[Script Info]
Title: 
[Events]
Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text
Dialogue: 0,0:00:00.00,0:00:06.10,Default,,0000,0000,0000,,{\i1}RC3 2021-Vorspannmusik{\i0}
Dialogue: 0,0:00:07.13,0:00:12.19,Default,,0000,0000,0000,,Herald: Hello and welcome back to the\NxHain stage. The following talk will be
Dialogue: 0,0:00:12.19,0:00:16.18,Default,,0000,0000,0000,,held in German but there will be a live\Ntranslation which you can switch to now.
Dialogue: 0,0:00:16.18,0:00:20.59,Default,,0000,0000,0000,,So, jetzt also weiter auf Deutsch:\NWillkommen zurück auf der Lichtung der
Dialogue: 0,0:00:20.59,0:00:25.57,Default,,0000,0000,0000,,Stage hier vom xHain. Ich bin euer Herald\NKarl. Aber ich habe heute eine etwas
Dialogue: 0,0:00:25.57,0:00:30.84,Default,,0000,0000,0000,,komische Doppelrolle, denn der folgende\NTalk, da bin ich auch Speaker. Deswegen
Dialogue: 0,0:00:30.84,0:00:34.60,Default,,0000,0000,0000,,mache ich jetzt erstmal vor allem den\Norganisatorischen Teil. Ihr könnt Fragen
Dialogue: 0,0:00:34.60,0:00:39.64,Default,,0000,0000,0000,,zu dem folgenden Talk stellen auf Twitter\Nund Mastodon unter dem Hashtag #rc3xhain
Dialogue: 0,0:00:39.64,0:00:46.73,Default,,0000,0000,0000,,oder auf hackint im IRC im Channel\N#rc3-xhain. Ja, jetzt switche
Dialogue: 0,0:00:46.73,0:00:49.90,Default,,0000,0000,0000,,ich in meiner Rolle als Karl von\Nzerforschung und Lilith, was ist
Dialogue: 0,0:00:49.90,0:00:51.22,Default,,0000,0000,0000,,eigentlich zerforschung?
Dialogue: 0,0:00:51.22,0:00:55.35,Default,,0000,0000,0000,,Lilith: Genau, also zerforschung, wir sind\Nein Kollektiv von einer Menge jungen
Dialogue: 0,0:00:55.35,0:00:59.90,Default,,0000,0000,0000,,Menschen. Weniger als 10 momentan. So\Ngenau ist das nunmal schwer zu definieren.
Dialogue: 0,0:00:59.90,0:01:04.97,Default,,0000,0000,0000,,Und wir haben uns im letzten Jahr\Nirgendwie so zusammengefunden, verteilt
Dialogue: 0,0:01:04.97,0:01:09.38,Default,,0000,0000,0000,,über ganz Deutschland. Miteinander\Nkommunizierend über Signal und
Dialogue: 0,0:01:09.38,0:01:13.30,Default,,0000,0000,0000,,BigBlueButton und ja, wir haben irgendwann\Nangefangen aus Interesse uns Technik
Dialogue: 0,0:01:13.30,0:01:17.40,Default,,0000,0000,0000,,anzuschauen. Und seit wir damit angefangen\Nhaben oder innerhalb des letzten Jahres
Dialogue: 0,0:01:17.40,0:01:20.61,Default,,0000,0000,0000,,vor allem, sind wir dann von\NSicherheitslücke zu Sicherheitslücke
Dialogue: 0,0:01:20.61,0:01:24.66,Default,,0000,0000,0000,,gestolpert und heute in dem Talk wollen\Nwir uns damit beschäftigen, was wir gerne
Dialogue: 0,0:01:24.66,0:01:28.08,Default,,0000,0000,0000,,vor einem Jahr gewusst hätten, bevor uns\Ndas alles passiert ist.
Dialogue: 0,0:01:28.08,0:01:34.23,Default,,0000,0000,0000,,Linus: {\i1}lacht{\i0} Das habe ich euch vor einem\NJahr schon gesagt. - Achso, soll ich was
Dialogue: 0,0:01:34.23,0:01:39.15,Default,,0000,0000,0000,,sagen? Ja, ich bin Linus vom Chaos\NComputer Club. Der Chaos Computer Club ist
Dialogue: 0,0:01:39.15,0:01:44.73,Default,,0000,0000,0000,,eine Vereinigung von Hackerinnen und\NHackern, eine der größten Vereinigungen,
Dialogue: 0,0:01:44.73,0:01:49.71,Default,,0000,0000,0000,,wenn nicht die größte Europas. Potenziell\Nhaben einige von euch auch schon mal davon
Dialogue: 0,0:01:49.71,0:01:57.50,Default,,0000,0000,0000,,gehört. Wir machen Schwachstellensuche und\NSchwachstellenmeldung schon etwas länger
Dialogue: 0,0:01:57.50,0:02:05.13,Default,,0000,0000,0000,,als ein Jahr und ich habe der zerforschung\Nanfangs ein bisschen mit Rat und Tat zur
Dialogue: 0,0:02:05.13,0:02:11.58,Default,,0000,0000,0000,,Seite gestanden. Und in diesem Vortrag\Nwollen wir nicht nur das besprechen, was
Dialogue: 0,0:02:11.58,0:02:15.68,Default,,0000,0000,0000,,die zerforschung euch mitteilen möchte,\Ndarüber, wie man meldet, sondern auch so
Dialogue: 0,0:02:15.68,0:02:20.19,Default,,0000,0000,0000,,ein bisschen, wie man auf eine Meldung\Nreagiert. Denn wenn ich eine Sache auf
Dialogue: 0,0:02:20.19,0:02:24.69,Default,,0000,0000,0000,,jeden Fall beobachtet habe, ist es so: Ich\Nhatte zwischenzeitlich den Eindruck, dass
Dialogue: 0,0:02:24.69,0:02:28.79,Default,,0000,0000,0000,,die Unternehmen oder die Betroffenen\Nbesser reagieren und in diesem Jahr haben
Dialogue: 0,0:02:28.79,0:02:34.36,Default,,0000,0000,0000,,sie teilweise so besonders ungünstig und\Ndoof reagiert und das wollen wir in diesem
Dialogue: 0,0:02:34.36,0:02:39.81,Default,,0000,0000,0000,,Vortrag auch ein bisschen berühren.\NKarl: In dem gesamten Vortrag werden wir
Dialogue: 0,0:02:39.81,0:02:44.59,Default,,0000,0000,0000,,immer wieder Verweise auf allerlei Paper\Noder andere interessante Informationen
Dialogue: 0,0:02:44.59,0:02:49.63,Default,,0000,0000,0000,,machen. Dazu haben wir eine Linkliste,\Neine Shownote zusammengestellt, die findet
Dialogue: 0,0:02:49.63,0:02:54.55,Default,,0000,0000,0000,,ihr unter https://rc3.zerforschung.org und\Nda wird dann nach dem Vortrag auch ein
Dialogue: 0,0:02:54.55,0:02:59.82,Default,,0000,0000,0000,,vollständiges Skript erscheinen, falls ihr\Ndas Ganze nochmal nachlesen wollt. So,
Dialogue: 0,0:02:59.82,0:03:03.55,Default,,0000,0000,0000,,dann will ich uns aber nicht länger\Naufhalten. Eine Warnung noch: Der
Dialogue: 0,0:03:03.55,0:03:11.88,Default,,0000,0000,0000,,nachfolgende Film wird ermöglicht durch\NCringe-Platzierung und damit MAZ ab!
Dialogue: 0,0:03:11.88,0:03:22.93,Default,,0000,0000,0000,,{\i1}Tastaturgeräusche{\i0}\N{\i1}Lachen{\i0}
Dialogue: 0,0:03:22.93,0:03:33.40,Default,,0000,0000,0000,,Lilith: Oh wow, das sind einfach alle\NDaten von der Chaos Cat Community. Oh
Dialogue: 0,0:03:33.40,0:03:38.51,Default,,0000,0000,0000,,Linus ist auch in den Daten. Hey Karl,\Nsoll ich das vertwittern?
Dialogue: 0,0:03:38.51,0:03:42.78,Default,,0000,0000,0000,,Karl: Hä?\NLilith: Äh, äh, soll ich das vertwittern?
Dialogue: 0,0:03:42.78,0:03:49.61,Default,,0000,0000,0000,,Mit der Chaos Cat Community? Ok, dann\Nmache ich das.
Dialogue: 0,0:03:49.61,0:03:56.86,Default,,0000,0000,0000,,{\i1}Lachen{\i0}\NIch tagge mal noch in den Linuzifer. Hey
Dialogue: 0,0:03:56.86,0:04:02.60,Default,,0000,0000,0000,,Linuzifer, schau mal deine Daten. Hat er\Ndoch gesagt,
Dialogue: 0,0:04:02.60,0:04:06.35,Default,,0000,0000,0000,,Sicherheitslücken vertwittern.
Dialogue: 0,0:04:10.80,0:04:18.29,Default,,0000,0000,0000,,{\i1}Klopfen{\i0} Aufmachen, Polizei!\NKarl: Stopp, so nicht! Das, was wir jetzt
Dialogue: 0,0:04:18.29,0:04:22.03,Default,,0000,0000,0000,,gesehen haben, das war Full Disclosure.\NDas bedeutet, dass jemand eine
Dialogue: 0,0:04:22.03,0:04:25.72,Default,,0000,0000,0000,,Sicherheitslücke findet und diese dann\Neinfach vollständig veröffentlicht. Das
Dialogue: 0,0:04:25.72,0:04:28.96,Default,,0000,0000,0000,,kann euch in richtig krasse\NSchwierigkeiten bringen und ist vor allem
Dialogue: 0,0:04:28.96,0:04:32.74,Default,,0000,0000,0000,,gefährlich für die Menschen, deren Daten\Ndadurch öffentlich werden. Und das ist
Dialogue: 0,0:04:32.74,0:04:36.03,Default,,0000,0000,0000,,auch einfach nicht cool. Es hat schon\Neinen Grund, warum es in der
Dialogue: 0,0:04:36.03,0:04:39.98,Default,,0000,0000,0000,,Hacker*innenethik heißt: Öffentliche Daten\Nnützen, private Daten schützen. Und um
Dialogue: 0,0:04:39.98,0:04:44.01,Default,,0000,0000,0000,,diesen zweiten Punkt geht es uns heute,\Ndenn wir beschäftigen uns mit Responsible
Dialogue: 0,0:04:44.01,0:04:47.74,Default,,0000,0000,0000,,Disclosure. Also das ist ein Prozess, wie\Nihr einem Softwarehersteller Bescheid
Dialogue: 0,0:04:47.74,0:04:52.14,Default,,0000,0000,0000,,sagt, dass ihr dort eine Sicherheitslücke\Ngefunden hat. Es spricht nichts dagegen,
Dialogue: 0,0:04:52.14,0:04:56.65,Default,,0000,0000,0000,,die Lücke hinterher trotzdem zu\Nveröffentlichen, aber halt erst hinterher,
Dialogue: 0,0:04:56.65,0:05:00.85,Default,,0000,0000,0000,,wenn der Hersteller sie geschlossen hat\Nund alle Risiken behoben sind. Und wie man
Dialogue: 0,0:05:00.85,0:05:04.54,Default,,0000,0000,0000,,das richtig macht, das schauen wir jetzt.\NLilith: Nicht alles, was im Internet
Dialogue: 0,0:05:04.54,0:05:09.09,Default,,0000,0000,0000,,kaputt ist, ist auch direkt ein Datenleck.\NTrotzdem wollen wir uns heute wirklich nur
Dialogue: 0,0:05:09.09,0:05:13.31,Default,,0000,0000,0000,,um die kümmern. Also genau diese eine Art\Nvon Sicherheitslücke, wo es Datenabflüsse
Dialogue: 0,0:05:13.31,0:05:18.10,Default,,0000,0000,0000,,in Onlinediensten gibt. Wir fokussieren\Nuns heute auf Dienste, Apps und Webseiten,
Dialogue: 0,0:05:18.10,0:05:21.58,Default,,0000,0000,0000,,die auch nur von einem Hersteller\Nbetrieben werden. Also wir meinen damit
Dialogue: 0,0:05:21.58,0:05:25.34,Default,,0000,0000,0000,,keine Standardsoftware wie etwa ein\NWordPress oder ein Moodle, die jeder auf
Dialogue: 0,0:05:25.34,0:05:29.31,Default,,0000,0000,0000,,seinen eigenen Servern installieren kann.\NWenn wir z. B. bei einer Lernkarten-App
Dialogue: 0,0:05:29.31,0:05:33.27,Default,,0000,0000,0000,,herausfindet, wie ihr die Namen aller\NNutzer*innen abrufen könnt, dann ist der
Dialogue: 0,0:05:33.27,0:05:37.64,Default,,0000,0000,0000,,Talk hier genau richtig für euch. Wenn ihr\Ndas nächste log4shell oder Heartbleed
Dialogue: 0,0:05:37.64,0:05:41.46,Default,,0000,0000,0000,,findet, dann müsst ihr ein paar Sachen\Nkomplett anders machen, als wir das hier
Dialogue: 0,0:05:41.46,0:05:45.27,Default,,0000,0000,0000,,heute erklären. Das wäre aber für diesen\NTalk auch einfach ein bisschen zu viel.
Dialogue: 0,0:05:45.27,0:05:48.67,Default,,0000,0000,0000,,Aber da könnt ihr euch dann an Linus\Nwenden, der kann euch da bestimmt
Dialogue: 0,0:05:48.67,0:05:51.70,Default,,0000,0000,0000,,weiterhelfen.\NLinus: Ja, das kann ich machen. Schreibt
Dialogue: 0,0:05:51.70,0:05:55.23,Default,,0000,0000,0000,,ihr einfach an disclosure@ccc.de.\NLilith: Super, da kann euch Linus
Dialogue: 0,0:05:55.23,0:05:58.27,Default,,0000,0000,0000,,weiterhelfen!\NLinus: Dat habe ich doch gerade gesagt!
Dialogue: 0,0:05:58.27,0:06:04.04,Default,,0000,0000,0000,,Lilith: Ganz genau. Also, wieder zurück zu\Nunserem Thema, die Datenlücken. Bevor ihr
Dialogue: 0,0:06:04.04,0:06:07.86,Default,,0000,0000,0000,,in irgendeine Richtung losrennt, wäre es\Ngut, wenn ihr euch zu aller, aller erst
Dialogue: 0,0:06:07.86,0:06:12.63,Default,,0000,0000,0000,,überlegt, wie schlimm ist diese Lücke\Neigentlich? Davon hängt dann nämlich ab,
Dialogue: 0,0:06:12.63,0:06:17.83,Default,,0000,0000,0000,,was ihr tun solltet und wie schnell. Es\Nist total klar, jede Sicherheitslücke muss
Dialogue: 0,0:06:17.83,0:06:22.24,Default,,0000,0000,0000,,gemeldet werden. Aber genauso ist auch\Nklar: Nicht jede Sicherheitslücke ist
Dialogue: 0,0:06:22.24,0:06:26.09,Default,,0000,0000,0000,,gleich schlimm. Wir schauen uns das mal\Nan, wie man eine Sicherheitslücke ein
Dialogue: 0,0:06:26.09,0:06:30.11,Default,,0000,0000,0000,,bisschen besser einschätzen kann. Dabei\Ngeht es vor allem darum, was für eine Art
Dialogue: 0,0:06:30.11,0:06:33.67,Default,,0000,0000,0000,,von Lücke das ist, wie viele Menschen\Nbetroffen sind und um welche Daten es
Dialogue: 0,0:06:33.67,0:06:39.33,Default,,0000,0000,0000,,genau geht. Zuerst: Was für eine Art von\NLücke ist es? Könnt ihr die Daten lesen,
Dialogue: 0,0:06:39.33,0:06:43.30,Default,,0000,0000,0000,,verändern oder sogar löschen? In unserem\NBeispiel vom Anfang, da ging nur das
Dialogue: 0,0:06:43.30,0:06:47.38,Default,,0000,0000,0000,,erste. Das ist aber auch schon schlimm\Ngenug, denn wir können eine Liste aller
Dialogue: 0,0:06:47.38,0:06:51.30,Default,,0000,0000,0000,,Namen, Adressen und keine Ahnung, was das\Nnoch für Daten waren, 'runterladen. Wir
Dialogue: 0,0:06:51.30,0:06:55.87,Default,,0000,0000,0000,,können die Liste aber nicht verändern und\Nz. B. nicht allen den Vornamen Karl geben.
Dialogue: 0,0:06:55.87,0:06:59.72,Default,,0000,0000,0000,,Außerdem können wir die Liste nicht\Nlöschen. Auch das ist wichtig, denn zur
Dialogue: 0,0:06:59.72,0:07:03.87,Default,,0000,0000,0000,,Sicherheit gehört eben auch, dass Daten\Nnicht einfach verschwinden können. Wenn es
Dialogue: 0,0:07:03.87,0:07:08.36,Default,,0000,0000,0000,,um persönliche Daten geht, dann sind die\Nletzten beiden Punkte Verändern und
Dialogue: 0,0:07:08.36,0:07:12.92,Default,,0000,0000,0000,,Löschen der Daten auch echt ungünstig.\NAber es ist eigentlich schon schlimm
Dialogue: 0,0:07:12.92,0:07:16.94,Default,,0000,0000,0000,,genug, wenn die Vertraulichkeit von Daten\Nverloren geht. Wenn also Menschen
Dialogue: 0,0:07:16.94,0:07:20.77,Default,,0000,0000,0000,,Einblicke in Daten haben, die da absolut\Nnichts verloren haben. Oder anders
Dialogue: 0,0:07:20.77,0:07:25.37,Default,,0000,0000,0000,,formuliert Datenlecks. Davon gab es in\Ndiesem Jahr echt schon genug Fälle. Wir
Dialogue: 0,0:07:25.37,0:07:29.37,Default,,0000,0000,0000,,haben z. B. bei vielen Corona-\NTestszentren, in einigen Audio-
Dialogue: 0,0:07:29.37,0:07:33.83,Default,,0000,0000,0000,,Chatdiensten und sogar in einigen Schul-\NApps Sicherheitslücken gefunden. Und
Dialogue: 0,0:07:33.83,0:07:37.67,Default,,0000,0000,0000,,überall konnten wir auch die Daten von\Nvielen, vielen tausend Leuten zugreifen.
