0:00:07.410,0:00:16.950
<i>35c3 Vorspannmusik</i>

0:00:16.950,0:00:23.330
Herald: Nun folgt der Vortrag "Mehr[br]schlecht als recht: Grauzone

0:00:23.330,0:00:30.701
Sicherheitsforschung" mit Dominik und[br]Fabian. Stellt euch vor ihr seid Forscher.

0:00:30.701,0:00:35.790
Ihr wollt euch ein Stück Software genauer[br]angucken, verstehen wie es funktioniert,

0:00:35.790,0:00:39.870
und macht das, was üblich ist: Reverse[br]Engineering. Dabei findet eine

0:00:39.870,0:00:43.120
Sicherheitslücke. Wenn man so in den[br]Programm-Schedule von diesem Kongress

0:00:43.120,0:00:48.510
guckt, ist das jetzt nicht allzu[br]unübliches was passiert. Aber plötzlich

0:00:48.510,0:00:53.020
kommt Post vom Anwalt. Von dieser[br]Geschichte erzählen uns die beiden

0:00:53.020,0:00:59.140
Forscher Dominik und Fabian. Begrüßt sie[br]und ihren Leidensweg mit einem großen

0:00:59.140,0:01:02.809
Applaus.

0:01:02.809,0:01:10.340
Dominik: Danke schön. Genau, wir halten,[br]mein Kollege Fabian und ich halten einen

0:01:10.340,0:01:18.140
Talk. Warum stehen wir hier? Hats gerade[br]schon angedeutet, das hat irgendwas mit

0:01:18.140,0:01:22.770
rechtlichen Dingen zu tun. Disclaimer[br]vorweg: Wir sind keine Rechtsanwälte.

0:01:22.770,0:01:30.440
<i>Applaus</i>[br]D: Ich muss auch dazu sagen: Es sind nicht

0:01:30.440,0:01:35.110
nur wir beide betroffen gewesen, es waren[br]acht Leute insgesamt die rechtliche

0:01:35.110,0:01:39.940
Turbulenzen verwickelt waren. Das waren[br]zwei Gruppen komplett unabhängiger

0:01:39.940,0:01:44.200
Forscher, einmal das Team, im Folgenden[br]Team FAU, von der Friedrich-Alexander-

0:01:44.200,0:01:48.430
Universität Erlangen. Das sind drei Leute[br]von der FAU und mich, Ich bin inzwischen

0:01:48.430,0:01:54.560
an der TU Berlin, und das andere Team, des[br]Team TUM aus München, TU München, vier

0:01:54.560,0:01:59.160
Leute inklusive Fabian. Und eigentlich[br]einer noch von der TU Eindhoven, der wurde

0:01:59.160,0:02:04.390
aber im Laufe des Prozesses irgendwie von[br]der Gegenseite einfach ignoriert. Ja, ist

0:02:04.390,0:02:07.720
okay, er hat sich nicht darüber beschwert.[br]<i>Gelächter</i>

0:02:07.720,0:02:11.561
D: Das einzige was wir gemeinsam haben[br]ist, dass wir keiner Lösung trauen, die

0:02:11.561,0:02:16.640
absolute Sicherheit bewirkt. Wer macht so[br]was? Die sogenannte Antragstellerin, das

0:02:16.640,0:02:20.950
ist eine Anbieterin von Sicherheitslösung.[br]Das Versprechen ist: "Gib mir deine

0:02:20.950,0:02:26.090
Software, ich mache sie sicher, egal wie[br]böse das Betriebssystem ist." Schützt vor

0:02:26.090,0:02:30.310
Malware, Man-in-the-Middle, Code[br]Injektionen, Spyware. Also einfach vor

0:02:30.310,0:02:34.500
allem. Und warum haben wir beide Gruppen[br]uns das angeschaut? Wegen der relativ

0:02:34.500,0:02:38.450
hohen Verbreitung im deutschen Markt, das[br]war der Grund. Genau. Wie ist das Ganze,

0:02:38.450,0:02:41.730
wie hat das angefangen? Wir haben das[br]letztes Jahr angeschaut, und daraus ging

0:02:41.730,0:02:46.460
dann so eine Veröffentlichung hervor.[br]Langsam ging das los, erst einmal einen

0:02:46.460,0:02:50.790
Artikel in der Süddeutschen ende letzten[br]Jahres. Ihr seht rechts auf den Folien

0:02:50.790,0:02:55.480
immer schön die Zeitleiste - Blau ist[br]dafür das color coding des Team FAU, Grün

0:02:55.480,0:03:01.720
ist die TU München. Wir haben das gemeldet[br]und ohne weitere Details einen

0:03:01.720,0:03:05.890
Zeitungsartikel veröffentlicht, und dann[br]einen Monat später gab es einen Vortrag

0:03:05.890,0:03:09.260
auf dem Kongress dazu, "Die fabelhafte[br]Welt des Mobilebankings" von Vincent

0:03:09.260,0:03:17.860
Haupert von der FAU in Nürnberg. Und[br]darauf ausliegend haben wir dann ein Paper

0:03:17.860,0:03:19.950
noch geschrieben, also ein[br]wissenschaftliches Papier, das wir auf der

0:03:19.950,0:03:24.760
DIMVA dieses Jahres vorgestellt haben,[br]"Honey, I Shrunk Your App Security". Da

0:03:24.760,0:03:27.940
haben wir dann nicht nur die[br]Antragstellerin betrachtet, sondern auch

0:03:27.940,0:03:32.200
noch das umliegende Umfeld. Also, wir[br]haben uns auch nicht auf diese eine Firma

0:03:32.200,0:03:35.680
verschossen, sondern wir haben uns dann[br]auch noch ein bisschen den Markt

0:03:35.680,0:03:38.870
angeschaut. Das war eigentlich so das von[br]uns, und dann war es für uns auch vorbei

0:03:38.870,0:03:46.720
das Thema. Deswegen kommt jetzt Fabian.[br]Fabian: Ja, danke Dominik, das Problem an

0:03:46.720,0:03:48.720
dieser ganzen Geschichte ist, das es[br]leider ziemlich verzwickt ist, und es gibt

0:03:48.720,0:03:52.590
zwei Zeitstränge, die quasi an einigen[br]Stellen parallel ablaufen, ich erzähl euch

0:03:52.590,0:03:56.160
jetzt, was gleichzeitig an der TUM[br]geschah. Was passiert ist, ist dass ein

0:03:56.160,0:04:00.300
Kollege von mir aus unserer Autorengruppe[br]an der TUM sich die Elster-App für die

0:04:00.300,0:04:04.040
Elektronische Lohnsteuererklärung[br]angeschaut hat und festgestellt hat "naja,

0:04:04.040,0:04:08.330
das was da drinne ist, dass sieht ziemlich[br]nach dem aus, was der Vincent auf dem 34c3

0:04:08.330,0:04:13.770
schon mal auf dem Talk erwähnt hat". So[br]ist der allererste Kontakt zu Stande

0:04:13.770,0:04:18.340
gekommen. Zu dem Zeitpunkt war das Paper[br]auf der DIMVA gerade conditionally

0:04:18.340,0:04:21.781
accepted, wenn ich mich richtig entsinne,[br]und dann floss ein bisschen was von

0:04:21.781,0:04:28.640
unserer Analyse in das Paper noch mit ein.[br]Was wir außerdem gefunden haben ist ein

0:04:28.640,0:04:32.980
sogenannte Whitebox-Kryptografie, die ein[br]zusätzlicher Schutz-Baustein in der

0:04:32.980,0:04:40.660
Software der Antragstellerin ist. Und wir[br]hatten eigentlich, wir wollten uns das

0:04:40.660,0:04:44.240
schon immer mal länger anschauen, und[br]haben gedacht "okay, zu diesem

0:04:44.240,0:04:47.010
akademischen Diskurs 'bringt Whitebox-[br]Kryptographie etwas, bringt ist nichts'

0:04:47.010,0:04:51.450
ohne jetzt genau zu wissen, was das genau[br]ist" wollten wir was beitragen. Wir haben

0:04:51.450,0:04:58.600
dann versucht, ein Paper zu[br]veröffentlichen und haben ein Paper auf

0:04:58.600,0:05:03.190
dem 12. USENIX-Workshop on offensive[br]Technologies, der kurz WOOT'18,

0:05:03.190,0:05:08.160
eingereicht und wir haben uns dann sehr[br]gefreut, dass es conditionally accepted

0:05:08.160,0:05:14.950
wurde, knapp einen Monat später. Haben wir[br]tatsächlich nicht mit gerechnet. Dann sind

0:05:14.950,0:05:19.210
wir überrascht worden das erste Mal so[br]knapp, man sieht das hier an der

0:05:19.210,0:05:24.900
Zeitleiste, ein paar Wochen nach dem wir[br]das conditionally accepted bekommen haben,

0:05:24.900,0:05:29.210
gab es eine E-Mail vom CTO der[br]Antragstellerin mit dem Betreff

0:05:29.210,0:05:33.570
"Responsible Disclosure violation", da[br]sind das erste mal aus allen Wolken

0:05:33.570,0:05:38.960
gefallen. Eigentlich, man muss dazu sagen,[br]unsere Findings, das es eigentlich... Wir

0:05:38.960,0:05:44.610
haben da zwar reverse engineering[br]betrieben, aber es war eigentlich, wir

0:05:44.610,0:05:47.620
haben nicht so direkt ein Sicherheitsleck[br]da gefunden tatsächlich. Es ging

