WEBVTT
00:00:07.410 --> 00:00:16.950
35c3 Vorspannmusik
00:00:16.950 --> 00:00:23.330
Herald: Nun folgt der Vortrag "Mehr
schlecht als recht: Grauzone
00:00:23.330 --> 00:00:30.701
Sicherheitsforschung" mit Dominik und
Fabian. Stellt euch vor ihr seid Forscher.
00:00:30.701 --> 00:00:35.790
Ihr wollt euch ein Stück Software genauer
angucken, verstehen wie es funktioniert,
00:00:35.790 --> 00:00:39.870
und macht das, was üblich ist: Reverse
Engineering. Dabei findet eine
00:00:39.870 --> 00:00:43.120
Sicherheitslücke. Wenn man so in den
Programm-Schedule von diesem Kongress
00:00:43.120 --> 00:00:48.510
guckt, ist das jetzt nicht allzu
unübliches was passiert. Aber plötzlich
00:00:48.510 --> 00:00:53.020
kommt Post vom Anwalt. Von dieser
Geschichte erzählen uns die beiden
00:00:53.020 --> 00:00:59.140
Forscher Dominik und Fabian. Begrüßt sie
und ihren Leidensweg mit einem großen
00:00:59.140 --> 00:01:02.809
Applaus.
00:01:02.809 --> 00:01:10.340
Dominik: Danke schön. Genau, wir halten,
mein Kollege Fabian und ich halten einen
00:01:10.340 --> 00:01:18.140
Talk. Warum stehen wir hier? Hats gerade
schon angedeutet, das hat irgendwas mit
00:01:18.140 --> 00:01:22.770
rechtlichen Dingen zu tun. Disclaimer
vorweg: Wir sind keine Rechtsanwälte.
00:01:22.770 --> 00:01:30.440
Applaus
D: Ich muss auch dazu sagen: Es sind nicht
00:01:30.440 --> 00:01:35.110
nur wir beide betroffen gewesen, es waren
acht Leute insgesamt die rechtliche
00:01:35.110 --> 00:01:39.940
Turbulenzen verwickelt waren. Das waren
zwei Gruppen komplett unabhängiger
00:01:39.940 --> 00:01:44.200
Forscher, einmal das Team, im Folgenden
Team FAU, von der Friedrich-Alexander-
00:01:44.200 --> 00:01:48.430
Universität Erlangen. Das sind drei Leute
von der FAU und mich, Ich bin inzwischen
00:01:48.430 --> 00:01:54.560
an der TU Berlin, und das andere Team, des
Team TUM aus München, TU München, vier
00:01:54.560 --> 00:01:59.160
Leute inklusive Fabian. Und eigentlich
einer noch von der TU Eindhoven, der wurde
00:01:59.160 --> 00:02:04.390
aber im Laufe des Prozesses irgendwie von
der Gegenseite einfach ignoriert. Ja, ist
00:02:04.390 --> 00:02:07.720
okay, er hat sich nicht darüber beschwert.
Gelächter
00:02:07.720 --> 00:02:11.561
D: Das einzige was wir gemeinsam haben
ist, dass wir keiner Lösung trauen, die
00:02:11.561 --> 00:02:16.640
absolute Sicherheit bewirkt. Wer macht so
was? Die sogenannte Antragstellerin, das
00:02:16.640 --> 00:02:20.950
ist eine Anbieterin von Sicherheitslösung.
Das Versprechen ist: "Gib mir deine
00:02:20.950 --> 00:02:26.090
Software, ich mache sie sicher, egal wie
böse das Betriebssystem ist." Schützt vor
00:02:26.090 --> 00:02:30.310
Malware, Man-in-the-Middle, Code
Injektionen, Spyware. Also einfach vor
00:02:30.310 --> 00:02:34.500
allem. Und warum haben wir beide Gruppen
uns das angeschaut? Wegen der relativ
00:02:34.500 --> 00:02:38.450
hohen Verbreitung im deutschen Markt, das
war der Grund. Genau. Wie ist das Ganze,
00:02:38.450 --> 00:02:41.730
wie hat das angefangen? Wir haben das
letztes Jahr angeschaut, und daraus ging
00:02:41.730 --> 00:02:46.460
dann so eine Veröffentlichung hervor.
Langsam ging das los, erst einmal einen
00:02:46.460 --> 00:02:50.790
Artikel in der Süddeutschen ende letzten
Jahres. Ihr seht rechts auf den Folien
00:02:50.790 --> 00:02:55.480
immer schön die Zeitleiste - Blau ist
dafür das color coding des Team FAU, Grün
00:02:55.480 --> 00:03:01.720
ist die TU München. Wir haben das gemeldet
und ohne weitere Details einen
00:03:01.720 --> 00:03:05.890
Zeitungsartikel veröffentlicht, und dann
einen Monat später gab es einen Vortrag
00:03:05.890 --> 00:03:09.260
auf dem Kongress dazu, "Die fabelhafte
Welt des Mobilebankings" von Vincent
00:03:09.260 --> 00:03:17.860
Haupert von der FAU in Nürnberg. Und
darauf ausliegend haben wir dann ein Paper
00:03:17.860 --> 00:03:19.950
noch geschrieben, also ein
wissenschaftliches Papier, das wir auf der
00:03:19.950 --> 00:03:24.760
DIMVA dieses Jahres vorgestellt haben,
"Honey, I Shrunk Your App Security". Da
00:03:24.760 --> 00:03:27.940
haben wir dann nicht nur die
Antragstellerin betrachtet, sondern auch
00:03:27.940 --> 00:03:32.200
noch das umliegende Umfeld. Also, wir
haben uns auch nicht auf diese eine Firma
00:03:32.200 --> 00:03:35.680
verschossen, sondern wir haben uns dann
auch noch ein bisschen den Markt
00:03:35.680 --> 00:03:38.870
angeschaut. Das war eigentlich so das von
uns, und dann war es für uns auch vorbei
00:03:38.870 --> 00:03:46.720
das Thema. Deswegen kommt jetzt Fabian.
Fabian: Ja, danke Dominik, das Problem an
00:03:46.720 --> 00:03:48.720
dieser ganzen Geschichte ist, das es
leider ziemlich verzwickt ist, und es gibt
00:03:48.720 --> 00:03:52.590
zwei Zeitstränge, die quasi an einigen
Stellen parallel ablaufen, ich erzähl euch
00:03:52.590 --> 00:03:56.160
jetzt, was gleichzeitig an der TUM
geschah. Was passiert ist, ist dass ein
00:03:56.160 --> 00:04:00.300
Kollege von mir aus unserer Autorengruppe
an der TUM sich die Elster-App für die
00:04:00.300 --> 00:04:04.040
Elektronische Lohnsteuererklärung
angeschaut hat und festgestellt hat "naja,
00:04:04.040 --> 00:04:08.330
das was da drinne ist, dass sieht ziemlich
nach dem aus, was der Vincent auf dem 34c3
00:04:08.330 --> 00:04:13.770
schon mal auf dem Talk erwähnt hat". So
ist der allererste Kontakt zu Stande
00:04:13.770 --> 00:04:18.340
gekommen. Zu dem Zeitpunkt war das Paper
auf der DIMVA gerade conditionally
00:04:18.340 --> 00:04:21.781
accepted, wenn ich mich richtig entsinne,
und dann floss ein bisschen was von
00:04:21.781 --> 00:04:28.640
unserer Analyse in das Paper noch mit ein.
Was wir außerdem gefunden haben ist ein
00:04:28.640 --> 00:04:32.980
sogenannte Whitebox-Kryptografie, die ein
zusätzlicher Schutz-Baustein in der
00:04:32.980 --> 00:04:40.660
Software der Antragstellerin ist. Und wir
hatten eigentlich, wir wollten uns das
00:04:40.660 --> 00:04:44.240
schon immer mal länger anschauen, und
haben gedacht "okay, zu diesem
00:04:44.240 --> 00:04:47.010
akademischen Diskurs 'bringt Whitebox-
Kryptographie etwas, bringt ist nichts'
00:04:47.010 --> 00:04:51.450
ohne jetzt genau zu wissen, was das genau
ist" wollten wir was beitragen. Wir haben
00:04:51.450 --> 00:04:58.600
dann versucht, ein Paper zu
veröffentlichen und haben ein Paper auf
00:04:58.600 --> 00:05:03.190
dem 12. USENIX-Workshop on offensive
Technologies, der kurz WOOT'18,
00:05:03.190 --> 00:05:08.160
eingereicht und wir haben uns dann sehr
gefreut, dass es conditionally accepted
00:05:08.160 --> 00:05:14.950
wurde, knapp einen Monat später. Haben wir
tatsächlich nicht mit gerechnet. Dann sind
00:05:14.950 --> 00:05:19.210
wir überrascht worden das erste Mal so
knapp, man sieht das hier an der
00:05:19.210 --> 00:05:24.900
Zeitleiste, ein paar Wochen nach dem wir
das conditionally accepted bekommen haben,
00:05:24.900 --> 00:05:29.210
gab es eine E-Mail vom CTO der
Antragstellerin mit dem Betreff
00:05:29.210 --> 00:05:33.570
"Responsible Disclosure violation", da
sind das erste mal aus allen Wolken
00:05:33.570 --> 00:05:38.960
gefallen. Eigentlich, man muss dazu sagen,
unsere Findings, das es eigentlich... Wir
00:05:38.960 --> 00:05:44.610
haben da zwar reverse engineering
betrieben, aber es war eigentlich, wir
00:05:44.610 --> 00:05:47.620
haben nicht so direkt ein Sicherheitsleck
da gefunden tatsächlich. Es ging
00:05:47.620 --> 00:05:53.639
eigentlich mehr um etwas vergleich mit der
akademischen Welt. Wir haben trotzdem die
00:05:53.639 --> 00:05:57.050
Forschungsergebnisse, die wir hatten, und
einen Vorabzug des Papers der Firma um die
00:05:57.050 --> 00:06:00.310
es da ging zur Verfügung gestellt, und
haben dann, die waren natürlich nicht
00:06:00.310 --> 00:06:04.169
begeistert, und dann haben wir über
verschiedene Aspekte unseres Papiers mit
00:06:04.169 --> 00:06:11.210
denen zehn Tage lang diskutiert.
