
Nachricht wird ignoriert oder im
schlimmsten Fall wird sie von den falschen

432
00:31:07,940 --> 00:31:11,929
Leuten in der Chefetage gelesen und dann
erstmal direkt zu den Anwälten eskaliert.

433
00:31:11,929 --> 00:31:16,820
Daher ist eine separate Adresse sinnvoll.
Und wenn dort eine Meldung eingeht,

434
00:31:16,820 --> 00:31:19,850
solltet ihr schnell reagieren und zeitnah
eine Eingangsbestätigung versenden. Dann

435
00:31:19,850 --> 00:31:24,179
wissen wir, dass ihr die Meldung gelesen
habt und wir nicht weiter probieren

436
00:31:24,179 --> 00:31:28,270
müssen, euch zu erreichen. Denn wenn wir
bei zerforschung euch auf dem E-Mail Weg

437
00:31:28,270 --> 00:31:32,560
nicht erreichen, dann versuchen wir es auf
immer neuen Wegen. Dann schreiben wir euch

438
00:31:32,560 --> 00:31:36,950
vielleicht auf WhatsApp, sliden euch in
die Twitter DMs, schicken euch ein Fax,

439
00:31:36,950 --> 00:31:40,830
suchen euch auf LinkedIn, rufen eure
Investoren an oder sogar eure Eltern. Wenn

440
00:31:40,830 --> 00:31:44,800
das nicht gerade das gleiche ist. Das
klingt erstmal komisch, aber all das haben

441
00:31:44,800 --> 00:31:48,020
wir schon gemacht. Denn wir wollen ganz
sichergehen, dass ihr über das Problem

442
00:31:48,020 --> 00:31:53,290
Bescheid wisst und es möglichst schnell
behebt. Genau daher sollte Security

443
00:31:53,290 --> 00:31:57,580
Mailadresse einfach auffindbar sein, z. B.
im Impressum stehen oder noch cooler:

444
00:31:57,580 --> 00:32:02,270
zusätzlich in einer security.txt Das ist
ein offener Standard, wie ihr alle

445
00:32:02,270 --> 00:32:05,290
relevanten Informationen für
Sicherheitsforschende auf eurer Website

446
00:32:05,290 --> 00:32:09,800
hinterlegt. Darin können dann sowohl die
konkreten Ansprechwege, als auch eure

447
00:32:09,800 --> 00:32:14,130
bevorzugten Sprachen für die Meldung,
Cryptokeys und vieles mehr stehen. Damit

448
00:32:14,130 --> 00:32:17,120
macht ihr uns und auch euch die Arbeit
einfacher.

449
00:32:17,120 --> 00:32:21,309
Lil: So, ihr habt nun eine Meldung
erhalten und der nächste Schritt ist jetzt

450
00:32:21,309 --> 00:32:24,800
zu prüfen, ob ihr die Beschreibung der
Lücke auch tatsächlich nachvollziehen

451
00:32:24,800 --> 00:32:28,200
könnt. Denn wenn das so ist, dann solltet
ihr das direkt gegenüber der

452
00:32:28,200 --> 00:32:33,300
Sicherheitsforscher:Innen bestätigen. Das
ist wirklich wichtig, denn sonst werden

453
00:32:33,300 --> 00:32:38,480
wir euch einfach immer weiter nerven und
das kostet uns und auch euch Zeit. Am

454
00:32:38,480 --> 00:32:43,240
besten erklärt ihr dann auch direkt, wie
es weiter geht, bis die Lücke behoben ist.

455
00:32:43,240 --> 00:32:48,290
Hierbei ist es sowohl interessant, welche
Sofortmaßnahmen ihr trefft, als auch,

456
00:32:48,290 --> 00:32:53,410
welche langfristigen Konsequenzen ihr
daraus zieht. Z. B.: "Sehr geehrtes

457
00:32:53,410 --> 00:32:57,510
Hackerkollektiv zerforschung, wir haben
die von Ihnen beschriebene Lücke

458
00:32:57,510 --> 00:33:01,010
nachvollziehen können und gestern Abend
direkt den betroffenen Dienst

459
00:33:01,010 --> 00:33:04,820
vorübergehend offline genommen. Wir haben
die Lücke geschlossen und überprüfen nun

460
00:33:04,820 --> 00:33:09,300
den Dienst noch einmal gründlich. Vielen
Dank für Ihr Responsible-Disclosure-

461
00:33:09,300 --> 00:33:13,220
Verfahren." L: Und wenn ihr die Lücke aus der
Beschreibung nicht direkt nachvollziehen

462
00:33:13,220 --> 00:33:17,660
könnt, dann fragt lieber erstmal nach, ob
ihr das alles richtig verstanden habt und

463
00:33:17,660 --> 00:33:23,210
behauptet auf gar keinen Fall vorschnell,
dass eine Lücke nicht existiert. Ihr wollt

464
00:33:23,210 --> 00:33:27,151
den Menschen, der euch da gerade geholfen
hat, auch wirklich auf dem Laufenden

465
00:33:27,151 --> 00:33:31,570
halten und keinerlei Missverständnisse in
der Kommunikation aufkommen lassen.

466
00:33:31,570 --> 00:33:35,950
Deswegen schickt lieber ein Update zu
viel, als eines zu wenig. Am besten ist

467
00:33:35,950 --> 00:33:40,050
natürlich: Haltet die Menschen regelmäßig
und unaufgefordert auf dem Laufenden.

468
00:33:40,050 --> 00:33:44,320
Schreibt z. B. jede Woche einmal den
aktuellen Stand darüber, wie weit ihr mit

469
00:33:44,320 --> 00:33:48,900
der Problembehebung seid. Kommuniziert
dabei sehr, sehr deutlich. Wenn es z. B.

470
00:33:48,900 --> 00:33:53,020
eine Verschiebung in der Timeline zur
Behebung gibt, dann solltet ihr das

471
00:33:53,020 --> 00:33:56,850
explizit so benennen und begründen. Ihr
wollt ja, dass die Sicherheitsforscherin

472
00:33:56,850 --> 00:34:02,070
ehrlich sind und vollständig transparent.
Also seid es auch. Packt alle Karten auf

473
00:34:02,070 --> 00:34:07,970
den Tisch und haltet nichts zurück.
Außerdem ist das wichtig, da

474
00:34:07,970 --> 00:34:11,179
Sicherheitsforschernde manchmal auch
selber etwas über diese Lücke schreiben

475
00:34:11,179 --> 00:34:15,309
wollen. Wir z. B. versuchen danach immer
einen Blogpost zu schreiben. Dort

476
00:34:15,309 --> 00:34:18,269
beschreiben wir, wie wir die Lücke
gefunden haben und was die Auswirkungen

477
00:34:18,269 --> 00:34:22,549
davon waren. Dadurch können alle etwas aus
diesem Fehler lernen und solche Lücken

478
00:34:22,549 --> 00:34:24,649
werden dadurch in Zukunft hoffentlich
seltener.