0:05:47.620,0:05:53.639
eigentlich mehr um etwas vergleich mit der[br]akademischen Welt. Wir haben trotzdem die

0:05:53.639,0:05:57.050
Forschungsergebnisse, die wir hatten, und[br]einen Vorabzug des Papers der Firma um die

0:05:57.050,0:06:00.310
es da ging zur Verfügung gestellt, und[br]haben dann, die waren natürlich nicht

0:06:00.310,0:06:04.169
begeistert, und dann haben wir über[br]verschiedene Aspekte unseres Papiers mit

0:06:04.169,0:06:11.210
denen zehn Tage lang diskutiert.[br]D: Hm, ja, Überraschung. Wir hatten ja zu

0:06:11.210,0:06:13.479
dem Zeitpunkt, habe ich vorhin schon[br]dargelegt, eigentlich abgeschlossen gehabt

0:06:13.479,0:06:17.080
mit dem Thema, wir hatten unser Papier[br]released, das ist so in der Wissenschaft

0:06:17.080,0:06:20.580
üblicherweise, da hat man dann nicht mehr[br]so viel damit zu tun. Und plötzlich

0:06:20.580,0:06:24.910
flattert so ein Schreiben, offiziell[br]aussehendes Schreiben, also erstmal eine

0:06:24.910,0:06:30.130
Mail am Freitagabend, am Montag kam dann[br]auch das per Post: "Bitte einmal

0:06:30.130,0:06:36.260
unterschreiben". Im Volksmund wird das[br]eine Abmahnung genannt. Worum ging es da?

0:06:36.260,0:06:41.990
In E-Mails von der Rechtsanwaltskanzlei[br]zur "Forderung der Abgabe einer

0:06:41.990,0:06:47.021
strafebewährten Unterlassungserklärung",[br]das muss ablesen. Mit der Frist von, also

0:06:47.021,0:06:51.920
Freitag Abend kam das an, nur zwei[br]Werktagen, was nicht sehr viel ist.

0:06:51.920,0:06:56.380
Verstoß gegen, ja gegen was könnten wir[br]verstoßen haben? Wir sind böse Hacker,

0:06:56.380,0:07:02.199
deswegen wahrscheinlich irgendwas mit[br]Hackersachen, genau, Urheberrecht, und

0:07:02.199,0:07:07.050
natürlich waren wir auch noch Wettbewerber[br]und haben unlauteren Wettbewerb betrieben.

0:07:07.050,0:07:13.350
Wir haben uns gewundert. Die Forderungen[br]waren folgendermaßen: kein Reverse

0:07:13.350,0:07:17.681
Engineering mehr machen, also zumindest[br]der Software der Antragstellerin, keine

0:07:17.681,0:07:21.880
Schutzmaßnahmen umgehen, die die hier[br]irgendwie, das ist ja irgendwie ihr Job,

0:07:21.880,0:07:25.500
ne? Die machen Schutzmaßnahmen, wir dürfen[br]die nicht mehr umgehen. Damit ist dann der

0:07:25.500,0:07:31.560
Schutz perfekt.[br]<i>Gelächter und Applaus</i>

0:07:31.560,0:07:40.180
D: Nichts mehr veröffentlichen, und keine[br]Software mehr erwerben oder besitzen, die

0:07:40.180,0:07:47.630
entweder A oder B ermöglicht, also kein,[br]hört auf mit eurem Job, ein Leben lang.

0:07:47.630,0:07:52.289
Strafe je Verstoß 10 000 Euro. Also jedes[br]mal, wenn ich IDA aus versehen irgendwo...

0:07:52.289,0:07:57.620
Egal. Strafrechtliche Konsequenzen auch[br]noch angedroht. Also so ein böser

0:07:57.620,0:08:00.490
Nebensatz der sagt "ja übrigens, obwohl[br]ihr hier vielleicht das unterschreibt, ihr

0:08:00.490,0:08:04.280
könntet dann trotzdem noch auf anderem[br]Wege belangt werden". Das fanden wir nicht

0:08:04.280,0:08:09.110
so gut. Ich hatte jetzt die glückliche[br]Situation: Easy, an der Uni, ich bin ja

0:08:09.110,0:08:12.979
Forscher und so. Ich habe da angerufen[br]"Ja, ich hab ein Problem, brauche die

0:08:12.979,0:08:17.100
Rechtsabteilung." Und die Rechtsabteilung[br]sofort: "Ja, überhaupt gar kein Problem,

0:08:17.100,0:08:21.580
machen Sie sich keine Sorgen, Wir kümmern[br]uns um das Thema." Damit bin ich fertig,

0:08:21.580,0:08:22.580
danke für eure Aufmerksamkeit, ich gebe[br]zurück an Fabian.

0:08:22.580,0:08:32.941
<i>Gelächter und Applaus</i>[br]F: Ja, jetzt wäre es ja schön gewesen,

0:08:32.941,0:08:37.880
wenn das für uns auch so einfach gewesen[br]wäre. Wir haben diesen schönen Brief in

0:08:37.880,0:08:42.259
Form eines Vorabzugs per E-Mail an einem[br]Freitag bekommen, ich glaube es war

0:08:42.259,0:08:46.829
irgendwie so 15:00, 15:30 oderso. Wir[br]saßen glücklicherweise noch in einer

0:08:46.829,0:08:50.350
Besprechung meiner Chefin, meiner[br]Professorin, die mein Promotionsprojekt

0:08:50.350,0:08:54.399
betreut, und die hat dann gleich reagiert[br]und mal die Rechtsabteilung angerufen. Na

0:08:54.399,0:08:59.900
gut, Uni, ich weiß nicht, könnt ihr euch[br]überlegen, was passiert, wenn mal mal um

0:08:59.900,0:09:05.070
16 Uhr an einem Freitag da versucht[br]irgendjemanden zu erreichen. Es war zum

0:09:05.070,0:09:08.929
Glück tatsächlich noch jemand da, also es[br]war noch jemand da der unsere Anfrage erst

0:09:08.929,0:09:12.010
mal aufgenommen hat. Es hieß allerdings[br]tatsächlich nur, dass der Herr

0:09:12.010,0:09:15.860
Oberregierungsrat, der sich das anschauen[br]könnte, der ist leider nicht mehr im Haus,

0:09:15.860,0:09:19.809
ich gebe ihm das gleich am Montag. Ihr[br]habt hier so einen kleinen Kalender, um zu

0:09:19.809,0:09:23.959
sehen wie knapp das war: Also am 20. haben[br]wir es bekommen, der 24. war die Frist -

0:09:23.959,0:09:28.810
bis dahin sollten wir das Zurückschicken,[br]unterschrieben, dann könnten wir

0:09:28.810,0:09:32.100
vielleicht den zivilrechtlichen[br]Forderungen entgehen, wurde uns

0:09:32.100,0:09:36.259
versprochen in diesem Abmahnschreiben.[br]Gut, am Wochenende ist da nichts passiert,

0:09:36.259,0:09:39.290
wir mussten dann zähneknirschend ins[br]Wochenende gehen, ohne etwas bewegen zu

0:09:39.290,0:09:47.230
können. Am 23. und 24. haben wir dauernd[br]mit der Rechtsabteilung telefoniert,

0:09:47.230,0:09:54.360
mehrfach, oft. Und haben versucht,[br]irgendwie denen zu erklären, was

0:09:54.360,0:09:57.610
eigentlich passiert ist. Tatsächlich die[br]sind erstmal aus allen Wolken gefallen,

0:09:57.610,0:10:02.410
"Oh Gott was ist denn da schiefgelaufen?".[br]Dann haben wir erstmal versucht zu sagen:

0:10:02.410,0:10:05.529
Okay, was ist die Historie? Wir haben ja[br]schon im Vorfeld eine Diskussion zu

0:10:05.529,0:10:09.079
unserem Paper mit denen geführt, haben[br]denen unser Paper gegeben, und dann gleich

0:10:09.079,0:10:12.730
das nächste Problem: Naja das sind... Ich[br]will jetzt hier Juristen nicht

0:10:12.730,0:10:17.910
runtermachen, keineswegs, aber die haben[br]halt ein anderes Fachgebiet, und wir

0:10:17.910,0:10:20.949
machen unsere Forschung. Wir machen unsere[br]Forschung da und sollen denen jetzt auf

0:10:20.949,0:10:25.559
einmal erzählen, was unsere verschiedenen[br]Analyse-Techniken bedeuten und wie das

0:10:25.559,0:10:31.110
rechtlich einzuordnen ist. Das war sehr[br]schwierig. Und die Rechtsabteilung hat das

0:10:31.110,0:10:34.449
auch am Anfang nicht so locker gesehen.[br]Die erste Reaktion war glaube ich "Oh

0:10:34.449,0:10:39.709
Gott, wir informieren erst mal den[br]Vizekanzler. Wir sehen da potenziell auch

0:10:39.709,0:10:44.019
noch Schadenersatzforderungen auf uns[br]zukommen, potenziell auch nach

0:10:44.019,0:10:49.649
ausländischem Recht". Und das war nicht[br]witzig. Wir haben dann um eine

0:10:49.649,0:10:52.550
Fristverlängerung gebeten. Die[br]Rechtsabteilung hat das netterweise für

0:10:52.550,0:10:57.519
uns übernommen. Das ist ein Schreiben an[br]den gegnerischen Rechtsanwalt. Wichtig ist

0:10:57.519,0:11:01.649
eigentlich nur das fette: wir bitten um[br]eine Fristverlängerung bis Dienstag den