D: Hm, ja, Überraschung. Wir hatten ja zu
00:06:11.210 --> 00:06:13.479
dem Zeitpunkt, habe ich vorhin schon
dargelegt, eigentlich abgeschlossen gehabt
00:06:13.479 --> 00:06:17.080
mit dem Thema, wir hatten unser Papier
released, das ist so in der Wissenschaft
00:06:17.080 --> 00:06:20.580
üblicherweise, da hat man dann nicht mehr
so viel damit zu tun. Und plötzlich
00:06:20.580 --> 00:06:24.910
flattert so ein Schreiben, offiziell
aussehendes Schreiben, also erstmal eine
00:06:24.910 --> 00:06:30.130
Mail am Freitagabend, am Montag kam dann
auch das per Post: "Bitte einmal
00:06:30.130 --> 00:06:36.260
unterschreiben". Im Volksmund wird das
eine Abmahnung genannt. Worum ging es da?
00:06:36.260 --> 00:06:41.990
In E-Mails von der Rechtsanwaltskanzlei
zur "Forderung der Abgabe einer
00:06:41.990 --> 00:06:47.021
strafebewährten Unterlassungserklärung",
das muss ablesen. Mit der Frist von, also
00:06:47.021 --> 00:06:51.920
Freitag Abend kam das an, nur zwei
Werktagen, was nicht sehr viel ist.
00:06:51.920 --> 00:06:56.380
Verstoß gegen, ja gegen was könnten wir
verstoßen haben? Wir sind böse Hacker,
00:06:56.380 --> 00:07:02.199
deswegen wahrscheinlich irgendwas mit
Hackersachen, genau, Urheberrecht, und
00:07:02.199 --> 00:07:07.050
natürlich waren wir auch noch Wettbewerber
und haben unlauteren Wettbewerb betrieben.
00:07:07.050 --> 00:07:13.350
Wir haben uns gewundert. Die Forderungen
waren folgendermaßen: kein Reverse
00:07:13.350 --> 00:07:17.681
Engineering mehr machen, also zumindest
der Software der Antragstellerin, keine
00:07:17.681 --> 00:07:21.880
Schutzmaßnahmen umgehen, die die hier
irgendwie, das ist ja irgendwie ihr Job,
00:07:21.880 --> 00:07:25.500
ne? Die machen Schutzmaßnahmen, wir dürfen
die nicht mehr umgehen. Damit ist dann der
00:07:25.500 --> 00:07:31.560
Schutz perfekt.
Gelächter und Applaus
00:07:31.560 --> 00:07:40.180
D: Nichts mehr veröffentlichen, und keine
Software mehr erwerben oder besitzen, die
00:07:40.180 --> 00:07:47.630
entweder A oder B ermöglicht, also kein,
hört auf mit eurem Job, ein Leben lang.
00:07:47.630 --> 00:07:52.289
Strafe je Verstoß 10 000 Euro. Also jedes
mal, wenn ich IDA aus versehen irgendwo...
00:07:52.289 --> 00:07:57.620
Egal. Strafrechtliche Konsequenzen auch
noch angedroht. Also so ein böser
00:07:57.620 --> 00:08:00.490
Nebensatz der sagt "ja übrigens, obwohl
ihr hier vielleicht das unterschreibt, ihr
00:08:00.490 --> 00:08:04.280
könntet dann trotzdem noch auf anderem
Wege belangt werden". Das fanden wir nicht
00:08:04.280 --> 00:08:09.110
so gut. Ich hatte jetzt die glückliche
Situation: Easy, an der Uni, ich bin ja
00:08:09.110 --> 00:08:12.979
Forscher und so. Ich habe da angerufen
"Ja, ich hab ein Problem, brauche die
00:08:12.979 --> 00:08:17.100
Rechtsabteilung." Und die Rechtsabteilung
sofort: "Ja, überhaupt gar kein Problem,
00:08:17.100 --> 00:08:21.580
machen Sie sich keine Sorgen, Wir kümmern
uns um das Thema." Damit bin ich fertig,
00:08:21.580 --> 00:08:22.580
danke für eure Aufmerksamkeit, ich gebe
zurück an Fabian.
00:08:22.580 --> 00:08:32.941
Gelächter und Applaus
F: Ja, jetzt wäre es ja schön gewesen,
00:08:32.941 --> 00:08:37.880
wenn das für uns auch so einfach gewesen
wäre. Wir haben diesen schönen Brief in
00:08:37.880 --> 00:08:42.259
Form eines Vorabzugs per E-Mail an einem
Freitag bekommen, ich glaube es war
00:08:42.259 --> 00:08:46.829
irgendwie so 15:00, 15:30 oderso. Wir
saßen glücklicherweise noch in einer
00:08:46.829 --> 00:08:50.350
Besprechung meiner Chefin, meiner
Professorin, die mein Promotionsprojekt
00:08:50.350 --> 00:08:54.399
betreut, und die hat dann gleich reagiert
und mal die Rechtsabteilung angerufen. Na
00:08:54.399 --> 00:08:59.900
gut, Uni, ich weiß nicht, könnt ihr euch
überlegen, was passiert, wenn mal mal um
00:08:59.900 --> 00:09:05.070
16 Uhr an einem Freitag da versucht
irgendjemanden zu erreichen. Es war zum
00:09:05.070 --> 00:09:08.929
Glück tatsächlich noch jemand da, also es
war noch jemand da der unsere Anfrage erst
00:09:08.929 --> 00:09:12.010
mal aufgenommen hat. Es hieß allerdings
tatsächlich nur, dass der Herr
00:09:12.010 --> 00:09:15.860
Oberregierungsrat, der sich das anschauen
könnte, der ist leider nicht mehr im Haus,
00:09:15.860 --> 00:09:19.809
ich gebe ihm das gleich am Montag. Ihr
habt hier so einen kleinen Kalender, um zu
00:09:19.809 --> 00:09:23.959
sehen wie knapp das war: Also am 20. haben
wir es bekommen, der 24. war die Frist -
00:09:23.959 --> 00:09:28.810
bis dahin sollten wir das Zurückschicken,
unterschrieben, dann könnten wir
00:09:28.810 --> 00:09:32.100
vielleicht den zivilrechtlichen
Forderungen entgehen, wurde uns
00:09:32.100 --> 00:09:36.259
versprochen in diesem Abmahnschreiben.
Gut, am Wochenende ist da nichts passiert,
00:09:36.259 --> 00:09:39.290
wir mussten dann zähneknirschend ins
Wochenende gehen, ohne etwas bewegen zu
00:09:39.290 --> 00:09:47.230
können. Am 23. und 24. haben wir dauernd
mit der Rechtsabteilung telefoniert,
00:09:47.230 --> 00:09:54.360
mehrfach, oft. Und haben versucht,
irgendwie denen zu erklären, was
00:09:54.360 --> 00:09:57.610
eigentlich passiert ist. Tatsächlich die
sind erstmal aus allen Wolken gefallen,
00:09:57.610 --> 00:10:02.410
"Oh Gott was ist denn da schiefgelaufen?".
Dann haben wir erstmal versucht zu sagen:
00:10:02.410 --> 00:10:05.529
Okay, was ist die Historie? Wir haben ja
schon im Vorfeld eine Diskussion zu
00:10:05.529 --> 00:10:09.079
unserem Paper mit denen geführt, haben
denen unser Paper gegeben, und dann gleich
00:10:09.079 --> 00:10:12.730
das nächste Problem: Naja das sind... Ich
will jetzt hier Juristen nicht
00:10:12.730 --> 00:10:17.910
runtermachen, keineswegs, aber die haben
halt ein anderes Fachgebiet, und wir
00:10:17.910 --> 00:10:20.949
machen unsere Forschung. Wir machen unsere
Forschung da und sollen denen jetzt auf
00:10:20.949 --> 00:10:25.559
einmal erzählen, was unsere verschiedenen
Analyse-Techniken bedeuten und wie das
00:10:25.559 --> 00:10:31.110
rechtlich einzuordnen ist. Das war sehr
schwierig. Und die Rechtsabteilung hat das
00:10:31.110 --> 00:10:34.449
auch am Anfang nicht so locker gesehen.