479
00:34:24,649 --> 00:34:29,669
K: Wenn ihr mit Sicherheitsforschenden
redet oder schreibt, gilt eigentlich das

480
00:34:29,669 --> 00:34:32,849
Gleiche wie für alle anderen Menschen.
Benehmt euch nicht daneben, seid

481
00:34:32,849 --> 00:34:37,100
freundlich, ehrlich und dankbar gegenüber
den Melder:Innen. Bedenkt immer: Da helfen

482
00:34:37,100 --> 00:34:41,069
euch Leute in ihrer Freizeit eure Software
sicherer zu machen. Das wäre eigentlich

483
00:34:41,069 --> 00:34:45,359
eurer Job. Und ja, es ist keine schöne
Situation, wenn da ein großes

484
00:34:45,359 --> 00:34:48,690
Sicherheitsproblem in eurer Software
gefunden wird. Aber daran sind nicht die

485
00:34:48,690 --> 00:34:51,809
Sicherheitsforscher:Innen schuld. Die
haben die Lücke nur gefunden, nicht

486
00:34:51,809 --> 00:34:56,559
eingebaut. Don't shoot the messenger! Also
überlegt mal, wie beschissen sich das für

487
00:34:56,559 --> 00:35:00,770
eure Gegenseite anfühlt. Da hat sich
jemand in ihrer Freizeit hingesetzt, eure

488
00:35:00,770 --> 00:35:04,039
Software angeschaut und ein Problem
gefunden. Und dann hat die Person euch

489
00:35:04,039 --> 00:35:08,081
sogar Bescheid gesagt und von euch kommt
nur Gepöbel, Drohung oder gar eine

490
00:35:08,081 --> 00:35:12,319
Strafanzeige. Damit verschreckt ihr
ehrliche Sicherheitsforscher:Innen. Das

491
00:35:12,319 --> 00:35:15,819
ist der worst case für eure Sicherheit.
Denn die Lücken sind ja nicht weg, nur

492
00:35:15,819 --> 00:35:19,650
weil niemand sie euch meldet. Stattdessen
werden die Lücken dann gar nicht gemeldet,

493
00:35:19,650 --> 00:35:22,859
als Full-Disclosure direkt im ganzen
Internet bekannt gemacht oder an

494
00:35:22,859 --> 00:35:29,109
Kriminelle verkauft. Das musste auch die
CDU auf die harte Tour lernen. Nachdem sie

495
00:35:29,109 --> 00:35:33,170
Lilith angezeigt hat, gab es einen großen
Aufschrei und sogar der CCC hat gesagt,

496
00:35:33,170 --> 00:35:36,060
dass sie der CDU keine Sicherheitslücken
mehr vertraulich melden werden.

497
00:35:36,060 --> 00:35:43,470
Lin: Das ist natürlich ein dramatischer
Fall. Wir können niemandem mehr reinen

498
00:35:43,470 --> 00:35:47,670
Gewissens dazu raten, der CDU
Sicherheitslücken zu melden. Wir werden

499
00:35:47,670 --> 00:35:53,630
das auf jeden Fall auch nicht mehr tun.
Wir wünschen der CDU viel Glück oder dass

500
00:35:53,630 --> 00:35:59,430
sie die Sicherheitslücken vielleicht
selber findet oder hofft, dass niemand

501
00:35:59,430 --> 00:36:04,599
anderes sie findet.
K: Stattdessen wurden dann in den nächsten

502
00:36:04,599 --> 00:36:08,140
Tagen einige weitere Sicherheitslücken bei
der CDU gefunden und direkt öffentlich

503
00:36:08,140 --> 00:36:14,220
gemacht. Also passt sehr auf, dass ihr gut
mit den Meldenden umgeht und wirklich

504
00:36:14,220 --> 00:36:18,070
nichts macht, was in irgendeiner Form als
eine Bedrohung ausgelegt werden könnte. Es

505
00:36:18,070 --> 00:36:21,540
ist selbstverständlich, dass ihr die Leute
nicht dazu zwingt, irgendwas zu

506
00:36:21,540 --> 00:36:24,340
unterschreiben. Keine
Verschwiegenheitserklärung, kein

507
00:36:24,340 --> 00:36:28,630
Beratervertrag, nichts. Versucht es nicht
mal. Natürlich freuen sich

508
00:36:28,630 --> 00:36:31,950
Sicherheitsforscher:Innen oft, wenn ihr
euch in irgendeiner Form erkenntlich

509
00:36:31,950 --> 00:36:36,430
zeigt. Aber auch das spreche immer vorher
ab, versendet nicht unaufgefordert

510
00:36:36,430 --> 00:36:40,380
Geschenke und überweist auch nicht einfach
ein Bug Bounty. Fragt immer nach, ob das

511
00:36:40,380 --> 00:36:46,139
wirklich gewünscht ist. Und ganz wichtig:
Macht es, um euch ehrlich erkenntlich zu

512
00:36:46,139 --> 00:36:50,950
zeigen. Das ist keine Gelegenheit für eine
coole Pressemitteilung und bindet es auch

513
00:36:50,950 --> 00:36:56,029
nicht an Bedingungen. Dazu zählt auch:
Bedankt euch nicht einfach öffentlich.

514
00:36:56,029 --> 00:37:00,230
Nicht jede Person will auf der
Unternehmenswebsite genannt werden oder

515
00:37:00,230 --> 00:37:03,779
auf euren Social Media Kanälen. Das kann
an der politischen Überzeugungen liegen,

516
00:37:03,779 --> 00:37:07,920
so wie wir z. B. nie bei der Bundeswehr
genannt werden wöllten. Oder man möchte

517
00:37:07,920 --> 00:37:11,730
sich nicht mit der Lücke beschäftigen
weiter, es könnte Stress auf Arbeit

518
00:37:11,730 --> 00:37:14,730
bedeuten und manchmal wollen die Leute es
auch einfach nicht. Das müsst ihr

519
00:37:14,730 --> 00:37:18,310
akzeptieren.
Lil: Es hat sich bewährt, nicht nur in der

520
00:37:18,310 --> 00:37:21,809
direkten Kommunikation mit den
Sicherheitsforscher:Innen, sondern auch in

521
00:37:21,809 --> 00:37:24,610
der Außenkommunikation immer offen und
ehrlich zu sein. Also nichts zu

522
00:37:24,610 --> 00:37:28,690
beschönigen oder sogar zu verschweigen.
Seid immer transparent darüber, was

523
00:37:28,690 --> 00:37:33,359
passiert ist und wir das in Zukunft
vermeiden wollt. Es kann sein, dass Medien

524
00:37:33,359 --> 00:37:37,130
über den Sicherheitsvorfall bei euch
berichten wollen. Versucht wirklich nicht

525
00:37:37,130 --> 00:37:39,690
die anzulügen oder sogar
Sicherheitsforscher:Innen gegenüber

526
00:37:39,690 --> 00:37:43,799
Redaktionen zu diskreditieren. Das geht
eigentlich immer für euch nach hinten los.