Dialogue: 0,0:07:37.67,0:07:42.50,Default,,0000,0000,0000,,Karl: Mal ein Beispiel: Vor einiger Zeit\Nhaben wir eine Sicherheitslücke bei einem
Dialogue: 0,0:07:42.50,0:07:46.43,Default,,0000,0000,0000,,Testzentren-Anbieter namens Schnelltest\NBerlin veröffentlicht. Die hatten sich so
Dialogue: 0,0:07:46.43,0:07:50.34,Default,,0000,0000,0000,,ein tolles System gebaut, bei dem man sich\Nonline für sein Schnelltest registrieren
Dialogue: 0,0:07:50.34,0:07:54.19,Default,,0000,0000,0000,,konnte und dort dann auch das Testergebnis\Nbekam. Wir haben uns dort testen lassen
Dialogue: 0,0:07:54.19,0:07:57.98,Default,,0000,0000,0000,,und danach mal genauer geschaut, wie das\NSystem eigentlich funktioniert. Dabei
Dialogue: 0,0:07:57.98,0:08:01.66,Default,,0000,0000,0000,,haben wir eine Schnittstelle gefunden,\Nüber die eine Liste aller im System
Dialogue: 0,0:08:01.66,0:08:05.52,Default,,0000,0000,0000,,registrierten Personen abgerufen werden\Nkonnte und über eine weitere Schnittstelle
Dialogue: 0,0:08:05.52,0:08:11.49,Default,,0000,0000,0000,,sogar deren Testergebnis. Das waren\Ninsgesamt fast 700.000 Tests mit allen
Dialogue: 0,0:08:11.49,0:08:16.00,Default,,0000,0000,0000,,Daten: Name, Adresse, Email-Adresse,\NTelefonnummer, Perso-Nummer und sogar das
Dialogue: 0,0:08:16.00,0:08:21.29,Default,,0000,0000,0000,,Testergebnis. 400.000 Personen waren\Nbetroffen. Doch in diesem Fall kam es noch
Dialogue: 0,0:08:21.29,0:08:26.71,Default,,0000,0000,0000,,schlimmer. Wir konnten nicht nur alle\NTests aus dem System lesen, sondern selber
Dialogue: 0,0:08:26.71,0:08:31.07,Default,,0000,0000,0000,,auch neue anlegen und deren Ergebnis\Nspeichern. Wir konnten also für beliebige
Dialogue: 0,0:08:31.07,0:08:35.31,Default,,0000,0000,0000,,Personen eintragen, sie hätten einen\Nnegativen PCR-Test gemacht, ohne dass sie
Dialogue: 0,0:08:35.31,0:08:39.24,Default,,0000,0000,0000,,je ein Testzentrum von innen gesehen\Nhätten. Wir haben das mal versucht. Für
Dialogue: 0,0:08:39.24,0:08:45.71,Default,,0000,0000,0000,,Robert Koch, geboren 1843. Gut, dass der\NTest negativ war. Mit 178 Jahren wäre so
Dialogue: 0,0:08:45.71,0:08:49.58,Default,,0000,0000,0000,,eine Corona-Infektion sicher voll\Ngefährlich. Damit konnten wir also fremde
Dialogue: 0,0:08:49.58,0:08:53.49,Default,,0000,0000,0000,,Daten lesen und neue Daten ins System\Nschreiben. Und ihr ahnt es schon. Wir
Dialogue: 0,0:08:53.49,0:08:57.81,Default,,0000,0000,0000,,konnten auch Daten aus dem System löschen.\NEine Katastrophe aus Sicht der IT-
Dialogue: 0,0:08:57.81,0:09:02.02,Default,,0000,0000,0000,,Sicherheit und der Gesundheit. Wenn ihr\Nnun wisst, was ihr mit den Daten machen
Dialogue: 0,0:09:02.02,0:09:05.54,Default,,0000,0000,0000,,könnt, geht es weiter mit der\NEinschätzung, wie viele Personen betroffen
Dialogue: 0,0:09:05.54,0:09:09.30,Default,,0000,0000,0000,,sind und welche Daten dieser Person mehr\Noder weniger frei rumfliegen. Denn
Dialogue: 0,0:09:09.30,0:09:13.09,Default,,0000,0000,0000,,offensichtlich ist eine Lücke mit vielen\NBetroffenen schlimmer, als eine mit
Dialogue: 0,0:09:13.09,0:09:17.16,Default,,0000,0000,0000,,wenigen. Wenn also eine große Anzahl\NMenschen betroffen ist, sind wir schon bei
Dialogue: 0,0:09:17.16,0:09:20.86,Default,,0000,0000,0000,,Alarmstufe Dunkelrot. Aber so ganz\Npauschal kann man das auch nicht sagen.
Dialogue: 0,0:09:20.86,0:09:25.04,Default,,0000,0000,0000,,Denn wenn es um höchst private Daten geht,\Ndann sind auch wenige Betroffene schon
Dialogue: 0,0:09:25.04,0:09:30.19,Default,,0000,0000,0000,,eine sehr große Sicherheitslücke. Ein paar\NBeispiele für solche Daten stehen schon in
Dialogue: 0,0:09:30.19,0:09:35.28,Default,,0000,0000,0000,,der Datenschutzgrundverordnung in Artikel\N9, also z. B. Gesundheitsdaten wie Corona-
Dialogue: 0,0:09:35.28,0:09:39.37,Default,,0000,0000,0000,,Testergebnisse, Daten zur sexuellen\NOrientierung, zur weltanschaulichen
Dialogue: 0,0:09:39.37,0:09:42.36,Default,,0000,0000,0000,,Überzeugung, zur\NGewerkschaftszugehörigkeit und noch ein
Dialogue: 0,0:09:42.36,0:09:46.71,Default,,0000,0000,0000,,paar mehr. Wenn es also auch noch\Nbesonders sensible Daten sind, dann sind
Dialogue: 0,0:09:46.71,0:09:50.73,Default,,0000,0000,0000,,wir bei Alarmstufe dunkel-dunkel-\Ndunkelrot. Und das ist der Punkt, wo wir
Dialogue: 0,0:09:50.73,0:09:54.78,Default,,0000,0000,0000,,allerspätestens anfangen sollen, alles was\Nwir herausgefunden haben, aufzuschreiben.
Dialogue: 0,0:09:54.78,0:10:01.41,Default,,0000,0000,0000,,So: Es war einmal in einer Software vor\Nlanger Zeit ...
Dialogue: 0,0:10:01.41,0:10:06.07,Default,,0000,0000,0000,,Lilith: Moment Karl. Ein Report, das ist\Ndoch kein Roman. Also noch mal einen
Dialogue: 0,0:10:06.07,0:10:09.100,Default,,0000,0000,0000,,Schritt zurück. Nehmen wir an, wir haben\Neine relevante Sicherheitslücke gefunden
Dialogue: 0,0:10:09.100,0:10:13.88,Default,,0000,0000,0000,,und wissen durch die Kriterien von eben,\Nwie schlimm sie ist. Und jetzt wollen wir
Dialogue: 0,0:10:13.88,0:10:17.91,Default,,0000,0000,0000,,uns an das Responsible Disclosure-\NVerfahren wagen und die Sicherheitslücke
Dialogue: 0,0:10:17.91,0:10:22.58,Default,,0000,0000,0000,,melden. Um ehrlich zu sein: Das ist uns\Njetzt schon sehr oft passiert. Aber eine
Dialogue: 0,0:10:22.58,0:10:26.81,Default,,0000,0000,0000,,ordentliche Portion Adrenalin, die haben\Nwir dabei immer noch im Blut. Ist ja auch
Dialogue: 0,0:10:26.81,0:10:30.47,Default,,0000,0000,0000,,völlig normal. Da hat man\Nhöchstwahrscheinlich gerade Daten anderer
Dialogue: 0,0:10:30.47,0:10:34.46,Default,,0000,0000,0000,,Leute gesehen, die man nicht hätte sehen\Nsollen. Da geht der Puls halt schon mal
Dialogue: 0,0:10:34.46,0:10:39.08,Default,,0000,0000,0000,,hoch. Deshalb ist das Allerwichtigste in\Nso einer Situation: Erstmal Ruhe bewahren,
Dialogue: 0,0:10:39.08,0:10:42.100,Default,,0000,0000,0000,,noch mal nachschauen, habe ich da gerade\Nwirklich diese Sicherheitslücke gefunden
Dialogue: 0,0:10:42.100,0:10:46.98,Default,,0000,0000,0000,,und habe da wirklich diese Daten anderer\NLeute gesehen, die ich nicht hätte sehen
Dialogue: 0,0:10:46.98,0:10:51.50,Default,,0000,0000,0000,,sollen? Ich weiß. Guckt einfach noch mal\Nnach. Das klingt immer einfacher als es
Dialogue: 0,0:10:51.50,0:10:55.99,Default,,0000,0000,0000,,ist. Ganz wichtig ist dabei immer: Müllt\Nnie in den Daten anderer Leute. Ich meine,
Dialogue: 0,0:10:55.99,0:11:00.14,Default,,0000,0000,0000,,das steht schon in der Hacker*innenethik.\NLegt euch also, wenn immer es geht, einen
Dialogue: 0,0:11:00.14,0:11:04.55,Default,,0000,0000,0000,,zweiten Account an oder fragt Freundinnen,\Nob ihr deren Account benutzen könnt. Wenn
Dialogue: 0,0:11:04.55,0:11:08.44,Default,,0000,0000,0000,,ihr glaubt, dass ihr Daten verändern oder\Nlöschen könnt, bei denen es gar nicht
Dialogue: 0,0:11:08.44,0:11:12.60,Default,,0000,0000,0000,,hätte möglich sein sollen, dann versucht\Nes logischerweise auf gar keinen Fall an
Dialogue: 0,0:11:12.60,0:11:16.81,Default,,0000,0000,0000,,den Daten anderer Leute. Wenn dann\Nwirklich alles so ist, wie ihr es vermutet
Dialogue: 0,0:11:16.81,0:11:21.33,Default,,0000,0000,0000,,habt, dann geht es ans Schreiben. Ihr\Ndokumentiert die Lücke und das gleich für
Dialogue: 0,0:11:21.33,0:11:25.55,Default,,0000,0000,0000,,mehrere Zielgruppen. So ein Dokument, das\Ngeht nämlich üblicherweise durch mehrere
Dialogue: 0,0:11:25.55,0:11:30.03,Default,,0000,0000,0000,,Hände. Zuallererst kommt das zu Leuten,\Ndie nur die ersten paar Sätze lesen
Dialogue: 0,0:11:30.03,0:11:33.95,Default,,0000,0000,0000,,werden, die dann aber dafür verantwortlich\Nsind, dass das Dokument bei denjenigen
Dialogue: 0,0:11:33.95,0:11:38.31,Default,,0000,0000,0000,,ankommt, die auch den Rest eures\NGeschreibsels verstehen können. Deswegen
Dialogue: 0,0:11:38.31,0:11:42.26,Default,,0000,0000,0000,,sollten die ersten Sätze für alle Menschen\Nverständlich sein und die wichtigsten
Dialogue: 0,0:11:42.26,0:11:47.29,Default,,0000,0000,0000,,Fakten sollten da direkt rein. Dazu\Ngehören z. B. wie viele Leute sind von der
Dialogue: 0,0:11:47.29,0:11:50.99,Default,,0000,0000,0000,,Sicherheitslücke betroffen und welche\NDaten von diesen Leuten sind betroffen?
Dialogue: 0,0:11:50.99,0:11:55.57,Default,,0000,0000,0000,,Verzichtet dabei möglichst komplett auf\Ndie technischen Details. Dafür habt ihr im
Dialogue: 0,0:11:55.57,0:12:00.36,Default,,0000,0000,0000,,Report später noch genug Platz. Wenn ihr\Ndie Lücke auch an offizielle Stellen wie
Dialogue: 0,0:12:00.36,0:12:04.83,Default,,0000,0000,0000,,das CERT-Bund oder die Datenschutzbehörden\Nmeldet, ist es super super super sinnvoll
Dialogue: 0,0:12:04.83,0:12:08.72,Default,,0000,0000,0000,,direkt auch zu beschreiben, um was für\Neinen Dienst oder Produkt es geht. Weil
Dialogue: 0,0:12:08.72,0:12:12.31,Default,,0000,0000,0000,,das hilft diesen Stellen dann nämlich\Ndabei, die Lücke schneller und besser
Dialogue: 0,0:12:12.31,0:12:15.84,Default,,0000,0000,0000,,einzuschätzen.\NKarl: Stellen wir uns z. B. rein fiktiv
Dialogue: 0,0:12:15.84,0:12:19.95,Default,,0000,0000,0000,,vor, die Chaos Cat Community hat eine App\Nveröffentlicht, über die die Mitglieder
Dialogue: 0,0:12:19.95,0:12:23.58,Default,,0000,0000,0000,,ihre Daten verwalten können. Die hat eine\NSicherheitslücke und ihr habt die
Dialogue: 0,0:12:23.58,0:12:27.78,Default,,0000,0000,0000,,gefunden. Dann könntet ihr z. B. sowas\Nschreiben. "In der Mitglieds-App der Chaos
Dialogue: 0,0:12:27.78,0:12:31.16,Default,,0000,0000,0000,,Cat Community können durch eine\NSicherheitslücke die Daten aller
Dialogue: 0,0:12:31.16,0:12:35.84,Default,,0000,0000,0000,,Mitglieder abgerufen werden. Dazu gehören\NName, Adresse, Bezahlstatus und
Dialogue: 0,0:12:35.84,0:12:40.53,Default,,0000,0000,0000,,Impfstatus" und den Rest, den schreibt ihr\Ndann für eine technisch halbwegs fitte
Dialogue: 0,0:12:40.53,0:12:44.56,Default,,0000,0000,0000,,Zielgruppe, die wissen, was eine API ist\Nund wie man die benutzt. Schreibt also
Dialogue: 0,0:12:44.56,0:12:48.02,Default,,0000,0000,0000,,technisch präzise, aber kurz und\Nverständlich. Schreibt keine
Dialogue: 0,0:12:48.02,0:12:53.08,Default,,0000,0000,0000,,Bachelorarbeit, keinen Roman, sondern eine\Ngute Dokumentation. Da können Screenshots
Dialogue: 0,0:12:53.08,0:12:56.77,Default,,0000,0000,0000,,helfen, um das Problem besser zu\Nbeschreiben und nachvollziehbarer zu
Dialogue: 0,0:12:56.77,0:13:02.82,Default,,0000,0000,0000,,machen. Dabei beschreibt ihr 1., was genau\Ndie Sicherheitslücke ist und in unserem
Dialogue: 0,0:13:02.82,0:13:07.91,Default,,0000,0000,0000,,Beispiel könntet ihr dann z. B. sowas\Nschreiben wie: "Ich habe die API der Chaos
Dialogue: 0,0:13:07.91,0:13:13.25,Default,,0000,0000,0000,,Cat Community Mitglieder-App aufgerufen\Nund herausgefunden, dass ich über den API-
Dialogue: 0,0:13:13.25,0:13:19.43,Default,,0000,0000,0000,,Endpunkt /Members/{id} durch das\NHochzählen der Mitgliedsnummer (id)
Dialogue: 0,0:13:19.43,0:13:25.24,Default,,0000,0000,0000,,persönliche Daten aller Mitglieder abrufen\Nkann. Ein Profil sieht dabei z. B. so aus
Dialogue: 0,0:13:25.24,0:13:31.64,Default,,0000,0000,0000,,[...]" 2. Die Auswirkung: Auch relativ\Nkurz. Für diesen Fall z. B. "Durch diese
Dialogue: 0,0:13:31.64,0:13:35.65,Default,,0000,0000,0000,,Sicherheitslücke habe ich Zugriff auf die\Ngesamte Mitgliedsdatenbank der Chaos Cat
Dialogue: 0,0:13:35.65,0:13:40.81,Default,,0000,0000,0000,,Community, kann also von allen Mitgliedern\NName, Adresse, Geburtsdatum, Bezahlstatus
Dialogue: 0,0:13:40.81,0:13:46.09,Default,,0000,0000,0000,,und natürlich, dass sie Mitglieder sind,\Nerfahren." Das ist zum einen wichtig,
Dialogue: 0,0:13:46.09,0:13:50.17,Default,,0000,0000,0000,,damit die Gegenseite schnell verstehen\Nkann, wie schlimm diese Lücke ist. Und zum
Dialogue: 0,0:13:50.17,0:13:54.35,Default,,0000,0000,0000,,anderen hilft es den Aufsichtsbehörden\Ndabei, besser einzuschätzen, ob sie gegen
Dialogue: 0,0:13:54.35,0:13:58.21,Default,,0000,0000,0000,,das Unternehmen vorgehen müssen. Als 3.\Ngeht es darum, wie man die Lücke
Dialogue: 0,0:13:58.21,0:14:02.40,Default,,0000,0000,0000,,nachvollziehen kann. Beschreibt das in ein\Npaar Sätzen. Wenn ihr ein kurzes Skript
Dialogue: 0,0:14:02.40,0:14:06.20,Default,,0000,0000,0000,,habt, das das tut, könnt ihr auch das dort\Ndirekt einfügen. Sonst beschreibt in
Dialogue: 0,0:14:06.20,0:14:11.05,Default,,0000,0000,0000,,klaren Schritten, was man tun muss. Z. B.\N1. Mitglied der Chaos Cat Community
Dialogue: 0,0:14:11.05,0:14:13.56,Default,,0000,0000,0000,,werden.\NLinus: Katzen sind immer gut!
Dialogue: 0,0:14:13.56,0:14:19.99,Default,,0000,0000,0000,,Karl: 2. In der App anmelden, danach den\NLogin-Code merken. 3. Diese URL aufrufen.
Dialogue: 0,0:14:19.99,0:14:24.54,Default,,0000,0000,0000,,4. Das Profil von Katzi McCatface ist zu\Nsehen.
Dialogue: 0,0:14:24.54,0:14:28.85,Default,,0000,0000,0000,,Lilith: Und manchmal kann man auch noch\Nganz gute Tipps geben, wie die Lücke
Dialogue: 0,0:14:28.85,0:14:32.82,Default,,0000,0000,0000,,geschlossen werden kann. Wenn ihr da was\Nhabt, dann schreibt auch das in den Report
Dialogue: 0,0:14:32.82,0:14:36.84,Default,,0000,0000,0000,,'rein. Aber das muss auch nicht sein. Das\Nist schließlich Aufgabe des Unternehmens
Dialogue: 0,0:14:36.84,0:14:40.99,Default,,0000,0000,0000,,und nicht eure, das herauszufinden.\NNachdem ihr alle Infos für euren Report
Dialogue: 0,0:14:40.99,0:14:44.99,Default,,0000,0000,0000,,zusammen habt, dann muss das Unternehmen\Ndavon erfahren und dafür gibt es auch
Dialogue: 0,0:14:44.99,0:14:50.61,Default,,0000,0000,0000,,wieder mehrere Möglichkeiten.\N{\i1}Telefonklingel{\i0}
Dialogue: 0,0:14:50.61,0:14:56.31,Default,,0000,0000,0000,,CEO: Hack, Hack, Hack, guten Hack Hase,\Nwir machen die Bänke für die Daten, wie
Dialogue: 0,0:14:56.31,0:14:58.99,Default,,0000,0000,0000,,kann ich Ihnen helfen?\NKarl: Ja, hier ist Karl von der
Dialogue: 0,0:14:58.99,0:15:01.23,Default,,0000,0000,0000,,zerforschung. Wissen Sie, warum ich\Nanrufe?
Dialogue: 0,0:15:01.23,0:15:04.77,Default,,0000,0000,0000,,CEO: Möchten Sie eine Bestellung aufgeben\Noder haben Sie eine Reklamation?
Dialogue: 0,0:15:04.77,0:15:09.01,Default,,0000,0000,0000,,Karl: Weder noch. In Ihrem CRM ist durch\Neine CSRF mit missing authentication full
Dialogue: 0,0:15:09.01,0:15:12.78,Default,,0000,0000,0000,,access auf die PPI Ihrer Customers\Nmöglich.
Dialogue: 0,0:15:12.78,0:15:18.30,Default,,0000,0000,0000,,CEO: Wir haben MDF, HDF, Multiplex,\NVollholz. Was Anderes haben wir nicht.
Dialogue: 0,0:15:18.30,0:15:22.61,Default,,0000,0000,0000,,Karl: Achso, ne. Da haben Sie mich\Nfalsch verstanden. Ich habe da eine
Dialogue: 0,0:15:22.61,0:15:26.64,Default,,0000,0000,0000,,Sicherheitslücke bei Ihnen gefunden, durch\Ndie ich die Daten all Ihrer Kund*innen
Dialogue: 0,0:15:26.64,0:15:29.17,Default,,0000,0000,0000,,abrufen könnte. Hätten Sie 5 Minuten Zeit\Nfür mich?