Die erste Reaktion war glaube ich "Oh
00:10:34.449 --> 00:10:39.709
Gott, wir informieren erst mal den
Vizekanzler. Wir sehen da potenziell auch
00:10:39.709 --> 00:10:44.019
noch Schadenersatzforderungen auf uns
zukommen, potenziell auch nach
00:10:44.019 --> 00:10:49.649
ausländischem Recht". Und das war nicht
witzig. Wir haben dann um eine
00:10:49.649 --> 00:10:52.550
Fristverlängerung gebeten. Die
Rechtsabteilung hat das netterweise für
00:10:52.550 --> 00:10:57.519
uns übernommen. Das ist ein Schreiben an
den gegnerischen Rechtsanwalt. Wichtig ist
00:10:57.519 --> 00:11:01.649
eigentlich nur das fette: wir bitten um
eine Fristverlängerung bis Dienstag den
00:11:01.649 --> 00:11:04.990
31. Juli. Wie ihr jetzt auf diesem
Kalender sehen könnt, das wäre jetzt genau
00:11:04.990 --> 00:11:13.240
eine Woche gewesen. Gekriegt: Einen Tag
haben wir. Danke. Okay, also weiter
00:11:13.240 --> 00:11:15.920
hetzen. Wir müssen irgendwie mit unserer
Rechtsabteilung klären, was wir jetzt
00:11:15.920 --> 00:11:19.110
machen können. Wir haben mit denen
tatsächlich juristische Fachartikel
00:11:19.110 --> 00:11:25.899
gewälzt. Dann kam am 25. leider noch der
nächste Brüller: "Wir können das
00:11:25.899 --> 00:11:29.930
Antwortschreiben leider nur vorbereiten,
unterschreiben müsst ihr es selbst, wir
00:11:29.930 --> 00:11:33.999
können es als Uni nicht zurückweisen. Auf
dem Briefkopf steht euer Name, ihr müsst
00:11:33.999 --> 00:11:37.709
es unterschreiben, die TUM ist nicht
offiziell Prozesspartei bis jetzt." Da war
00:11:37.709 --> 00:11:42.769
auf unserer Seite erst einmal Stille. Wir
konnten es nicht fassen. Wir mussten dann
00:11:42.769 --> 00:11:48.449
tatsächlich darauf eingehen und haben
deren vorbereitetes Antwortschreiben dann
00:11:48.449 --> 00:11:52.399
selbst unterzeichnet und die Forderungen
der Antragstellerin zurückgewiesen.
00:11:52.399 --> 00:11:56.899
D: Ganz kurz, erinnert mich daran, Ich
habe es komplett vergessen. Das (verweist
00:11:56.899 --> 00:12:00.529
auf Slides) war natürlich nicht wie es
war. Also, sie haben sofort gesagt "Ja es
00:12:00.529 --> 00:12:04.559
steht ihr Name drauf, good luck, have fun.
Sie sollten sich dringend einen Anwalt
00:12:04.559 --> 00:12:12.410
nehmen. Geht uns nichts an." Also, das war
dann Geil. Weiter: rechtlicher
00:12:12.410 --> 00:12:16.699
Hintergrund. Fabian.
F: Okay. Also das was jetzt folgt, das
00:12:16.699 --> 00:12:20.959
wussten wir natürlich zu dem damaligen
Zeitpunkt noch nicht, das ist das was wir
00:12:20.959 --> 00:12:24.629
jetzt über den, also das was jetzt noch
alles kommt im Vortrag, da haben wir das
00:12:24.629 --> 00:12:28.740
so angesammelt an Wissen. Wie gesagt,
Disclaimer: Wir sind keine Anwälte, aber
00:12:28.740 --> 00:12:33.179
ich versuche trotzdem mal so ein bisschen
euch auseinander zu nehmen: Wo ist das
00:12:33.179 --> 00:12:37.959
Problem, juristisch, soweit wir es
verstehen? Wir haben uns für unsere
00:12:37.959 --> 00:12:41.759
Analyse der Software, um die es da ging,
verschiedener Methoden aus dem Reverse
00:12:41.759 --> 00:12:44.869
Engineering Baukasten-bedient. Der ist
jetzt hier mal als Querbalken grün
00:12:44.869 --> 00:12:49.549
dargestellt. Und da ist zum Beispiel halt
drin: dekompilieren, verschiedene
00:12:49.549 --> 00:12:53.990
statische Analyse-Techniken. Man kann das
Programm zum Beispiel testen indem man es
00:12:53.990 --> 00:12:57.679
in einem Emulator ausführt und nicht
direkt auf der Hardware, und den Emulator
00:12:57.679 --> 00:13:01.420
kann man dann ein bisschen pimpen an ein
paar Stellen. Man kann das Programm auch
00:13:01.420 --> 00:13:04.660
einfach nur als Blackbox nehmen und
einfach dem zuschauen, was es tut. Wenn
00:13:04.660 --> 00:13:07.860
man es im Debugger ausführt tatsächlich,
dann sieht man auch wie sich die
00:13:07.860 --> 00:13:11.779
Registerwerte verändern. Disassemblieren
tatsächlich wird auch durch den Debugger
00:13:11.779 --> 00:13:14.600
gemacht, tatsächlich ist das ja, man kann
es auch bei Objectdump rein schmeißen.
00:13:14.600 --> 00:13:22.810
Juristisch ist es so: dekompilieren, never
do it, das ist verboten. Nach
00:13:22.810 --> 00:13:27.720
verschiedenen Paragrafen aus dem
Urheberrecht, und einen Teilanspruch, je
00:13:27.720 --> 00:13:31.881
nachdem welchen Anwalt man trifft, leiten
die das auch her aus dem Gesetz gegen den
00:13:31.881 --> 00:13:34.889
unlauteren Wettbewerb, wo steht: man darf
nicht mit technischen Maßnahmen
00:13:34.889 --> 00:13:42.369
Geschäftsgeheimnisse einer anderen Firma
sich aneignen. Testen und beobachten
00:13:42.369 --> 00:13:46.670
wiederum tatsächlich ist völlig okay, das
ist explizit erlaubt nach dem
00:13:46.670 --> 00:13:52.049
Urheberrecht. Und dankenswerterweise auch
nicht ausschließbar nach den AGB. Bei den
00:13:52.049 --> 00:13:58.869
ganzen Zwischendingern ist es so: Joa.
Also, je nachdem in welchem juristischen
00:13:58.869 --> 00:14:02.769
Fachartikel man da liest, wenn es denn da
mal, und da gibt es nur ein paar davon.
00:14:02.769 --> 00:14:08.600
Wir haben gefragt, keiner konnte uns das
so richtig sagen, wir mussten uns im
00:14:08.600 --> 00:14:11.699
Vorgang dann auch Anwälte nehmen, auch die
meinten "Ja, das ist nicht abschließend
00:14:11.699 --> 00:14:17.670
geklärt nach unserer Meinung". Es gibt bei
dem dekompilieren netterweise eine
00:14:17.670 --> 00:14:21.269
Ausnahme, das ist die Herstellung von
Interoperabilität. Wie gesagt, ich bin
00:14:21.269 --> 00:14:25.179
wieder kein Jurist, aber ich vermute, das
trifft zum Beispiel sowas wie Treiber-
00:14:25.179 --> 00:14:26.439
Entwicklung - ihr habt einen Closed-
Source-Treiber und es gibt eine
00:14:26.439 --> 00:14:29.239
Schnittstelle, und ihr wollt jetzt ein
Open-Source-Pendant dazu anbieten, oder es
00:14:29.239 --> 00:14:33.660
gibt irgendeine klar definierte
Schnittstelle und aus Wettbewerbsgründen,
00:14:33.660 --> 00:14:37.769
damit der Wettbewerb bestehen kann, darf
man im Notfall auch dekompilieren um
00:14:37.769 --> 00:14:44.379
herauszukriegen, wie diese Schnittstelle
zu bedienen ist. In einem Emulator
00:14:44.379 --> 00:14:47.810
ausführen: Wir haben mal unsere Anwälte
dann später gefragt, die meinen es ist
00:14:47.810 --> 00:14:51.860
wahrscheinlich eher verboten. Das müsst
ihr euch jetzt mal auf der Zunge zergehen
00:14:51.860 --> 00:14:56.250
lassen: Also das ausführen, also die
Begründung war dann: naja, das Programm
00:14:56.250 --> 00:15:00.509
läuft dann ja nicht mehr in seiner
natürlichen Umgebung.
00:15:00.509 --> 00:15:07.629
Gelächter
Schwierig. Und statische Analyse
00:15:07.629 --> 00:15:09.799
teilweise, wir haben auch juristische
Fachartikel gelesen da war disassemblieren
00:15:09.799 --> 00:15:15.550
schon verboten. Also, wenn ihr im Hex-
editor das Programm aufmacht und den
00:15:15.550 --> 00:15:18.790
Disassemblierer in eurem Kopf habt
tatsächlich, ihr könnt dann aus den Hex-
00:15:18.790 --> 00:15:22.350
Ziffern die Opcodes herleiten, und selbst
wenn ihr in eurem Kopf dekompilieren
00:15:22.350 --> 00:15:25.920
könnt, das ist fein. Wenn ihr aber ein
Tool dafür benutzt, dass das automatisch
00:15:25.920 --> 00:15:35.809
macht, ist schwierig. Eigentlich war unser
Ziel des Ganzen: Wir wollten eigentlich
00:15:35.809 --> 00:15:40.919
gerne mit der... Also, wir hatten kein
Interesse an Streit. Wir haben gesagt "Na
00:15:40.919 --> 00:15:44.799
ja okay, was können wir denn machen ohne
unsere wissenschaftliche Unabhängigkeit zu
00:15:44.799 --> 00:15:48.939
verlieren um das der Gegenseite so ein
bisschen schmackhaft zu machen dass wir
00:15:48.939 --> 00:15:53.629
das Paper veröffentlichen?" Wir haben mit
denen diskutiert, ein paar Formulierungen
00:15:53.629 --> 00:15:57.080
die wirklich einfach drin waren, die
wissenschaftlich null Relevanz haben, wo
00:15:57.080 --> 00:16:01.029
man nicht sagen kann "Hey wir hätten uns
da einen faulen Kompromiss gemacht" haben
00:16:01.029 --> 00:16:05.540
wir gestrichen. Aber das hat alles nichts
gebracht. Letzten Endes haben wir trotz
00:16:05.540 --> 00:16:09.079
intensiver Diskussion mit der
Antragsgegnerin das Paper dann finally
00:16:09.079 --> 00:16:13.119
zurückgezogen. Obwohl die WOOT uns
signalisiert hat, also es kam
00:16:13.119 --> 00:16:16.079
zwischenzeitlich von der WOOT die eMail
"Wir nehmen das an in der Fassung", es war
00:16:16.079 --> 00:16:19.370
also nicht mehr conditionally accepted, es
war finally accepted zu dem Zeitpunkt. Wir
00:16:19.370 --> 00:16:22.929
haben gesagt wir bringen das dann
irgendwann später vielleicht mal. Und dann
00:16:22.929 --> 00:16:25.779
sind wir in Urlaub gefahren und haben
gehofft, Na ja, jetzt ist ja hoffentlich
00:16:25.779 --> 00:16:29.779
Ruhe. Oder?