527
00:37:43,799 --> 00:37:47,009
Es gehört auch zum guten Ton, eine
Sicherheitslücke nicht einfach als

528
00:37:47,009 --> 00:37:50,110
Pressemitteilung völlig unabgesprochen mit
den Sicherheitsforscher:Innen, die die

529
00:37:50,110 --> 00:37:54,630
gefunden haben, zu veröffentlichen. Wir
möchten euch außerdem dazu ermutigen, eure

530
00:37:54,630 --> 00:37:58,119
Nutzer:Innen über den Vorfall zu
informieren. Auch das gehört zu einem

531
00:37:58,119 --> 00:38:02,410
guten und transparenten Umgang mit der
Sicherheitslücke. Selbst wenn ihr nahezu

532
00:38:02,410 --> 00:38:06,349
ausschließen könnt, dass deren Daten
abgeflossen sind. Das, was wir in den

533
00:38:06,349 --> 00:38:10,700
letzten Minuten erklärt haben, das sind
nur die absoluten Basics. Wenn ihr

534
00:38:10,700 --> 00:38:14,040
wirklich gut mit Sicherheitsmeldungen
umgehen und eure Sicherheitsprozesse

535
00:38:14,040 --> 00:38:18,940
verbessern wollt, könnt ihr noch so viel
mehr tun. Dazu gibt es viel Literatur.

536
00:38:18,940 --> 00:38:23,339
Viel viel mehr als in diesen Talk passt.
Ein Link zu weiterführenden Inhalten und

537
00:38:23,339 --> 00:38:27,470
Dingen, die wir an diesem Talk erwähnt
haben, findet ihr in den Shownotes unter

538
00:38:27,470 --> 00:38:34,109
https://rc3.zerforschung.org
K: So, mit dieser Handreichung entlassen

539
00:38:34,109 --> 00:38:35,750
wir euch jetzt in die Weiten des
Internets.

540
00:38:35,750 --> 00:38:39,069
Lil: Happy Hacking und bis bald!
<i>Musik</i>

541
00:38:39,069 --> 00:38:50,280
CEO: Das Schlimmste sind die Aufträge von
den depperten Berlinern. Läuft die Kamera?

542
00:38:50,280 --> 00:38:58,039
Gut! Die gehen mir dermaßen auf den Sack.
Wollen Sonderfarben! Dieses, jenes! Smarte

543
00:38:58,039 --> 00:39:03,269
Bänke – kannst alles die Hasen geben!
Gelump! Des Gute ist bloß, du kannst Geld

544
00:39:03,269 --> 00:39:07,700
verlangen! Du nimmst deine alten scheiß
Paletten, spaxt die zusammen, die zahlen

545
00:39:07,700 --> 00:39:12,599
dir 500 Euro! So der deppert sind die! Und
in ihrer unsanierten Altbauwohnung stellen

546
00:39:12,599 --> 00:39:17,450
sie das rein. Blanke Ziegel, das ist in!
Kannst ja gleich zum Fenster raus heizen.

547
00:39:17,450 --> 00:39:21,869
Ich verkaufe denen jeden Müll!

548
00:39:21,869 --> 00:39:25,619
Herald/Karl: So und mit diesen Worten sind
wir wieder zurück hier live auf der xHain

549
00:39:25,619 --> 00:39:31,249
Lichtung. Zuerst noch mal etwas
Organisatorisches: Jetzt ist ein kurzes

550
00:39:31,249 --> 00:39:33,890
Q&A geplant und falls Ihr noch Fragen
habt, dann könnt ihr die Stellen entweder

551
00:39:33,890 --> 00:39:40,730
auf Twitter und Mastodon unter dem Hashtag
#rc3xhain oder im hackint IRC im

552
00:39:40,730 --> 00:39:45,680
Channel #rc3-xhain. Auch nochmal der
Hinweis auf die Shownotes und das bald zur

553
00:39:45,680 --> 00:39:50,329
Verfügung stehende Script des gesamten
Films, den wir gerade geschaut haben unter

554
00:39:50,329 --> 00:39:56,440
https://rc3.zerforschung.org . Und falls
ihr mehr Cringe von uns sehen wollt, dann

555
00:39:56,440 --> 00:39:59,339
folgt uns auf Twitter und natürlich auf
TikTok und Instagram.

556
00:39:59,339 --> 00:40:03,000
Lil: Da gibt es all die Crintge-Videos,
die wir übers Jahr hinweg produzieren.

557
00:40:03,000 --> 00:40:06,079
K: Und jetzt muss ich mich einmal an dir
vorbeidrängeln zu unserem schlauen Q&A

558
00:40:06,079 --> 00:40:09,650
Pad. Und da ist auch schon die 1. Frage
aufgelaufen:

559
00:40:09,650 --> 00:40:13,599
Frage: Unterscheidet ihr zwischen echter
Sicherheitslücke, also z. B. irgendwie

560
00:40:13,599 --> 00:40:17,619
einer fehlerhaften Authentifizierung und
einem offenen Scheunentor? Also wenn man

561
00:40:17,619 --> 00:40:20,119
eine API hat, die einfach gar keine
Authentifizierung jemals hatte.

562
00:40:20,119 --> 00:40:24,279
Lil: Also, man ärgert sich natürlich mehr
über das Scheunentor. Aber so

563
00:40:24,279 --> 00:40:27,420
grundsätzlich ergibt das für uns erstmal
einen Prozess und was wir so machen

564
00:40:27,420 --> 00:40:31,029
überhaupt keinen Unterschied.
Lin: Ja man müsste vielleicht noch

565
00:40:31,029 --> 00:40:34,890
ergänzen so: Es gibt ja auch teilweise
Sachen, so eine Information-Disclosure

566
00:40:34,890 --> 00:40:40,099
oder so, die ist dann, es wird häufiger
mal, dass Leute sagen: Ah, da ist aber

567
00:40:40,099 --> 00:40:43,090
jetzt hier Debugging an oder so was. Und
da ist ja halt der Unterschied: Findet man

568
00:40:43,090 --> 00:40:46,779
darin etwas, was einen weiteren Angriff
ermöglicht oder nicht? Das spielt

569
00:40:46,779 --> 00:40:50,859
natürlich schon teilweise in der
Priorisierung eine Rolle und irgendwie so

570
00:40:50,859 --> 00:40:56,002
absolute Kinkerlitzchen meldet man ja dann
vielleicht auch nicht unbedingt, wenn sie

571
00:40:56,002 --> 00:40:59,940
jetzt nicht unmittelbar halt sich weiter
verwerten lassen.