0:11:01.649,0:11:04.990
31. Juli. Wie ihr jetzt auf diesem[br]Kalender sehen könnt, das wäre jetzt genau

0:11:04.990,0:11:13.240
eine Woche gewesen. Gekriegt: Einen Tag[br]haben wir. Danke. Okay, also weiter

0:11:13.240,0:11:15.920
hetzen. Wir müssen irgendwie mit unserer[br]Rechtsabteilung klären, was wir jetzt

0:11:15.920,0:11:19.110
machen können. Wir haben mit denen[br]tatsächlich juristische Fachartikel

0:11:19.110,0:11:25.899
gewälzt. Dann kam am 25. leider noch der[br]nächste Brüller: "Wir können das

0:11:25.899,0:11:29.930
Antwortschreiben leider nur vorbereiten,[br]unterschreiben müsst ihr es selbst, wir

0:11:29.930,0:11:33.999
können es als Uni nicht zurückweisen. Auf[br]dem Briefkopf steht euer Name, ihr müsst

0:11:33.999,0:11:37.709
es unterschreiben, die TUM ist nicht[br]offiziell Prozesspartei bis jetzt." Da war

0:11:37.709,0:11:42.769
auf unserer Seite erst einmal Stille. Wir[br]konnten es nicht fassen. Wir mussten dann

0:11:42.769,0:11:48.449
tatsächlich darauf eingehen und haben[br]deren vorbereitetes Antwortschreiben dann

0:11:48.449,0:11:52.399
selbst unterzeichnet und die Forderungen[br]der Antragstellerin zurückgewiesen.

0:11:52.399,0:11:56.899
D: Ganz kurz, erinnert mich daran, Ich[br]habe es komplett vergessen. Das (verweist

0:11:56.899,0:12:00.529
auf Slides) war natürlich nicht wie es[br]war. Also, sie haben sofort gesagt "Ja es

0:12:00.529,0:12:04.559
steht ihr Name drauf, good luck, have fun.[br]Sie sollten sich dringend einen Anwalt

0:12:04.559,0:12:12.410
nehmen. Geht uns nichts an." Also, das war[br]dann Geil. Weiter: rechtlicher

0:12:12.410,0:12:16.699
Hintergrund. Fabian.[br]F: Okay. Also das was jetzt folgt, das

0:12:16.699,0:12:20.959
wussten wir natürlich zu dem damaligen[br]Zeitpunkt noch nicht, das ist das was wir

0:12:20.959,0:12:24.629
jetzt über den, also das was jetzt noch[br]alles kommt im Vortrag, da haben wir das

0:12:24.629,0:12:28.740
so angesammelt an Wissen. Wie gesagt,[br]Disclaimer: Wir sind keine Anwälte, aber

0:12:28.740,0:12:33.179
ich versuche trotzdem mal so ein bisschen[br]euch auseinander zu nehmen: Wo ist das

0:12:33.179,0:12:37.959
Problem, juristisch, soweit wir es[br]verstehen? Wir haben uns für unsere

0:12:37.959,0:12:41.759
Analyse der Software, um die es da ging,[br]verschiedener Methoden aus dem Reverse

0:12:41.759,0:12:44.869
Engineering Baukasten-bedient. Der ist[br]jetzt hier mal als Querbalken grün

0:12:44.869,0:12:49.549
dargestellt. Und da ist zum Beispiel halt[br]drin: dekompilieren, verschiedene

0:12:49.549,0:12:53.990
statische Analyse-Techniken. Man kann das[br]Programm zum Beispiel testen indem man es

0:12:53.990,0:12:57.679
in einem Emulator ausführt und nicht[br]direkt auf der Hardware, und den Emulator

0:12:57.679,0:13:01.420
kann man dann ein bisschen pimpen an ein[br]paar Stellen. Man kann das Programm auch

0:13:01.420,0:13:04.660
einfach nur als Blackbox nehmen und[br]einfach dem zuschauen, was es tut. Wenn

0:13:04.660,0:13:07.860
man es im Debugger ausführt tatsächlich,[br]dann sieht man auch wie sich die

0:13:07.860,0:13:11.779
Registerwerte verändern. Disassemblieren[br]tatsächlich wird auch durch den Debugger

0:13:11.779,0:13:14.600
gemacht, tatsächlich ist das ja, man kann[br]es auch bei Objectdump rein schmeißen.

0:13:14.600,0:13:22.810
Juristisch ist es so: dekompilieren, never[br]do it, das ist verboten. Nach

0:13:22.810,0:13:27.720
verschiedenen Paragrafen aus dem[br]Urheberrecht, und einen Teilanspruch, je

0:13:27.720,0:13:31.881
nachdem welchen Anwalt man trifft, leiten[br]die das auch her aus dem Gesetz gegen den

0:13:31.881,0:13:34.889
unlauteren Wettbewerb, wo steht: man darf[br]nicht mit technischen Maßnahmen

0:13:34.889,0:13:42.369
Geschäftsgeheimnisse einer anderen Firma[br]sich aneignen. Testen und beobachten

0:13:42.369,0:13:46.670
wiederum tatsächlich ist völlig okay, das[br]ist explizit erlaubt nach dem

0:13:46.670,0:13:52.049
Urheberrecht. Und dankenswerterweise auch[br]nicht ausschließbar nach den AGB. Bei den

0:13:52.049,0:13:58.869
ganzen Zwischendingern ist es so: Joa.[br]Also, je nachdem in welchem juristischen

0:13:58.869,0:14:02.769
Fachartikel man da liest, wenn es denn da[br]mal, und da gibt es nur ein paar davon.

0:14:02.769,0:14:08.600
Wir haben gefragt, keiner konnte uns das[br]so richtig sagen, wir mussten uns im

0:14:08.600,0:14:11.699
Vorgang dann auch Anwälte nehmen, auch die[br]meinten "Ja, das ist nicht abschließend

0:14:11.699,0:14:17.670
geklärt nach unserer Meinung". Es gibt bei[br]dem dekompilieren netterweise eine

0:14:17.670,0:14:21.269
Ausnahme, das ist die Herstellung von[br]Interoperabilität. Wie gesagt, ich bin

0:14:21.269,0:14:25.179
wieder kein Jurist, aber ich vermute, das[br]trifft zum Beispiel sowas wie Treiber-

0:14:25.179,0:14:26.439
Entwicklung - ihr habt einen Closed-[br]Source-Treiber und es gibt eine

0:14:26.439,0:14:29.239
Schnittstelle, und ihr wollt jetzt ein[br]Open-Source-Pendant dazu anbieten, oder es

0:14:29.239,0:14:33.660
gibt irgendeine klar definierte[br]Schnittstelle und aus Wettbewerbsgründen,

0:14:33.660,0:14:37.769
damit der Wettbewerb bestehen kann, darf[br]man im Notfall auch dekompilieren um

0:14:37.769,0:14:44.379
herauszukriegen, wie diese Schnittstelle[br]zu bedienen ist. In einem Emulator

0:14:44.379,0:14:47.810
ausführen: Wir haben mal unsere Anwälte[br]dann später gefragt, die meinen es ist

0:14:47.810,0:14:51.860
wahrscheinlich eher verboten. Das müsst[br]ihr euch jetzt mal auf der Zunge zergehen

0:14:51.860,0:14:56.250
lassen: Also das ausführen, also die[br]Begründung war dann: naja, das Programm

0:14:56.250,0:15:00.509
läuft dann ja nicht mehr in seiner[br]natürlichen Umgebung.

0:15:00.509,0:15:07.629
<i>Gelächter</i>[br]Schwierig. Und statische Analyse

0:15:07.629,0:15:09.799
teilweise, wir haben auch juristische[br]Fachartikel gelesen da war disassemblieren

0:15:09.799,0:15:15.550
schon verboten. Also, wenn ihr im Hex-[br]editor das Programm aufmacht und den

0:15:15.550,0:15:18.790
Disassemblierer in eurem Kopf habt[br]tatsächlich, ihr könnt dann aus den Hex-

0:15:18.790,0:15:22.350
Ziffern die Opcodes herleiten, und selbst[br]wenn ihr in eurem Kopf dekompilieren

0:15:22.350,0:15:25.920
könnt, das ist fein. Wenn ihr aber ein[br]Tool dafür benutzt, dass das automatisch

0:15:25.920,0:15:35.809
macht, ist schwierig. Eigentlich war unser[br]Ziel des Ganzen: Wir wollten eigentlich

0:15:35.809,0:15:40.919
gerne mit der... Also, wir hatten kein[br]Interesse an Streit. Wir haben gesagt "Na

0:15:40.919,0:15:44.799
ja okay, was können wir denn machen ohne[br]unsere wissenschaftliche Unabhängigkeit zu

0:15:44.799,0:15:48.939
verlieren um das der Gegenseite so ein[br]bisschen schmackhaft zu machen dass wir

0:15:48.939,0:15:53.629
das Paper veröffentlichen?" Wir haben mit[br]denen diskutiert, ein paar Formulierungen

0:15:53.629,0:15:57.080
die wirklich einfach drin waren, die[br]wissenschaftlich null Relevanz haben, wo

0:15:57.080,0:16:01.029
man nicht sagen kann "Hey wir hätten uns[br]da einen faulen Kompromiss gemacht" haben

0:16:01.029,0:16:05.540
wir gestrichen. Aber das hat alles nichts[br]gebracht. Letzten Endes haben wir trotz

0:16:05.540,0:16:09.079
intensiver Diskussion mit der[br]Antragsgegnerin das Paper dann finally