Dialogue: 0,0:15:29.17,0:15:32.05,Default,,0000,0000,0000,,CEO: Ja, das ist schlecht.\NKarl: Ja, genau.
Dialogue: 0,0:15:32.05,0:15:35.52,Default,,0000,0000,0000,,CEO: Und was machen wir jetzt?\NKarl: Und da wollte ich jetzt mit Ihnen
Dialogue: 0,0:15:35.52,0:15:38.91,Default,,0000,0000,0000,,sprechen, wie ich mich am besten an Sie\Nwende, damit das möglichst
Dialogue: 0,0:15:38.91,0:15:44.52,Default,,0000,0000,0000,,schnell behoben wird.\NCEO: Das hat, das hat, das hat jemand für
Dialogue: 0,0:15:44.52,0:15:48.50,Default,,0000,0000,0000,,uns gemacht. Ich kann Ihnen, wenn Sie dran\Nbleiben, kann ich Ihnen Kontakt
Dialogue: 0,0:15:48.50,0:15:51.95,Default,,0000,0000,0000,,'raussuchen, den Sie anrufen können.\NKarl: Ja, das ist perfekt.
Dialogue: 0,0:15:51.95,0:15:57.35,Default,,0000,0000,0000,,CEO: Super, danke. Bis gleich!\NKarl: In vielen Situationen ist es
Dialogue: 0,0:15:57.35,0:16:01.57,Default,,0000,0000,0000,,wahrscheinlich am einfachsten, über das\NSchwachstellenformular des BSIs zu gehen.
Dialogue: 0,0:16:01.57,0:16:07.86,Default,,0000,0000,0000,,Das geht auch anonym. Das findet ihr unter\Ndieser URL. Wenn ihr das ausfüllt, schickt
Dialogue: 0,0:16:07.86,0:16:12.13,Default,,0000,0000,0000,,ihr die Schwachstellenmeldung direkt an,\Ndas CERT-Bund, also das Computer Emergency
Dialogue: 0,0:16:12.13,0:16:15.91,Default,,0000,0000,0000,,Response Team des Bundes. Das ist ein Team\Nbeim Bundesamt für Sicherheit in der
Dialogue: 0,0:16:15.91,0:16:20.45,Default,,0000,0000,0000,,Informationstechnik. Deren Hauptjob ist\Ndafür zu sorgen, dass die Infrastruktur
Dialogue: 0,0:16:20.45,0:16:24.68,Default,,0000,0000,0000,,der Bundesverwaltung sicher ist. Also z.\NB., dass niemand den Bundestag hackt.
Dialogue: 0,0:16:24.68,0:16:29.18,Default,,0000,0000,0000,,Daher sind die auch Ansprechpartner:in für\NLeute wie euch, wenn ihr Schwachstellen in
Dialogue: 0,0:16:29.18,0:16:33.93,Default,,0000,0000,0000,,der Infrastruktur des Bundes findet. Aber\Nnebenbei kümmern die sich auch darum,
Dialogue: 0,0:16:33.93,0:16:37.75,Default,,0000,0000,0000,,zwischen Sicherheitsforscher*innen und\NUnternehmen zu vermitteln. Also euren
Dialogue: 0,0:16:37.75,0:16:41.67,Default,,0000,0000,0000,,Report entgegenzunehmen, in der Regel\Ninnerhalb weniger Stunden zu prüfen, und
Dialogue: 0,0:16:41.67,0:16:46.48,Default,,0000,0000,0000,,dann den betroffenen Unternehmen Bescheid\Nzu sagen. Das macht es für euch jetzt ein
Dialogue: 0,0:16:46.48,0:16:50.38,Default,,0000,0000,0000,,bisschen einfacher, denn ihr müsst keinen\Ndirekten Kontakt zum Unternehmen haben.
Dialogue: 0,0:16:50.38,0:16:54.26,Default,,0000,0000,0000,,Außer natürlich, ihr wollt das. Und wenn\Ndas BSI einem Unternehmen schreibt, dann
Dialogue: 0,0:16:54.26,0:16:58.10,Default,,0000,0000,0000,,kümmern die sich oft sehr sehr schnell\Ndarum, die Sicherheitslücken zu schließen.
Dialogue: 0,0:16:58.10,0:17:01.98,Default,,0000,0000,0000,,Denn so ein Bundesadler auf dem Briefkopf\Nmacht einigen Eindruck. Ansonsten haben
Dialogue: 0,0:17:01.98,0:17:05.37,Default,,0000,0000,0000,,die auch rechtliche Möglichkeiten und\Nkönnen z. B. eine Produktwarnung
Dialogue: 0,0:17:05.37,0:17:08.69,Default,,0000,0000,0000,,aussprechen. Dabei warnen sie dann\Nöffentlich vor der Software eines
Dialogue: 0,0:17:08.69,0:17:13.03,Default,,0000,0000,0000,,Herstellers. Und das wollen die Hersteller\Nauf keinen Fall. Das kam aber erst 3 mal
Dialogue: 0,0:17:13.03,0:17:17.12,Default,,0000,0000,0000,,vor. Damals wurden Android-Handys\Nverkauft, die bereits mit Schadsoftware
Dialogue: 0,0:17:17.12,0:17:22.64,Default,,0000,0000,0000,,ausgeliefert wurden. Doch eins solltet ihr\Nimmer im Hinterkopf haben: Das BSI ist
Dialogue: 0,0:17:22.64,0:17:27.42,Default,,0000,0000,0000,,eine Sicherheitsbehörde wie Polizei und\NGeheimdienste und ist dem Innenministerium
Dialogue: 0,0:17:27.42,0:17:33.05,Default,,0000,0000,0000,,nachgeordnet. Das CERT-Bund arbeitet zwar\Nanders als Polizei und Geheimdienste und
Dialogue: 0,0:17:33.05,0:17:37.61,Default,,0000,0000,0000,,aus unserer Perspektive ziemlich\Nunabhängig. Aber überlegt euch immer, was
Dialogue: 0,0:17:37.61,0:17:42.54,Default,,0000,0000,0000,,ihr denen erzählt und meldet. Eine Lücke,\Ndie sich z. B. für einen Staatstrojaner
Dialogue: 0,0:17:42.54,0:17:46.73,Default,,0000,0000,0000,,eignet, wie das nächste Heartbleed oder\Nlog4shell, würden wir denen eher nicht
Dialogue: 0,0:17:46.73,0:17:51.94,Default,,0000,0000,0000,,melden. Damit das in Zukunft nicht mehr\Nnötig ist, fordern wir: Das BSI muss eine
Dialogue: 0,0:17:51.94,0:17:55.74,Default,,0000,0000,0000,,unabhängige Behörde werden. Der\NHacker*innen-Paragraf muss abgeschafft
Dialogue: 0,0:17:55.74,0:17:59.02,Default,,0000,0000,0000,,werden und genauso Frontex.\NLinus: Ja, das fordern wir schon lange.
Dialogue: 0,0:17:59.02,0:18:02.95,Default,,0000,0000,0000,,Soweit so gut. Es gibt aber auch ein paar\NSachen, die ihr beachten müsst bei eurem
Dialogue: 0,0:18:02.95,0:18:08.14,Default,,0000,0000,0000,,Bericht. Erstmal: Von vorne herein alles\Nerzählen, was ihr wisst. Kein Wissen
Dialogue: 0,0:18:08.14,0:18:13.38,Default,,0000,0000,0000,,zurückhalten und dann keine Forderungen\Nstellen. Keine Frage nach Geld, nicht nach
Dialogue: 0,0:18:13.38,0:18:17.37,Default,,0000,0000,0000,,einem T-Shirt, nicht nach Schokolade,\Nnicht nach irgendwelchen Geschenken. Gar
Dialogue: 0,0:18:17.37,0:18:21.43,Default,,0000,0000,0000,,nichts. Ihr verlangt überhaupt nichts und\Nihr legt alles Wissen sofort mit allen
Dialogue: 0,0:18:21.43,0:18:25.53,Default,,0000,0000,0000,,Empfehlungen auf den Tisch. Im\NUmkehrschluss müsst ihr aber auch
Dialogue: 0,0:18:25.53,0:18:29.73,Default,,0000,0000,0000,,aufpassen, dass ihr keine Forderungen an\Neuch stellen lasst. Also irgendwelche
Dialogue: 0,0:18:29.73,0:18:34.74,Default,,0000,0000,0000,,Geheimhaltungsvereinbarung, irgendetwas,\Nwas ihr unterschreiben sollt, was häufig
Dialogue: 0,0:18:34.74,0:18:38.62,Default,,0000,0000,0000,,übrigens auch Bedingungen sind bei Bug\NBounties, da muss man sehr vorsichtig
Dialogue: 0,0:18:38.62,0:18:42.74,Default,,0000,0000,0000,,sein, weil ihr da gerne mal ungewollt oder\Nunbedacht oder unvorsichtig einen
Dialogue: 0,0:18:42.74,0:18:47.63,Default,,0000,0000,0000,,Knebelvertrag eingeht, der euch nachher\Ndaran hindern soll, über die
Dialogue: 0,0:18:47.63,0:18:52.52,Default,,0000,0000,0000,,Sicherheitslücke zu sprechen oder noch\Neinmal dieses Thema von den betroffenen
Dialogue: 0,0:18:52.52,0:18:58.45,Default,,0000,0000,0000,,Unternehmen anzuschauen. Also\Nkeine Forderungen stellen und keinen
Dialogue: 0,0:18:58.45,0:19:02.87,Default,,0000,0000,0000,,Forderungen entsprechen, erst recht keinen\NGeheimhaltungvereinbarungen, sogenannten
Dialogue: 0,0:19:02.87,0:19:06.26,Default,,0000,0000,0000,,NDAs.\NLilith: Wir haben diesen Fehler auch mal
Dialogue: 0,0:19:06.26,0:19:10.25,Default,,0000,0000,0000,,gemacht und darüber ärgern wir uns echt\Nbis heute. Damals hatten wir noch nicht so
Dialogue: 0,0:19:10.25,0:19:14.22,Default,,0000,0000,0000,,viel Erfahrung und haben Sicherheitslücken\Nüber das offizielle Bug Bounty Programm
Dialogue: 0,0:19:14.22,0:19:17.93,Default,,0000,0000,0000,,eines Softwareherstellers gemeldet. Was\Nwir dabei überhaupt nicht bedacht haben
Dialogue: 0,0:19:17.93,0:19:21.34,Default,,0000,0000,0000,,ist, dass das Programm eine\NVerschwiegenheitklausel hatte, so dass wir
Dialogue: 0,0:19:21.34,0:19:25.27,Default,,0000,0000,0000,,bis heute nichts darüber erzählen oder\Nschreiben dürfen, was der Hersteller uns
Dialogue: 0,0:19:25.27,0:19:28.94,Default,,0000,0000,0000,,nicht vorher freigegeben hat. Genau das\Nist, was die Hersteller mit solchen
Dialogue: 0,0:19:28.94,0:19:32.69,Default,,0000,0000,0000,,Abmachungen erreichen wollen. Das Narrativ\Nzu kontrollieren und euch daran zu
Dialogue: 0,0:19:32.69,0:19:36.70,Default,,0000,0000,0000,,hindern, frei über diese Schwachstellen zu\Nsprechen. Und das ist ein Problem, weil
Dialogue: 0,0:19:36.70,0:19:40.48,Default,,0000,0000,0000,,auch wir als gesamte Gesellschaft, wir\Nmüssen über Sicherheitsprobleme in
Dialogue: 0,0:19:40.48,0:19:44.12,Default,,0000,0000,0000,,Software reden können. Denn nur so können\Nwir auch darüber sprechen, wie
Dialogue: 0,0:19:44.12,0:19:47.82,Default,,0000,0000,0000,,möglicherweise neue gesellschaftliche\NMaßnahmen aussehen, damit wir solche
Dialogue: 0,0:19:47.82,0:19:51.69,Default,,0000,0000,0000,,Lücken in Zukunft nicht mehr so viel\Nhaben. Versucht auch nicht, den
Dialogue: 0,0:19:51.69,0:19:55.45,Default,,0000,0000,0000,,Unternehmen, denen ihr da gerade eine\NSicherheitslücke gemeldet habt, irgendwie
Dialogue: 0,0:19:55.45,0:19:58.98,Default,,0000,0000,0000,,eure Beratungsdienstleistung oder\Nirgendwas anderes zu verkaufen. Geht auch
Dialogue: 0,0:19:58.98,0:20:02.54,Default,,0000,0000,0000,,nicht darauf ein, wenn die euch danach\Nfragen. Sagt einfach: "Ne, machen wir
Dialogue: 0,0:20:02.54,0:20:06.30,Default,,0000,0000,0000,,nicht. Ich habe euch jetzt was gemeldet\Nund damit muss gut sein." Das Risiko ist
Dialogue: 0,0:20:06.30,0:20:10.21,Default,,0000,0000,0000,,einfach zu groß, dass sie das dann später\Nsonst gegen euch verwenden. Wenn ihr euch
Dialogue: 0,0:20:10.21,0:20:13.92,Default,,0000,0000,0000,,irgendwie unsicher seid, ob euer Report,\Nso wie er gerade ist, gut ist oder ihr
Dialogue: 0,0:20:13.92,0:20:17.49,Default,,0000,0000,0000,,euch sonst in irgendeiner Situation\Nirgendwie auch nur ein bisschen unsicher
Dialogue: 0,0:20:17.49,0:20:21.21,Default,,0000,0000,0000,,seid, dann frag lieber nochmal jemanden,\Nder damit mehr Erfahrung hat. Das kann
Dialogue: 0,0:20:21.21,0:20:24.01,Default,,0000,0000,0000,,z. B. der Linus machen.\NLinus: Ja, das kann ich machen,
Dialogue: 0,0:20:24.01,0:20:27.93,Default,,0000,0000,0000,,schreibt ihr einfach an disclosure@ccc.de\NLilith: Genau, das kann der Linus machen.
Dialogue: 0,0:20:27.93,0:20:31.94,Default,,0000,0000,0000,,Und das ist auch nichts, wofür man sich\Nirgendwie schämen sollte. Wir haben das
Dialogue: 0,0:20:31.94,0:20:36.16,Default,,0000,0000,0000,,auch schon ganz oft gemacht, andere Leute\Nzu fragen. Und statt Linus könnt ihr auch
Dialogue: 0,0:20:36.16,0:20:40.36,Default,,0000,0000,0000,,einfach uns, zerforschung, fragen. Ihr\Nerreicht uns unter hallo@zerforschung.org
Dialogue: 0,0:20:40.36,0:20:43.94,Default,,0000,0000,0000,,und wir machen das super super gerne.\NLinus: Ja zerforschung kann das auch
Dialogue: 0,0:20:43.94,0:20:46.09,Default,,0000,0000,0000,,machen, dann muss ich das nicht alles\Nmachen.
Dialogue: 0,0:20:46.09,0:20:48.03,Default,,0000,0000,0000,,Die machen das bestimmt auch sehr gerne.
Dialogue: 0,0:20:48.03,0:20:51.95,Default,,0000,0000,0000,,Lilith: Ey Linus, das habe ich doch gerade\Nschon gesagt. Ihr solltet außerdem eine
Dialogue: 0,0:20:51.95,0:20:55.97,Default,,0000,0000,0000,,Sicherheitslücke immer zügig reporten.\ND. h. jetzt nicht, dass ihr es überstürzen
Dialogue: 0,0:20:55.97,0:21:00.35,Default,,0000,0000,0000,,müsst, aber ihr solltet z. B. nicht eine\NLücke finden, sie testweise mal ausnutzen
Dialogue: 0,0:21:00.35,0:21:04.29,Default,,0000,0000,0000,,und dann wert ihr das erstmal in die Ecke\Nund schreibt wochenlang keinen Report.
Dialogue: 0,0:21:04.29,0:21:08.28,Default,,0000,0000,0000,,Denn wenn das Unternehmen die Lücke von\Nsich aus in der Zeit findet und die dann
Dialogue: 0,0:21:08.28,0:21:12.12,Default,,0000,0000,0000,,über ihre Logs z. B. rausfinden, dass ihr\Ndie ausgenutzt habt und nicht Bescheid
Dialogue: 0,0:21:12.12,0:21:15.100,Default,,0000,0000,0000,,gesagt habt, dann wirkt das auf die\NUnternehmen vielleicht erstmal böswillig,
Dialogue: 0,0:21:15.100,0:21:19.99,Default,,0000,0000,0000,,weil die wissen ja nicht, dass ihr gute\NAbsichten habt und da wieder rauszukommen
Dialogue: 0,0:21:19.99,0:21:23.63,Default,,0000,0000,0000,,und seine guten Absichten zu beweisen, das\Nist dann manchmal wirklich sehr
Dialogue: 0,0:21:23.63,0:21:28.48,Default,,0000,0000,0000,,kompliziert und deswegen meldet Lücken von\Neuch aus, sobald ihr das einmal gut
Dialogue: 0,0:21:28.48,0:21:33.21,Default,,0000,0000,0000,,durchdacht habt und den Report formuliert\Nhabt, schickt ihn zeitnah raus. D. h.
Dialogue: 0,0:21:33.21,0:21:37.52,Default,,0000,0000,0000,,übrigens auch, schreibt alles in den\NReport, was ihr wisst. Wenn ihr dabei
Dialogue: 0,0:21:37.52,0:21:41.52,Default,,0000,0000,0000,,nämlich einfach Infos zurückhaltet, dann\Nkann es auch schnell so aussehen, als
Dialogue: 0,0:21:41.52,0:21:45.44,Default,,0000,0000,0000,,würdet ihr das vielleicht absichtlich\Nmachen. Und was eine echt beschissene Idee
Dialogue: 0,0:21:45.44,0:21:49.45,Default,,0000,0000,0000,,ist, ist dann Geld zu verlangen, um\Nirgendwie alles zu erzählen, was ihr
Dialogue: 0,0:21:49.45,0:21:53.76,Default,,0000,0000,0000,,wisst, weil ihr wisst ja: Erpresserisch\Nwirken, das kann ganz schnell böse enden.
Dialogue: 0,0:21:53.76,0:21:59.33,Default,,0000,0000,0000,,Also macht das auf keinen Fall. Was auch,\Nsowohl bei den Unternehmen, als auch bei
Dialogue: 0,0:21:59.33,0:22:02.76,Default,,0000,0000,0000,,den Behörden, wirklich nicht gut ankommt\Nist, wenn ihr einfach einen
Dialogue: 0,0:22:02.76,0:22:06.85,Default,,0000,0000,0000,,automatisierten Report mit eurem\NSchwachstellenscanner generiert und den
Dialogue: 0,0:22:06.85,0:22:11.01,Default,,0000,0000,0000,,dann einfach direkt verschickt. Also nicht\Nfalsch verstehen, auch so Scanner können
Dialogue: 0,0:22:11.01,0:22:15.46,Default,,0000,0000,0000,,total wichtige Hinweise liefern. Aber wenn\Nihr so einen Hinweis habt, dann steht ihr
Dialogue: 0,0:22:15.46,0:22:19.77,Default,,0000,0000,0000,,halt immer erst total am Anfang. Also\Nspringt ihr jetzt einmal zurück zum Beginn
Dialogue: 0,0:22:19.77,0:22:22.37,Default,,0000,0000,0000,,unseres Vortrags und fangt an, diese Lücke\Nzu bewerten.