572
00:40:59,940 --> 00:41:02,559
Lil: Genau und wie man vielleicht auch
während des Vortrags selbst jetzt gerade

573
00:41:02,559 --> 00:41:05,599
gemerkt hat, geht es bei uns ja vor allem
darum, wenn wir tatsächlich Datenabflüsse

574
00:41:05,599 --> 00:41:08,720
haben. D. h. nicht, dass es nicht ganz
viele andere Arten von

575
00:41:08,720 --> 00:41:13,859
Sicherheitsproblemen gibt, aber wir sehen
halt relativ viele Datenabflüsse und das

576
00:41:13,859 --> 00:41:16,530
ist das, was wir auch immer ziemlich
problematisch finden. Und da bewerten wir

577
00:41:16,530 --> 00:41:21,609
natürlich nach den Daten, die da irgendwie
rausfallen und nicht so stark danach, wie

578
00:41:21,609 --> 00:41:26,339
schlimm, wie diese Lücke zustandekommt.
Also ob da irgendwie ein Debug Modus an

579
00:41:26,339 --> 00:41:31,170
ist und wir bekommen dann Credentials aus
dem Service raus oder ob da eine API ist,

580
00:41:31,170 --> 00:41:34,059
wo wir hochzählen oder was viel
komplexeres.

581
00:41:34,059 --> 00:41:37,450
K: Und was damit auch ein bisschen
zusammenhängt – was wir jetzt schon öfter

582
00:41:37,450 --> 00:41:41,039
gehört haben – Unternehmen, die sich dann
damit verteidigen, dass das ja nur 2

583
00:41:41,039 --> 00:41:44,789
Wochen offen war oder nur einen Monat. Und
dann müssen wir auch sagen: Ja, schön,

584
00:41:44,789 --> 00:41:47,999
dass die Lücke nur so kurz war, bis jemand
sie gefunden hat und irgendwie ein

585
00:41:47,999 --> 00:41:51,230
Responsible-Disclosure-Verfahren gemacht
hat. Aber wenn die Daten einmal

586
00:41:51,230 --> 00:41:54,890
abgeflossen sind, dann ist das relativ
egal und das dauert oft nur wenige

587
00:41:54,890 --> 00:42:00,690
Sekunden. Dann wo wir gerade schon über
Zeiträume sprechen, ist hier die nächste

588
00:42:00,690 --> 00:42:02,900
Frage:
F: Was sind denn vernünftige Zeiträume

589
00:42:02,900 --> 00:42:06,400
zwischen einer Meldung und einer
Veröffentlichung? Linus?

590
00:42:06,400 --> 00:42:13,160
Lin: Also die ich glaube, die übliche
Regel ist ja so 90 Tage, die sich so als

591
00:42:13,160 --> 00:42:17,499
ein Standard mal entwickelt hat. Aber
jetzt in diesem Sonderfall, wenn

592
00:42:17,499 --> 00:42:22,130
Kundendaten, also Personendaten betroffen
sind, kann man jetzt nicht sagen: Hier, in

593
00:42:22,130 --> 00:42:29,500
3 Monaten muss das aber weg sein. Ja? Du
du du! Also da, ich denke, dass man das so

594
00:42:29,500 --> 00:42:34,809
von Fall zu Fall ein bisschen anhand der
Dringlichkeit entscheidet und die Antwort,

595
00:42:34,809 --> 00:42:39,780
die man ja eigentlich haben möchte ist,
das es halt schneller gefixt ist, als man

596
00:42:39,780 --> 00:42:44,800
jetzt überhaupt bereit wäre zu
veröffentlichen. Wenn das nicht der Fall

597
00:42:44,800 --> 00:42:48,210
ist, dann kann man ja schon sagen: Ok,
passt auf, so in ein paar Minuten muss es

598
00:42:48,210 --> 00:42:52,670
und dann und dann muss das weg sein. Aber
auf jeden Fall kann man ja eigentlich erst

599
00:42:52,670 --> 00:42:58,960
veröffentlichen, wenn es gefixt ist, weil
sonst würde ja die Veröffentlichung quasi

600
00:42:58,960 --> 00:43:03,619
anderen den Zugriff auf diese Daten
erklären. Das ist halt besonders dieser

601
00:43:03,619 --> 00:43:07,460
Sonderfall, betroffene Kundendaten, den
ihr ja sehr viel behandelt.

602
00:43:07,460 --> 00:43:11,140
Lil: Ganz genau. Also was bei uns immer so
der allerwichtigste Zeitmaß ist, dass wir

603
00:43:11,140 --> 00:43:14,890
immer versuchen, nachdem wir den Report
fertig haben, innerhalb von 48 Stunden

604
00:43:14,890 --> 00:43:18,109
eine Rückmeldung vom Unternehmen zu haben,
in Sonderfällen sogar noch deutlich

605
00:43:18,109 --> 00:43:22,829
schneller. Und dann hängt das halt ein
bisschen vom Fall und vom Unternehmen ab.

606
00:43:22,829 --> 00:43:27,329
Aber ja, es sollte sehr, sehr, sehr zügig
gehen. Genau.

607
00:43:27,329 --> 00:43:30,690
K: Aber man sollte den Unternehmen
natürlich trotzdem auch irgendwie die

608
00:43:30,690 --> 00:43:36,069
Möglichkeit geben, zumindest sinnvoll
reagieren zu können. Also irgendwie 12

609
00:43:36,069 --> 00:43:39,660
Stunden ist ein bisschen sehr kurz, von
irgendwie einer Meldung bis zu einer

610
00:43:39,660 --> 00:43:44,279
Veröffentlichung. Aber wenn man jetzt mit
einem Unternehmen spricht, ist hier die

611
00:43:44,279 --> 00:43:46,940
nächste Frage:
F: Was macht man, wenn die Betreiber:Innen

612
00:43:46,940 --> 00:43:51,450
einer Software das Ganze bagatellisieren
wollen und z. B. gegenüber der Presse

613
00:43:51,450 --> 00:43:54,180
sowas runter reden? Linus, du hast ja mit
Presse viel Erfahrung.

614
00:43:54,180 --> 00:44:00,869
Lin: Das machen die ja immer. Also nicht
ein einziges Mal habe ich jetzt irgendwas

615
00:44:00,869 --> 00:44:05,079
erlebt, wo nicht zumindest in irgendeiner
Form versucht wird, das noch so ein

616
00:44:05,079 --> 00:44:07,799
bisschen runter zu spielen. Lilith, du
sagtest ja gerade schon, das war ja nur

617
00:44:07,799 --> 00:44:15,950
für einen kurzen Moment von 2 Monaten war
die API offen oder ein kleiner Teil wurde

618
00:44:15,950 --> 00:44:19,559
zugegriffen. Das ist so die
Lieblingsausrede. Ja, wir haben 5

619
00:44:19,559 --> 00:44:25,039
Millionen Kundendaten ins Feuer gestellt,
aber zerforschung hat nur 23 abgegriffen

620
00:44:25,039 --> 00:44:28,900
oder so. Und deswegen müssen wir jetzt z.
B. auch den Betroffenen das nicht melden.