D: Das war dann auch, so ein Wochenende
00:16:29.779 --> 00:16:38.910
war Ruhe. Hier ist das unboxing-Video, was
dann die nächste Woche ankam. (Sound aus
00:16:38.910 --> 00:16:51.759
dem Video: Papier reißt "Aah, zur
Wiederverwendung eher schlecht, dafür sehr
00:16:51.759 --> 00:16:58.609
gehaltvoll") Ja, das war das Schreiben.
(Video: An Inhalt, oder zumindest an Masse
00:16:58.609 --> 00:17:03.139
fehlt es nicht.) Das Schreiben vom
Gericht, vom Nürnberger Landesgericht war
00:17:03.139 --> 00:17:07.890
sehr gehaltvoll. Und was war das dann? Sie
haben versucht, eine einstweilige
00:17:07.890 --> 00:17:11.730
Verfügung zu erreichen. Das Gericht hat es
aber nicht direkt akzeptiert, sondern hat
00:17:11.730 --> 00:17:19.240
gesagt "Das ist ein sehr komplexes Thema."
Erstmal großer Wert und so, wir wollen das
00:17:19.240 --> 00:17:22.870
gerne, also man kann da als Gericht sagen
"ja, das winken wir direkt durch,
00:17:22.870 --> 00:17:25.920
einstweilige Verfügung wird akzeptiert"
und dann muss man dagegen klagen und so
00:17:25.920 --> 00:17:29.230
weiter, oder man sagt als Gericht, das
würde man gerne mal verhandeln. Das hätten
00:17:29.230 --> 00:17:32.600
Sie gerne verhandelt, mit Anwaltszwang,
also wir haben uns dann auch Anwälte
00:17:32.600 --> 00:17:37.730
genommen. Und volles Programm natürlich,
und persönliches Erscheinen wird
00:17:37.730 --> 00:17:42.920
angeordnet. Dann sind wir alle nach
ziemlich viel Schriftwechsel, also dann,
00:17:42.920 --> 00:17:45.660
man denkt so "Verhandlungen, da geht man
hin und schaut mal was passiert". In
00:17:45.660 --> 00:17:50.760
Wirklichkeit war da mit unseren Anwälten
wirklich Beschuss, also es gab seitenweise
00:17:50.760 --> 00:17:54.900
von der Gegenseite von uns irgendwelche
Schreiben die das Recht interpretiert
00:17:54.900 --> 00:17:58.870
haben und dem Gericht versuchen, im
Vorfeld schon mal klarzumachen, dass die
00:17:58.870 --> 00:18:02.050
jeweilige Gegenseite Quatsch redet.
Jedenfalls nach diesen gesamten hin und
00:18:02.050 --> 00:18:08.380
her haben wir uns dann auch getroffen im
Gerichtssaal, und war alles überfüllt. Die
00:18:08.380 --> 00:18:13.450
Richter haben gemeint "Naja, so eine volle
zivil-Verhandlung hatten sie noch nie".
00:18:13.450 --> 00:18:17.440
Wir waren acht Leute, der komplette
Lehrstuhl ist noch mit angereist aus
00:18:17.440 --> 00:18:26.510
Interesse.
Gelächter und Applaus
00:18:26.510 --> 00:18:32.400
War sehr interessant, also es waren recht
lange Verhandlungen, unser Anwalt hat mit
00:18:32.400 --> 00:18:36.330
zwei Stunden gerechnet, maximal, und es
waren dann sieben.
00:18:36.330 --> 00:18:40.640
Gelächter
Es war, also, und da waren natürlich sehr
00:18:40.640 --> 00:18:44.810
interessante Stilblüten mit dabei, die ich
jetzt hier nicht zeitlich alle vorbringen
00:18:44.810 --> 00:18:50.640
will, aber solche Sachen wie, die
Verteidiger, oder ne, waren ja keine
00:18:50.640 --> 00:18:53.561
Verteidiger, die Rechtsanwälte der
Antragstellerin haben so Sachen
00:18:53.561 --> 00:18:58.320
losgelassen wie: "Es kann der Sicherheit
der Software unserer Klientin ja nicht
00:18:58.320 --> 00:19:02.350
dienlich sein, wenn die Sicherheit in der
öffentlichkeit diskutiert wird".
00:19:02.350 --> 00:19:06.780
Gelächter
Genau, also das war interessant. Die
00:19:06.780 --> 00:19:09.300
Richter haben ihren Job tatsächlich
verhältnismäßig, also wir hatten Glück
00:19:09.300 --> 00:19:14.470
dass sie sich wirklich darauf eingelassen
haben auf das Thema, nicht nur Täter, wie
00:19:14.470 --> 00:19:17.670
Schreibtischtäter, sondern wirklich sich
damit auseinandergesetzt haben. Die
00:19:17.670 --> 00:19:22.280
Schriftführerin ist irgendwann nach Hause
gegangen weil sie Feierabend machen
00:19:22.280 --> 00:19:29.310
musste, und sieben Stunden später hat dann
die, sieben Stunden später hat dann die
00:19:29.310 --> 00:19:33.660
dritte Richterin das niedertippen dürfen,
die Schriftführerin war weg. Wir haben
00:19:33.660 --> 00:19:37.630
einen Vergleich geschlossen mit der
Gegenseite. Wir haben uns darauf geeinigt,
00:19:37.630 --> 00:19:43.160
dass die Gegenseite erst mal alles zahlt.
Das war uns sehr wichtig. Aber dafür haben
00:19:43.160 --> 00:19:46.830
wir zugestanden, dass wir in Zukunft
Responsible Disclosure ihnen gegenüber
00:19:46.830 --> 00:19:51.340
einhalten. Wenn wir jemals wieder deren
App anschauen, dann sagen wir erst mal
00:19:51.340 --> 00:19:53.790
Bescheid, "Wir haben eine neue
Sicherheitslücke, wir geben Ihnen X Tage
00:19:53.790 --> 00:19:59.480
Zeit, die wir für angemessen halten."
Daraufhin darf die Gegenseite dann sagen,
00:19:59.480 --> 00:20:03.770
"Ja, das ist uns nicht genug" oder "Wir
brauchen mehr Infos" oder "ja, passt, wir
00:20:03.770 --> 00:20:10.000
fixen das", im Idealfall. Und wir dürfen
dann die Kommentare der Gegenseite prüfen
00:20:10.000 --> 00:20:13.480
und dürfen entsprechend agieren, und, was
uns besonders wichtig war: Wir dürfen
00:20:13.480 --> 00:20:18.030
weiterhin veröffentlichen, trotzdem, und
sie tragen komplett die
00:20:18.030 --> 00:20:23.260
Verhandlungskosten. Sagen wir mal ein
okay-es Ergebnis, nach dem Vergleich waren
00:20:23.260 --> 00:20:28.441
wir alle super durch, und es gab auch
einen Heise-Artikel dazu, der rege
00:20:28.441 --> 00:20:34.680
kommentiert wurde. Also eigentlich gerade
nochmal alles gut gegangen, oder? Also, es
00:20:34.680 --> 00:20:39.840
klingt jetzt so mittelgut. Acht Forscher
wurden wochenlang, es ist echt Stress, wie
00:20:39.840 --> 00:20:43.900
gesagt, Papierkrieg bis zum Umkippen,
lauter Sachen, die man noch nie hätte
00:20:43.900 --> 00:20:49.230
träumen lassen wollen können. Wir haben
keinerlei Unklarheiten beantwortet, nur
00:20:49.230 --> 00:20:53.030
dadurch dass wir gesagt haben "Ja, wir
nehmen den Vergleich an". Bis jetzt. Also,
00:20:53.030 --> 00:20:55.830
wenn wir gewonnen hätten, dann wäre
dekompilieren trotzdem nicht legal
00:20:55.830 --> 00:20:58.790
gewesen, dann hätten wir nur gesagt "Wir
haben nicht dekompiliert" oder so was, und
00:20:58.790 --> 00:21:02.630
das Paper von der TU ist weiterhin nicht
veröffentlicht, das wird aber, also sie
00:21:02.630 --> 00:21:06.420
sind auf dem Weg, das kommt dann schon
doch irgendwann, ist halt jetzt ein halbes
00:21:06.420 --> 00:21:11.440
Jahr später oder so. Was nehmen wir aus
dem gesamten mit? Erst mal: keine Panik,
00:21:11.440 --> 00:21:14.870
aber... also, das ist so ein Standar-Ding,
don't Panik. Aber ich habe natürlich zu
00:21:14.870 --> 00:21:17.970
wenig gepanikt. Ich habe am Freitag
gedacht, ja, ist ja eh Wochenende, Montag
00:21:17.970 --> 00:21:24.200
wird es meine Uni schon richten. Äh, ne.
gelächter
00:21:24.200 --> 00:21:27.430
Nicht blind Sachen unterschreiben
natürlich. Ich glaube dass ist auch
00:21:27.430 --> 00:21:30.520
obvious. Wenn wir den ersten Wisch
unterschrieben hätten, dann hätten wir
00:21:30.520 --> 00:21:36.020
einfach unsere Jobs an den Haken hängen
können. Kompletter Käse. Die Uni-Juristen
00:21:36.020 --> 00:21:43.260
sind keine IT-Experten, also selbst da an
den Unis wo sie das gemacht haben war's
00:21:43.260 --> 00:21:47.950
nicht so leicht, das denen zu vermitteln.