0:16:09.079,0:16:13.119
zurückgezogen. Obwohl die WOOT uns[br]signalisiert hat, also es kam

0:16:13.119,0:16:16.079
zwischenzeitlich von der WOOT die eMail[br]"Wir nehmen das an in der Fassung", es war

0:16:16.079,0:16:19.370
also nicht mehr conditionally accepted, es[br]war finally accepted zu dem Zeitpunkt. Wir

0:16:19.370,0:16:22.929
haben gesagt wir bringen das dann[br]irgendwann später vielleicht mal. Und dann

0:16:22.929,0:16:25.779
sind wir in Urlaub gefahren und haben[br]gehofft, Na ja, jetzt ist ja hoffentlich

0:16:25.779,0:16:29.779
Ruhe. Oder?[br]D: Das war dann auch, so ein Wochenende

0:16:29.779,0:16:38.910
war Ruhe. Hier ist das unboxing-Video, was[br]dann die nächste Woche ankam. (Sound aus

0:16:38.910,0:16:51.759
dem Video: <i>Papier reißt</i> "Aah, zur[br]Wiederverwendung eher schlecht, dafür sehr

0:16:51.759,0:16:58.609
gehaltvoll") Ja, das war das Schreiben.[br](Video: An Inhalt, oder zumindest an Masse

0:16:58.609,0:17:03.139
fehlt es nicht.) Das Schreiben vom[br]Gericht, vom Nürnberger Landesgericht war

0:17:03.139,0:17:07.890
sehr gehaltvoll. Und was war das dann? Sie[br]haben versucht, eine einstweilige

0:17:07.890,0:17:11.730
Verfügung zu erreichen. Das Gericht hat es[br]aber nicht direkt akzeptiert, sondern hat

0:17:11.730,0:17:19.240
gesagt "Das ist ein sehr komplexes Thema."[br]Erstmal großer Wert und so, wir wollen das

0:17:19.240,0:17:22.870
gerne, also man kann da als Gericht sagen[br]"ja, das winken wir direkt durch,

0:17:22.870,0:17:25.920
einstweilige Verfügung wird akzeptiert"[br]und dann muss man dagegen klagen und so

0:17:25.920,0:17:29.230
weiter, oder man sagt als Gericht, das[br]würde man gerne mal verhandeln. Das hätten

0:17:29.230,0:17:32.600
Sie gerne verhandelt, mit Anwaltszwang,[br]also wir haben uns dann auch Anwälte

0:17:32.600,0:17:37.730
genommen. Und volles Programm natürlich,[br]und persönliches Erscheinen wird

0:17:37.730,0:17:42.920
angeordnet. Dann sind wir alle nach[br]ziemlich viel Schriftwechsel, also dann,

0:17:42.920,0:17:45.660
man denkt so "Verhandlungen, da geht man[br]hin und schaut mal was passiert". In

0:17:45.660,0:17:50.760
Wirklichkeit war da mit unseren Anwälten[br]wirklich Beschuss, also es gab seitenweise

0:17:50.760,0:17:54.900
von der Gegenseite von uns irgendwelche[br]Schreiben die das Recht interpretiert

0:17:54.900,0:17:58.870
haben und dem Gericht versuchen, im[br]Vorfeld schon mal klarzumachen, dass die

0:17:58.870,0:18:02.050
jeweilige Gegenseite Quatsch redet.[br]Jedenfalls nach diesen gesamten hin und

0:18:02.050,0:18:08.380
her haben wir uns dann auch getroffen im[br]Gerichtssaal, und war alles überfüllt. Die

0:18:08.380,0:18:13.450
Richter haben gemeint "Naja, so eine volle[br]zivil-Verhandlung hatten sie noch nie".

0:18:13.450,0:18:17.440
Wir waren acht Leute, der komplette[br]Lehrstuhl ist noch mit angereist aus

0:18:17.440,0:18:26.510
Interesse.[br]<i>Gelächter und Applaus</i>

0:18:26.510,0:18:32.400
War sehr interessant, also es waren recht[br]lange Verhandlungen, unser Anwalt hat mit

0:18:32.400,0:18:36.330
zwei Stunden gerechnet, maximal, und es[br]waren dann sieben.

0:18:36.330,0:18:40.640
<i>Gelächter</i>[br]Es war, also, und da waren natürlich sehr

0:18:40.640,0:18:44.810
interessante Stilblüten mit dabei, die ich[br]jetzt hier nicht zeitlich alle vorbringen

0:18:44.810,0:18:50.640
will, aber solche Sachen wie, die[br]Verteidiger, oder ne, waren ja keine

0:18:50.640,0:18:53.561
Verteidiger, die Rechtsanwälte der[br]Antragstellerin haben so Sachen

0:18:53.561,0:18:58.320
losgelassen wie: "Es kann der Sicherheit[br]der Software unserer Klientin ja nicht

0:18:58.320,0:19:02.350
dienlich sein, wenn die Sicherheit in der[br]öffentlichkeit diskutiert wird".

0:19:02.350,0:19:06.780
<i>Gelächter</i>[br]Genau, also das war interessant. Die

0:19:06.780,0:19:09.300
Richter haben ihren Job tatsächlich[br]verhältnismäßig, also wir hatten Glück

0:19:09.300,0:19:14.470
dass sie sich wirklich darauf eingelassen[br]haben auf das Thema, nicht nur Täter, wie

0:19:14.470,0:19:17.670
Schreibtischtäter, sondern wirklich sich[br]damit auseinandergesetzt haben. Die

0:19:17.670,0:19:22.280
Schriftführerin ist irgendwann nach Hause[br]gegangen weil sie Feierabend machen

0:19:22.280,0:19:29.310
musste, und sieben Stunden später hat dann[br]die, sieben Stunden später hat dann die

0:19:29.310,0:19:33.660
dritte Richterin das niedertippen dürfen,[br]die Schriftführerin war weg. Wir haben

0:19:33.660,0:19:37.630
einen Vergleich geschlossen mit der[br]Gegenseite. Wir haben uns darauf geeinigt,

0:19:37.630,0:19:43.160
dass die Gegenseite erst mal alles zahlt.[br]Das war uns sehr wichtig. Aber dafür haben

0:19:43.160,0:19:46.830
wir zugestanden, dass wir in Zukunft[br]Responsible Disclosure ihnen gegenüber

0:19:46.830,0:19:51.340
einhalten. Wenn wir jemals wieder deren[br]App anschauen, dann sagen wir erst mal

0:19:51.340,0:19:53.790
Bescheid, "Wir haben eine neue[br]Sicherheitslücke, wir geben Ihnen X Tage

0:19:53.790,0:19:59.480
Zeit, die wir für angemessen halten."[br]Daraufhin darf die Gegenseite dann sagen,

0:19:59.480,0:20:03.770
"Ja, das ist uns nicht genug" oder "Wir[br]brauchen mehr Infos" oder "ja, passt, wir

0:20:03.770,0:20:10.000
fixen das", im Idealfall. Und wir dürfen[br]dann die Kommentare der Gegenseite prüfen

0:20:10.000,0:20:13.480
und dürfen entsprechend agieren, und, was[br]uns besonders wichtig war: Wir dürfen

0:20:13.480,0:20:18.030
weiterhin veröffentlichen, trotzdem, und[br]sie tragen komplett die

0:20:18.030,0:20:23.260
Verhandlungskosten. Sagen wir mal ein[br]okay-es Ergebnis, nach dem Vergleich waren

0:20:23.260,0:20:28.441
wir alle super durch, und es gab auch[br]einen Heise-Artikel dazu, der rege

0:20:28.441,0:20:34.680
kommentiert wurde. Also eigentlich gerade[br]nochmal alles gut gegangen, oder? Also, es

0:20:34.680,0:20:39.840
klingt jetzt so mittelgut. Acht Forscher[br]wurden wochenlang, es ist echt Stress, wie

0:20:39.840,0:20:43.900
gesagt, Papierkrieg bis zum Umkippen,[br]lauter Sachen, die man noch nie hätte

0:20:43.900,0:20:49.230
träumen lassen wollen können. Wir haben[br]keinerlei Unklarheiten beantwortet, nur

0:20:49.230,0:20:53.030
dadurch dass wir gesagt haben "Ja, wir[br]nehmen den Vergleich an". Bis jetzt. Also,

0:20:53.030,0:20:55.830
wenn wir gewonnen hätten, dann wäre[br]dekompilieren trotzdem nicht legal

0:20:55.830,0:20:58.790
gewesen, dann hätten wir nur gesagt "Wir[br]haben nicht dekompiliert" oder so was, und

0:20:58.790,0:21:02.630
das Paper von der TU ist weiterhin nicht[br]veröffentlicht, das wird aber, also sie

0:21:02.630,0:21:06.420
sind auf dem Weg, das kommt dann schon[br]doch irgendwann, ist halt jetzt ein halbes

0:21:06.420,0:21:11.440
Jahr später oder so. Was nehmen wir aus[br]dem gesamten mit? Erst mal: keine Panik,

0:21:11.440,0:21:14.870
aber... also, das ist so ein Standar-Ding,[br]don't Panik. Aber ich habe natürlich zu

0:21:14.870,0:21:17.970
wenig gepanikt. Ich habe am Freitag[br]gedacht, ja, ist ja eh Wochenende, Montag

0:21:17.970,0:21:24.200
wird es meine Uni schon richten. Äh, ne.[br]<i>gelächter</i>