621
00:44:28,900 --> 00:44:34,779
Also eine Bagatellisierung in irgendeiner
Form kommt immer. Und es ist ja auch

622
00:44:34,779 --> 00:44:41,140
gewissermaßen verständlich, dass Sie auch
natürlich den Trost, den tröstenden Teil

623
00:44:41,140 --> 00:44:46,339
dazu spenden wollen. Ich finde, es ist
schon ok. Schlimm finde ich, wenn es halt

624
00:44:46,339 --> 00:44:51,660
irgendwie so negiert wird oder die, die
Meldende halt in irgendeiner Form

625
00:44:51,660 --> 00:44:55,380
angegriffen wird, ja. Also das die sagen:
"Das ist alles nicht so schlimm. Wir haben

626
00:44:55,380 --> 00:44:58,819
die Situation unter Kontrolle. Hier gibt
es nichts mehr zu sehen", das ist klar und

627
00:44:58,819 --> 00:45:02,229
das, finde ich, sollte man ihnen auch
nicht übel nehmen. Was sollen sie sonst

628
00:45:02,229 --> 00:45:06,489
machen? Aber wenn sie jetzt irgendwie
persönlich werden oder sagen: "Ja, die

629
00:45:06,489 --> 00:45:11,049
Meldefrist war zu kurz" oder was in diesem
Jahr waren wirklich echt viele Vorwürfe,

630
00:45:11,049 --> 00:45:15,249
oder?
Lil: Also genau für uns hat es sich halt

631
00:45:15,249 --> 00:45:18,509
auch so bewährt zu schauen, dass man einen
professionellen Medienpartner für die

632
00:45:18,509 --> 00:45:22,869
Veröffentlichung der Sicherheitslücke
findet, weil wir dann ein bisschen besser

633
00:45:22,869 --> 00:45:27,009
das Narrativ für uns auch kontrollieren
können. Das wir halt sagen können: Ja, da

634
00:45:27,009 --> 00:45:30,099
wird auch, da wird auf jeden Fall die
unsere Seite der ganzen Story nochmal

635
00:45:30,099 --> 00:45:34,710
erzählt vs das Unternehmen haut eine
Pressemitteilung raus und sagt dann euch

636
00:45:34,710 --> 00:45:39,789
lieb Dankeschön. Im besten Fall, im
schlimmsten Fall zeigen sie euch

637
00:45:39,789 --> 00:45:45,859
vielleicht an oder so. Genau, aber haben
da das Narrativ völlig inne. Also es ist

638
00:45:45,859 --> 00:45:49,000
irgendwie, für uns ist es ganz wichtig,
immer einen Weg zu finden, dass wir das so

639
00:45:49,000 --> 00:45:53,690
ein bisschen haben.
K: Da du gerade schon von Partner:Innen in

640
00:45:53,690 --> 00:45:58,430
solchen Verfahren sprichst, kommt hier die
Frage nach den Datenschutzbehörden und was

641
00:45:58,430 --> 00:46:02,010
unsere Erfahrungen in der Zusammenarbeit
mit Datenschutzbehörden sind.

642
00:46:02,010 --> 00:46:08,579
F: Wenn wir denen etwas melden, scheinen
die kompetent, tun sie ausreichend viel?

643
00:46:08,579 --> 00:46:13,210
Lil: Die haben halt einen begrenzten
Spielraum in Deutschland. Also so eine

644
00:46:13,210 --> 00:46:15,960
Datenschutzbehörde, die kann nicht
unbegrenzt viel machen, die kann nicht

645
00:46:15,960 --> 00:46:19,349
einfach beim 1. Verstoß einfach so sagen:
"Wir erheben jetzt ein sehr hohes

646
00:46:19,349 --> 00:46:22,490
Bußgeld", da sind die relativ
eingeschränkt und da wird relativ viel

647
00:46:22,490 --> 00:46:26,339
Druck auf die auch ausgeübt aus Politik
und Wirtschaft usw. und so fort. Deswegen

648
00:46:26,339 --> 00:46:29,319
haben die immer so einen relativ
begrenzten Spielraum. Auf dieser

649
00:46:29,319 --> 00:46:33,559
Arbeitsebene mit den Datenschutzbehörden
zusammenzuarbeiten, läuft bei uns im

650
00:46:33,559 --> 00:46:38,309
Kollektiv eigentlich immer super gut. Also
wir haben da ein sehr gutes Verhältnis und

651
00:46:38,309 --> 00:46:42,230
die sind immer nett, die freuen sich über
unsere Meldungen. Manchmal helfen wir

652
00:46:42,230 --> 00:46:45,940
denen, die nachzuvollziehen. Und dann
beginnt bei denen halt ein Prozess. Aber

653
00:46:45,940 --> 00:46:49,220
so rein rechtlich kann euch eine
Datenschutzbehörde in diesem Prozess nicht

654
00:46:49,220 --> 00:46:53,630
immer informieren. Also ihr gebt da als
Forscherin was rein und dann passiert

655
00:46:53,630 --> 00:46:56,700
irgendwas und vielleicht gibt es
irgendwann eine Pressemitteilung. Leider

656
00:46:56,700 --> 00:47:00,980
kommt das wirklich, wirklich selten vor,
dass ein Unternehmen danach auch eine

657
00:47:00,980 --> 00:47:04,571
Strafe bekommt. Z. B. die also der
Datenschutz schaut manchmal ein bisschen

658
00:47:04,571 --> 00:47:07,009
genauer dann hin bei diesem Unternehmen
und kümmert sich drum, dass die Lücke

659
00:47:07,009 --> 00:47:10,539
wirklich geschlossen wird. Strafen sind
leider relativ selten.

660
00:47:10,539 --> 00:47:16,020
Lin: Ganz kurz, weil, ich höre da so ein
leichtes Missverständnis aus der Frage

661
00:47:16,020 --> 00:47:19,759
heraus. Es gibt halt IT-Sicherheit und
Datenschutz. Und Datenschutz ist erstmal

662
00:47:19,759 --> 00:47:23,210
ja nur ein rechtliches Gefüge. Also nur
weil du eine Sicherheitslücke hast, heißt

663
00:47:23,210 --> 00:47:27,710
es nicht notwendigerweise das du jetzt
einen Datenschutzverstoß hast. Du hast den

664
00:47:27,710 --> 00:47:31,599
dann, wenn du die zu spät meldest, wenn du
die Leute nicht informiert oder oder oder.

665
00:47:31,599 --> 00:47:35,640
Oder wenn z. B. im Rahmen der
Sicherheitslücke klar wird, dass du da

666
00:47:35,640 --> 00:47:39,619
Daten auf dem Server hast, die da nach
Löschfristen gar nicht mehr sein dürfen,

667
00:47:39,619 --> 00:47:43,930
ja solche Dinge. Das ist dann das, das
berührt dann das juristische Gefüge

668
00:47:43,930 --> 00:47:47,210
Datenschutz und dann können die auch
sofort was machen. Aber nur bei einer

669
00:47:47,210 --> 00:47:52,229
Sicherheitslücke ist es halt so na ja,
die, also die kommen ja auch häufig vor

670
00:47:52,229 --> 00:47:57,410
und das ist halt ich glaube, es ist auch
sinnvoll, dass sie jetzt nicht jedes

671
00:47:57,410 --> 00:48:00,339
Unternehmen, das eine Sicherheitslücke
hat, unmittelbar halt

672
00:48:00,339 --> 00:48:03,960
datenschutzrechtliche Probleme hat, aber
trotzdem finde ich das genau sinnvoll, das

673
00:48:03,960 --> 00:48:08,799
zu melden, weil dann sind die schon mal
aktenkundig ja. Und wenn das nächste Mal

674
00:48:08,799 --> 00:48:13,160
wieder etwas passiert, dann wird da
sicherlich auch von Seiten der

675
00:48:13,160 --> 00:48:16,950
datenschutzrechtlichen Perspektive ein
bisschen mehr Aufmerksamkeit draufgelegt.