Die FAU zum Beispiel, da die Juristen
00:21:47.950 --> 00:21:54.820
haben sich hervorgetan, die waren Positiv
zu erwähnen. Ja, wie auch immer. Nicht
00:21:54.820 --> 00:21:58.740
übertreiben in Publikatoinen, das ist so
ein bisschen gegen uns selbst. Wir
00:21:58.740 --> 00:22:02.860
tendieren dazu in der Wissenschaft immer
alle so "voll gut, was wir gemach haben"
00:22:02.860 --> 00:22:06.360
und so weiter. Wenn wir Sachen rein
schreiben die am Schluss vielleicht
00:22:06.360 --> 00:22:12.130
rechtlich belangen, verwerflich sind dann
problematisch, und auch warum den
00:22:12.130 --> 00:22:14.830
Firmennamen groß in den Titel packen wenn
man es nicht muss oder so etwas könnte man
00:22:14.830 --> 00:22:18.200
sich dann für die Zukunft überlegen ob man
das wirklich will und das Wichtigste
00:22:18.200 --> 00:22:24.910
natürlich: never decompile. Niemals jemals
einen decompiler verwenden. Kein F5 mehr,
00:22:24.910 --> 00:22:30.120
Taste gleich rausreißen aus der Tastatur.
Glücklicherweise: Die Beweislast liegt
00:22:30.120 --> 00:22:36.100
beim Gegner. Falls doch jemand mal
ausrutscht auf der Maus oder der Tastatur:
00:22:36.100 --> 00:22:40.740
Die Beweislast liegt beim Gegner. Nicht
reinschreiben. Also wenn man wirklich ein
00:22:40.740 --> 00:22:44.120
Papier oder sowas veröffentlicht: Man hat
nicht dekompiliert. Hat man einfach nicht.
00:22:44.120 --> 00:22:47.910
Problem ist: Es gibt irgendwie wieder
Ansprüche, also wenn ein Verdacht besteht
00:22:47.910 --> 00:22:51.551
dann könnten da auch wieder... Das geht
jetzt auch zu tief ins Detail. Never
00:22:51.551 --> 00:22:56.320
decompile. Dann haben wir uns einige
Fragen gestellt, die jetzt im verlauf der
00:22:56.320 --> 00:22:57.710
Fabian noch ein bisschen beantworten
möchte.
00:22:57.710 --> 00:23:05.070
Fabian: Bevor wir jetzt zum Ende des talks
und zum Resume kommen, wir haben natürlich
00:23:05.070 --> 00:23:07.990
uns selber während des Prozesses schon
einige Fragen gestellt und auch von
00:23:07.990 --> 00:23:12.930
außerhalb welche bekommen. Das best-of
möchte ich euch jetzt nicht vorenthalten.
00:23:12.930 --> 00:23:18.520
Natürlich, naja, wenn die Richter... Das
muss man klar sagen, während es
00:23:18.520 --> 00:23:22.467
Gerichtsprozesses haben sich die Richter
sehr tief in die Karten schauen lassen, haben
00:23:22.467 --> 00:23:27.710
der Gegenseite quasi wortwörtlich gesagt:
"Also Leute, vor dieser Kammer habt ihr
00:23:27.710 --> 00:23:31.560
mit euren Forderungen keine Chance. Das
könnte vergessen." Da kann man sich
00:23:31.560 --> 00:23:35.040
natürlich jetzt fragen: Warum haben wir
das dann nicht einfach durchgezogen
00:23:35.040 --> 00:23:39.840
sondern uns verglichen? Na ja, ich habe
euch mal so ein bisschen aufgemalt. Was
00:23:39.840 --> 00:23:43.136
wir ja gekriegt haben... das ist der
Instanz-Weg, wir haben jetzt ein
00:23:43.136 --> 00:23:46.603
einstweilige-Verfügungs-Verfahren gehabt.
Das ist das worum es bei uns ging. Die
00:23:46.603 --> 00:23:50.170
Abmahnung haben wir gekriegt, die haben
wir alle unabhängig voneinander
00:23:50.170 --> 00:23:53.730
zurückgewiesen. Und dann geht der Weg,
weil es ein einstweiliges-Verfügungs-
00:23:53.730 --> 00:23:56.350
Verfahren ist, erst einmal zum
Landgericht, dann zum Oberlandesgericht
00:23:56.350 --> 00:24:02.890
wenn die Gegenseite Berufung oder Revision
geht. Und danach gibts auf jeden Fall erst
00:24:02.890 --> 00:24:06.400
einmal beim einstweiligen Verfahren eine
Entscheidung. Davon unberührt ist aber
00:24:06.400 --> 00:24:09.920
noch ein eigentliches Verfügungs-Verfahren
das ist quasi, also einstweilig ist das
00:24:09.920 --> 00:24:14.950
Eilverfahren. Ich habe mal gehört, ich
hoffe es stimmt, in Bayern muss man zum
00:24:14.950 --> 00:24:18.380
Beispiel auch einen Monat nach Kenntnis
als Firma des Vorfalls einreichen sonst
00:24:18.380 --> 00:24:21.350
ist es offensichtlich nicht mehr eilig
wenn man einen Monat damit wartet bis man
00:24:21.350 --> 00:24:25.670
zu Gericht geht. Unabhängig davon kann man
noch mal versuchen die gleichen Ansprüche
00:24:25.670 --> 00:24:29.550
in einem normalen Verfügungs-Verfahren
durchsetzen. Einstweilige ist einfach nur
00:24:29.550 --> 00:24:36.980
die Eilig-Geschichte. Das eben der Zustand
eingefroren wird. So, wo waren wir denn
00:24:36.980 --> 00:24:41.073
jetzt? Wir haben die erste Stufe dieser
fünfstündigen Pyramide, die haben wir
00:24:41.073 --> 00:24:46.730
quasi gezündet. Wir waren beim Landgericht
haben auch auf ein Urteil, also waren da
00:24:46.730 --> 00:24:49.650
und hätten es auf ein Urteil ankommen
lassen können, es wäre wahrscheinlich in
00:24:49.650 --> 00:24:53.510
unserem Sinne ausgegangen. Die meisten
Fälle von denen wir wissen, und von denen
00:24:53.510 --> 00:24:58.320
auch die TUM-Anwälte wussten oder von
unserem Team die Anwälte wussten, die
00:24:58.320 --> 00:25:01.900
enden schon bei der Abmahnung. Die meisten
Firmen haben null Interesse da dran, in
00:25:01.900 --> 00:25:05.610
einem öffentlichen Rechtsstreit die
Sicherheit ihrer Software zu diskutieren.
00:25:05.610 --> 00:25:15.470
War bei uns nicht so. Mit dem Vergleich,
darin enthalten ist eine
00:25:15.470 --> 00:25:19.320
Abgeltungsklausel. Das bedeutet: Alle
Ansprüche sind erledigt, völlig egal ob
00:25:19.320 --> 00:25:22.760
sie berechtigt sind oder nicht. Damit kann
man nicht in Berufung oder Revision gehen.
00:25:22.760 --> 00:25:27.910
Das heißt wir haben dem Gegner die vier
Stufen, die noch hätten gezündet werden
00:25:27.910 --> 00:25:37.300
können, alle erspart, haben wir uns
erspart. Dem Gegner auch. Wobei wir
00:25:37.300 --> 00:25:40.600
vermuten, dass wir am Ende die gewesen
wären, die den vielleicht etwas kürzeren
00:25:40.600 --> 00:25:47.550
Atem gehabt hätten. Und wie gesagt, dieser
Vergleich für uns ist in unserem Sinne.
00:25:47.550 --> 00:25:52.280
Wir wollen sowieso eigentlich responsible
disclosen dass uns im Laufe des Verfahrens
00:25:52.280 --> 00:25:55.350
immer wieder mal vorgeworfen wurde "na ja,
die Kommunikation war ich jetzt nicht so
00:25:55.350 --> 00:26:01.490
gut." Das tut uns leid, aber war halt ein
Missgeschick. Was auch nicht, also zum
00:26:01.490 --> 00:26:03.780
Beispiel: Man könnte auch einen Gutachter
bestellen, Verfügungsverfahren ist viel
00:26:03.780 --> 00:26:06.320
länger, das kann sich über Jahre
hinziehen, man muss auch nicht gleich
00:26:06.320 --> 00:26:10.200
machen da gibts Verjährungsfristen, und so
weiter. Wir wollten dann nicht auf einer
00:26:10.200 --> 00:26:15.380
tickenden Zeitbombe sitzen bleiben. Jetzt
gibt es natürlich das nächste Problem:
00:26:15.380 --> 00:26:18.950
Kann man IT-Sicherheitsforscher jetzt denn
durch rechtliche Schritte zum Schweigen
00:26:18.950 --> 00:26:25.930
bringen? Hm, Schwierig. unsere Meinung.