Dialogue: 0,0:22:22.37,0:22:27.63,Default,,0000,0000,0000,,Karl: Das klingt jetzt vielleicht nach\Nviel Spaß und das ist es auch. Aber es ist
Dialogue: 0,0:22:27.63,0:22:31.22,Default,,0000,0000,0000,,wichtig, dass ihr vor jedem Schritt\Ngründlich nachdenkt. Denn es kann auch
Dialogue: 0,0:22:31.22,0:22:35.18,Default,,0000,0000,0000,,viel schiefgehen. Wenn ihr so eine Lücke\Ngefunden habt und sie meldet, dann sagt
Dialogue: 0,0:22:35.18,0:22:40.10,Default,,0000,0000,0000,,ihr damit implizit auch: Hey, ich habe die\NLücke ausgenutzt. Das geht natürlich kaum
Dialogue: 0,0:22:40.10,0:22:44.16,Default,,0000,0000,0000,,anders. Aber in Deutschland könnte das\Neine Straftat sein. Nach dem sogenannten
Dialogue: 0,0:22:44.16,0:22:48.86,Default,,0000,0000,0000,,Hacker*innen-Paragrafen 202\NStrafgesetzbuch. Der verbietet es sich
Dialogue: 0,0:22:48.86,0:22:53.78,Default,,0000,0000,0000,,Zugriff auf besonders geschützte Daten zu\Nverschaffen. Das klingt erstmal sinnvoll,
Dialogue: 0,0:22:53.78,0:22:58.00,Default,,0000,0000,0000,,aber der Paragraf ist super unklar und\Nwird dadurch auch gefährlich für Menschen,
Dialogue: 0,0:22:58.00,0:23:02.48,Default,,0000,0000,0000,,die eigentlich nichts Böses im Schilde\Nführen. Selbst die CDU, die sich dieses
Dialogue: 0,0:23:02.48,0:23:06.19,Default,,0000,0000,0000,,Gesetz ausgedacht hat, versteht die\NParagrafen nicht richtig und hat Lilith
Dialogue: 0,0:23:06.19,0:23:09.82,Default,,0000,0000,0000,,neulich angezeigt, nachdem sie eine\NSicherheitslücke in der CDU-App gefunden
Dialogue: 0,0:23:09.82,0:23:13.95,Default,,0000,0000,0000,,hat. Die hat sie natürlich richtig\Ngemeldet, aber das war der CDU egal. Die
Dialogue: 0,0:23:13.95,0:23:17.54,Default,,0000,0000,0000,,Staatsanwaltschaft hat am Ende gesagt:\N"Hey, die Daten waren so schlecht
Dialogue: 0,0:23:17.54,0:23:21.34,Default,,0000,0000,0000,,geschützt, das war nicht strafbar, darauf\Nzuzugreifen." Aber
Dialogue: 0,0:23:21.34,0:23:25.51,Default,,0000,0000,0000,,Sicherheitsforscher*innen sind da\Nnatürlich trotzdem in Gefahr. Und liebe
Dialogue: 0,0:23:25.51,0:23:29.90,Default,,0000,0000,0000,,CDU und alle betroffenen Unternehmen, es\Nist eine richtig schlechte Idee,
Dialogue: 0,0:23:29.95,0:23:35.08,Default,,0000,0000,0000,,Sicherheitsforscher*innen anzuzeigen. Und\Nnur wirklich sehr sehr schwierige Menschen
Dialogue: 0,0:23:35.08,0:23:39.68,Default,,0000,0000,0000,,versuchen das. Von denen haben wir zum\NGlück bisher wenige kennengelernt, aber es
Dialogue: 0,0:23:39.68,0:23:44.26,Default,,0000,0000,0000,,gibt sie. Daher hoffen wir sehr, dass\Ndieser Paragraf bald abgeschafft wird.
Dialogue: 0,0:23:44.26,0:23:47.78,Default,,0000,0000,0000,,Damit sind wir übrigens nicht die\NEinzigen. Das haben neulich auch ganz
Dialogue: 0,0:23:47.78,0:23:52.87,Default,,0000,0000,0000,,viele IT-Sicherheitsforscher*innen in\Neinem offenen Brief gefordert. Überlegt
Dialogue: 0,0:23:52.87,0:23:57.90,Default,,0000,0000,0000,,euch also gut, ob ihr eure Identität\Nherausgeben möchtet. Melden geht ja auch
Dialogue: 0,0:23:57.90,0:24:02.43,Default,,0000,0000,0000,,ohne euren richtigen Namen. Und denkt\Ndran: Im Internet seid in der Regel nicht
Dialogue: 0,0:24:02.43,0:24:07.10,Default,,0000,0000,0000,,anonym unterwegs. Schützt euch am besten\Nvon Anfang an. Denn wenn ihr etwas
Dialogue: 0,0:24:07.10,0:24:11.33,Default,,0000,0000,0000,,gefunden habt, dann wurde eure IP-Adresse\Nschon irgendwo mitgeloggt und es ist zu
Dialogue: 0,0:24:11.33,0:24:17.02,Default,,0000,0000,0000,,spät, sich noch um Anonymität zu kümmern.\NDazu haben Linus und ths neulich schon
Dialogue: 0,0:24:17.02,0:24:20.75,Default,,0000,0000,0000,,einen sehr guten Talk mit dem Titel "Du\Nkannst alles hacken, du darfst dich nur
Dialogue: 0,0:24:20.75,0:24:24.15,Default,,0000,0000,0000,,nicht erwischen lassen" gehalten.\NLinus: Oh, da habe ich zusammen mit
Dialogue: 0,0:24:24.15,0:24:26.94,Default,,0000,0000,0000,,Thorsten mal einen Vortrag drüber gehalten\Nunter dem Titel:
Dialogue: 0,0:24:26.94,0:24:30.84,Default,,0000,0000,0000,,"Du kannst alles hacken,\Ndu darfst dich nur nicht erwischen lassen"
Dialogue: 0,0:24:30.84,0:24:33.31,Default,,0000,0000,0000,,Karl: Ja genau. Dazu hat Linus und ths
Dialogue: 0,0:24:33.31,0:24:36.29,Default,,0000,0000,0000,,neulich zusammen schon einen sehr guten\NTalk mit dem Titel ...
Dialogue: 0,0:24:36.29,0:24:39.38,Default,,0000,0000,0000,,Linus: Habe ich doch gerade gesagt.\NKarl: Und wenn ihr mit dem Unternehmen
Dialogue: 0,0:24:39.38,0:24:43.93,Default,,0000,0000,0000,,kommuniziert, solltet ihr ebenfalls sehr\Nvorsichtig sein. Haltet keine relevanten
Dialogue: 0,0:24:43.93,0:24:48.11,Default,,0000,0000,0000,,Informationen zurück, aber passt auch auf,\Neuch nicht unnötig zu belasten. Und
Dialogue: 0,0:24:48.11,0:24:52.19,Default,,0000,0000,0000,,erwartet auch nicht, dass das Unternehmen\Neuch von Anfang an super dankbar ist.
Dialogue: 0,0:24:52.19,0:24:56.16,Default,,0000,0000,0000,,Gerade zu Beginn sind die oft erstmal im\NSchock und wissen nicht so recht, was da
Dialogue: 0,0:24:56.16,0:25:00.64,Default,,0000,0000,0000,,eigentlich gerade passiert. Dabei dürfen\Nsie euch natürlich nicht drohen, anzeigen
Dialogue: 0,0:25:00.64,0:25:05.40,Default,,0000,0000,0000,,oder ähnliches. Aber vielleicht sind sie\Nam Anfang ein bisschen pampig. Und wie
Dialogue: 0,0:25:05.40,0:25:10.29,Default,,0000,0000,0000,,bereits gesagt, seid extrem vorsichtig,\Nauf keinen Fall irgendwas zu tun, was euch
Dialogue: 0,0:25:10.29,0:25:16.10,Default,,0000,0000,0000,,als Drohung oder Erpressung ausgelegt\Nwerden könnte. Generell empfehlen wir eure
Dialogue: 0,0:25:16.10,0:25:19.62,Default,,0000,0000,0000,,Wohnung einfach immer in einem\Ndurchsuchungsbereiten Zustand zu halten.
Dialogue: 0,0:25:19.62,0:25:24.74,Default,,0000,0000,0000,,Es ist super scheiße, dass das gerade\Nnötig ist, aber aktuell ist es so und
Dialogue: 0,0:25:24.74,0:25:29.34,Default,,0000,0000,0000,,manchmal kommen die Bullen ja auch aus\Neinem ganz anderen Grund vorbei. Hier
Dialogue: 0,0:25:29.34,0:25:33.40,Default,,0000,0000,0000,,würden wir den Talk "Sie haben das Recht\Nzu schweigen" von Udo Vetter empfehlen.
Dialogue: 0,0:25:33.40,0:25:36.23,Default,,0000,0000,0000,,Den findet ihr z. B. auf\Nhttps://media.ccc.de und dort wird
Dialogue: 0,0:25:36.23,0:25:38.89,Default,,0000,0000,0000,,ausführlich erklärt, wie ihr euch am\Nbesten schützt.
Dialogue: 0,0:25:38.89,0:25:42.39,Default,,0000,0000,0000,,Lilith: Aber wo wir gerade darüber\Nsprechen, sich selbst zu schützen, das
Dialogue: 0,0:25:42.39,0:25:46.28,Default,,0000,0000,0000,,gilt natürlich nicht nur für eure Technik.\NKarl: Passt auf euch auf. Und ich weiß,
Dialogue: 0,0:25:46.28,0:25:50.08,Default,,0000,0000,0000,,das ist leichter gesagt als getan.\NLilith: Denn wenn man tatsächlich so eine
Dialogue: 0,0:25:50.08,0:25:53.33,Default,,0000,0000,0000,,Sicherheitslücke gefunden hat und all die\NSchritte anstehen, dann kann das ganz
Dialogue: 0,0:25:53.33,0:25:56.49,Default,,0000,0000,0000,,schön stressig werden.\NKarl: So eine Meldung kann viel Zeit,
Dialogue: 0,0:25:56.49,0:26:01.81,Default,,0000,0000,0000,,Nerven und auch eine Menge Schlaf kosten.\NLilith: Deshalb kümmert euch auch um eure
Dialogue: 0,0:26:01.81,0:26:06.48,Default,,0000,0000,0000,,Gesundheit, körperlich und auch geistig.\NKarl: Am besten sucht ihr euch Verbündete.
Dialogue: 0,0:26:06.48,0:26:10.15,Default,,0000,0000,0000,,Gute Freund:Innen, Menschen, mit denen ihr\Nreden könnt, denen ihr vertraut und die
Dialogue: 0,0:26:10.15,0:26:13.88,Default,,0000,0000,0000,,euch auch mal sagen, dass jetzt mal\NSchluss ist mit der Hackerei. Und
Dialogue: 0,0:26:13.88,0:26:17.46,Default,,0000,0000,0000,,stattdessen Zeit für einen Ausflug. Z. B.\Nzu einem hübschen Zug.
Dialogue: 0,0:26:17.46,0:26:22.23,Default,,0000,0000,0000,,L: Gegenseitig aufeinander aufpassen geht\Nnämlich viel besser zusammen als jeder für
Dialogue: 0,0:26:22.23,0:26:24.58,Default,,0000,0000,0000,,sich alleine.\NK: Und es tut einfach gut.
Dialogue: 0,0:26:24.58,0:26:27.63,Default,,0000,0000,0000,,L: Denn zerforschung, das ist genau das.\NEine krasse Herde.
Dialogue: 0,0:26:27.63,0:26:31.67,Default,,0000,0000,0000,,K: Und zusammen haben wir es geschafft,\Ndieses Jahr viel mehr zu erreichen, als
Dialogue: 0,0:26:31.67,0:26:34.89,Default,,0000,0000,0000,,jede von uns einzeln geschafft hätte.\NL: Und wir hatten auch noch richtig,
Dialogue: 0,0:26:34.89,0:26:38.98,Default,,0000,0000,0000,,richtig viel Spaß dabei.\NK: Außerdem haben wir so die Pandemie, bis
Dialogue: 0,0:26:38.98,0:26:43.37,Default,,0000,0000,0000,,jetzt, ein bisschen besser ausgehalten.\NL: Für uns ist total klar: Ohne dieses
Dialogue: 0,0:26:43.37,0:26:45.77,Default,,0000,0000,0000,,Kollektiv hätten wir das alles überhaupt\Ngar nicht hinbekommen.
Dialogue: 0,0:26:45.77,0:26:50.38,Default,,0000,0000,0000,,K: Schon alleine zeitlich. Es ist einfach\Nunglaublich entlastend, wenn man Aufgaben
Dialogue: 0,0:26:50.38,0:26:53.85,Default,,0000,0000,0000,,auch mal abgeben kann.\NL: Und mehrere Köpfe denken immer besser
Dialogue: 0,0:26:53.85,0:26:58.16,Default,,0000,0000,0000,,als nur einer. Durch das Kollektiv haben\Nwir unterschiedlichste Perspektiven und
Dialogue: 0,0:26:58.16,0:27:02.50,Default,,0000,0000,0000,,total unterschiedliche Skills.\NK: Und das ist einfach mega praktisch und
Dialogue: 0,0:27:02.50,0:27:05.79,Default,,0000,0000,0000,,schön.\NL: Natürlich kommt es vor, dass wir
Dialogue: 0,0:27:05.79,0:27:09.37,Default,,0000,0000,0000,,überhaupt keine Lust haben manchmal.\NK: Wenn wir uns bspw. an einem
Dialogue: 0,0:27:09.37,0:27:13.46,Default,,0000,0000,0000,,Dienstagabend um 23 Uhr 42 zusammensetzen\Nund feststellen:
Dialogue: 0,0:27:13.46,0:27:16.03,Default,,0000,0000,0000,,L: Ey, bis morgen um 6 Uhr muss der Text\Nfertig sein!
Dialogue: 0,0:27:16.03,0:27:19.03,Default,,0000,0000,0000,,K: Und die Threads für Social Media.\NL: Und irgendwer muss uns noch so ein
Dialogue: 0,0:27:19.03,0:27:22.43,Default,,0000,0000,0000,,Titelbild für den Blogpost basteln.\NK: Das ist wirklich nicht immer spaßig.
Dialogue: 0,0:27:22.43,0:27:26.76,Default,,0000,0000,0000,,L: Aber gemeinsam geht das dann doch immer\Nirgendwie. Und am Ende macht es uns immer
Dialogue: 0,0:27:26.76,0:27:29.53,Default,,0000,0000,0000,,wieder sehr, sehr glücklich, wenn wir das\NErgebnis sehen.
Dialogue: 0,0:27:29.53,0:27:33.66,Default,,0000,0000,0000,,K: Also, sucht euch Freund:Innen, bildet\NBanden und meldet eure Sicherheitslücken
Dialogue: 0,0:27:33.66,0:27:37.39,Default,,0000,0000,0000,,gemeinsam.\NL: Gut. Angenommen, ihr habt jetzt alles
Dialogue: 0,0:27:37.39,0:27:41.03,Default,,0000,0000,0000,,richtig gemacht und ihr sagt jetzt im\NUnternehmen Bescheid. Wir schauen uns
Dialogue: 0,0:27:41.03,0:27:44.34,Default,,0000,0000,0000,,jetzt an, was danach passiert.\N{\i1}Musik{\i0}
Dialogue: 0,0:27:44.34,0:27:47.08,Default,,0000,0000,0000,,CEO: 24?\N{\i1}Telefonklingel{\i0}
Dialogue: 0,0:27:47.08,0:27:59.90,Default,,0000,0000,0000,,CEO: Hack, Hack, Hack, guten Hack, wir\Nbauen die Bänke für Ihre Daten, wie kann
Dialogue: 0,0:27:59.90,0:28:02.23,Default,,0000,0000,0000,,ich Ihnen helfen? Datenabfluss haben wir\Nkeinen, wir haben ganz normalen, wir haben
Dialogue: 0,0:28:02.23,0:28:07.72,Default,,0000,0000,0000,,einen Industrieausguss einfach und dann\NSpülausguss. Datenabfluss? Ist das eine
Dialogue: 0,0:28:07.72,0:28:21.70,Default,,0000,0000,0000,,Krankheit oder was? Wie Kunden? Was, was\Nsoll d. h. Kundendaten? Sind sie na, ne,
Dialogue: 0,0:28:21.70,0:28:30.59,Default,,0000,0000,0000,,also. Da rufe ich, nein, da, da rufe ich\Ndie Polizei. Das geht so nicht! Ja ich
Dialogue: 0,0:28:30.59,0:28:36.16,Default,,0000,0000,0000,,habe einen Notruf. Also ich habe, haben\NSie eine Cyber Polizei irgendwas? Ich habe
Dialogue: 0,0:28:36.16,0:28:38.87,Default,,0000,0000,0000,,einen Anruf gerade gehabt, der wollte mich\Nerpressen oder sonst irgendwas. Der hat
Dialogue: 0,0:28:38.87,0:28:42.89,Default,,0000,0000,0000,,was mit Daten gesagt, Daten Abfluss, wir\Nhätten, der hätte alle meine Kundendaten.
Dialogue: 0,0:28:42.89,0:28:48.65,Default,,0000,0000,0000,,Nein, ich weiß nicht, der hat, Namen hat\Ner gesagt, ich weiß nicht, ich habe es mir
Dialogue: 0,0:28:48.65,0:28:52.18,Default,,0000,0000,0000,,nicht gemerkt, irgendwas, was adelig es,\Nvon zerforschung oder so was in der
Dialogue: 0,0:28:52.18,0:28:58.61,Default,,0000,0000,0000,,Richtung. Ja ich bleibe dran.\NLil: Tja, liebe Unternehmen, jetzt kommen
Dialogue: 0,0:28:58.61,0:29:03.82,Default,,0000,0000,0000,,wir mal zu euch. Eigentlich sind eure\NAufgaben relativ einfach erklärt. Seid
Dialogue: 0,0:29:03.82,0:29:08.22,Default,,0000,0000,0000,,freundlich und offen gegenüber der\NMeldenden, schließt die Lücken und kommt
Dialogue: 0,0:29:08.22,0:29:16.99,Default,,0000,0000,0000,,gar nicht erst auf die Idee, uns zu\Nverklagen. Naja, ein bisschen was haben
Dialogue: 0,0:29:16.99,0:29:20.38,Default,,0000,0000,0000,,wir dann vielleicht doch noch zu erzählen.\NVorweg: Ihr kommuniziert in einem
Dialogue: 0,0:29:20.38,0:29:24.77,Default,,0000,0000,0000,,Responsible-Disclosure-Prozess oft mit\Neiner Person oder einem Team, die das in
Dialogue: 0,0:29:24.77,0:29:29.44,Default,,0000,0000,0000,,ihrer Freizeit machen. Das bedeutet: Geht\Nwirklich ordentlich mit den Leuten um.