676
00:48:16,950 --> 00:48:21,529
Aber am Ende geht es darum: Die
Sicherheitslücke muss weg. Und ja, solange

677
00:48:21,529 --> 00:48:27,130
es keine Hinweise gibt, dass die Daten
wirklich gestohlen wurden oder

678
00:48:27,130 --> 00:48:31,269
irgendwelche Fahrlässigkeit in besonderem
Maße da war, machen die

679
00:48:31,269 --> 00:48:37,480
Datenschutzbehörden halt verhältnismäßig
wenig beim ersten Vorfall und ich würde

680
00:48:37,480 --> 00:48:39,210
sagen das ist wahrscheinlich auch schon
richtig so.

681
00:48:39,210 --> 00:48:42,309
K: Naja wir würden uns, also wir als
zerforschung, würden uns glaube ich

682
00:48:42,309 --> 00:48:46,029
wünschen, dass die Datenschutzbehörden ein
bisschen proaktiver sind. Das hören wir

683
00:48:46,029 --> 00:48:50,010
auch teilweise aus Datenschutzkreisen
sozusagen, dass die Datenschutzbehörden

684
00:48:50,010 --> 00:48:52,630
eigentlich viel mehr machen wollen. Die
wollen eigentlich auch proaktiv auf

685
00:48:52,630 --> 00:48:56,219
Unternehmen zugehen und ich meine viele
der Sachen, die wir gefunden haben, das

686
00:48:56,219 --> 00:48:59,289
ist jetzt nicht die mega krasse
Sicherheitslücke so. Das ist nicht hier

687
00:48:59,289 --> 00:49:03,160
irgendwie so eine NSO Lücke, die
wahrscheinlich kaum jemand im Raum hier

688
00:49:03,160 --> 00:49:07,700
richtig versteht, sondern es sind oft
Sachen, die relativ easy findbar sind,

689
00:49:07,700 --> 00:49:11,150
aber da haben die einfach nicht genug
Ressourcen. Also wenn für Gesundheitsdaten

690
00:49:11,150 --> 00:49:14,349
in Berlin irgendwie weniger als eine
Handvoll Leute zuständig sind, dann können

691
00:49:14,349 --> 00:49:17,540
die halt nicht alle Corona-Testzentren
überprüfen. Und deshalb fordern wir

692
00:49:17,540 --> 00:49:19,839
natürlich auch, dass die irgendwie besser
ausgestattet werden und diese

693
00:49:19,839 --> 00:49:22,759
Möglichkeiten auch bekommen, die sie rein
rechtlich schon lange haben.

694
00:49:22,759 --> 00:49:25,880
Lin: Im medizinischen Bereich finde ich es
absolut, ist es auch. Ich war jetzt auch

695
00:49:25,880 --> 00:49:29,391
bei der CDU connect App. Ja ich meine, da
wird jetzt nicht irgendein Datenschutz

696
00:49:29,391 --> 00:49:31,049
großartig rumstehen und sagen: "Du hast da
irgendwie eine App..." Wobei ich glaube,

697
00:49:31,049 --> 00:49:32,559
dass die sogar datenschutzrechtlich nicht
in Ordnung war, oder?

698
00:49:32,559 --> 00:49:37,130
Lil: Ja die war datenschutzrechtlich
tatsächlich nicht in Ordnung, weil da

699
00:49:37,130 --> 00:49:40,739
politische Meinungen von Menschen erfasst
wurden. Und das Spannende im Fall von der

700
00:49:40,739 --> 00:49:44,890
CDU war, ist ja, dass implizit darüber
politische Meinungen, also Artikel 9 DSGVO

701
00:49:44,890 --> 00:49:48,480
Daten, also besonders schützenswerte
Datenpunkte sogar, erfasst waren.

702
00:49:48,480 --> 00:49:52,119
Lin: Ohne das die Erfassten das wussten.
Lil: Genau. Und deswegen ist das schon

703
00:49:52,119 --> 00:49:55,229
wieder so ein sehr interessanter Fall für
den Datenschutz. Also wo ich neben

704
00:49:55,229 --> 00:49:58,559
Gesundheitsdaten, würde ich halt sagen,
für sämtliche Datenarten, die unter

705
00:49:58,559 --> 00:50:02,650
Artikel 9 fallen, sollten halt auch
besondere Schutzmaßnahmen und besondere

706
00:50:02,650 --> 00:50:04,680
Prüfmaßnahmen von Datenschutzbehörden
gelten.

707
00:50:04,680 --> 00:50:07,489
K: Das gibt die DSGVO ja eigentlich auch
her.

708
00:50:07,489 --> 00:50:10,299
Lil: Richtig.
K: Aber dann würde ich mal, eh wir jetzt

709
00:50:10,299 --> 00:50:12,990
in so ein Kleinklein mit
Datenschutzbehörden abdriften...

710
00:50:12,990 --> 00:50:17,380
Lin: Also immer mit dazunehmen und nicht
traurig sein wenn da jetzt nicht eine

711
00:50:17,380 --> 00:50:19,999
Millionenstrafe bei rumkommt, würde ich
als Fazit…ja oder?

712
00:50:19,999 --> 00:50:22,240
Lil: Ja.
K: Genau, aber super oft werden sie halt

713
00:50:22,240 --> 00:50:24,460
aktiv, das haben wir jetzt auch erlebt,
und gehen da zumindest auf die Unternehmen

714
00:50:24,460 --> 00:50:28,180
zu. Und dann lernen die Unternehmen was
und verhindern solche Fehler oft. In

715
00:50:28,180 --> 00:50:30,079
Zukunft.
Lil: Und gerade wenn es größere Probleme

716
00:50:30,079 --> 00:50:33,779
sind, dann besucht die Datenschutzbehörde
auch mal das Unternehmen und dann sind die

717
00:50:33,779 --> 00:50:36,930
da wirklich dahinter, dass die Lücken
geschlossen werden. Und deswegen der

718
00:50:36,930 --> 00:50:40,519
Datenschutz ist immer ein guter Partner,
aber erwartet nicht, dass ihr das entweder

719
00:50:40,519 --> 00:50:44,109
mitbekommt oder das da sofort irgendwas
super krasses passiert.

720
00:50:44,109 --> 00:50:48,150
K: Die nächste ist eine rechtliche Frage,
die wir, glaube ich, auf der rechtlichen

721
00:50:48,150 --> 00:50:52,479
Ebene nicht beantworten können. Aber ich
finde die Frage trotzdem spannend.