Jein. Also. bei uns hat es irgendwie nicht
00:26:25.930 --> 00:26:32.090
funktioniert. Also wir haben uns das Recht
erkämpft unsere Forschung jetzt gerade auf
00:26:32.090 --> 00:26:37.350
Seiten der TUM, also dass wir es immer
noch veröffentlichen können, wenn wir das
00:26:37.350 --> 00:26:41.350
wollen. Wir haben kein NDA unterzeichnet,
wir können hier mit euch heute über den
00:26:41.350 --> 00:26:45.570
Vorfall sprechen und tun das auch um die
Awareness für dieses Problem zu steigern,
00:26:45.570 --> 00:26:49.350
damit euch hoffentlich nicht so etwas
ähnliches passiert wie uns. Auf der
00:26:49.350 --> 00:26:53.500
anderen Seite hatten wir schon das Gefühl,
da das alles so ungeklärt ist, besonders
00:26:53.500 --> 00:26:58.620
diese verschiedenen Nuancen der Analysen,
dass man eigentlich ja irgendwie immer
00:26:58.620 --> 00:27:01.830
einen Grund konstruieren kann der
rechtlich für einen Juristen scheinbar ja
00:27:01.830 --> 00:27:06.081
auch plausibel zu klingen scheint, sodass
man sagen kann "naja, Anspruch ist
00:27:06.081 --> 00:27:09.890
vielleicht berechtigt" und dann ist der
Forscher, wenn er keinen Bock hat durch
00:27:09.890 --> 00:27:13.000
einen wahnsinnig lange Instanz-Weg zu
gehen, eigentlich immer mundtot machen.
00:27:13.000 --> 00:27:19.191
Und der psychische Druck ist enorm, das
sage ich, euch das war einer der
00:27:19.191 --> 00:27:25.070
stressigsten, vielleicht der stressigste
Sommer in meinem Leben. Wer vertritt denn
00:27:25.070 --> 00:27:31.090
Uni-Sicherheitsforscher? Eigentlich haben
mich viele Leute gefragt "Naja Leute, ihr
00:27:31.090 --> 00:27:35.860
seid doch Arbeitnehmer. Ihr seid alle
abhängige Forscher, ihr habt ja ne Uni,
00:27:35.860 --> 00:27:38.130
also wieso kümmert sich eigentlich nicht
die Uni darum, warum müsst ihr das
00:27:38.130 --> 00:27:46.510
machen?" Warum das geht, das kann ich euch
rechtlich leider nicht komplett
00:27:46.510 --> 00:27:51.350
auseinander nehmen, es gibt da zwei im
bayerischen Beamtenrecht, oh Gott ich
00:27:51.350 --> 00:27:57.559
glaube Abschnitt 8 Absatz 2, 3 in
Verbindung mit 2(1), lasst mich lügen. Ihr
00:27:57.559 --> 00:28:00.440
seht schon wie sehr ich mich mit diesem
Scheiß beschäftigen musste obwohl ich kein
00:28:00.440 --> 00:28:08.690
Jurist bin. Aber beantragt haben wir das,
eine Antwort haben wir dazu heute noch nicht.
00:28:08.690 --> 00:28:12.170
Im schlimmsten Fall muss das ins
bayerische Wissenschaftsministerium rauf,
00:28:12.170 --> 00:28:15.240
um eine Aussage zu kriegen ob das geht
oder nicht, aber das ist tatsächlich auf
00:28:15.240 --> 00:28:21.450
TUM-Seite bis heute ungeklärt. Wie geht
man als Forscher mit Nebentätigkeiten um?
00:28:21.450 --> 00:28:25.300
Mehrere von uns haben ein kleines Gewerbe
nebenbei in dem sie zum Beispiel
00:28:25.300 --> 00:28:30.350
Pentesting oder allgemeine IT-Tätigkeiten,
die man halt so macht, dass wir das
00:28:30.350 --> 00:28:35.200
irgendwie abrechnen können und ordentlich
abrechnen kann. Wenn jetzt, das ist
00:28:35.200 --> 00:28:39.450
tatsächlich ja in der Abmahnung aktiv
passiert, vonseiten einer Firma
00:28:39.450 --> 00:28:44.990
konstruiert werden kann "Na Ja, deine
Firma, das ist ein Konkurrent, der steht
00:28:44.990 --> 00:28:49.850
ja im Wettbewerb mit mir und unterliegt
dann viel strengeren Regeln." Das finde
00:28:49.850 --> 00:28:55.070
ich sehr kritisch. Also zum Glück haben die
Richter tatsächlich gesagt: "Na ja, also,
00:28:55.070 --> 00:28:58.650
stellen die jetzt ein Konkurrenzprodukt
her? Nein.". Aber trotzdem, der Vorwurf
00:28:58.650 --> 00:29:07.320
steht natürlich erstmal im Raum. Was wäre
schön zu haben, was würde, was hätten wir
00:29:07.320 --> 00:29:12.110
gewünscht zu haben? Es wäre natürlich
kurzfristig erst mal cool wenn man das
00:29:12.110 --> 00:29:16.220
ganze Risiko von dem Unternehmen verklagt
zu werden irgendwie versichern könnte
00:29:16.220 --> 00:29:19.720
sodass man, wenn der Worst Case eintritt,
dass man da wirklich jemanden hat er will
00:29:19.720 --> 00:29:22.990
sich nicht einigen und er will dich durch
die vollen fünf Instanzen durchschicken,
00:29:22.990 --> 00:29:28.730
dass man das irgendwie abfangen kann und
dass man das nicht auf private Rechnung
00:29:28.730 --> 00:29:34.930
machen muss. Man kriegt vielleicht mal
Geld wieder bei Gericht wenn man Recht
00:29:34.930 --> 00:29:38.870
kriegt, aber die Anwälte, jedenfalls
unsere, die wir engagiert haben, die
00:29:38.870 --> 00:29:43.300
wollten natürlich monatlich bezahlt
werden. Man kann ja auch mal eine Instanz
00:29:43.300 --> 00:29:47.030
verlieren. Da wäre es natürlich cool, man
hätte irgendeine Art
00:29:47.030 --> 00:29:50.650
Rechtschutzversicherung. Keiner von uns
hatte eine. Nächstes Problem: Das sind
00:29:50.650 --> 00:29:53.930
Sachen aus dem Urheberrecht, das ist ja
ein Copyright-Verfahren, das ist wohl,
00:29:53.930 --> 00:29:58.020
haben uns unsere Anwälte gesagt, "selbst
wenn es eine gehabt hätten, Urheberrecht
00:29:58.020 --> 00:30:01.960
ist meistens ausgeschlossen." Das liegt an
den ganzen Filesharing-Geschichten,
00:30:01.960 --> 00:30:07.100
normalerweise fallen nämlich die alle
darein. Und wenn man wegen unlauteren
00:30:07.100 --> 00:30:10.290
Wettbewerb verklagt wird weil man nebenbei
eine Firma hat, dann braucht man ja
00:30:10.290 --> 00:30:13.460
eigentlich, also Gewerbe ist dann auch
irgendwie gerne ausgeschlossen bei der
00:30:13.460 --> 00:30:15.700
Rechtsschutzversicherung. Also tatsächlich
haben sie genau die beiden Punkte
00:30:15.700 --> 00:30:20.780
getroffen, wo es weh tut. Okay es wäre gut
wenn es da eine Versicherung geben würde,
00:30:20.780 --> 00:30:23.840
die auch für Sicherheitsforscher so ein
Risiko versichern würde. Unterstützung
00:30:23.840 --> 00:30:29.580
durch Forschungsinstitute. Auch vor allen
Dingen, also wir hätten durch die Uni
00:30:29.580 --> 00:30:34.980
Unterstützung gebraucht. Ich hatte schon
den Eindruck tatsächlich dass da durchaus
00:30:34.980 --> 00:30:40.450
viele Leute waren die bemüht waren uns zu
helfen und die die das auch versucht haben
00:30:40.450 --> 00:30:44.270
aber die dann irgendwie über einen
Paragraphen gestolpert sind, sodass sie es
00:30:44.270 --> 00:30:48.080
nicht machen konnten. Und es hat sich an
einigen Stellen tatsächlich auch leider
00:30:48.080 --> 00:30:52.510
das Gefühl gehabt es gibt so einen
Unwillen im System der hat sagt "Naja, das
00:30:52.510 --> 00:30:57.270
fassen wir lieber nicht an." Da bräuchte
man eine klare Bekennung zu Forschern,
00:30:57.270 --> 00:31:01.640
halt auch externen Forschern, weil nur den
Mitarbeitern, das hätte jetzt Dominik zum
00:31:01.640 --> 00:31:04.030
Beispiel nichts gebracht und vor allen
Dingen auch Studenten, wenn die auf so
00:31:04.030 --> 00:31:08.460
einer Arbeit mit drauf stehen. Sowas wie
Rechtsschutz und Mithaftung wäre
00:31:08.460 --> 00:31:11.750
interessant. Vielleicht gibt es eine
Mithaftung tatsächlich, aber ihr wollt ja
00:31:11.750 --> 00:31:14.940
auch als Arbeitnehmer einer Uni nicht
unbedingt gleich eure eigene Uni
00:31:14.940 --> 00:31:20.200
verklagen, oder? Also, das haben wir kurz
überlegt, aber einen mehr-Fronten-Krieg
00:31:20.200 --> 00:31:23.785
gegen eine Firma und unseren Arbeitgeber
das ist nicht so cool. Dann natürlich wäre
00:31:23.785 --> 00:31:29.200
Gelächter
Dann wäre natürlich
00:31:29.200 --> 00:31:37.020
auch noch cool eine rechtliche Basis für
Sicherheitsforschung zu haben, die viele
00:31:37.020 --> 00:31:39.960
oder am besten alle Analysen die man als
Sicherheitsforscher so macht irgendwie
00:31:39.960 --> 00:31:43.106
erlaubt. Also, wir sind da ja mit
irgendwelchen Copyright, das ist sowieso
00:31:43.106 --> 00:31:47.710
schon eigentlich ein bisschen wahnsinnig,
mit irgendwelchen Copyright-Klagen
00:31:47.710 --> 00:31:52.600
überzogen worden. Frag mich bitte nicht
genau aus, aber soweit ich weiß gibts seit
00:31:52.600 --> 00:31:57.400
2016 da im Digital Millennium Copyright
Act, das ist das Entsprechung zum
00:31:57.400 --> 00:32:01.710
Urheberrechtsgesetz in den USA, eine
explizite Ausnahmeregelung für
00:32:01.710 --> 00:32:06.320
Sicherheitsforschung. Wenn die da wäre,
könnte man vielleicht viele rechtliche
00:32:06.320 --> 00:32:11.170
Fragen gleich im Keim ersticken und hätte
auch mehr Sicherheit, wenn man mit Juristen
00:32:11.170 --> 00:32:13.940
drüber redet, die sich jetzt nicht, also
diese ganzen Nuancen in der
00:32:13.940 --> 00:32:16.320
Sicherheitsforschung der Analysen, die das
eigentlich gar nicht so genau beurteilen
00:32:16.320 --> 00:32:23.770
können. Gut, das wars von unserer Seite,
wir stehen euch jetzt für Fragen zur
00:32:23.770 --> 00:32:28.520
Verfügung.