0:21:24.200,0:21:27.430
Nicht blind Sachen unterschreiben[br]natürlich. Ich glaube dass ist auch

0:21:27.430,0:21:30.520
obvious. Wenn wir den ersten Wisch[br]unterschrieben hätten, dann hätten wir

0:21:30.520,0:21:36.020
einfach unsere Jobs an den Haken hängen[br]können. Kompletter Käse. Die Uni-Juristen

0:21:36.020,0:21:43.260
sind keine IT-Experten, also selbst da an[br]den Unis wo sie das gemacht haben war's

0:21:43.260,0:21:47.950
nicht so leicht, das denen zu vermitteln.[br]Die FAU zum Beispiel, da die Juristen

0:21:47.950,0:21:54.820
haben sich hervorgetan, die waren Positiv[br]zu erwähnen. Ja, wie auch immer. Nicht

0:21:54.820,0:21:58.740
übertreiben in Publikatoinen, das ist so[br]ein bisschen gegen uns selbst. Wir

0:21:58.740,0:22:02.860
tendieren dazu in der Wissenschaft immer[br]alle so "voll gut, was wir gemach haben"

0:22:02.860,0:22:06.360
und so weiter. Wenn wir Sachen rein[br]schreiben die am Schluss vielleicht

0:22:06.360,0:22:12.130
rechtlich belangen, verwerflich sind dann[br]problematisch, und auch warum den

0:22:12.130,0:22:14.830
Firmennamen groß in den Titel packen wenn[br]man es nicht muss oder so etwas könnte man

0:22:14.830,0:22:18.200
sich dann für die Zukunft überlegen ob man[br]das wirklich will und das Wichtigste

0:22:18.200,0:22:24.910
natürlich: never decompile. Niemals jemals[br]einen decompiler verwenden. Kein F5 mehr,

0:22:24.910,0:22:30.120
Taste gleich rausreißen aus der Tastatur.[br]Glücklicherweise: Die Beweislast liegt

0:22:30.120,0:22:36.100
beim Gegner. Falls doch jemand mal[br]ausrutscht auf der Maus oder der Tastatur:

0:22:36.100,0:22:40.740
Die Beweislast liegt beim Gegner. Nicht[br]reinschreiben. Also wenn man wirklich ein

0:22:40.740,0:22:44.120
Papier oder sowas veröffentlicht: Man hat[br]nicht dekompiliert. Hat man einfach nicht.

0:22:44.120,0:22:47.910
Problem ist: Es gibt irgendwie wieder[br]Ansprüche, also wenn ein Verdacht besteht

0:22:47.910,0:22:51.551
dann könnten da auch wieder... Das geht[br]jetzt auch zu tief ins Detail. Never

0:22:51.551,0:22:56.320
decompile. Dann haben wir uns einige[br]Fragen gestellt, die jetzt im verlauf der

0:22:56.320,0:22:57.710
Fabian noch ein bisschen beantworten[br]möchte.

0:22:57.710,0:23:05.070
Fabian: Bevor wir jetzt zum Ende des talks[br]und zum Resume kommen, wir haben natürlich

0:23:05.070,0:23:07.990
uns selber während des Prozesses schon[br]einige Fragen gestellt und auch von

0:23:07.990,0:23:12.930
außerhalb welche bekommen. Das best-of[br]möchte ich euch jetzt nicht vorenthalten.

0:23:12.930,0:23:18.520
Natürlich, naja, wenn die Richter... Das[br]muss man klar sagen, während es

0:23:18.520,0:23:22.467
Gerichtsprozesses haben sich die Richter[br]sehr tief in die Karten schauen lassen, haben

0:23:22.467,0:23:27.710
der Gegenseite quasi wortwörtlich gesagt:[br]"Also Leute, vor dieser Kammer habt ihr

0:23:27.710,0:23:31.560
mit euren Forderungen keine Chance. Das[br]könnte vergessen." Da kann man sich

0:23:31.560,0:23:35.040
natürlich jetzt fragen: Warum haben wir[br]das dann nicht einfach durchgezogen

0:23:35.040,0:23:39.840
sondern uns verglichen? Na ja, ich habe[br]euch mal so ein bisschen aufgemalt. Was

0:23:39.840,0:23:43.136
wir ja gekriegt haben... das ist der[br]Instanz-Weg, wir haben jetzt ein

0:23:43.136,0:23:46.603
einstweilige-Verfügungs-Verfahren gehabt.[br]Das ist das worum es bei uns ging. Die

0:23:46.603,0:23:50.170
Abmahnung haben wir gekriegt, die haben[br]wir alle unabhängig voneinander

0:23:50.170,0:23:53.730
zurückgewiesen. Und dann geht der Weg,[br]weil es ein einstweiliges-Verfügungs-

0:23:53.730,0:23:56.350
Verfahren ist, erst einmal zum[br]Landgericht, dann zum Oberlandesgericht

0:23:56.350,0:24:02.890
wenn die Gegenseite Berufung oder Revision[br]geht. Und danach gibts auf jeden Fall erst

0:24:02.890,0:24:06.400
einmal beim einstweiligen Verfahren eine[br]Entscheidung. Davon unberührt ist aber

0:24:06.400,0:24:09.920
noch ein eigentliches Verfügungs-Verfahren[br]das ist quasi, also einstweilig ist das

0:24:09.920,0:24:14.950
Eilverfahren. Ich habe mal gehört, ich[br]hoffe es stimmt, in Bayern muss man zum

0:24:14.950,0:24:18.380
Beispiel auch einen Monat nach Kenntnis[br]als Firma des Vorfalls einreichen sonst

0:24:18.380,0:24:21.350
ist es offensichtlich nicht mehr eilig[br]wenn man einen Monat damit wartet bis man

0:24:21.350,0:24:25.670
zu Gericht geht. Unabhängig davon kann man[br]noch mal versuchen die gleichen Ansprüche

0:24:25.670,0:24:29.550
in einem normalen Verfügungs-Verfahren[br]durchsetzen. Einstweilige ist einfach nur

0:24:29.550,0:24:36.980
die Eilig-Geschichte. Das eben der Zustand[br]eingefroren wird. So, wo waren wir denn

0:24:36.980,0:24:41.073
jetzt? Wir haben die erste Stufe dieser[br]fünfstündigen Pyramide, die haben wir

0:24:41.073,0:24:46.730
quasi gezündet. Wir waren beim Landgericht[br]haben auch auf ein Urteil, also waren da

0:24:46.730,0:24:49.650
und hätten es auf ein Urteil ankommen[br]lassen können, es wäre wahrscheinlich in

0:24:49.650,0:24:53.510
unserem Sinne ausgegangen. Die meisten[br]Fälle von denen wir wissen, und von denen

0:24:53.510,0:24:58.320
auch die TUM-Anwälte wussten oder von[br]unserem Team die Anwälte wussten, die

0:24:58.320,0:25:01.900
enden schon bei der Abmahnung. Die meisten[br]Firmen haben null Interesse da dran, in

0:25:01.900,0:25:05.610
einem öffentlichen Rechtsstreit die[br]Sicherheit ihrer Software zu diskutieren.

0:25:05.610,0:25:15.470
War bei uns nicht so. Mit dem Vergleich,[br]darin enthalten ist eine

0:25:15.470,0:25:19.320
Abgeltungsklausel. Das bedeutet: Alle[br]Ansprüche sind erledigt, völlig egal ob

0:25:19.320,0:25:22.760
sie berechtigt sind oder nicht. Damit kann[br]man nicht in Berufung oder Revision gehen.

0:25:22.760,0:25:27.910
Das heißt wir haben dem Gegner die vier[br]Stufen, die noch hätten gezündet werden

0:25:27.910,0:25:37.300
können, alle erspart, haben wir uns[br]erspart. Dem Gegner auch. Wobei wir

0:25:37.300,0:25:40.600
vermuten, dass wir am Ende die gewesen[br]wären, die den vielleicht etwas kürzeren

0:25:40.600,0:25:47.550
Atem gehabt hätten. Und wie gesagt, dieser[br]Vergleich für uns ist in unserem Sinne.

0:25:47.550,0:25:52.280
Wir wollen sowieso eigentlich responsible[br]disclosen dass uns im Laufe des Verfahrens

0:25:52.280,0:25:55.350
immer wieder mal vorgeworfen wurde "na ja,[br]die Kommunikation war ich jetzt nicht so

0:25:55.350,0:26:01.490
gut." Das tut uns leid, aber war halt ein[br]Missgeschick. Was auch nicht, also zum

0:26:01.490,0:26:03.780
Beispiel: Man könnte auch einen Gutachter[br]bestellen, Verfügungsverfahren ist viel

0:26:03.780,0:26:06.320
länger, das kann sich über Jahre[br]hinziehen, man muss auch nicht gleich

0:26:06.320,0:26:10.200
machen da gibts Verjährungsfristen, und so[br]weiter. Wir wollten dann nicht auf einer

0:26:10.200,0:26:15.380
tickenden Zeitbombe sitzen bleiben. Jetzt[br]gibt es natürlich das nächste Problem:

0:26:15.380,0:26:18.950
Kann man IT-Sicherheitsforscher jetzt denn[br]durch rechtliche Schritte zum Schweigen

0:26:18.950,0:26:25.930
bringen? Hm, Schwierig. unsere Meinung.[br]Jein. Also. bei uns hat es irgendwie nicht

0:26:25.930,0:26:32.090
funktioniert. Also wir haben uns das Recht[br]erkämpft unsere Forschung jetzt gerade auf

0:26:32.090,0:26:37.350
Seiten der TUM, also dass wir es immer[br]noch veröffentlichen können, wenn wir das

0:26:37.350,0:26:41.350
wollen. Wir haben kein NDA unterzeichnet,[br]wir können hier mit euch heute über den

0:26:41.350,0:26:45.570
Vorfall sprechen und tun das auch um die[br]Awareness für dieses Problem zu steigern,

0:26:45.570,0:26:49.350
damit euch hoffentlich nicht so etwas[br]ähnliches passiert wie uns. Auf der

0:26:49.350,0:26:53.500
anderen Seite hatten wir schon das Gefühl,[br]da das alles so ungeklärt ist, besonders

0:26:53.500,0:26:58.620
diese verschiedenen Nuancen der Analysen,[br]dass man eigentlich ja irgendwie immer

0:26:58.620,0:27:01.830
einen Grund konstruieren kann der[br]rechtlich für einen Juristen scheinbar ja

0:27:01.830,0:27:06.081
auch plausibel zu klingen scheint, sodass[br]man sagen kann "naja, Anspruch ist

0:27:06.081,0:27:09.890
vielleicht berechtigt" und dann ist der[br]Forscher, wenn er keinen Bock hat durch

0:27:09.890,0:27:13.000
einen wahnsinnig lange Instanz-Weg zu[br]gehen, eigentlich immer mundtot machen.