Dialogue: 0,0:29:29.44,0:29:33.44,Default,,0000,0000,0000,,K: Aber eigentlich fängt eure Aufgabe\Nschon weit vorher an. Lange bevor ihr die
Dialogue: 0,0:29:33.44,0:29:37.62,Default,,0000,0000,0000,,Hacker:Innen am Hörer habt. Der allererste\NSchritt für euch als Unternehmen ist es,
Dialogue: 0,0:29:37.62,0:29:41.20,Default,,0000,0000,0000,,erreichbar zu sein. Denn Fehler können\Npassieren. Aber wenn jemand diese
Dialogue: 0,0:29:41.20,0:29:44.96,Default,,0000,0000,0000,,außerhalb eurer Organisation findet, dann\Nsollten die euch möglichst einfach
Dialogue: 0,0:29:44.96,0:29:49.08,Default,,0000,0000,0000,,mitgeteilt werden können. Die wichtigste\NFrage, die sich Sicherheitsforscher:Innen
Dialogue: 0,0:29:49.08,0:29:53.39,Default,,0000,0000,0000,,da oft erstmal stellen, ist: Wie erreicht\Nman euch? Da hat es sich bewährt, dass ihr
Dialogue: 0,0:29:53.39,0:29:56.72,Default,,0000,0000,0000,,auf eurer Website eine spezielle E-Mail-\NAdresse für Sicherheitsangelegenheiten
Dialogue: 0,0:29:56.72,0:30:02.22,Default,,0000,0000,0000,,stehen habt, wie z. B. security@ Es ist\Naußerdem sehr ratsam, dass diese E-Mail-
Dialogue: 0,0:30:02.22,0:30:06.72,Default,,0000,0000,0000,,Adresse dann auch von mehreren Personen\Ngelesen und regelmäßig abgerufen wird.
Dialogue: 0,0:30:06.72,0:30:09.36,Default,,0000,0000,0000,,Denn es bringt nichts, wenn ihr eine\Nwichtige Sicherheitslücke gemeldet
Dialogue: 0,0:30:09.36,0:30:13.21,Default,,0000,0000,0000,,bekommt, aber die verantwortliche Person\Ngerade im Sommerurlaub ist oder eh nur
Dialogue: 0,0:30:13.21,0:30:17.20,Default,,0000,0000,0000,,einmal im Monat nachschaut. Die\Nankommenden Mails sollten am besten direkt
Dialogue: 0,0:30:17.20,0:30:20.83,Default,,0000,0000,0000,,von technisch kompetenten Personal gelesen\Nwerden, damit alles möglichst schnell
Dialogue: 0,0:30:20.83,0:30:25.50,Default,,0000,0000,0000,,gehen kann. Ihr solltet auch regelmäßig in\Nden Spam-Ordner schauen, denn Hacker:Innen
Dialogue: 0,0:30:25.50,0:30:28.86,Default,,0000,0000,0000,,nutzen manchmal ihre eigenen Mailserver\Nund die schaffen es nicht immer in den
Dialogue: 0,0:30:28.86,0:30:33.36,Default,,0000,0000,0000,,Posteingang, gerade bei Google und\NOutlook. Das mit der Erreichbarkeit klingt
Dialogue: 0,0:30:33.36,0:30:37.08,Default,,0000,0000,0000,,erstmal trivial, aber wir erleben es\Nregelmäßig, dass wir erstmal keine
Dialogue: 0,0:30:37.08,0:30:41.18,Default,,0000,0000,0000,,expliziten Ansprechpartner:In für solche\NSicherheitsprobleme finden. Das bedeutet
Dialogue: 0,0:30:41.18,0:30:45.48,Default,,0000,0000,0000,,dann: Wir schreiben an alle E-Mail-\NAdressen, die wir finden. Aus dem
Dialogue: 0,0:30:45.48,0:30:49.04,Default,,0000,0000,0000,,Impressum, der Datenschutzerklärung oder\Nder Kontaktseite. Und das ist natürlich
Dialogue: 0,0:30:49.04,0:30:53.23,Default,,0000,0000,0000,,auch für euch als Unternehmen suboptimal,\Ndenn dann landet die Meldung direkt bei
Dialogue: 0,0:30:53.23,0:30:56.57,Default,,0000,0000,0000,,einer Menge verschiedener Leute. Die sind\Nmeist gar nicht auf Sicherheitsmeldungen
Dialogue: 0,0:30:56.57,0:31:00.59,Default,,0000,0000,0000,,spezialisiert und können diese nicht\Nrichtig einschätzen. Dann herrscht erstmal
Dialogue: 0,0:31:00.59,0:31:04.73,Default,,0000,0000,0000,,Panik. Niemand weiß, was zu tun ist und\Ndann kann alles Mögliche passieren. Die
Dialogue: 0,0:31:04.73,0:31:07.94,Default,,0000,0000,0000,,Nachricht wird ignoriert oder im\Nschlimmsten Fall wird sie von den falschen
Dialogue: 0,0:31:07.94,0:31:11.93,Default,,0000,0000,0000,,Leuten in der Chefetage gelesen und dann\Nerstmal direkt zu den Anwälten eskaliert.
Dialogue: 0,0:31:11.93,0:31:16.82,Default,,0000,0000,0000,,Daher ist eine separate Adresse sinnvoll.\NUnd wenn dort eine Meldung eingeht,
Dialogue: 0,0:31:16.82,0:31:19.85,Default,,0000,0000,0000,,solltet ihr schnell reagieren und zeitnah\Neine Eingangsbestätigung versenden. Dann
Dialogue: 0,0:31:19.85,0:31:24.18,Default,,0000,0000,0000,,wissen wir, dass ihr die Meldung gelesen\Nhabt und wir nicht weiter probieren
Dialogue: 0,0:31:24.18,0:31:28.27,Default,,0000,0000,0000,,müssen, euch zu erreichen. Denn wenn wir\Nbei zerforschung euch auf dem E-Mail Weg
Dialogue: 0,0:31:28.27,0:31:32.56,Default,,0000,0000,0000,,nicht erreichen, dann versuchen wir es auf\Nimmer neuen Wegen. Dann schreiben wir euch
Dialogue: 0,0:31:32.56,0:31:36.95,Default,,0000,0000,0000,,vielleicht auf WhatsApp, sliden euch in\Ndie Twitter DMs, schicken euch ein Fax,
Dialogue: 0,0:31:36.95,0:31:40.83,Default,,0000,0000,0000,,suchen euch auf LinkedIn, rufen eure\NInvestoren an oder sogar eure Eltern. Wenn
Dialogue: 0,0:31:40.83,0:31:44.80,Default,,0000,0000,0000,,das nicht gerade das gleiche ist. Das\Nklingt erstmal komisch, aber all das haben
Dialogue: 0,0:31:44.80,0:31:48.02,Default,,0000,0000,0000,,wir schon gemacht. Denn wir wollen ganz\Nsichergehen, dass ihr über das Problem
Dialogue: 0,0:31:48.02,0:31:53.29,Default,,0000,0000,0000,,Bescheid wisst und es möglichst schnell\Nbehebt. Genau daher sollte Security
Dialogue: 0,0:31:53.29,0:31:57.58,Default,,0000,0000,0000,,Mailadresse einfach auffindbar sein, z. B.\Nim Impressum stehen oder noch cooler:
Dialogue: 0,0:31:57.58,0:32:02.27,Default,,0000,0000,0000,,zusätzlich in einer security.txt Das ist\Nein offener Standard, wie ihr alle
Dialogue: 0,0:32:02.27,0:32:05.29,Default,,0000,0000,0000,,relevanten Informationen für\NSicherheitsforschende auf eurer Website
Dialogue: 0,0:32:05.29,0:32:09.80,Default,,0000,0000,0000,,hinterlegt. Darin können dann sowohl die\Nkonkreten Ansprechwege, als auch eure
Dialogue: 0,0:32:09.80,0:32:14.13,Default,,0000,0000,0000,,bevorzugten Sprachen für die Meldung,\NCryptokeys und vieles mehr stehen. Damit
Dialogue: 0,0:32:14.13,0:32:17.12,Default,,0000,0000,0000,,macht ihr uns und auch euch die Arbeit\Neinfacher.
Dialogue: 0,0:32:17.12,0:32:21.31,Default,,0000,0000,0000,,Lil: So, ihr habt nun eine Meldung\Nerhalten und der nächste Schritt ist jetzt
Dialogue: 0,0:32:21.31,0:32:24.80,Default,,0000,0000,0000,,zu prüfen, ob ihr die Beschreibung der\NLücke auch tatsächlich nachvollziehen
Dialogue: 0,0:32:24.80,0:32:28.20,Default,,0000,0000,0000,,könnt. Denn wenn das so ist, dann solltet\Nihr das direkt gegenüber der
Dialogue: 0,0:32:28.20,0:32:33.30,Default,,0000,0000,0000,,Sicherheitsforscher:Innen bestätigen. Das\Nist wirklich wichtig, denn sonst werden
Dialogue: 0,0:32:33.30,0:32:38.48,Default,,0000,0000,0000,,wir euch einfach immer weiter nerven und\Ndas kostet uns und auch euch Zeit. Am
Dialogue: 0,0:32:38.48,0:32:43.24,Default,,0000,0000,0000,,besten erklärt ihr dann auch direkt, wie\Nes weiter geht, bis die Lücke behoben ist.
Dialogue: 0,0:32:43.24,0:32:48.29,Default,,0000,0000,0000,,Hierbei ist es sowohl interessant, welche\NSofortmaßnahmen ihr trefft, als auch,
Dialogue: 0,0:32:48.29,0:32:53.41,Default,,0000,0000,0000,,welche langfristigen Konsequenzen ihr\Ndaraus zieht. Z. B.: "Sehr geehrtes
Dialogue: 0,0:32:53.41,0:32:57.51,Default,,0000,0000,0000,,Hackerkollektiv zerforschung, wir haben\Ndie von Ihnen beschriebene Lücke
Dialogue: 0,0:32:57.51,0:33:01.01,Default,,0000,0000,0000,,nachvollziehen können und gestern Abend\Ndirekt den betroffenen Dienst
Dialogue: 0,0:33:01.01,0:33:04.82,Default,,0000,0000,0000,,vorübergehend offline genommen. Wir haben\Ndie Lücke geschlossen und überprüfen nun
Dialogue: 0,0:33:04.82,0:33:09.30,Default,,0000,0000,0000,,den Dienst noch einmal gründlich. Vielen\NDank für Ihr Responsible-Disclosure-
Dialogue: 0,0:33:09.30,0:33:13.22,Default,,0000,0000,0000,,Verfahren." L: Und wenn ihr die Lücke aus der\NBeschreibung nicht direkt nachvollziehen
Dialogue: 0,0:33:13.22,0:33:17.66,Default,,0000,0000,0000,,könnt, dann fragt lieber erstmal nach, ob\Nihr das alles richtig verstanden habt und
Dialogue: 0,0:33:17.66,0:33:23.21,Default,,0000,0000,0000,,behauptet auf gar keinen Fall vorschnell,\Ndass eine Lücke nicht existiert. Ihr wollt
Dialogue: 0,0:33:23.21,0:33:27.15,Default,,0000,0000,0000,,den Menschen, der euch da gerade geholfen\Nhat, auch wirklich auf dem Laufenden
Dialogue: 0,0:33:27.15,0:33:31.57,Default,,0000,0000,0000,,halten und keinerlei Missverständnisse in\Nder Kommunikation aufkommen lassen.
Dialogue: 0,0:33:31.57,0:33:35.95,Default,,0000,0000,0000,,Deswegen schickt lieber ein Update zu\Nviel, als eines zu wenig. Am besten ist
Dialogue: 0,0:33:35.95,0:33:40.05,Default,,0000,0000,0000,,natürlich: Haltet die Menschen regelmäßig\Nund unaufgefordert auf dem Laufenden.
Dialogue: 0,0:33:40.05,0:33:44.32,Default,,0000,0000,0000,,Schreibt z. B. jede Woche einmal den\Naktuellen Stand darüber, wie weit ihr mit
Dialogue: 0,0:33:44.32,0:33:48.90,Default,,0000,0000,0000,,der Problembehebung seid. Kommuniziert\Ndabei sehr, sehr deutlich. Wenn es z. B.
Dialogue: 0,0:33:48.90,0:33:53.02,Default,,0000,0000,0000,,eine Verschiebung in der Timeline zur\NBehebung gibt, dann solltet ihr das
Dialogue: 0,0:33:53.02,0:33:56.85,Default,,0000,0000,0000,,explizit so benennen und begründen. Ihr\Nwollt ja, dass die Sicherheitsforscherin
Dialogue: 0,0:33:56.85,0:34:02.07,Default,,0000,0000,0000,,ehrlich sind und vollständig transparent.\NAlso seid es auch. Packt alle Karten auf
Dialogue: 0,0:34:02.07,0:34:07.97,Default,,0000,0000,0000,,den Tisch und haltet nichts zurück.\NAußerdem ist das wichtig, da
Dialogue: 0,0:34:07.97,0:34:11.18,Default,,0000,0000,0000,,Sicherheitsforschernde manchmal auch\Nselber etwas über diese Lücke schreiben
Dialogue: 0,0:34:11.18,0:34:15.31,Default,,0000,0000,0000,,wollen. Wir z. B. versuchen danach immer\Neinen Blogpost zu schreiben. Dort
Dialogue: 0,0:34:15.31,0:34:18.27,Default,,0000,0000,0000,,beschreiben wir, wie wir die Lücke\Ngefunden haben und was die Auswirkungen
Dialogue: 0,0:34:18.27,0:34:22.55,Default,,0000,0000,0000,,davon waren. Dadurch können alle etwas aus\Ndiesem Fehler lernen und solche Lücken
Dialogue: 0,0:34:22.55,0:34:24.65,Default,,0000,0000,0000,,werden dadurch in Zukunft hoffentlich\Nseltener.
Dialogue: 0,0:34:24.65,0:34:29.67,Default,,0000,0000,0000,,K: Wenn ihr mit Sicherheitsforschenden\Nredet oder schreibt, gilt eigentlich das
Dialogue: 0,0:34:29.67,0:34:32.85,Default,,0000,0000,0000,,Gleiche wie für alle anderen Menschen.\NBenehmt euch nicht daneben, seid
Dialogue: 0,0:34:32.85,0:34:37.10,Default,,0000,0000,0000,,freundlich, ehrlich und dankbar gegenüber\Nden Melder:Innen. Bedenkt immer: Da helfen
Dialogue: 0,0:34:37.10,0:34:41.07,Default,,0000,0000,0000,,euch Leute in ihrer Freizeit eure Software\Nsicherer zu machen. Das wäre eigentlich
Dialogue: 0,0:34:41.07,0:34:45.36,Default,,0000,0000,0000,,eurer Job. Und ja, es ist keine schöne\NSituation, wenn da ein großes
Dialogue: 0,0:34:45.36,0:34:48.69,Default,,0000,0000,0000,,Sicherheitsproblem in eurer Software\Ngefunden wird. Aber daran sind nicht die
Dialogue: 0,0:34:48.69,0:34:51.81,Default,,0000,0000,0000,,Sicherheitsforscher:Innen schuld. Die\Nhaben die Lücke nur gefunden, nicht
Dialogue: 0,0:34:51.81,0:34:56.56,Default,,0000,0000,0000,,eingebaut. Don't shoot the messenger! Also\Nüberlegt mal, wie beschissen sich das für
Dialogue: 0,0:34:56.56,0:35:00.77,Default,,0000,0000,0000,,eure Gegenseite anfühlt. Da hat sich\Njemand in ihrer Freizeit hingesetzt, eure
Dialogue: 0,0:35:00.77,0:35:04.04,Default,,0000,0000,0000,,Software angeschaut und ein Problem\Ngefunden. Und dann hat die Person euch
Dialogue: 0,0:35:04.04,0:35:08.08,Default,,0000,0000,0000,,sogar Bescheid gesagt und von euch kommt\Nnur Gepöbel, Drohung oder gar eine
Dialogue: 0,0:35:08.08,0:35:12.32,Default,,0000,0000,0000,,Strafanzeige. Damit verschreckt ihr\Nehrliche Sicherheitsforscher:Innen. Das
Dialogue: 0,0:35:12.32,0:35:15.82,Default,,0000,0000,0000,,ist der worst case für eure Sicherheit.\NDenn die Lücken sind ja nicht weg, nur
Dialogue: 0,0:35:15.82,0:35:19.65,Default,,0000,0000,0000,,weil niemand sie euch meldet. Stattdessen\Nwerden die Lücken dann gar nicht gemeldet,
Dialogue: 0,0:35:19.65,0:35:22.86,Default,,0000,0000,0000,,als Full-Disclosure direkt im ganzen\NInternet bekannt gemacht oder an
Dialogue: 0,0:35:22.86,0:35:29.11,Default,,0000,0000,0000,,Kriminelle verkauft. Das musste auch die\NCDU auf die harte Tour lernen. Nachdem sie
Dialogue: 0,0:35:29.11,0:35:33.17,Default,,0000,0000,0000,,Lilith angezeigt hat, gab es einen großen\NAufschrei und sogar der CCC hat gesagt,
Dialogue: 0,0:35:33.17,0:35:36.06,Default,,0000,0000,0000,,dass sie der CDU keine Sicherheitslücken\Nmehr vertraulich melden werden.
Dialogue: 0,0:35:36.06,0:35:43.47,Default,,0000,0000,0000,,Lin: Das ist natürlich ein dramatischer\NFall. Wir können niemandem mehr reinen
Dialogue: 0,0:35:43.47,0:35:47.67,Default,,0000,0000,0000,,Gewissens dazu raten, der CDU\NSicherheitslücken zu melden. Wir werden
Dialogue: 0,0:35:47.67,0:35:53.63,Default,,0000,0000,0000,,das auf jeden Fall auch nicht mehr tun.\NWir wünschen der CDU viel Glück oder dass
Dialogue: 0,0:35:53.63,0:35:59.43,Default,,0000,0000,0000,,sie die Sicherheitslücken vielleicht\Nselber findet oder hofft, dass niemand
Dialogue: 0,0:35:59.43,0:36:04.60,Default,,0000,0000,0000,,anderes sie findet.\NK: Stattdessen wurden dann in den nächsten
Dialogue: 0,0:36:04.60,0:36:08.14,Default,,0000,0000,0000,,Tagen einige weitere Sicherheitslücken bei\Nder CDU gefunden und direkt öffentlich
Dialogue: 0,0:36:08.14,0:36:14.22,Default,,0000,0000,0000,,gemacht. Also passt sehr auf, dass ihr gut\Nmit den Meldenden umgeht und wirklich
Dialogue: 0,0:36:14.22,0:36:18.07,Default,,0000,0000,0000,,nichts macht, was in irgendeiner Form als\Neine Bedrohung ausgelegt werden könnte. Es
Dialogue: 0,0:36:18.07,0:36:21.54,Default,,0000,0000,0000,,ist selbstverständlich, dass ihr die Leute\Nnicht dazu zwingt, irgendwas zu
Dialogue: 0,0:36:21.54,0:36:24.34,Default,,0000,0000,0000,,unterschreiben. Keine\NVerschwiegenheitserklärung, kein
Dialogue: 0,0:36:24.34,0:36:28.63,Default,,0000,0000,0000,,Beratervertrag, nichts. Versucht es nicht\Nmal. Natürlich freuen sich
Dialogue: 0,0:36:28.63,0:36:31.95,Default,,0000,0000,0000,,Sicherheitsforscher:Innen oft, wenn ihr\Neuch in irgendeiner Form erkenntlich
Dialogue: 0,0:36:31.95,0:36:36.43,Default,,0000,0000,0000,,zeigt. Aber auch das spreche immer vorher\Nab, versendet nicht unaufgefordert
Dialogue: 0,0:36:36.43,0:36:40.38,Default,,0000,0000,0000,,Geschenke und überweist auch nicht einfach\Nein Bug Bounty. Fragt immer nach, ob das
Dialogue: 0,0:36:40.38,0:36:46.14,Default,,0000,0000,0000,,wirklich gewünscht ist. Und ganz wichtig:\NMacht es, um euch ehrlich erkenntlich zu
Dialogue: 0,0:36:46.14,0:36:50.95,Default,,0000,0000,0000,,zeigen. Das ist keine Gelegenheit für eine\Ncoole Pressemitteilung und bindet es auch
Dialogue: 0,0:36:50.95,0:36:56.03,Default,,0000,0000,0000,,nicht an Bedingungen. Dazu zählt auch:\NBedankt euch nicht einfach öffentlich.