D: Danke schön.
00:32:28.520 --> 00:32:31.420
Applaus
00:32:31.420 --> 00:32:43.900
Herald: Vielen Dank erst einmal für diese
Vorstellung dieses Leidensweges, das ist
00:32:43.900 --> 00:32:49.630
ja wirklich erschreckend. Genau, wir
kommen zur Q&A. Wer Fragen hat kommt bitte
00:32:49.630 --> 00:32:55.760
an eins der Mikros. Meine Lieblingsansage
ist immer: Fragen, Punkt 1, bestehen aus
00:32:55.760 --> 00:33:01.000
einem Satz mit einem Fragezeichen am Ende.
Zweitens, wenn in in ein Mikro redet
00:33:01.000 --> 00:33:05.380
wirklich nah ran, nicht in den Mund
stecken aber kurz davor. Der Nachredner
00:33:05.380 --> 00:33:10.860
wird es euch danken. Und für alle die ganz
dringend wohin müssen: bitte macht das so
00:33:10.860 --> 00:33:14.809
leise wie irgendwie möglich damit ihr
nicht den Rest stört. Und damit kommen wir
00:33:14.809 --> 00:33:17.700
zu den Fragen und beginnen direkt beim
Mikro Nr. 2.
00:33:17.700 --> 00:33:23.070
Mikro 2: Danke für die aufregende Story.
Vergleich mit einseitiger Kostenübernahme
00:33:23.070 --> 00:33:28.970
ist ja nicht der Standard. Meine Frage
wäre: könnt ihr wenigstens beschreiben wie
00:33:28.970 --> 00:33:32.710
hoch die Kosten waren, die die Gegenseite
übernehmen musste, jetzt die
00:33:32.710 --> 00:33:34.670
Gerichtskosten und die Kosten eurer
Anwälte?
00:33:34.670 --> 00:33:38.410
F: Also da gibts so eine rechtsanwaltliche
Gebührentabelle, die bestimmt nicht
00:33:38.410 --> 00:33:41.510
rechtsanwaltliche Gebührentabelle heißt
sondern irgendwie anders. Es gibt bestimmt
00:33:41.510 --> 00:33:46.330
einen coolen juristischen Begriff dafür,
und nach der wird das berechnet, und nach
00:33:46.330 --> 00:33:49.010
dem Teil sind auch die Kosten abgerechnet
worden.
00:33:49.010 --> 00:33:54.490
D: Streitwert 200.000 Euro am Schluss.
F: Genau. Also, wir hatten auch erst mal
00:33:54.490 --> 00:33:57.360
Angst bei diesem Streitwert, der so
wahnsinnig hoch ist. Tatsächlich bei einer
00:33:57.360 --> 00:33:58.770
einstweiligen Verfügung wollen sie
eigentlich nur diese
00:33:58.770 --> 00:34:02.220
Unterlassungserklärung haben, "hey, wir
dürfen das nicht mehr", bei Androhung
00:34:02.220 --> 00:34:05.010
einer Strafe, und diese Streitwert-
Geschichte, danach berechnen sich
00:34:05.010 --> 00:34:09.730
eigentlich nur die Kosten für Gericht und
die Anwälte. Soweit ich weiß.
00:34:09.730 --> 00:34:14.500
H: Mikrofon Nr. 1
Mikro 1: Eine Frage, die ihr mit Ja oder
00:34:14.500 --> 00:34:18.569
Nein beantworten könnt: Hatte es für einen
von euch acht noch berufliche
00:34:18.569 --> 00:34:23.589
Konsequenzen?
D: Ja. Nicht mich, aber ja.
00:34:23.589 --> 00:34:28.329
F: Okay, also wir sind zwei verschiedene
Teams, deswegen teilen wir das so...
00:34:28.329 --> 00:34:32.210
D: Für eins von acht ja.
F: Okay, eins von acht, also auf unserer
00:34:32.210 --> 00:34:35.129
Seite, nicht dass ich wüsste. Also keine
direkten beruflichen Konsequenzen. Also
00:34:35.129 --> 00:34:39.089
nervlich auf jeden Fall, also auch schon
so dass man sich überlegt, hey, will man
00:34:39.089 --> 00:34:44.270
so ein Projekt nochmal anschieben? Aber
ich persönlich bin froh, dass ich
00:34:44.270 --> 00:34:46.829
durchgefochten habe bis zum Schluss. Ich
bin auch mit dem Vergleich zufrieden.
00:34:46.829 --> 00:34:54.009
H: Mikrofon Nr. 3
Mikro 3: Hi. Haben Eure Anwälte mal die
00:34:54.009 --> 00:34:58.930
Frage beantwortet, ob das was da im
juristischen Text als dekompilieren steht
00:34:58.930 --> 00:35:04.369
auch wirklich das ist, was wir als
Techniker darunter verstehen. Ist es
00:35:04.369 --> 00:35:09.880
wirklich F5 drücken oder ist es mehr so
dass kompilierte Programm in eine andere
00:35:09.880 --> 00:35:12.369
Form überführen.
D: Irgendwie sowas in der Richtung.
00:35:12.369 --> 00:35:17.189
Deswegen sagen wir Grauzone.
Sicherheitsforschung. Dekompilieren ist
00:35:17.189 --> 00:35:21.180
auf jeden Fall böse. Deswegen hat wir
diese schönen Grafiken. Es könnte alles
00:35:21.180 --> 00:35:24.579
irgendwie mit drunterfallen, übersetzen in
andere Formen.
00:35:24.579 --> 00:35:29.819
F: Also wenn du ganz viel Lust hast 69e
tatsächlich aus dem Urheberrechtsgesetz
00:35:29.819 --> 00:35:32.279
das ist tatsächlich der
Dekompilierungsparagraf, der allerdings
00:35:32.279 --> 00:35:35.609
erst mal die Ausnahmen regelt wo man noch
dekompilieren darf. Da steht tatsächlich
00:35:35.609 --> 00:35:40.400
als Überschrift ganz groß dekompilieren
und es wird nicht näher bestimmt, was jetzt
00:35:40.400 --> 00:35:46.049
genau dekompilieren ist. Ich gehe davon
aus, also das weiß ich tatsächlich jetzt
00:35:46.049 --> 00:35:50.210
nicht das ist was genau jetzt für den
Juristen dekompilieren ist. Also wie
00:35:50.210 --> 00:35:52.759
gesagt wir haben einen juristischen
Fachartikel gelesen da war Disassemblieren
00:35:52.759 --> 00:35:54.859
schon dekompilieren.
D: Und genau diese Frage kann unser
00:35:54.859 --> 00:35:58.291
Rechtsanwalt nicht beantworten. Das müsste
dann quasi das Gericht entscheiden.
00:35:58.291 --> 00:36:02.640
F: Also da kam von unserer Seite ganz klar
die Ansage: Wir kennen keine Referenz
00:36:02.640 --> 00:36:06.309
Urteil dazu. Wir haben keine Datenbasis
dass wir sagen können Hey so wird das dann
00:36:06.309 --> 00:36:15.390
schon ausgehen. Das müsste man mal klären.
Juristisch. Alles was wir ihnen sagen
00:36:15.390 --> 00:36:19.739
können sind nur Meinungen. Das kann jeder
Richter anders sehen und entscheiden wie
00:36:19.739 --> 00:36:24.670
er möchte.
H: Haben wir eine Frage aus dem Internet?
00:36:24.670 --> 00:36:29.789
Signal Angel: Es stellt sich die Frage, es
wurde im Vortrag angemerkt, dass die
00:36:29.789 --> 00:36:36.630
Studenten und Forscher ein Recht auf
Versicherung haben sollten. Es ist weniger
00:36:36.630 --> 00:36:42.800
so eine klare Frage, als: Hätten nicht alle
Recht darauf eine Versicherung zu haben,
00:36:42.800 --> 00:36:47.690
wenn sie ihre eigene Software, die Sie
verwenden, auf Sicherheit überprüfen
00:36:47.690 --> 00:36:50.660
wollen.
F: Das war so gemeint die Forderung: Es
00:36:50.660 --> 00:36:53.390
wäre erst mal schön eine Versicherung
gäbe, die es dann versichern würde
00:36:53.390 --> 00:36:56.670
D: Also kurzfristig.