0:27:13.000,0:27:19.191
Und der psychische Druck ist enorm, das[br]sage ich, euch das war einer der

0:27:19.191,0:27:25.070
stressigsten, vielleicht der stressigste[br]Sommer in meinem Leben. Wer vertritt denn

0:27:25.070,0:27:31.090
Uni-Sicherheitsforscher? Eigentlich haben[br]mich viele Leute gefragt "Naja Leute, ihr

0:27:31.090,0:27:35.860
seid doch Arbeitnehmer. Ihr seid alle[br]abhängige Forscher, ihr habt ja ne Uni,

0:27:35.860,0:27:38.130
also wieso kümmert sich eigentlich nicht[br]die Uni darum, warum müsst ihr das

0:27:38.130,0:27:46.510
machen?" Warum das geht, das kann ich euch[br]rechtlich leider nicht komplett

0:27:46.510,0:27:51.350
auseinander nehmen, es gibt da zwei im[br]bayerischen Beamtenrecht, oh Gott ich

0:27:51.350,0:27:57.559
glaube Abschnitt 8 Absatz 2, 3 in[br]Verbindung mit 2(1), lasst mich lügen. Ihr

0:27:57.559,0:28:00.440
seht schon wie sehr ich mich mit diesem[br]Scheiß beschäftigen musste obwohl ich kein

0:28:00.440,0:28:08.690
Jurist bin. Aber beantragt haben wir das,[br]eine Antwort haben wir dazu heute noch nicht.

0:28:08.690,0:28:12.170
Im schlimmsten Fall muss das ins[br]bayerische Wissenschaftsministerium rauf,

0:28:12.170,0:28:15.240
um eine Aussage zu kriegen ob das geht[br]oder nicht, aber das ist tatsächlich auf

0:28:15.240,0:28:21.450
TUM-Seite bis heute ungeklärt. Wie geht[br]man als Forscher mit Nebentätigkeiten um?

0:28:21.450,0:28:25.300
Mehrere von uns haben ein kleines Gewerbe[br]nebenbei in dem sie zum Beispiel

0:28:25.300,0:28:30.350
Pentesting oder allgemeine IT-Tätigkeiten,[br]die man halt so macht, dass wir das

0:28:30.350,0:28:35.200
irgendwie abrechnen können und ordentlich[br]abrechnen kann. Wenn jetzt, das ist

0:28:35.200,0:28:39.450
tatsächlich ja in der Abmahnung aktiv[br]passiert, vonseiten einer Firma

0:28:39.450,0:28:44.990
konstruiert werden kann "Na Ja, deine[br]Firma, das ist ein Konkurrent, der steht

0:28:44.990,0:28:49.850
ja im Wettbewerb mit mir und unterliegt[br]dann viel strengeren Regeln." Das finde

0:28:49.850,0:28:55.070
ich sehr kritisch. Also zum Glück haben die[br]Richter tatsächlich gesagt: "Na ja, also,

0:28:55.070,0:28:58.650
stellen die jetzt ein Konkurrenzprodukt[br]her? Nein.". Aber trotzdem, der Vorwurf

0:28:58.650,0:29:07.320
steht natürlich erstmal im Raum. Was wäre[br]schön zu haben, was würde, was hätten wir

0:29:07.320,0:29:12.110
gewünscht zu haben? Es wäre natürlich[br]kurzfristig erst mal cool wenn man das

0:29:12.110,0:29:16.220
ganze Risiko von dem Unternehmen verklagt[br]zu werden irgendwie versichern könnte

0:29:16.220,0:29:19.720
sodass man, wenn der Worst Case eintritt,[br]dass man da wirklich jemanden hat er will

0:29:19.720,0:29:22.990
sich nicht einigen und er will dich durch[br]die vollen fünf Instanzen durchschicken,

0:29:22.990,0:29:28.730
dass man das irgendwie abfangen kann und[br]dass man das nicht auf private Rechnung

0:29:28.730,0:29:34.930
machen muss. Man kriegt vielleicht mal[br]Geld wieder bei Gericht wenn man Recht

0:29:34.930,0:29:38.870
kriegt, aber die Anwälte, jedenfalls[br]unsere, die wir engagiert haben, die

0:29:38.870,0:29:43.300
wollten natürlich monatlich bezahlt[br]werden. Man kann ja auch mal eine Instanz

0:29:43.300,0:29:47.030
verlieren. Da wäre es natürlich cool, man[br]hätte irgendeine Art

0:29:47.030,0:29:50.650
Rechtschutzversicherung. Keiner von uns[br]hatte eine. Nächstes Problem: Das sind

0:29:50.650,0:29:53.930
Sachen aus dem Urheberrecht, das ist ja[br]ein Copyright-Verfahren, das ist wohl,

0:29:53.930,0:29:58.020
haben uns unsere Anwälte gesagt, "selbst[br]wenn es eine gehabt hätten, Urheberrecht

0:29:58.020,0:30:01.960
ist meistens ausgeschlossen." Das liegt an[br]den ganzen Filesharing-Geschichten,

0:30:01.960,0:30:07.100
normalerweise fallen nämlich die alle[br]darein. Und wenn man wegen unlauteren

0:30:07.100,0:30:10.290
Wettbewerb verklagt wird weil man nebenbei[br]eine Firma hat, dann braucht man ja

0:30:10.290,0:30:13.460
eigentlich, also Gewerbe ist dann auch[br]irgendwie gerne ausgeschlossen bei der

0:30:13.460,0:30:15.700
Rechtsschutzversicherung. Also tatsächlich[br]haben sie genau die beiden Punkte

0:30:15.700,0:30:20.780
getroffen, wo es weh tut. Okay es wäre gut[br]wenn es da eine Versicherung geben würde,

0:30:20.780,0:30:23.840
die auch für Sicherheitsforscher so ein[br]Risiko versichern würde. Unterstützung

0:30:23.840,0:30:29.580
durch Forschungsinstitute. Auch vor allen[br]Dingen, also wir hätten durch die Uni

0:30:29.580,0:30:34.980
Unterstützung gebraucht. Ich hatte schon[br]den Eindruck tatsächlich dass da durchaus

0:30:34.980,0:30:40.450
viele Leute waren die bemüht waren uns zu[br]helfen und die die das auch versucht haben

0:30:40.450,0:30:44.270
aber die dann irgendwie über einen[br]Paragraphen gestolpert sind, sodass sie es

0:30:44.270,0:30:48.080
nicht machen konnten. Und es hat sich an[br]einigen Stellen tatsächlich auch leider

0:30:48.080,0:30:52.510
das Gefühl gehabt es gibt so einen[br]Unwillen im System der hat sagt "Naja, das

0:30:52.510,0:30:57.270
fassen wir lieber nicht an." Da bräuchte[br]man eine klare Bekennung zu Forschern,

0:30:57.270,0:31:01.640
halt auch externen Forschern, weil nur den[br]Mitarbeitern, das hätte jetzt Dominik zum

0:31:01.640,0:31:04.030
Beispiel nichts gebracht und vor allen[br]Dingen auch Studenten, wenn die auf so

0:31:04.030,0:31:08.460
einer Arbeit mit drauf stehen. Sowas wie[br]Rechtsschutz und Mithaftung wäre

0:31:08.460,0:31:11.750
interessant. Vielleicht gibt es eine[br]Mithaftung tatsächlich, aber ihr wollt ja

0:31:11.750,0:31:14.940
auch als Arbeitnehmer einer Uni nicht[br]unbedingt gleich eure eigene Uni

0:31:14.940,0:31:20.200
verklagen, oder? Also, das haben wir kurz[br]überlegt, aber einen mehr-Fronten-Krieg

0:31:20.200,0:31:23.785
gegen eine Firma und unseren Arbeitgeber[br]das ist nicht so cool. Dann natürlich wäre

0:31:23.785,0:31:29.200
<i>Gelächter</i>[br]Dann wäre natürlich

0:31:29.200,0:31:37.020
auch noch cool eine rechtliche Basis für[br]Sicherheitsforschung zu haben, die viele

0:31:37.020,0:31:39.960
oder am besten alle Analysen die man als[br]Sicherheitsforscher so macht irgendwie