Dialogue: 0,0:36:56.03,0:37:00.23,Default,,0000,0000,0000,,Nicht jede Person will auf der\NUnternehmenswebsite genannt werden oder
Dialogue: 0,0:37:00.23,0:37:03.78,Default,,0000,0000,0000,,auf euren Social Media Kanälen. Das kann\Nan der politischen Überzeugungen liegen,
Dialogue: 0,0:37:03.78,0:37:07.92,Default,,0000,0000,0000,,so wie wir z. B. nie bei der Bundeswehr\Ngenannt werden wöllten. Oder man möchte
Dialogue: 0,0:37:07.92,0:37:11.73,Default,,0000,0000,0000,,sich nicht mit der Lücke beschäftigen\Nweiter, es könnte Stress auf Arbeit
Dialogue: 0,0:37:11.73,0:37:14.73,Default,,0000,0000,0000,,bedeuten und manchmal wollen die Leute es\Nauch einfach nicht. Das müsst ihr
Dialogue: 0,0:37:14.73,0:37:18.31,Default,,0000,0000,0000,,akzeptieren.\NLil: Es hat sich bewährt, nicht nur in der
Dialogue: 0,0:37:18.31,0:37:21.81,Default,,0000,0000,0000,,direkten Kommunikation mit den\NSicherheitsforscher:Innen, sondern auch in
Dialogue: 0,0:37:21.81,0:37:24.61,Default,,0000,0000,0000,,der Außenkommunikation immer offen und\Nehrlich zu sein. Also nichts zu
Dialogue: 0,0:37:24.61,0:37:28.69,Default,,0000,0000,0000,,beschönigen oder sogar zu verschweigen.\NSeid immer transparent darüber, was
Dialogue: 0,0:37:28.69,0:37:33.36,Default,,0000,0000,0000,,passiert ist und wir das in Zukunft\Nvermeiden wollt. Es kann sein, dass Medien
Dialogue: 0,0:37:33.36,0:37:37.13,Default,,0000,0000,0000,,über den Sicherheitsvorfall bei euch\Nberichten wollen. Versucht wirklich nicht
Dialogue: 0,0:37:37.13,0:37:39.69,Default,,0000,0000,0000,,die anzulügen oder sogar\NSicherheitsforscher:Innen gegenüber
Dialogue: 0,0:37:39.69,0:37:43.80,Default,,0000,0000,0000,,Redaktionen zu diskreditieren. Das geht\Neigentlich immer für euch nach hinten los.
Dialogue: 0,0:37:43.80,0:37:47.01,Default,,0000,0000,0000,,Es gehört auch zum guten Ton, eine\NSicherheitslücke nicht einfach als
Dialogue: 0,0:37:47.01,0:37:50.11,Default,,0000,0000,0000,,Pressemitteilung völlig unabgesprochen mit\Nden Sicherheitsforscher:Innen, die die
Dialogue: 0,0:37:50.11,0:37:54.63,Default,,0000,0000,0000,,gefunden haben, zu veröffentlichen. Wir\Nmöchten euch außerdem dazu ermutigen, eure
Dialogue: 0,0:37:54.63,0:37:58.12,Default,,0000,0000,0000,,Nutzer:Innen über den Vorfall zu\Ninformieren. Auch das gehört zu einem
Dialogue: 0,0:37:58.12,0:38:02.41,Default,,0000,0000,0000,,guten und transparenten Umgang mit der\NSicherheitslücke. Selbst wenn ihr nahezu
Dialogue: 0,0:38:02.41,0:38:06.35,Default,,0000,0000,0000,,ausschließen könnt, dass deren Daten\Nabgeflossen sind. Das, was wir in den
Dialogue: 0,0:38:06.35,0:38:10.70,Default,,0000,0000,0000,,letzten Minuten erklärt haben, das sind\Nnur die absoluten Basics. Wenn ihr
Dialogue: 0,0:38:10.70,0:38:14.04,Default,,0000,0000,0000,,wirklich gut mit Sicherheitsmeldungen\Numgehen und eure Sicherheitsprozesse
Dialogue: 0,0:38:14.04,0:38:18.94,Default,,0000,0000,0000,,verbessern wollt, könnt ihr noch so viel\Nmehr tun. Dazu gibt es viel Literatur.
Dialogue: 0,0:38:18.94,0:38:23.34,Default,,0000,0000,0000,,Viel viel mehr als in diesen Talk passt.\NEin Link zu weiterführenden Inhalten und
Dialogue: 0,0:38:23.34,0:38:27.47,Default,,0000,0000,0000,,Dingen, die wir an diesem Talk erwähnt\Nhaben, findet ihr in den Shownotes unter
Dialogue: 0,0:38:27.47,0:38:34.11,Default,,0000,0000,0000,,https://rc3.zerforschung.org\NK: So, mit dieser Handreichung entlassen
Dialogue: 0,0:38:34.11,0:38:35.75,Default,,0000,0000,0000,,wir euch jetzt in die Weiten des\NInternets.
Dialogue: 0,0:38:35.75,0:38:39.07,Default,,0000,0000,0000,,Lil: Happy Hacking und bis bald!\N{\i1}Musik{\i0}
Dialogue: 0,0:38:39.07,0:38:50.28,Default,,0000,0000,0000,,CEO: Das Schlimmste sind die Aufträge von\Nden depperten Berlinern. Läuft die Kamera?
Dialogue: 0,0:38:50.28,0:38:58.04,Default,,0000,0000,0000,,Gut! Die gehen mir dermaßen auf den Sack.\NWollen Sonderfarben! Dieses, jenes! Smarte
Dialogue: 0,0:38:58.04,0:39:03.27,Default,,0000,0000,0000,,Bänke – kannst alles die Hasen geben!\NGelump! Des Gute ist bloß, du kannst Geld
Dialogue: 0,0:39:03.27,0:39:07.70,Default,,0000,0000,0000,,verlangen! Du nimmst deine alten scheiß\NPaletten, spaxt die zusammen, die zahlen
Dialogue: 0,0:39:07.70,0:39:12.60,Default,,0000,0000,0000,,dir 500 Euro! So der deppert sind die! Und\Nin ihrer unsanierten Altbauwohnung stellen
Dialogue: 0,0:39:12.60,0:39:17.45,Default,,0000,0000,0000,,sie das rein. Blanke Ziegel, das ist in!\NKannst ja gleich zum Fenster raus heizen.
Dialogue: 0,0:39:17.45,0:39:21.87,Default,,0000,0000,0000,,Ich verkaufe denen jeden Müll!
Dialogue: 0,0:39:21.87,0:39:25.62,Default,,0000,0000,0000,,Herald/Karl: So und mit diesen Worten sind\Nwir wieder zurück hier live auf der xHain
Dialogue: 0,0:39:25.62,0:39:31.25,Default,,0000,0000,0000,,Lichtung. Zuerst noch mal etwas\NOrganisatorisches: Jetzt ist ein kurzes
Dialogue: 0,0:39:31.25,0:39:33.89,Default,,0000,0000,0000,,Q&A geplant und falls Ihr noch Fragen\Nhabt, dann könnt ihr die Stellen entweder
Dialogue: 0,0:39:33.89,0:39:40.73,Default,,0000,0000,0000,,auf Twitter und Mastodon unter dem Hashtag\N#rc3xhain oder im hackint IRC im
Dialogue: 0,0:39:40.73,0:39:45.68,Default,,0000,0000,0000,,Channel #rc3-xhain. Auch nochmal der\NHinweis auf die Shownotes und das bald zur
Dialogue: 0,0:39:45.68,0:39:50.33,Default,,0000,0000,0000,,Verfügung stehende Script des gesamten\NFilms, den wir gerade geschaut haben unter
Dialogue: 0,0:39:50.33,0:39:56.44,Default,,0000,0000,0000,,https://rc3.zerforschung.org . Und falls\Nihr mehr Cringe von uns sehen wollt, dann
Dialogue: 0,0:39:56.44,0:39:59.34,Default,,0000,0000,0000,,folgt uns auf Twitter und natürlich auf\NTikTok und Instagram.
Dialogue: 0,0:39:59.34,0:40:03.00,Default,,0000,0000,0000,,Lil: Da gibt es all die Crintge-Videos,\Ndie wir übers Jahr hinweg produzieren.
Dialogue: 0,0:40:03.00,0:40:06.08,Default,,0000,0000,0000,,K: Und jetzt muss ich mich einmal an dir\Nvorbeidrängeln zu unserem schlauen Q&A
Dialogue: 0,0:40:06.08,0:40:09.65,Default,,0000,0000,0000,,Pad. Und da ist auch schon die 1. Frage\Naufgelaufen:
Dialogue: 0,0:40:09.65,0:40:13.60,Default,,0000,0000,0000,,Frage: Unterscheidet ihr zwischen echter\NSicherheitslücke, also z. B. irgendwie
Dialogue: 0,0:40:13.60,0:40:17.62,Default,,0000,0000,0000,,einer fehlerhaften Authentifizierung und\Neinem offenen Scheunentor? Also wenn man
Dialogue: 0,0:40:17.62,0:40:20.12,Default,,0000,0000,0000,,eine API hat, die einfach gar keine\NAuthentifizierung jemals hatte.
Dialogue: 0,0:40:20.12,0:40:24.28,Default,,0000,0000,0000,,Lil: Also, man ärgert sich natürlich mehr\Nüber das Scheunentor. Aber so
Dialogue: 0,0:40:24.28,0:40:27.42,Default,,0000,0000,0000,,grundsätzlich ergibt das für uns erstmal\Neinen Prozess und was wir so machen
Dialogue: 0,0:40:27.42,0:40:31.03,Default,,0000,0000,0000,,überhaupt keinen Unterschied.\NLin: Ja man müsste vielleicht noch
Dialogue: 0,0:40:31.03,0:40:34.89,Default,,0000,0000,0000,,ergänzen so: Es gibt ja auch teilweise\NSachen, so eine Information-Disclosure
Dialogue: 0,0:40:34.89,0:40:40.10,Default,,0000,0000,0000,,oder so, die ist dann, es wird häufiger\Nmal, dass Leute sagen: Ah, da ist aber
Dialogue: 0,0:40:40.10,0:40:43.09,Default,,0000,0000,0000,,jetzt hier Debugging an oder so was. Und\Nda ist ja halt der Unterschied: Findet man
Dialogue: 0,0:40:43.09,0:40:46.78,Default,,0000,0000,0000,,darin etwas, was einen weiteren Angriff\Nermöglicht oder nicht? Das spielt
Dialogue: 0,0:40:46.78,0:40:50.86,Default,,0000,0000,0000,,natürlich schon teilweise in der\NPriorisierung eine Rolle und irgendwie so
Dialogue: 0,0:40:50.86,0:40:56.00,Default,,0000,0000,0000,,absolute Kinkerlitzchen meldet man ja dann\Nvielleicht auch nicht unbedingt, wenn sie
Dialogue: 0,0:40:56.00,0:40:59.94,Default,,0000,0000,0000,,jetzt nicht unmittelbar halt sich weiter\Nverwerten lassen.
Dialogue: 0,0:40:59.94,0:41:02.56,Default,,0000,0000,0000,,Lil: Genau und wie man vielleicht auch\Nwährend des Vortrags selbst jetzt gerade
Dialogue: 0,0:41:02.56,0:41:05.60,Default,,0000,0000,0000,,gemerkt hat, geht es bei uns ja vor allem\Ndarum, wenn wir tatsächlich Datenabflüsse
Dialogue: 0,0:41:05.60,0:41:08.72,Default,,0000,0000,0000,,haben. D. h. nicht, dass es nicht ganz\Nviele andere Arten von
Dialogue: 0,0:41:08.72,0:41:13.86,Default,,0000,0000,0000,,Sicherheitsproblemen gibt, aber wir sehen\Nhalt relativ viele Datenabflüsse und das
Dialogue: 0,0:41:13.86,0:41:16.53,Default,,0000,0000,0000,,ist das, was wir auch immer ziemlich\Nproblematisch finden. Und da bewerten wir
Dialogue: 0,0:41:16.53,0:41:21.61,Default,,0000,0000,0000,,natürlich nach den Daten, die da irgendwie\Nrausfallen und nicht so stark danach, wie
Dialogue: 0,0:41:21.61,0:41:26.34,Default,,0000,0000,0000,,schlimm, wie diese Lücke zustandekommt.\NAlso ob da irgendwie ein Debug Modus an
Dialogue: 0,0:41:26.34,0:41:31.17,Default,,0000,0000,0000,,ist und wir bekommen dann Credentials aus\Ndem Service raus oder ob da eine API ist,
Dialogue: 0,0:41:31.17,0:41:34.06,Default,,0000,0000,0000,,wo wir hochzählen oder was viel\Nkomplexeres.
Dialogue: 0,0:41:34.06,0:41:37.45,Default,,0000,0000,0000,,K: Und was damit auch ein bisschen\Nzusammenhängt – was wir jetzt schon öfter
Dialogue: 0,0:41:37.45,0:41:41.04,Default,,0000,0000,0000,,gehört haben – Unternehmen, die sich dann\Ndamit verteidigen, dass das ja nur 2
Dialogue: 0,0:41:41.04,0:41:44.79,Default,,0000,0000,0000,,Wochen offen war oder nur einen Monat. Und\Ndann müssen wir auch sagen: Ja, schön,
Dialogue: 0,0:41:44.79,0:41:47.100,Default,,0000,0000,0000,,dass die Lücke nur so kurz war, bis jemand\Nsie gefunden hat und irgendwie ein
Dialogue: 0,0:41:47.100,0:41:51.23,Default,,0000,0000,0000,,Responsible-Disclosure-Verfahren gemacht\Nhat. Aber wenn die Daten einmal
Dialogue: 0,0:41:51.23,0:41:54.89,Default,,0000,0000,0000,,abgeflossen sind, dann ist das relativ\Negal und das dauert oft nur wenige
Dialogue: 0,0:41:54.89,0:42:00.69,Default,,0000,0000,0000,,Sekunden. Dann wo wir gerade schon über\NZeiträume sprechen, ist hier die nächste
Dialogue: 0,0:42:00.69,0:42:02.90,Default,,0000,0000,0000,,Frage:\NF: Was sind denn vernünftige Zeiträume
Dialogue: 0,0:42:02.90,0:42:06.40,Default,,0000,0000,0000,,zwischen einer Meldung und einer\NVeröffentlichung? Linus?
Dialogue: 0,0:42:06.40,0:42:13.16,Default,,0000,0000,0000,,Lin: Also die ich glaube, die übliche\NRegel ist ja so 90 Tage, die sich so als
Dialogue: 0,0:42:13.16,0:42:17.50,Default,,0000,0000,0000,,ein Standard mal entwickelt hat. Aber\Njetzt in diesem Sonderfall, wenn
Dialogue: 0,0:42:17.50,0:42:22.13,Default,,0000,0000,0000,,Kundendaten, also Personendaten betroffen\Nsind, kann man jetzt nicht sagen: Hier, in
Dialogue: 0,0:42:22.13,0:42:29.50,Default,,0000,0000,0000,,3 Monaten muss das aber weg sein. Ja? Du\Ndu du! Also da, ich denke, dass man das so
Dialogue: 0,0:42:29.50,0:42:34.81,Default,,0000,0000,0000,,von Fall zu Fall ein bisschen anhand der\NDringlichkeit entscheidet und die Antwort,
Dialogue: 0,0:42:34.81,0:42:39.78,Default,,0000,0000,0000,,die man ja eigentlich haben möchte ist,\Ndas es halt schneller gefixt ist, als man
Dialogue: 0,0:42:39.78,0:42:44.80,Default,,0000,0000,0000,,jetzt überhaupt bereit wäre zu\Nveröffentlichen. Wenn das nicht der Fall
Dialogue: 0,0:42:44.80,0:42:48.21,Default,,0000,0000,0000,,ist, dann kann man ja schon sagen: Ok,\Npasst auf, so in ein paar Minuten muss es
Dialogue: 0,0:42:48.21,0:42:52.67,Default,,0000,0000,0000,,und dann und dann muss das weg sein. Aber\Nauf jeden Fall kann man ja eigentlich erst
Dialogue: 0,0:42:52.67,0:42:58.96,Default,,0000,0000,0000,,veröffentlichen, wenn es gefixt ist, weil\Nsonst würde ja die Veröffentlichung quasi
Dialogue: 0,0:42:58.96,0:43:03.62,Default,,0000,0000,0000,,anderen den Zugriff auf diese Daten\Nerklären. Das ist halt besonders dieser
Dialogue: 0,0:43:03.62,0:43:07.46,Default,,0000,0000,0000,,Sonderfall, betroffene Kundendaten, den\Nihr ja sehr viel behandelt.
Dialogue: 0,0:43:07.46,0:43:11.14,Default,,0000,0000,0000,,Lil: Ganz genau. Also was bei uns immer so\Nder allerwichtigste Zeitmaß ist, dass wir
Dialogue: 0,0:43:11.14,0:43:14.89,Default,,0000,0000,0000,,immer versuchen, nachdem wir den Report\Nfertig haben, innerhalb von 48 Stunden
Dialogue: 0,0:43:14.89,0:43:18.11,Default,,0000,0000,0000,,eine Rückmeldung vom Unternehmen zu haben,\Nin Sonderfällen sogar noch deutlich
Dialogue: 0,0:43:18.11,0:43:22.83,Default,,0000,0000,0000,,schneller. Und dann hängt das halt ein\Nbisschen vom Fall und vom Unternehmen ab.
Dialogue: 0,0:43:22.83,0:43:27.33,Default,,0000,0000,0000,,Aber ja, es sollte sehr, sehr, sehr zügig\Ngehen. Genau.
Dialogue: 0,0:43:27.33,0:43:30.69,Default,,0000,0000,0000,,K: Aber man sollte den Unternehmen\Nnatürlich trotzdem auch irgendwie die
Dialogue: 0,0:43:30.69,0:43:36.07,Default,,0000,0000,0000,,Möglichkeit geben, zumindest sinnvoll\Nreagieren zu können. Also irgendwie 12
Dialogue: 0,0:43:36.07,0:43:39.66,Default,,0000,0000,0000,,Stunden ist ein bisschen sehr kurz, von\Nirgendwie einer Meldung bis zu einer
Dialogue: 0,0:43:39.66,0:43:44.28,Default,,0000,0000,0000,,Veröffentlichung. Aber wenn man jetzt mit\Neinem Unternehmen spricht, ist hier die
Dialogue: 0,0:43:44.28,0:43:46.94,Default,,0000,0000,0000,,nächste Frage:\NF: Was macht man, wenn die Betreiber:Innen
Dialogue: 0,0:43:46.94,0:43:51.45,Default,,0000,0000,0000,,einer Software das Ganze bagatellisieren\Nwollen und z. B. gegenüber der Presse
Dialogue: 0,0:43:51.45,0:43:54.18,Default,,0000,0000,0000,,sowas runter reden? Linus, du hast ja mit\NPresse viel Erfahrung.