722
00:50:52,479 --> 00:50:55,519
F: Darf man Probleme, die man jetzt
gefunden hat, an kompetentere Person

723
00:50:55,519 --> 00:51:00,219
überhaupt weitergeben? Also ist es ist es
ok? Ich würde das mal von der rechtlichen

724
00:51:00,219 --> 00:51:04,380
Ebene nehmen und mehr auf die moralische
Ebene schauen. Ist das ok z. B. auf den

725
00:51:04,380 --> 00:51:08,009
CCC zuzugehen und zu sagen: Ok, hier gibt
es dieses Problem. Ich habe das jetzt

726
00:51:08,009 --> 00:51:12,240
gefunden. Wie können wir das sauber lösen?
Lin: Ich habe da, guck mal, ich vergesse

727
00:51:12,240 --> 00:51:15,590
das immer wieder. Da gibt es doch diesen,
vor allem, wenn das jetzt irgendwelche

728
00:51:15,590 --> 00:51:19,859
Daten sind, da gibt es diesen Paragrafen.
Wie gesagt, wir sind alle keine

729
00:51:19,859 --> 00:51:26,039
Juristinnen. Wo du jetzt die erste Person,
die Kenntnis erlangt, ist quasi straffrei.

730
00:51:26,039 --> 00:51:30,250
Aber wenn sie es dann weitergibt, dann ist
diese Weitergabe irgendwie strafbelastet.

731
00:51:30,250 --> 00:51:35,869
Aber wir reden ja hier nicht davon, dass
man sich strafbar macht. Und wenn wem man,

732
00:51:35,869 --> 00:51:39,690
welcher anderen Person man das weitergibt,
um die Frage vielleicht vorsichtig zu

733
00:51:39,690 --> 00:51:44,641
beantworten, ist ja dabei entscheidend ja.
Also man kann nicht sagen, es ist

734
00:51:44,641 --> 00:51:49,460
grundsätzlich falsch, das jemand anderem
weiterzugeben, aber wenn jemand anderem

735
00:51:49,460 --> 00:51:54,289
weitergeben in diesem Fall heißt twittern
und von vielen tausend Leuten weitergeben,

736
00:51:54,289 --> 00:52:00,170
dann ist das ein Problem. Wenn man jetzt
z. B. sagt – das passiert jetzt bei

737
00:52:00,170 --> 00:52:04,960
disclosure@ccc.de sehr häufig – dass Leute
irgendwie sagen: Ja, ich habe das und das

738
00:52:04,960 --> 00:52:09,400
gefunden, und ich würde sagen, 50% meiner
Fälle ist mal der Fall, ist meine Antwort:

739
00:52:09,400 --> 00:52:12,400
Ok, du musst mir das vollständig
beschreiben, damit ich nachvollziehen kann

740
00:52:12,400 --> 00:52:16,519
und beurteilen kann. Wenn du, wenn du
einfach nur irgendwas schreibst, kann ich

741
00:52:16,519 --> 00:52:20,349
dir nichts dazu sagen und das melde ich
auch so nicht. Dafür muss ich natürlich

742
00:52:20,349 --> 00:52:24,570
dann die komplette Sicherheitslücke
mitgeteilt bekommen und werde die dann

743
00:52:24,570 --> 00:52:29,259
auch prüfen. Und würde ich dann jetzt
damit Mist machen, wäre das sicherlich für

744
00:52:29,259 --> 00:52:33,549
mich schlecht und für die Person, die mir
das mitgeteilt hat schlecht. Insofern

745
00:52:33,549 --> 00:52:36,839
glaube ich, beantwortet sich diese Frage
am sinnvollsten, das man halt überlegt:

746
00:52:36,839 --> 00:52:41,170
Ok, vertraut ihr der Person, dass die nach
den gleichen ethischen Maßstäben arbeiten

747
00:52:41,170 --> 00:52:46,249
wird, wie ihr? Und dann kann man sich ja,
dann seid ihr quasi eine Einheit und dann

748
00:52:46,249 --> 00:52:49,579
würde ich das nicht als juristisch riskant
sehen.

749
00:52:49,579 --> 00:52:52,969
Lil: Genau. Vielleicht noch eine kleine
Anmerkung dazu: Bei zerforschung haben wir

750
00:52:52,969 --> 00:52:55,031
in der Zusammenarbeit mit
Datenschutzbehörden jetzt auch schon

751
00:52:55,031 --> 00:53:00,160
erlebt, dass wir Lücken gemeldet haben und
Unternehmen und die Datenschutzbehörden

752
00:53:00,160 --> 00:53:04,419
gesagt haben, es gab keine Datenabfluss,
weil wir als zerforschung eine

753
00:53:04,419 --> 00:53:08,720
vertrauenswürdige Instanz sind, was ein
bisschen witzig ist, weil wir haben

754
00:53:08,720 --> 00:53:11,139
einerseits diese Kriminalisierung in
Deutschland, andererseits haben wir

755
00:53:11,139 --> 00:53:16,190
Sicherheitslücken gefunden und man weiß ja
häufig nicht, ob zuvor irgendwie schon

756
00:53:16,190 --> 00:53:19,499
Daten abgeflossen sind, bevor wir diese
Lücke gefunden haben usw. und so fort.

757
00:53:19,499 --> 00:53:22,869
Aber zumindest so in der gelebten
Datenschutzpraxis, also auch selbst von

758
00:53:22,869 --> 00:53:27,299
dieser Perspektive bemessen, nicht von
Hackerparagrafen und Co. kommen, haben wir

759
00:53:27,299 --> 00:53:31,349
jetzt irgendwie schon gesehen, dass
zumindest man Sicherheitsforscher:Innen

760
00:53:31,349 --> 00:53:34,930
auf in der gelebten Praxis schon so
vertraut, dass die Leute das jetzt da

761
00:53:34,930 --> 00:53:37,749
nicht so super problematisch finden.
K: Aber da muss man halt auch super

762
00:53:37,749 --> 00:53:39,059
aufpassen.
Lil: Ja.

763
00:53:39,059 --> 00:53:41,880
K: Also ich glaube, diesen
Vertrauensvorschuss sozusagen kriegt nicht

764
00:53:41,880 --> 00:53:45,309
jede Person, die jetzt zum 1. Mal da
irgendwie in Erscheinung tritt. Deshalb

765
00:53:45,309 --> 00:53:48,589
wie wir schon sagten, lieber irgendwie
Hilfe suchen, lieber irgendwie

766
00:53:48,589 --> 00:53:54,740
kompetentere oder erfahrenere, kompetent
sind wir ja alle, aber erfahrenere Person

767
00:53:54,740 --> 00:54:00,220
fragen eben, z. B. Linus oder auch uns,
wenn ihr das gerne wollt. Und ich glaube,

768
00:54:00,220 --> 00:54:02,779
da das jetzt so die rechtliche Frage ist,
können wir da nur unsere übliche

769
00:54:02,779 --> 00:54:06,440
rechtliche Forderung nochmal anschließen,
nämlich der Hacker:Innenparagraf muss weg!