0:31:39.960,0:31:43.106
erlaubt. Also, wir sind da ja mit[br]irgendwelchen Copyright, das ist sowieso

0:31:43.106,0:31:47.710
schon eigentlich ein bisschen wahnsinnig,[br]mit irgendwelchen Copyright-Klagen

0:31:47.710,0:31:52.600
überzogen worden. Frag mich bitte nicht[br]genau aus, aber soweit ich weiß gibts seit

0:31:52.600,0:31:57.400
2016 da im Digital Millennium Copyright[br]Act, das ist das Entsprechung zum

0:31:57.400,0:32:01.710
Urheberrechtsgesetz in den USA, eine[br]explizite Ausnahmeregelung für

0:32:01.710,0:32:06.320
Sicherheitsforschung. Wenn die da wäre,[br]könnte man vielleicht viele rechtliche

0:32:06.320,0:32:11.170
Fragen gleich im Keim ersticken und hätte[br]auch mehr Sicherheit, wenn man mit Juristen

0:32:11.170,0:32:13.940
drüber redet, die sich jetzt nicht, also[br]diese ganzen Nuancen in der

0:32:13.940,0:32:16.320
Sicherheitsforschung der Analysen, die das[br]eigentlich gar nicht so genau beurteilen

0:32:16.320,0:32:23.770
können. Gut, das wars von unserer Seite,[br]wir stehen euch jetzt für Fragen zur

0:32:23.770,0:32:28.520
Verfügung.[br]D: Danke schön.

0:32:28.520,0:32:31.420
<i>Applaus</i>

0:32:31.420,0:32:43.900
Herald: Vielen Dank erst einmal für diese[br]Vorstellung dieses Leidensweges, das ist

0:32:43.900,0:32:49.630
ja wirklich erschreckend. Genau, wir[br]kommen zur Q&amp;A. Wer Fragen hat kommt bitte

0:32:49.630,0:32:55.760
an eins der Mikros. Meine Lieblingsansage[br]ist immer: Fragen, Punkt 1, bestehen aus

0:32:55.760,0:33:01.000
einem Satz mit einem Fragezeichen am Ende.[br]Zweitens, wenn in in ein Mikro redet

0:33:01.000,0:33:05.380
wirklich nah ran, nicht in den Mund[br]stecken aber kurz davor. Der Nachredner

0:33:05.380,0:33:10.860
wird es euch danken. Und für alle die ganz[br]dringend wohin müssen: bitte macht das so

0:33:10.860,0:33:14.809
leise wie irgendwie möglich damit ihr[br]nicht den Rest stört. Und damit kommen wir

0:33:14.809,0:33:17.700
zu den Fragen und beginnen direkt beim[br]Mikro Nr. 2.

0:33:17.700,0:33:23.070
Mikro 2: Danke für die aufregende Story.[br]Vergleich mit einseitiger Kostenübernahme

0:33:23.070,0:33:28.970
ist ja nicht der Standard. Meine Frage[br]wäre: könnt ihr wenigstens beschreiben wie

0:33:28.970,0:33:32.710
hoch die Kosten waren, die die Gegenseite[br]übernehmen musste, jetzt die

0:33:32.710,0:33:34.670
Gerichtskosten und die Kosten eurer[br]Anwälte?

0:33:34.670,0:33:38.410
F: Also da gibts so eine rechtsanwaltliche[br]Gebührentabelle, die bestimmt nicht

0:33:38.410,0:33:41.510
rechtsanwaltliche Gebührentabelle heißt[br]sondern irgendwie anders. Es gibt bestimmt

0:33:41.510,0:33:46.330
einen coolen juristischen Begriff dafür,[br]und nach der wird das berechnet, und nach

0:33:46.330,0:33:49.010
dem Teil sind auch die Kosten abgerechnet[br]worden.

0:33:49.010,0:33:54.490
D: Streitwert 200.000 Euro am Schluss.[br]F: Genau. Also, wir hatten auch erst mal

0:33:54.490,0:33:57.360
Angst bei diesem Streitwert, der so[br]wahnsinnig hoch ist. Tatsächlich bei einer

0:33:57.360,0:33:58.770
einstweiligen Verfügung wollen sie[br]eigentlich nur diese

0:33:58.770,0:34:02.220
Unterlassungserklärung haben, "hey, wir[br]dürfen das nicht mehr", bei Androhung

0:34:02.220,0:34:05.010
einer Strafe, und diese Streitwert-[br]Geschichte, danach berechnen sich

0:34:05.010,0:34:09.730
eigentlich nur die Kosten für Gericht und[br]die Anwälte. Soweit ich weiß.

0:34:09.730,0:34:14.500
H: Mikrofon Nr. 1[br]Mikro 1: Eine Frage, die ihr mit Ja oder

0:34:14.500,0:34:18.569
Nein beantworten könnt: Hatte es für einen[br]von euch acht noch berufliche

0:34:18.569,0:34:23.589
Konsequenzen?[br]D: Ja. Nicht mich, aber ja.

0:34:23.589,0:34:28.329
F: Okay, also wir sind zwei verschiedene[br]Teams, deswegen teilen wir das so...

0:34:28.329,0:34:32.210
D: Für eins von acht ja.[br]F: Okay, eins von acht, also auf unserer

0:34:32.210,0:34:35.129
Seite, nicht dass ich wüsste. Also keine[br]direkten beruflichen Konsequenzen. Also

0:34:35.129,0:34:39.089
nervlich auf jeden Fall, also auch schon[br]so dass man sich überlegt, hey, will man

0:34:39.089,0:34:44.270
so ein Projekt nochmal anschieben? Aber[br]ich persönlich bin froh, dass ich

0:34:44.270,0:34:46.829
durchgefochten habe bis zum Schluss. Ich[br]bin auch mit dem Vergleich zufrieden.

0:34:46.829,0:34:54.009
H: Mikrofon Nr. 3[br]Mikro 3: Hi. Haben Eure Anwälte mal die

0:34:54.009,0:34:58.930
Frage beantwortet, ob das was da im[br]juristischen Text als dekompilieren steht

0:34:58.930,0:35:04.369
auch wirklich das ist, was wir als[br]Techniker darunter verstehen. Ist es

0:35:04.369,0:35:09.880
wirklich F5 drücken oder ist es mehr so[br]dass kompilierte Programm in eine andere

0:35:09.880,0:35:12.369
Form überführen.[br]D: Irgendwie sowas in der Richtung.

0:35:12.369,0:35:17.189
Deswegen sagen wir Grauzone.[br]Sicherheitsforschung. Dekompilieren ist

0:35:17.189,0:35:21.180
auf jeden Fall böse. Deswegen hat wir[br]diese schönen Grafiken. Es könnte alles

0:35:21.180,0:35:24.579
irgendwie mit drunterfallen, übersetzen in[br]andere Formen.

0:35:24.579,0:35:29.819
F: Also wenn du ganz viel Lust hast 69e[br]tatsächlich aus dem Urheberrechtsgesetz

0:35:29.819,0:35:32.279
das ist tatsächlich der[br]Dekompilierungsparagraf, der allerdings

0:35:32.279,0:35:35.609
erst mal die Ausnahmen regelt wo man noch[br]dekompilieren darf. Da steht tatsächlich

0:35:35.609,0:35:40.400
als Überschrift ganz groß dekompilieren[br]und es wird nicht näher bestimmt, was jetzt

0:35:40.400,0:35:46.049
genau dekompilieren ist. Ich gehe davon[br]aus, also das weiß ich tatsächlich jetzt

0:35:46.049,0:35:50.210
nicht das ist was genau jetzt für den[br]Juristen dekompilieren ist. Also wie

0:35:50.210,0:35:52.759
gesagt wir haben einen juristischen[br]Fachartikel gelesen da war Disassemblieren

0:35:52.759,0:35:54.859
schon dekompilieren.[br]D: Und genau diese Frage kann unser

0:35:54.859,0:35:58.291
Rechtsanwalt nicht beantworten. Das müsste[br]dann quasi das Gericht entscheiden.

0:35:58.291,0:36:02.640
F: Also da kam von unserer Seite ganz klar[br]die Ansage: Wir kennen keine Referenz

0:36:02.640,0:36:06.309
Urteil dazu. Wir haben keine Datenbasis[br]dass wir sagen können Hey so wird das dann

0:36:06.309,0:36:15.390
schon ausgehen. Das müsste man mal klären.[br]Juristisch. Alles was wir ihnen sagen

0:36:15.390,0:36:19.739
können sind nur Meinungen. Das kann jeder[br]Richter anders sehen und entscheiden wie

0:36:19.739,0:36:24.670
er möchte.[br]H: Haben wir eine Frage aus dem Internet?