Dialogue: 0,0:43:54.18,0:44:00.87,Default,,0000,0000,0000,,Lin: Das machen die ja immer. Also nicht\Nein einziges Mal habe ich jetzt irgendwas
Dialogue: 0,0:44:00.87,0:44:05.08,Default,,0000,0000,0000,,erlebt, wo nicht zumindest in irgendeiner\NForm versucht wird, das noch so ein
Dialogue: 0,0:44:05.08,0:44:07.80,Default,,0000,0000,0000,,bisschen runter zu spielen. Lilith, du\Nsagtest ja gerade schon, das war ja nur
Dialogue: 0,0:44:07.80,0:44:15.95,Default,,0000,0000,0000,,für einen kurzen Moment von 2 Monaten war\Ndie API offen oder ein kleiner Teil wurde
Dialogue: 0,0:44:15.95,0:44:19.56,Default,,0000,0000,0000,,zugegriffen. Das ist so die\NLieblingsausrede. Ja, wir haben 5
Dialogue: 0,0:44:19.56,0:44:25.04,Default,,0000,0000,0000,,Millionen Kundendaten ins Feuer gestellt,\Naber zerforschung hat nur 23 abgegriffen
Dialogue: 0,0:44:25.04,0:44:28.90,Default,,0000,0000,0000,,oder so. Und deswegen müssen wir jetzt z.\NB. auch den Betroffenen das nicht melden.
Dialogue: 0,0:44:28.90,0:44:34.78,Default,,0000,0000,0000,,Also eine Bagatellisierung in irgendeiner\NForm kommt immer. Und es ist ja auch
Dialogue: 0,0:44:34.78,0:44:41.14,Default,,0000,0000,0000,,gewissermaßen verständlich, dass Sie auch\Nnatürlich den Trost, den tröstenden Teil
Dialogue: 0,0:44:41.14,0:44:46.34,Default,,0000,0000,0000,,dazu spenden wollen. Ich finde, es ist\Nschon ok. Schlimm finde ich, wenn es halt
Dialogue: 0,0:44:46.34,0:44:51.66,Default,,0000,0000,0000,,irgendwie so negiert wird oder die, die\NMeldende halt in irgendeiner Form
Dialogue: 0,0:44:51.66,0:44:55.38,Default,,0000,0000,0000,,angegriffen wird, ja. Also das die sagen:\N"Das ist alles nicht so schlimm. Wir haben
Dialogue: 0,0:44:55.38,0:44:58.82,Default,,0000,0000,0000,,die Situation unter Kontrolle. Hier gibt\Nes nichts mehr zu sehen", das ist klar und
Dialogue: 0,0:44:58.82,0:45:02.23,Default,,0000,0000,0000,,das, finde ich, sollte man ihnen auch\Nnicht übel nehmen. Was sollen sie sonst
Dialogue: 0,0:45:02.23,0:45:06.49,Default,,0000,0000,0000,,machen? Aber wenn sie jetzt irgendwie\Npersönlich werden oder sagen: "Ja, die
Dialogue: 0,0:45:06.49,0:45:11.05,Default,,0000,0000,0000,,Meldefrist war zu kurz" oder was in diesem\NJahr waren wirklich echt viele Vorwürfe,
Dialogue: 0,0:45:11.05,0:45:15.25,Default,,0000,0000,0000,,oder?\NLil: Also genau für uns hat es sich halt
Dialogue: 0,0:45:15.25,0:45:18.51,Default,,0000,0000,0000,,auch so bewährt zu schauen, dass man einen\Nprofessionellen Medienpartner für die
Dialogue: 0,0:45:18.51,0:45:22.87,Default,,0000,0000,0000,,Veröffentlichung der Sicherheitslücke\Nfindet, weil wir dann ein bisschen besser
Dialogue: 0,0:45:22.87,0:45:27.01,Default,,0000,0000,0000,,das Narrativ für uns auch kontrollieren\Nkönnen. Das wir halt sagen können: Ja, da
Dialogue: 0,0:45:27.01,0:45:30.10,Default,,0000,0000,0000,,wird auch, da wird auf jeden Fall die\Nunsere Seite der ganzen Story nochmal
Dialogue: 0,0:45:30.10,0:45:34.71,Default,,0000,0000,0000,,erzählt vs das Unternehmen haut eine\NPressemitteilung raus und sagt dann euch
Dialogue: 0,0:45:34.71,0:45:39.79,Default,,0000,0000,0000,,lieb Dankeschön. Im besten Fall, im\Nschlimmsten Fall zeigen sie euch
Dialogue: 0,0:45:39.79,0:45:45.86,Default,,0000,0000,0000,,vielleicht an oder so. Genau, aber haben\Nda das Narrativ völlig inne. Also es ist
Dialogue: 0,0:45:45.86,0:45:49.00,Default,,0000,0000,0000,,irgendwie, für uns ist es ganz wichtig,\Nimmer einen Weg zu finden, dass wir das so
Dialogue: 0,0:45:49.00,0:45:53.69,Default,,0000,0000,0000,,ein bisschen haben.\NK: Da du gerade schon von Partner:Innen in
Dialogue: 0,0:45:53.69,0:45:58.43,Default,,0000,0000,0000,,solchen Verfahren sprichst, kommt hier die\NFrage nach den Datenschutzbehörden und was
Dialogue: 0,0:45:58.43,0:46:02.01,Default,,0000,0000,0000,,unsere Erfahrungen in der Zusammenarbeit\Nmit Datenschutzbehörden sind.
Dialogue: 0,0:46:02.01,0:46:08.58,Default,,0000,0000,0000,,F: Wenn wir denen etwas melden, scheinen\Ndie kompetent, tun sie ausreichend viel?
Dialogue: 0,0:46:08.58,0:46:13.21,Default,,0000,0000,0000,,Lil: Die haben halt einen begrenzten\NSpielraum in Deutschland. Also so eine
Dialogue: 0,0:46:13.21,0:46:15.96,Default,,0000,0000,0000,,Datenschutzbehörde, die kann nicht\Nunbegrenzt viel machen, die kann nicht
Dialogue: 0,0:46:15.96,0:46:19.35,Default,,0000,0000,0000,,einfach beim 1. Verstoß einfach so sagen:\N"Wir erheben jetzt ein sehr hohes
Dialogue: 0,0:46:19.35,0:46:22.49,Default,,0000,0000,0000,,Bußgeld", da sind die relativ\Neingeschränkt und da wird relativ viel
Dialogue: 0,0:46:22.49,0:46:26.34,Default,,0000,0000,0000,,Druck auf die auch ausgeübt aus Politik\Nund Wirtschaft usw. und so fort. Deswegen
Dialogue: 0,0:46:26.34,0:46:29.32,Default,,0000,0000,0000,,haben die immer so einen relativ\Nbegrenzten Spielraum. Auf dieser
Dialogue: 0,0:46:29.32,0:46:33.56,Default,,0000,0000,0000,,Arbeitsebene mit den Datenschutzbehörden\Nzusammenzuarbeiten, läuft bei uns im
Dialogue: 0,0:46:33.56,0:46:38.31,Default,,0000,0000,0000,,Kollektiv eigentlich immer super gut. Also\Nwir haben da ein sehr gutes Verhältnis und
Dialogue: 0,0:46:38.31,0:46:42.23,Default,,0000,0000,0000,,die sind immer nett, die freuen sich über\Nunsere Meldungen. Manchmal helfen wir
Dialogue: 0,0:46:42.23,0:46:45.94,Default,,0000,0000,0000,,denen, die nachzuvollziehen. Und dann\Nbeginnt bei denen halt ein Prozess. Aber
Dialogue: 0,0:46:45.94,0:46:49.22,Default,,0000,0000,0000,,so rein rechtlich kann euch eine\NDatenschutzbehörde in diesem Prozess nicht
Dialogue: 0,0:46:49.22,0:46:53.63,Default,,0000,0000,0000,,immer informieren. Also ihr gebt da als\NForscherin was rein und dann passiert
Dialogue: 0,0:46:53.63,0:46:56.70,Default,,0000,0000,0000,,irgendwas und vielleicht gibt es\Nirgendwann eine Pressemitteilung. Leider
Dialogue: 0,0:46:56.70,0:47:00.98,Default,,0000,0000,0000,,kommt das wirklich, wirklich selten vor,\Ndass ein Unternehmen danach auch eine
Dialogue: 0,0:47:00.98,0:47:04.57,Default,,0000,0000,0000,,Strafe bekommt. Z. B. die also der\NDatenschutz schaut manchmal ein bisschen
Dialogue: 0,0:47:04.57,0:47:07.01,Default,,0000,0000,0000,,genauer dann hin bei diesem Unternehmen\Nund kümmert sich drum, dass die Lücke
Dialogue: 0,0:47:07.01,0:47:10.54,Default,,0000,0000,0000,,wirklich geschlossen wird. Strafen sind\Nleider relativ selten.
Dialogue: 0,0:47:10.54,0:47:16.02,Default,,0000,0000,0000,,Lin: Ganz kurz, weil, ich höre da so ein\Nleichtes Missverständnis aus der Frage
Dialogue: 0,0:47:16.02,0:47:19.76,Default,,0000,0000,0000,,heraus. Es gibt halt IT-Sicherheit und\NDatenschutz. Und Datenschutz ist erstmal
Dialogue: 0,0:47:19.76,0:47:23.21,Default,,0000,0000,0000,,ja nur ein rechtliches Gefüge. Also nur\Nweil du eine Sicherheitslücke hast, heißt
Dialogue: 0,0:47:23.21,0:47:27.71,Default,,0000,0000,0000,,es nicht notwendigerweise das du jetzt\Neinen Datenschutzverstoß hast. Du hast den
Dialogue: 0,0:47:27.71,0:47:31.60,Default,,0000,0000,0000,,dann, wenn du die zu spät meldest, wenn du\Ndie Leute nicht informiert oder oder oder.
Dialogue: 0,0:47:31.60,0:47:35.64,Default,,0000,0000,0000,,Oder wenn z. B. im Rahmen der\NSicherheitslücke klar wird, dass du da
Dialogue: 0,0:47:35.64,0:47:39.62,Default,,0000,0000,0000,,Daten auf dem Server hast, die da nach\NLöschfristen gar nicht mehr sein dürfen,
Dialogue: 0,0:47:39.62,0:47:43.93,Default,,0000,0000,0000,,ja solche Dinge. Das ist dann das, das\Nberührt dann das juristische Gefüge
Dialogue: 0,0:47:43.93,0:47:47.21,Default,,0000,0000,0000,,Datenschutz und dann können die auch\Nsofort was machen. Aber nur bei einer
Dialogue: 0,0:47:47.21,0:47:52.23,Default,,0000,0000,0000,,Sicherheitslücke ist es halt so na ja,\Ndie, also die kommen ja auch häufig vor
Dialogue: 0,0:47:52.23,0:47:57.41,Default,,0000,0000,0000,,und das ist halt ich glaube, es ist auch\Nsinnvoll, dass sie jetzt nicht jedes
Dialogue: 0,0:47:57.41,0:48:00.34,Default,,0000,0000,0000,,Unternehmen, das eine Sicherheitslücke\Nhat, unmittelbar halt
Dialogue: 0,0:48:00.34,0:48:03.96,Default,,0000,0000,0000,,datenschutzrechtliche Probleme hat, aber\Ntrotzdem finde ich das genau sinnvoll, das
Dialogue: 0,0:48:03.96,0:48:08.80,Default,,0000,0000,0000,,zu melden, weil dann sind die schon mal\Naktenkundig ja. Und wenn das nächste Mal
Dialogue: 0,0:48:08.80,0:48:13.16,Default,,0000,0000,0000,,wieder etwas passiert, dann wird da\Nsicherlich auch von Seiten der
Dialogue: 0,0:48:13.16,0:48:16.95,Default,,0000,0000,0000,,datenschutzrechtlichen Perspektive ein\Nbisschen mehr Aufmerksamkeit draufgelegt.
Dialogue: 0,0:48:16.95,0:48:21.53,Default,,0000,0000,0000,,Aber am Ende geht es darum: Die\NSicherheitslücke muss weg. Und ja, solange
Dialogue: 0,0:48:21.53,0:48:27.13,Default,,0000,0000,0000,,es keine Hinweise gibt, dass die Daten\Nwirklich gestohlen wurden oder
Dialogue: 0,0:48:27.13,0:48:31.27,Default,,0000,0000,0000,,irgendwelche Fahrlässigkeit in besonderem\NMaße da war, machen die
Dialogue: 0,0:48:31.27,0:48:37.48,Default,,0000,0000,0000,,Datenschutzbehörden halt verhältnismäßig\Nwenig beim ersten Vorfall und ich würde
Dialogue: 0,0:48:37.48,0:48:39.21,Default,,0000,0000,0000,,sagen das ist wahrscheinlich auch schon\Nrichtig so.
Dialogue: 0,0:48:39.21,0:48:42.31,Default,,0000,0000,0000,,K: Naja wir würden uns, also wir als\Nzerforschung, würden uns glaube ich
Dialogue: 0,0:48:42.31,0:48:46.03,Default,,0000,0000,0000,,wünschen, dass die Datenschutzbehörden ein\Nbisschen proaktiver sind. Das hören wir
Dialogue: 0,0:48:46.03,0:48:50.01,Default,,0000,0000,0000,,auch teilweise aus Datenschutzkreisen\Nsozusagen, dass die Datenschutzbehörden
Dialogue: 0,0:48:50.01,0:48:52.63,Default,,0000,0000,0000,,eigentlich viel mehr machen wollen. Die\Nwollen eigentlich auch proaktiv auf
Dialogue: 0,0:48:52.63,0:48:56.22,Default,,0000,0000,0000,,Unternehmen zugehen und ich meine viele\Nder Sachen, die wir gefunden haben, das
Dialogue: 0,0:48:56.22,0:48:59.29,Default,,0000,0000,0000,,ist jetzt nicht die mega krasse\NSicherheitslücke so. Das ist nicht hier
Dialogue: 0,0:48:59.29,0:49:03.16,Default,,0000,0000,0000,,irgendwie so eine NSO Lücke, die\Nwahrscheinlich kaum jemand im Raum hier
Dialogue: 0,0:49:03.16,0:49:07.70,Default,,0000,0000,0000,,richtig versteht, sondern es sind oft\NSachen, die relativ easy findbar sind,
Dialogue: 0,0:49:07.70,0:49:11.15,Default,,0000,0000,0000,,aber da haben die einfach nicht genug\NRessourcen. Also wenn für Gesundheitsdaten
Dialogue: 0,0:49:11.15,0:49:14.35,Default,,0000,0000,0000,,in Berlin irgendwie weniger als eine\NHandvoll Leute zuständig sind, dann können
Dialogue: 0,0:49:14.35,0:49:17.54,Default,,0000,0000,0000,,die halt nicht alle Corona-Testzentren\Nüberprüfen. Und deshalb fordern wir
Dialogue: 0,0:49:17.54,0:49:19.84,Default,,0000,0000,0000,,natürlich auch, dass die irgendwie besser\Nausgestattet werden und diese
Dialogue: 0,0:49:19.84,0:49:22.76,Default,,0000,0000,0000,,Möglichkeiten auch bekommen, die sie rein\Nrechtlich schon lange haben.
Dialogue: 0,0:49:22.76,0:49:25.88,Default,,0000,0000,0000,,Lin: Im medizinischen Bereich finde ich es\Nabsolut, ist es auch. Ich war jetzt auch
Dialogue: 0,0:49:25.88,0:49:29.39,Default,,0000,0000,0000,,bei der CDU connect App. Ja ich meine, da\Nwird jetzt nicht irgendein Datenschutz
Dialogue: 0,0:49:29.39,0:49:31.05,Default,,0000,0000,0000,,großartig rumstehen und sagen: "Du hast da\Nirgendwie eine App..." Wobei ich glaube,
Dialogue: 0,0:49:31.05,0:49:32.56,Default,,0000,0000,0000,,dass die sogar datenschutzrechtlich nicht\Nin Ordnung war, oder?
Dialogue: 0,0:49:32.56,0:49:37.13,Default,,0000,0000,0000,,Lil: Ja die war datenschutzrechtlich\Ntatsächlich nicht in Ordnung, weil da
Dialogue: 0,0:49:37.13,0:49:40.74,Default,,0000,0000,0000,,politische Meinungen von Menschen erfasst\Nwurden. Und das Spannende im Fall von der
Dialogue: 0,0:49:40.74,0:49:44.89,Default,,0000,0000,0000,,CDU war, ist ja, dass implizit darüber\Npolitische Meinungen, also Artikel 9 DSGVO
Dialogue: 0,0:49:44.89,0:49:48.48,Default,,0000,0000,0000,,Daten, also besonders schützenswerte\NDatenpunkte sogar, erfasst waren.
Dialogue: 0,0:49:48.48,0:49:52.12,Default,,0000,0000,0000,,Lin: Ohne das die Erfassten das wussten.\NLil: Genau. Und deswegen ist das schon
Dialogue: 0,0:49:52.12,0:49:55.23,Default,,0000,0000,0000,,wieder so ein sehr interessanter Fall für\Nden Datenschutz. Also wo ich neben
Dialogue: 0,0:49:55.23,0:49:58.56,Default,,0000,0000,0000,,Gesundheitsdaten, würde ich halt sagen,\Nfür sämtliche Datenarten, die unter
Dialogue: 0,0:49:58.56,0:50:02.65,Default,,0000,0000,0000,,Artikel 9 fallen, sollten halt auch\Nbesondere Schutzmaßnahmen und besondere
Dialogue: 0,0:50:02.65,0:50:04.68,Default,,0000,0000,0000,,Prüfmaßnahmen von Datenschutzbehörden\Ngelten.
Dialogue: 0,0:50:04.68,0:50:07.49,Default,,0000,0000,0000,,K: Das gibt die DSGVO ja eigentlich auch\Nher.
Dialogue: 0,0:50:07.49,0:50:10.30,Default,,0000,0000,0000,,Lil: Richtig.\NK: Aber dann würde ich mal, eh wir jetzt
Dialogue: 0,0:50:10.30,0:50:12.99,Default,,0000,0000,0000,,in so ein Kleinklein mit\NDatenschutzbehörden abdriften...
Dialogue: 0,0:50:12.99,0:50:17.38,Default,,0000,0000,0000,,Lin: Also immer mit dazunehmen und nicht\Ntraurig sein wenn da jetzt nicht eine
Dialogue: 0,0:50:17.38,0:50:19.100,Default,,0000,0000,0000,,Millionenstrafe bei rumkommt, würde ich\Nals Fazit…ja oder?
Dialogue: 0,0:50:19.100,0:50:22.24,Default,,0000,0000,0000,,Lil: Ja.\NK: Genau, aber super oft werden sie halt
Dialogue: 0,0:50:22.24,0:50:24.46,Default,,0000,0000,0000,,aktiv, das haben wir jetzt auch erlebt,\Nund gehen da zumindest auf die Unternehmen
Dialogue: 0,0:50:24.46,0:50:28.18,Default,,0000,0000,0000,,zu. Und dann lernen die Unternehmen was\Nund verhindern solche Fehler oft. In
Dialogue: 0,0:50:28.18,0:50:30.08,Default,,0000,0000,0000,,Zukunft.\NLil: Und gerade wenn es größere Probleme
Dialogue: 0,0:50:30.08,0:50:33.78,Default,,0000,0000,0000,,sind, dann besucht die Datenschutzbehörde\Nauch mal das Unternehmen und dann sind die
Dialogue: 0,0:50:33.78,0:50:36.93,Default,,0000,0000,0000,,da wirklich dahinter, dass die Lücken\Ngeschlossen werden. Und deswegen der
Dialogue: 0,0:50:36.93,0:50:40.52,Default,,0000,0000,0000,,Datenschutz ist immer ein guter Partner,\Naber erwartet nicht, dass ihr das entweder
Dialogue: 0,0:50:40.52,0:50:44.11,Default,,0000,0000,0000,,mitbekommt oder das da sofort irgendwas\Nsuper krasses passiert.