F: Also kurzfristig. Das wäre erst mal
00:36:56.670 --> 00:37:00.809
schön. Wir kennen kein. Wir haben uns
gefragt: Schließen wir erst mal eine
00:37:00.809 --> 00:37:04.570
Rechtsschutzversicherung ab, als das
Schreiben reingekommen ist. Die nicht mehr
00:37:04.570 --> 00:37:08.809
den Schaden bezahlt, der jetzt gerade
eingetreten ist. Aber für zukünftige Fälle
00:37:08.809 --> 00:37:12.099
wäre das ja sinnvoll gewesen. Wir haben
uns dann also ein bisschen informiert und
00:37:12.099 --> 00:37:15.571
sind auf diese Probleme gestoßen. Selbst
wenn wir eine Rechtsschutzversicherung
00:37:15.571 --> 00:37:21.180
gehabt hätten, hätten wir vielleicht das
gleiche Problem gehabt. Naja ist nicht
00:37:21.180 --> 00:37:23.369
abgedeckt durch die Police, könnt ihr
selber zahlen.
00:37:23.369 --> 00:37:27.569
D: Natürlich stimme ich dem Internet dann
auch zu. Es wäre das was man also man
00:37:27.569 --> 00:37:32.960
sollte sich das dann selbst anschauen
dürfen. Aber das ist das Recht das muss
00:37:32.960 --> 00:37:36.660
geändert werden vielleicht
H: Mikrofon Nummer zwei bitte.
00:37:36.660 --> 00:37:43.661
Mikro 2: Der CCC macht ja auch so was wenn
jemand Daten findet oder wie auch immer
00:37:43.661 --> 00:37:49.599
ran kommt, dass sich da dann mit
einschaltet. Habt ihr den CCC bei euch
00:37:49.599 --> 00:37:53.559
auch mit angesprochen und wenn ja wie ist
das gelaufen und und aus gegangen?
00:37:53.559 --> 00:37:59.039
D: Da hatten wir wechselnde Erfahrungen.
Ich hab recht eng mit dem CCC kommuniziert
00:37:59.039 --> 00:38:05.460
gehabt und war ziemlich gute. Wir hatten
auch unsere Anwälte über den CCC empfohlen
00:38:05.460 --> 00:38:12.260
bekommen. JBB war zum Beispiel sehr zwei
Daumen hoch wenn man mal sowas hat.
00:38:12.260 --> 00:38:17.609
Aber das ist halt irgendwie bei acht Leuten
verzwickt gewesen das zu kommunizieren.
00:38:17.609 --> 00:38:21.980
F: Also auf unserer Seite tatsächlich ist
das so ein bisschen. Ich will jetzt dem
00:38:21.980 --> 00:38:24.759
CCC das nicht vorwerfen. Es kann doch
einfach nur ein Kommunikationsproblem auf
00:38:24.759 --> 00:38:28.040
unserer Seite gewesen sein. Aber
tatsächlich bei uns ist von der
00:38:28.040 --> 00:38:33.560
Ausgestaltung der CCCler nicht ganz so
viel angekommen. Der Herr Jäger, die
00:38:33.560 --> 00:38:38.329
Kanzlei JBB, der die Nürnberger
Forschungsgruppe vertreten hat in dieser
00:38:38.329 --> 00:38:43.440
Sache, der wollte uns nicht auch mit
vertreten. Das war einfach Pech dass die
00:38:43.440 --> 00:38:46.800
Gegenseite uns vor ein Gericht gezerrt wo
wir eigentlich völlig separat voneinander
00:38:46.800 --> 00:38:50.400
geforscht haben. Der wollte potenzielle
Interessenkonflikte vermeiden, weil wir ja
00:38:50.400 --> 00:38:55.180
doch sehr heterogen sind und dann hat er
gesagt: "Naja ich empfehle euch einen
00:38:55.180 --> 00:39:00.170
Kollegen." Tatsächlich. Aber ja. Das war
dann halt schon sehr sehr weit weg.
00:39:00.170 --> 00:39:07.389
H: Mikrofon Nummer 1
Mikro 1: Vielen Dank für den Talk erst mal
00:39:07.389 --> 00:39:10.740
und die Frage bei den ganzen
zurückgebliebenen Unklarheiten und ja auch
00:39:10.740 --> 00:39:14.569
so einer klagewilligen Antragstellerin was
ja wohl auch nicht selbstverständlich ist.
00:39:14.569 --> 00:39:17.920
Wäre es nicht voll sinnvoll gewesen das
einmal durch zu klagen um irgendwie ein
00:39:17.920 --> 00:39:21.200
Grundsatzurteil zu bekommen oder einen
Präzedenzfall und die Kosten die dabei
00:39:21.200 --> 00:39:24.930
entstehen, die natürlich gefährlich sind,
nicht eher solidarisch zu tragen.
00:39:24.930 --> 00:39:30.190
D: Meiner Meinung nach hätten wir am
Schluss nur bewiesen gehabt dass man uns
00:39:30.190 --> 00:39:34.790
nicht beweisen kann dass wir dekompiliert
haben. Das wäre das, was am Schluss dabei
00:39:34.790 --> 00:39:38.550
hätte raus kommen können. Medienwirksam
wäre es vielleicht sinnvoll gewesen zu
00:39:38.550 --> 00:39:41.720
verlieren, aber da hatte absolut niemand
Lust drauf.
00:39:41.720 --> 00:39:49.450
F: Also meintest du jetzt tatsächlich dass
die Gegenseite das versucht das bis zum
00:39:49.450 --> 00:39:52.099
Ende durch zu klagen um das irgendwie zu
gewinnen und sich nicht zu einigen oder
00:39:52.099 --> 00:39:55.109
worauf bezog sich die Frage?
D: Ja schon auf uns.
00:39:55.109 --> 00:39:59.470
Mikro 1: Die Frage bezieht sich darauf ob
diese Praktiken die bei dieser
00:39:59.470 --> 00:40:01.500
Sicherheitsforschung angewendet werden
nicht dann doch durch die Gerichte so
00:40:01.500 --> 00:40:04.540
eingeordnet werden ob das legal ist oder
nicht weil so bleibt ja das jein.
00:40:04.540 --> 00:40:07.690
F: Ja das ist richtig. Das Problem ist
dass die Komponente die man dabei nicht
00:40:07.690 --> 00:40:12.220
ganz vergessen darf. Das sind acht
Forscher, die alle auch im Leben noch was
00:40:12.220 --> 00:40:15.479
anderes vorhaben. Einige waren zu dem
Zeitpunkt der Klage zum Beispiel schon gar
00:40:15.479 --> 00:40:21.260
nicht mehr bei uns an der TU. Du stehst
mit dieser riesigen Autorengruppe da vor
00:40:21.260 --> 00:40:24.119
Gericht und das musst du über zwei oder
drei Jahre. Wir haben versucht alle
00:40:24.119 --> 00:40:28.249
Entscheidung im Konsens zu treffen. Das
habe ich einen Sommer lang war ich quasi
00:40:28.249 --> 00:40:33.210
Telefonzentrale für die Münchner Seite der
Autorengruppe und es war ein Vollzeitjob
00:40:33.210 --> 00:40:37.490
weil jeder überall wo anders war und das
versuchen irgendwie über Jahre hinaus
00:40:37.490 --> 00:40:43.160
zusammenzuhalten ist ein Albtraum. Das ist
ein wahnsinnig psychologischer Druck und
00:40:43.160 --> 00:40:46.369
du weißt da auch vom Gericht. Du versuchst
ja erst einmal die niedrig hängenden
00:40:46.369 --> 00:40:50.049
Früchte zu nehmen. Also zum Beispiel in
dem Schreiben der gegnerischen
00:40:50.049 --> 00:40:53.559
Rechtsanwälte - da waren formale Fehler
drin. Da fehlt mal ein Paragraph
00:40:53.559 --> 00:40:56.069
tatsächlich. Du liest das Dokument und
stellst fest
00:40:56.069 --> 00:40:59.920
D: Ne Seite.
F: Stellst fest da fehlen Absätze. Das
00:40:59.920 --> 00:41:05.161
Dokument ist nicht schlüssig an sich. Rein
formal. Natürlich fängst du nicht erst mal
00:41:05.161 --> 00:41:08.132
in den Brunnen der Dekompilierung ganz
tief hinabzusteigen. Du sagt erst einmal
00:41:08.132 --> 00:41:13.210
Hey Leute, da fehlen Seiten - wie viel Mühe
gebt euch denn mit euren Schreiben? Das
00:41:13.210 --> 00:41:18.430
ziehst du ihm ja als erstes mal um die
Ohren. Und ob dann am Ende wir wirklich
00:41:18.430 --> 00:41:24.289
uns jetzt auf das Dekompilierungs-Ding da
gestürzt hätten. Das ist völlig, völlig
00:41:24.289 --> 00:41:29.200
offen.
H: Gut, Zeit ist um. Wer noch Fragen hat.
00:41:29.200 --> 00:41:32.890
Ihr beide seid vielleicht ja noch einen
Moment hier vorne erreichbar. Wer noch
00:41:32.890 --> 00:41:37.140
eine Frage loswerden will, kommt einfach
nach vorne. Ansonsten war's das und damit
00:41:37.140 --> 00:41:39.973
wünsche ich mir noch einmal einen großen
Applaus für die beiden.
00:41:39.973 --> 00:41:52.366
Applaus
00:41:52.366 --> 00:42:08.754
Abspannmusik
00:42:08.754 --> 00:42:16.000
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!