0:36:24.670,0:36:29.789
Signal Angel: Es stellt sich die Frage, es[br]wurde im Vortrag angemerkt, dass die

0:36:29.789,0:36:36.630
Studenten und Forscher ein Recht auf[br]Versicherung haben sollten. Es ist weniger

0:36:36.630,0:36:42.800
so eine klare Frage, als: Hätten nicht alle[br]Recht darauf eine Versicherung zu haben,

0:36:42.800,0:36:47.690
wenn sie ihre eigene Software, die Sie[br]verwenden, auf Sicherheit überprüfen

0:36:47.690,0:36:50.660
wollen.[br]F: Das war so gemeint die Forderung: Es

0:36:50.660,0:36:53.390
wäre erst mal schön eine Versicherung[br]gäbe, die es dann versichern würde

0:36:53.390,0:36:56.670
D: Also kurzfristig.[br]F: Also kurzfristig. Das wäre erst mal

0:36:56.670,0:37:00.809
schön. Wir kennen kein. Wir haben uns[br]gefragt: Schließen wir erst mal eine

0:37:00.809,0:37:04.570
Rechtsschutzversicherung ab, als das[br]Schreiben reingekommen ist. Die nicht mehr

0:37:04.570,0:37:08.809
den Schaden bezahlt, der jetzt gerade[br]eingetreten ist. Aber für zukünftige Fälle

0:37:08.809,0:37:12.099
wäre das ja sinnvoll gewesen. Wir haben[br]uns dann also ein bisschen informiert und

0:37:12.099,0:37:15.571
sind auf diese Probleme gestoßen. Selbst[br]wenn wir eine Rechtsschutzversicherung

0:37:15.571,0:37:21.180
gehabt hätten, hätten wir vielleicht das[br]gleiche Problem gehabt. Naja ist nicht

0:37:21.180,0:37:23.369
abgedeckt durch die Police, könnt ihr[br]selber zahlen.

0:37:23.369,0:37:27.569
D: Natürlich stimme ich dem Internet dann[br]auch zu. Es wäre das was man also man

0:37:27.569,0:37:32.960
sollte sich das dann selbst anschauen[br]dürfen. Aber das ist das Recht das muss

0:37:32.960,0:37:36.660
geändert werden vielleicht[br]H: Mikrofon Nummer zwei bitte.

0:37:36.660,0:37:43.661
Mikro 2: Der CCC macht ja auch so was wenn[br]jemand Daten findet oder wie auch immer

0:37:43.661,0:37:49.599
ran kommt, dass sich da dann mit[br]einschaltet. Habt ihr den CCC bei euch

0:37:49.599,0:37:53.559
auch mit angesprochen und wenn ja wie ist[br]das gelaufen und und aus gegangen?

0:37:53.559,0:37:59.039
D: Da hatten wir wechselnde Erfahrungen.[br]Ich hab recht eng mit dem CCC kommuniziert

0:37:59.039,0:38:05.460
gehabt und war ziemlich gute. Wir hatten[br]auch unsere Anwälte über den CCC empfohlen

0:38:05.460,0:38:12.260
bekommen. JBB war zum Beispiel sehr zwei[br]Daumen hoch wenn man mal sowas hat.

0:38:12.260,0:38:17.609
Aber das ist halt irgendwie bei acht Leuten[br]verzwickt gewesen das zu kommunizieren.

0:38:17.609,0:38:21.980
F: Also auf unserer Seite tatsächlich ist[br]das so ein bisschen. Ich will jetzt dem

0:38:21.980,0:38:24.759
CCC das nicht vorwerfen. Es kann doch[br]einfach nur ein Kommunikationsproblem auf

0:38:24.759,0:38:28.040
unserer Seite gewesen sein. Aber[br]tatsächlich bei uns ist von der

0:38:28.040,0:38:33.560
Ausgestaltung der CCCler nicht ganz so[br]viel angekommen. Der Herr Jäger, die

0:38:33.560,0:38:38.329
Kanzlei JBB, der die Nürnberger[br]Forschungsgruppe vertreten hat in dieser

0:38:38.329,0:38:43.440
Sache, der wollte uns nicht auch mit[br]vertreten. Das war einfach Pech dass die

0:38:43.440,0:38:46.800
Gegenseite uns vor ein Gericht gezerrt wo[br]wir eigentlich völlig separat voneinander

0:38:46.800,0:38:50.400
geforscht haben. Der wollte potenzielle[br]Interessenkonflikte vermeiden, weil wir ja

0:38:50.400,0:38:55.180
doch sehr heterogen sind und dann hat er[br]gesagt: "Naja ich empfehle euch einen

0:38:55.180,0:39:00.170
Kollegen." Tatsächlich. Aber ja. Das war[br]dann halt schon sehr sehr weit weg.

0:39:00.170,0:39:07.389
H: Mikrofon Nummer 1[br]Mikro 1: Vielen Dank für den Talk erst mal

0:39:07.389,0:39:10.740
und die Frage bei den ganzen[br]zurückgebliebenen Unklarheiten und ja auch

0:39:10.740,0:39:14.569
so einer klagewilligen Antragstellerin was[br]ja wohl auch nicht selbstverständlich ist.

0:39:14.569,0:39:17.920
Wäre es nicht voll sinnvoll gewesen das[br]einmal durch zu klagen um irgendwie ein

0:39:17.920,0:39:21.200
Grundsatzurteil zu bekommen oder einen[br]Präzedenzfall und die Kosten die dabei

0:39:21.200,0:39:24.930
entstehen, die natürlich gefährlich sind,[br]nicht eher solidarisch zu tragen.

0:39:24.930,0:39:30.190
D: Meiner Meinung nach hätten wir am[br]Schluss nur bewiesen gehabt dass man uns

0:39:30.190,0:39:34.790
nicht beweisen kann dass wir dekompiliert[br]haben. Das wäre das, was am Schluss dabei

0:39:34.790,0:39:38.550
hätte raus kommen können. Medienwirksam[br]wäre es vielleicht sinnvoll gewesen zu

0:39:38.550,0:39:41.720
verlieren, aber da hatte absolut niemand[br]Lust drauf.

0:39:41.720,0:39:49.450
F: Also meintest du jetzt tatsächlich dass[br]die Gegenseite das versucht das bis zum

0:39:49.450,0:39:52.099
Ende durch zu klagen um das irgendwie zu[br]gewinnen und sich nicht zu einigen oder

0:39:52.099,0:39:55.109
worauf bezog sich die Frage?[br]D: Ja schon auf uns.

0:39:55.109,0:39:59.470
Mikro 1: Die Frage bezieht sich darauf ob[br]diese Praktiken die bei dieser

0:39:59.470,0:40:01.500
Sicherheitsforschung angewendet werden[br]nicht dann doch durch die Gerichte so

0:40:01.500,0:40:04.540
eingeordnet werden ob das legal ist oder[br]nicht weil so bleibt ja das jein.

0:40:04.540,0:40:07.690
F: Ja das ist richtig. Das Problem ist[br]dass die Komponente die man dabei nicht

0:40:07.690,0:40:12.220
ganz vergessen darf. Das sind acht[br]Forscher, die alle auch im Leben noch was

0:40:12.220,0:40:15.479
anderes vorhaben. Einige waren zu dem[br]Zeitpunkt der Klage zum Beispiel schon gar

0:40:15.479,0:40:21.260
nicht mehr bei uns an der TU. Du stehst[br]mit dieser riesigen Autorengruppe da vor

0:40:21.260,0:40:24.119
Gericht und das musst du über zwei oder[br]drei Jahre. Wir haben versucht alle

0:40:24.119,0:40:28.249
Entscheidung im Konsens zu treffen. Das[br]habe ich einen Sommer lang war ich quasi

0:40:28.249,0:40:33.210
Telefonzentrale für die Münchner Seite der[br]Autorengruppe und es war ein Vollzeitjob

0:40:33.210,0:40:37.490
weil jeder überall wo anders war und das[br]versuchen irgendwie über Jahre hinaus

0:40:37.490,0:40:43.160
zusammenzuhalten ist ein Albtraum. Das ist[br]ein wahnsinnig psychologischer Druck und

0:40:43.160,0:40:46.369
du weißt da auch vom Gericht. Du versuchst[br]ja erst einmal die niedrig hängenden

0:40:46.369,0:40:50.049
Früchte zu nehmen. Also zum Beispiel in[br]dem Schreiben der gegnerischen

0:40:50.049,0:40:53.559
Rechtsanwälte - da waren formale Fehler[br]drin. Da fehlt mal ein Paragraph

0:40:53.559,0:40:56.069
tatsächlich. Du liest das Dokument und[br]stellst fest

0:40:56.069,0:40:59.920
D: Ne Seite.[br]F: Stellst fest da fehlen Absätze. Das

0:40:59.920,0:41:05.161
Dokument ist nicht schlüssig an sich. Rein[br]formal. Natürlich fängst du nicht erst mal

0:41:05.161,0:41:08.132
in den Brunnen der Dekompilierung ganz[br]tief hinabzusteigen. Du sagt erst einmal

0:41:08.132,0:41:13.210
Hey Leute, da fehlen Seiten - wie viel Mühe[br]gebt euch denn mit euren Schreiben? Das

0:41:13.210,0:41:18.430
ziehst du ihm ja als erstes mal um die[br]Ohren. Und ob dann am Ende wir wirklich

0:41:18.430,0:41:24.289
uns jetzt auf das Dekompilierungs-Ding da[br]gestürzt hätten. Das ist völlig, völlig

0:41:24.289,0:41:29.200
offen.[br]H: Gut, Zeit ist um. Wer noch Fragen hat.

0:41:29.200,0:41:32.890
Ihr beide seid vielleicht ja noch einen[br]Moment hier vorne erreichbar. Wer noch

0:41:32.890,0:41:37.140
eine Frage loswerden will, kommt einfach[br]nach vorne. Ansonsten war's das und damit

0:41:37.140,0:41:39.973
wünsche ich mir noch einmal einen großen[br]Applaus für die beiden.

0:41:39.973,0:41:52.366
<i>Applaus</i>

0:41:52.366,0:42:08.754
<i>Abspannmusik</i>

0:42:08.754,0:42:16.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 2020. Mach mit und hilf uns!