770
00:54:06,440 --> 00:54:10,009
Zumindest in der jetzigen Form. Der muss
so formuliert werden, dass so IT-

771
00:54:10,009 --> 00:54:14,890
Sicherheitsforschung, wie wir sie alle
tun, legal möglich ist und man nicht immer

772
00:54:14,890 --> 00:54:17,660
Angst haben muss, dass plötzlich die
Bullen vor der Tür stehen. Oder man eine

773
00:54:17,660 --> 00:54:20,410
Strafanzeige bekommt.
Lin: Das muss man ja vielleicht auch

774
00:54:20,410 --> 00:54:25,229
nochmal kurz sagen: So nach meiner
Kenntnis – ich muss jetzt wirklich

775
00:54:25,229 --> 00:54:29,539
überlegen – aber mir ist kein Fall
bekannt, wo jetzt mal jemand wirklich

776
00:54:29,539 --> 00:54:37,019
verurteilt worden wäre, die man nicht
hätte verurteilen sollen, ja. Aber das mit

777
00:54:37,019 --> 00:54:42,069
diesen Strafanzeigen ist halt deswegen so
ein Nerv, weil die euch die Computer

778
00:54:42,069 --> 00:54:47,499
wegnehmen, weil ihr dann da jahrelang
Ärger mit habt, weil der Anwaltskosten,

779
00:54:47,499 --> 00:54:52,200
also Kosten für die juristische
Auseinandersetzung, anfallen. Und das ist

780
00:54:52,200 --> 00:54:56,380
einfach total nervig, wenn die irgendwie
in die Wohnung kommen, wenn man die nicht

781
00:54:56,380 --> 00:55:00,760
eingeladen hat ja. Und deswegen ist das
jetzt wenn das am Ende nicht zu einer

782
00:55:00,760 --> 00:55:05,880
Verurteilung kommt, ist das halt ein
riesiger Nerv einfach und deswegen macht

783
00:55:05,880 --> 00:55:11,700
das halt Sinn teilweise einfach mit dem
CCC z. B. gemeinsam das zu machen oder als

784
00:55:11,700 --> 00:55:15,410
CCC, weil irgendwie glaube ich, dass sich
inzwischen zumindest so ein bisschen

785
00:55:15,410 --> 00:55:20,539
rumgesprochen hat, dass man eine
Hausdurchsuchung beim CCC schwierig,

786
00:55:20,539 --> 00:55:25,509
schwierig.
K: Ja, ich glaube, dann haben wir diese

787
00:55:25,509 --> 00:55:30,880
Frage wirklich sehr ausführlich
beantwortet. Hier ist noch die Frage, ob

788
00:55:30,880 --> 00:55:35,269
wir, ob wir von Fällen wissen, die wir
gemeldet haben und bei denen es, wo die

789
00:55:35,269 --> 00:55:36,989
Datenschutzbehörden an Strafen oder
Ähnliches verhangen haben?

790
00:55:36,989 --> 00:55:40,270
A: Ich kann jetzt aus der
zerforschungspraxis sagen: Uns ist nichts

791
00:55:40,270 --> 00:55:45,959
bekannt. Aber uns ist auch bei denen, bei
vielen Fällen nicht bekannt, wie das

792
00:55:45,959 --> 00:55:49,550
Verfahren bei den Datenschutzbehörden am
Ende ausgegangen ist. Denn das ist halt so

793
00:55:49,550 --> 00:55:53,470
ein Problem. Du hast, wenn du eine
Beschwerde erstattest, als Einzelperson,

794
00:55:53,470 --> 00:55:56,439
die betroffen ist, dann hast du
weitgehende Auskunftsrechte, dann sagt die

795
00:55:56,439 --> 00:55:59,990
Datenschutzbehörde dir auch weiter
Bescheid, wenn wir das als Kollektiv tun,

796
00:55:59,990 --> 00:56:02,920
hingegen nicht. D.h., eigentlich müsste
dann irgendeine Person die diesen Dienst

797
00:56:02,920 --> 00:56:06,860
nutzt, nochmal gleichzeitig als
Privatperson sozusagen da eine Beschwerde

798
00:56:06,860 --> 00:56:11,009
erstatten, wo dann auch unter Umständen
wieder Informationen an Unternehmen

799
00:56:11,009 --> 00:56:14,139
weitergegeben werden können usw. Das ist
super komplex und schwierig und ich

800
00:56:14,139 --> 00:56:17,759
glaube, am Ende ist der beste Weg, ein
Haufen IFG-Anfragen zu stellen.

801
00:56:17,759 --> 00:56:19,480
Lin: Oder ihr macht halt einen
öffentlichen Aufruf: "Wir haben da wieder

802
00:56:19,480 --> 00:56:22,829
ein Datenleck. Wir brauchen jemanden, der
da drin ist! Könnt ihr da mal schnell

803
00:56:22,829 --> 00:56:25,660
einen Account machen?"
K: Das haben wir ja auch schonmal gemacht.

804
00:56:25,660 --> 00:56:30,660
In dem Artikel, wo das Unternehmen nicht
richtig reagiert hat. Da haben wir, da war

805
00:56:30,660 --> 00:56:33,001
dann die Telefonnummer bei uns im Blog
veröffentlicht und da haben auch Leute

806
00:56:33,001 --> 00:56:37,809
anrufen und erreichten die dann den, was
war es, den Geschäftsführer, der gerade in

807
00:56:37,809 --> 00:56:41,719
der Autowaschanlage stand und überhaupt
nicht wusste, worum es gerade geht und so

808
00:56:41,719 --> 00:56:44,019
Geschichten.
<i>Lachen</i>

809
00:56:44,019 --> 00:56:48,079
Ja, aber ich glaube, das sind auch schon
alle Fragen, die jetzt in diesem Pad

810
00:56:48,079 --> 00:56:51,920
gelandet sind. Und da ich da keine
Veränderung mehr sehe, würde ich sagen:

811
00:56:51,920 --> 00:56:55,459
It's a wrap, so. Vielen Dank Linus, dass
du hier warst!

812
00:56:55,459 --> 00:56:56,769
Lin: Ich danke euch!
K: Und diesen Quatsch mit uns gemacht

813
00:56:56,769 --> 00:56:58,219
hast.
Lin: Ja, war doch ein sehr schöner

814
00:56:58,219 --> 00:57:02,230
Vortrag. Hat mir sehr gefallen. Ich fand
es. Ich habe mir immer gewünscht, dass

815
00:57:02,230 --> 00:57:04,529
beim rC3 die Vorträge vorproduziert sind
<i>Lachen</i>

816
00:57:04,529 --> 00:57:07,880
Lin: Und ich finde das super, wie ihr das
gemacht habt!

817
00:57:07,880 --> 00:57:10,920
<i>rC3 nowhere Abschlussmusik</i>

818
00:57:10,920 --> 00:57:24,000
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!