Dialogue: 0,0:50:44.11,0:50:48.15,Default,,0000,0000,0000,,K: Die nächste ist eine rechtliche Frage,\Ndie wir, glaube ich, auf der rechtlichen
Dialogue: 0,0:50:48.15,0:50:52.48,Default,,0000,0000,0000,,Ebene nicht beantworten können. Aber ich\Nfinde die Frage trotzdem spannend.
Dialogue: 0,0:50:52.48,0:50:55.52,Default,,0000,0000,0000,,F: Darf man Probleme, die man jetzt\Ngefunden hat, an kompetentere Person
Dialogue: 0,0:50:55.52,0:51:00.22,Default,,0000,0000,0000,,überhaupt weitergeben? Also ist es ist es\Nok? Ich würde das mal von der rechtlichen
Dialogue: 0,0:51:00.22,0:51:04.38,Default,,0000,0000,0000,,Ebene nehmen und mehr auf die moralische\NEbene schauen. Ist das ok z. B. auf den
Dialogue: 0,0:51:04.38,0:51:08.01,Default,,0000,0000,0000,,CCC zuzugehen und zu sagen: Ok, hier gibt\Nes dieses Problem. Ich habe das jetzt
Dialogue: 0,0:51:08.01,0:51:12.24,Default,,0000,0000,0000,,gefunden. Wie können wir das sauber lösen?\NLin: Ich habe da, guck mal, ich vergesse
Dialogue: 0,0:51:12.24,0:51:15.59,Default,,0000,0000,0000,,das immer wieder. Da gibt es doch diesen,\Nvor allem, wenn das jetzt irgendwelche
Dialogue: 0,0:51:15.59,0:51:19.86,Default,,0000,0000,0000,,Daten sind, da gibt es diesen Paragrafen.\NWie gesagt, wir sind alle keine
Dialogue: 0,0:51:19.86,0:51:26.04,Default,,0000,0000,0000,,Juristinnen. Wo du jetzt die erste Person,\Ndie Kenntnis erlangt, ist quasi straffrei.
Dialogue: 0,0:51:26.04,0:51:30.25,Default,,0000,0000,0000,,Aber wenn sie es dann weitergibt, dann ist\Ndiese Weitergabe irgendwie strafbelastet.
Dialogue: 0,0:51:30.25,0:51:35.87,Default,,0000,0000,0000,,Aber wir reden ja hier nicht davon, dass\Nman sich strafbar macht. Und wenn wem man,
Dialogue: 0,0:51:35.87,0:51:39.69,Default,,0000,0000,0000,,welcher anderen Person man das weitergibt,\Num die Frage vielleicht vorsichtig zu
Dialogue: 0,0:51:39.69,0:51:44.64,Default,,0000,0000,0000,,beantworten, ist ja dabei entscheidend ja.\NAlso man kann nicht sagen, es ist
Dialogue: 0,0:51:44.64,0:51:49.46,Default,,0000,0000,0000,,grundsätzlich falsch, das jemand anderem\Nweiterzugeben, aber wenn jemand anderem
Dialogue: 0,0:51:49.46,0:51:54.29,Default,,0000,0000,0000,,weitergeben in diesem Fall heißt twittern\Nund von vielen tausend Leuten weitergeben,
Dialogue: 0,0:51:54.29,0:52:00.17,Default,,0000,0000,0000,,dann ist das ein Problem. Wenn man jetzt\Nz. B. sagt – das passiert jetzt bei
Dialogue: 0,0:52:00.17,0:52:04.96,Default,,0000,0000,0000,,disclosure@ccc.de sehr häufig – dass Leute\Nirgendwie sagen: Ja, ich habe das und das
Dialogue: 0,0:52:04.96,0:52:09.40,Default,,0000,0000,0000,,gefunden, und ich würde sagen, 50% meiner\NFälle ist mal der Fall, ist meine Antwort:
Dialogue: 0,0:52:09.40,0:52:12.40,Default,,0000,0000,0000,,Ok, du musst mir das vollständig\Nbeschreiben, damit ich nachvollziehen kann
Dialogue: 0,0:52:12.40,0:52:16.52,Default,,0000,0000,0000,,und beurteilen kann. Wenn du, wenn du\Neinfach nur irgendwas schreibst, kann ich
Dialogue: 0,0:52:16.52,0:52:20.35,Default,,0000,0000,0000,,dir nichts dazu sagen und das melde ich\Nauch so nicht. Dafür muss ich natürlich
Dialogue: 0,0:52:20.35,0:52:24.57,Default,,0000,0000,0000,,dann die komplette Sicherheitslücke\Nmitgeteilt bekommen und werde die dann
Dialogue: 0,0:52:24.57,0:52:29.26,Default,,0000,0000,0000,,auch prüfen. Und würde ich dann jetzt\Ndamit Mist machen, wäre das sicherlich für
Dialogue: 0,0:52:29.26,0:52:33.55,Default,,0000,0000,0000,,mich schlecht und für die Person, die mir\Ndas mitgeteilt hat schlecht. Insofern
Dialogue: 0,0:52:33.55,0:52:36.84,Default,,0000,0000,0000,,glaube ich, beantwortet sich diese Frage\Nam sinnvollsten, das man halt überlegt:
Dialogue: 0,0:52:36.84,0:52:41.17,Default,,0000,0000,0000,,Ok, vertraut ihr der Person, dass die nach\Nden gleichen ethischen Maßstäben arbeiten
Dialogue: 0,0:52:41.17,0:52:46.25,Default,,0000,0000,0000,,wird, wie ihr? Und dann kann man sich ja,\Ndann seid ihr quasi eine Einheit und dann
Dialogue: 0,0:52:46.25,0:52:49.58,Default,,0000,0000,0000,,würde ich das nicht als juristisch riskant\Nsehen.
Dialogue: 0,0:52:49.58,0:52:52.97,Default,,0000,0000,0000,,Lil: Genau. Vielleicht noch eine kleine\NAnmerkung dazu: Bei zerforschung haben wir
Dialogue: 0,0:52:52.97,0:52:55.03,Default,,0000,0000,0000,,in der Zusammenarbeit mit\NDatenschutzbehörden jetzt auch schon
Dialogue: 0,0:52:55.03,0:53:00.16,Default,,0000,0000,0000,,erlebt, dass wir Lücken gemeldet haben und\NUnternehmen und die Datenschutzbehörden
Dialogue: 0,0:53:00.16,0:53:04.42,Default,,0000,0000,0000,,gesagt haben, es gab keine Datenabfluss,\Nweil wir als zerforschung eine
Dialogue: 0,0:53:04.42,0:53:08.72,Default,,0000,0000,0000,,vertrauenswürdige Instanz sind, was ein\Nbisschen witzig ist, weil wir haben
Dialogue: 0,0:53:08.72,0:53:11.14,Default,,0000,0000,0000,,einerseits diese Kriminalisierung in\NDeutschland, andererseits haben wir
Dialogue: 0,0:53:11.14,0:53:16.19,Default,,0000,0000,0000,,Sicherheitslücken gefunden und man weiß ja\Nhäufig nicht, ob zuvor irgendwie schon
Dialogue: 0,0:53:16.19,0:53:19.50,Default,,0000,0000,0000,,Daten abgeflossen sind, bevor wir diese\NLücke gefunden haben usw. und so fort.
Dialogue: 0,0:53:19.50,0:53:22.87,Default,,0000,0000,0000,,Aber zumindest so in der gelebten\NDatenschutzpraxis, also auch selbst von
Dialogue: 0,0:53:22.87,0:53:27.30,Default,,0000,0000,0000,,dieser Perspektive bemessen, nicht von\NHackerparagrafen und Co. kommen, haben wir
Dialogue: 0,0:53:27.30,0:53:31.35,Default,,0000,0000,0000,,jetzt irgendwie schon gesehen, dass\Nzumindest man Sicherheitsforscher:Innen
Dialogue: 0,0:53:31.35,0:53:34.93,Default,,0000,0000,0000,,auf in der gelebten Praxis schon so\Nvertraut, dass die Leute das jetzt da
Dialogue: 0,0:53:34.93,0:53:37.75,Default,,0000,0000,0000,,nicht so super problematisch finden.\NK: Aber da muss man halt auch super
Dialogue: 0,0:53:37.75,0:53:39.06,Default,,0000,0000,0000,,aufpassen.\NLil: Ja.
Dialogue: 0,0:53:39.06,0:53:41.88,Default,,0000,0000,0000,,K: Also ich glaube, diesen\NVertrauensvorschuss sozusagen kriegt nicht
Dialogue: 0,0:53:41.88,0:53:45.31,Default,,0000,0000,0000,,jede Person, die jetzt zum 1. Mal da\Nirgendwie in Erscheinung tritt. Deshalb
Dialogue: 0,0:53:45.31,0:53:48.59,Default,,0000,0000,0000,,wie wir schon sagten, lieber irgendwie\NHilfe suchen, lieber irgendwie
Dialogue: 0,0:53:48.59,0:53:54.74,Default,,0000,0000,0000,,kompetentere oder erfahrenere, kompetent\Nsind wir ja alle, aber erfahrenere Person
Dialogue: 0,0:53:54.74,0:54:00.22,Default,,0000,0000,0000,,fragen eben, z. B. Linus oder auch uns,\Nwenn ihr das gerne wollt. Und ich glaube,
Dialogue: 0,0:54:00.22,0:54:02.78,Default,,0000,0000,0000,,da das jetzt so die rechtliche Frage ist,\Nkönnen wir da nur unsere übliche
Dialogue: 0,0:54:02.78,0:54:06.44,Default,,0000,0000,0000,,rechtliche Forderung nochmal anschließen,\Nnämlich der Hacker:Innenparagraf muss weg!
Dialogue: 0,0:54:06.44,0:54:10.01,Default,,0000,0000,0000,,Zumindest in der jetzigen Form. Der muss\Nso formuliert werden, dass so IT-
Dialogue: 0,0:54:10.01,0:54:14.89,Default,,0000,0000,0000,,Sicherheitsforschung, wie wir sie alle\Ntun, legal möglich ist und man nicht immer
Dialogue: 0,0:54:14.89,0:54:17.66,Default,,0000,0000,0000,,Angst haben muss, dass plötzlich die\NBullen vor der Tür stehen. Oder man eine
Dialogue: 0,0:54:17.66,0:54:20.41,Default,,0000,0000,0000,,Strafanzeige bekommt.\NLin: Das muss man ja vielleicht auch
Dialogue: 0,0:54:20.41,0:54:25.23,Default,,0000,0000,0000,,nochmal kurz sagen: So nach meiner\NKenntnis – ich muss jetzt wirklich
Dialogue: 0,0:54:25.23,0:54:29.54,Default,,0000,0000,0000,,überlegen – aber mir ist kein Fall\Nbekannt, wo jetzt mal jemand wirklich
Dialogue: 0,0:54:29.54,0:54:37.02,Default,,0000,0000,0000,,verurteilt worden wäre, die man nicht\Nhätte verurteilen sollen, ja. Aber das mit
Dialogue: 0,0:54:37.02,0:54:42.07,Default,,0000,0000,0000,,diesen Strafanzeigen ist halt deswegen so\Nein Nerv, weil die euch die Computer
Dialogue: 0,0:54:42.07,0:54:47.50,Default,,0000,0000,0000,,wegnehmen, weil ihr dann da jahrelang\NÄrger mit habt, weil der Anwaltskosten,
Dialogue: 0,0:54:47.50,0:54:52.20,Default,,0000,0000,0000,,also Kosten für die juristische\NAuseinandersetzung, anfallen. Und das ist
Dialogue: 0,0:54:52.20,0:54:56.38,Default,,0000,0000,0000,,einfach total nervig, wenn die irgendwie\Nin die Wohnung kommen, wenn man die nicht
Dialogue: 0,0:54:56.38,0:55:00.76,Default,,0000,0000,0000,,eingeladen hat ja. Und deswegen ist das\Njetzt wenn das am Ende nicht zu einer
Dialogue: 0,0:55:00.76,0:55:05.88,Default,,0000,0000,0000,,Verurteilung kommt, ist das halt ein\Nriesiger Nerv einfach und deswegen macht
Dialogue: 0,0:55:05.88,0:55:11.70,Default,,0000,0000,0000,,das halt Sinn teilweise einfach mit dem\NCCC z. B. gemeinsam das zu machen oder als
Dialogue: 0,0:55:11.70,0:55:15.41,Default,,0000,0000,0000,,CCC, weil irgendwie glaube ich, dass sich\Ninzwischen zumindest so ein bisschen
Dialogue: 0,0:55:15.41,0:55:20.54,Default,,0000,0000,0000,,rumgesprochen hat, dass man eine\NHausdurchsuchung beim CCC schwierig,
Dialogue: 0,0:55:20.54,0:55:25.51,Default,,0000,0000,0000,,schwierig.\NK: Ja, ich glaube, dann haben wir diese
Dialogue: 0,0:55:25.51,0:55:30.88,Default,,0000,0000,0000,,Frage wirklich sehr ausführlich\Nbeantwortet. Hier ist noch die Frage, ob
Dialogue: 0,0:55:30.88,0:55:35.27,Default,,0000,0000,0000,,wir, ob wir von Fällen wissen, die wir\Ngemeldet haben und bei denen es, wo die
Dialogue: 0,0:55:35.27,0:55:36.99,Default,,0000,0000,0000,,Datenschutzbehörden an Strafen oder\NÄhnliches verhangen haben?
Dialogue: 0,0:55:36.99,0:55:40.27,Default,,0000,0000,0000,,A: Ich kann jetzt aus der\Nzerforschungspraxis sagen: Uns ist nichts
Dialogue: 0,0:55:40.27,0:55:45.96,Default,,0000,0000,0000,,bekannt. Aber uns ist auch bei denen, bei\Nvielen Fällen nicht bekannt, wie das
Dialogue: 0,0:55:45.96,0:55:49.55,Default,,0000,0000,0000,,Verfahren bei den Datenschutzbehörden am\NEnde ausgegangen ist. Denn das ist halt so
Dialogue: 0,0:55:49.55,0:55:53.47,Default,,0000,0000,0000,,ein Problem. Du hast, wenn du eine\NBeschwerde erstattest, als Einzelperson,
Dialogue: 0,0:55:53.47,0:55:56.44,Default,,0000,0000,0000,,die betroffen ist, dann hast du\Nweitgehende Auskunftsrechte, dann sagt die
Dialogue: 0,0:55:56.44,0:55:59.99,Default,,0000,0000,0000,,Datenschutzbehörde dir auch weiter\NBescheid, wenn wir das als Kollektiv tun,
Dialogue: 0,0:55:59.99,0:56:02.92,Default,,0000,0000,0000,,hingegen nicht. D.h., eigentlich müsste\Ndann irgendeine Person die diesen Dienst
Dialogue: 0,0:56:02.92,0:56:06.86,Default,,0000,0000,0000,,nutzt, nochmal gleichzeitig als\NPrivatperson sozusagen da eine Beschwerde
Dialogue: 0,0:56:06.86,0:56:11.01,Default,,0000,0000,0000,,erstatten, wo dann auch unter Umständen\Nwieder Informationen an Unternehmen
Dialogue: 0,0:56:11.01,0:56:14.14,Default,,0000,0000,0000,,weitergegeben werden können usw. Das ist\Nsuper komplex und schwierig und ich
Dialogue: 0,0:56:14.14,0:56:17.76,Default,,0000,0000,0000,,glaube, am Ende ist der beste Weg, ein\NHaufen IFG-Anfragen zu stellen.
Dialogue: 0,0:56:17.76,0:56:19.48,Default,,0000,0000,0000,,Lin: Oder ihr macht halt einen\Nöffentlichen Aufruf: "Wir haben da wieder
Dialogue: 0,0:56:19.48,0:56:22.83,Default,,0000,0000,0000,,ein Datenleck. Wir brauchen jemanden, der\Nda drin ist! Könnt ihr da mal schnell
Dialogue: 0,0:56:22.83,0:56:25.66,Default,,0000,0000,0000,,einen Account machen?"\NK: Das haben wir ja auch schonmal gemacht.
Dialogue: 0,0:56:25.66,0:56:30.66,Default,,0000,0000,0000,,In dem Artikel, wo das Unternehmen nicht\Nrichtig reagiert hat. Da haben wir, da war
Dialogue: 0,0:56:30.66,0:56:33.00,Default,,0000,0000,0000,,dann die Telefonnummer bei uns im Blog\Nveröffentlicht und da haben auch Leute
Dialogue: 0,0:56:33.00,0:56:37.81,Default,,0000,0000,0000,,anrufen und erreichten die dann den, was\Nwar es, den Geschäftsführer, der gerade in
Dialogue: 0,0:56:37.81,0:56:41.72,Default,,0000,0000,0000,,der Autowaschanlage stand und überhaupt\Nnicht wusste, worum es gerade geht und so
Dialogue: 0,0:56:41.72,0:56:44.02,Default,,0000,0000,0000,,Geschichten.\N{\i1}Lachen{\i0}
Dialogue: 0,0:56:44.02,0:56:48.08,Default,,0000,0000,0000,,Ja, aber ich glaube, das sind auch schon\Nalle Fragen, die jetzt in diesem Pad
Dialogue: 0,0:56:48.08,0:56:51.92,Default,,0000,0000,0000,,gelandet sind. Und da ich da keine\NVeränderung mehr sehe, würde ich sagen:
Dialogue: 0,0:56:51.92,0:56:55.46,Default,,0000,0000,0000,,It's a wrap, so. Vielen Dank Linus, dass\Ndu hier warst!
Dialogue: 0,0:56:55.46,0:56:56.77,Default,,0000,0000,0000,,Lin: Ich danke euch!\NK: Und diesen Quatsch mit uns gemacht
Dialogue: 0,0:56:56.77,0:56:58.22,Default,,0000,0000,0000,,hast.\NLin: Ja, war doch ein sehr schöner
Dialogue: 0,0:56:58.22,0:57:02.23,Default,,0000,0000,0000,,Vortrag. Hat mir sehr gefallen. Ich fand\Nes. Ich habe mir immer gewünscht, dass
Dialogue: 0,0:57:02.23,0:57:04.53,Default,,0000,0000,0000,,beim rC3 die Vorträge vorproduziert sind\N{\i1}Lachen{\i0}
Dialogue: 0,0:57:04.53,0:57:07.88,Default,,0000,0000,0000,,Lin: Und ich finde das super, wie ihr das\Ngemacht habt!
Dialogue: 0,0:57:07.88,0:57:10.92,Default,,0000,0000,0000,,{\i1}rC3 nowhere Abschlussmusik{\i0}
Dialogue: 0,0:57:10.92,0:57:24.00,Default,,0000,0000,0000,,Untertitel erstellt von c3subtitles.de\Nim Jahr 2022. Mach mit und hilf uns!