Herald: Okay also ihr seid alles die Glücklichen,
die es in den Talk von Linus geschafft haben.
Der Talk heißt "Bullshit made in Germany -
so hosten Sie Ihre DE-Mail, E-Mail und Cloud direkt beim BND"
Geht eine Stunde von 20:30 bis 21:30.
For everyone who is not a German native speaker, there is a translation you just call your DECT, you call 8014 and then you get a translation of the talk.
Es gibt außerdem Untertitel. Die findet ihr auf Twitter @c3subtitles.
There are also subtitles you find them on twitter @c3subtitles.
Viele von euch hören vielleicht regelmäßig den Podcast "Logbuch Netzpolitik"
mit Linus und Tim Pritlove.
Und wer das tut hat Linus häufiger ranten hören,
über das Thema DE-Mail und die anderen Sachen, um die es hier heute geht.
Linus ist ja auch Experte auf dem Gebiet, macht das auch beruflich.
War auch im Bundestag, bei verschiedenen Anhörungen,
in Ausschüssen, im Innenausschuss und im Rechtsausschuss.
Und davon erzählt er euch gleich mehr
und darauf freue ich mich sehr. Viel Applaus für Linus.
Applaus
Lachen und Applaus
Linus Neumann: Vielen Dank, dass ihr gekommen seid.
Hört man mich? - Ja. - Okay, wunderbar.
Eigentlich ist über den Vortrag alles gesagt worden.
Wir können den eigentlich auch ausfallen lassen.
Aber ich denke, ich mache es trotzdem mal.
Ich will mich ein bisschen mit bundesdeutscher Sicherheitstechnik
vor und nach Snowden auseinandersetzen.
Meine These ist, dass dieses vor und danach eigentlich keine Rolle spielt.
Wie ich dann mal an vier Beispielen versuchen möchte zu verdeutlichen.
Das erste ist natürlich DE-Mail.
Das zweite ist E-Mail made in Germany.
Das Schlandnet darf natürlich nicht fehlen.
Und zuletzt erlaube ich mir noch ein paar Kommentare zur Deutschlandcloud.
Die De-Mail Sachen gingen eigentlich los zu einer Zeit weit vor Snowden.
Ich habe da schon 2011 Artikel dazu geschrieben.
Damals war auch Harald Welte dann einmal in einem Ausschuss des Bundestages
und hat ein Gutachten für den CCC abgeliefert.
Man hatte den Eindruck, dass das ganze Thema durch ist.
Doch plötzlich kochte es dann wieder hoch.
Wie es dazu kam, möchte ich dann jetzt gleich erklären.
Wir erinnern uns, De-Mail hat als Ziel für ein sicheren, vertraulichen
und nachweisbaren Geschäftsverkehr für jedermann im Internet zu sorgen.
Dafür haben wir uns ein eigenes Gesetz geschrieben,
in dem dann irgendwie De-Mail Dienste festgeschrieben wurden.
Wenn man darüber nachdenkt, eigentlich leuchtet das ein.
Es ist klar, dass man nicht per E-Mail ernsthaft gerichtsfest und nachweislichen
äh nachweisbaren Geschäftsverkehr ausführen kann.
Es gibt viele Leute, die seit langer Zeit an dem Konzept E-Mail Kritik üben.
Die sich wünschen, dass man irgendwann etwas besseres dafür entwickeln würde.
Es gibt Leute, die haben das in die Hand genommen und PGP gebastelt.
Und die Bundesregierung hat dann auch was gemacht.
Man dachte, vielleicht unterziehen sie jetzt SMTP und IMAP einer Pflege,
dass das ein tolles neues Ding wird, was funktioniert.
Und alles ging los 2009, als sie sagten, ja wir machen einen akkreditierten Dienstanbieter
die müssen dem Nutzer ein sicheres elektronisches Postfach
für einen sicheren Versanddienst für elektronische Nachrichten anbieten.
Wunderbar, dann haben wir das Problem ja geklärt.
2011 kam dann das De-Mail Gesetz, in dem gesagt wurde,
das ist das jetzt. Also De-Mail ist jetzt das Sichere.
Und dann... ich dachte da kommt eine andere Folie, Entschuldigung.
Und was haben sie gemacht?
Sie sind ein paar Probleme von E-Mail angegangen.
Mit ihrem De-Mail.
Das muss man ihnen zugestehen.
Da haben sie sich gedacht, jeder kann "hasi69@yahoo.com" registrieren,
das heißt noch lange nicht, dass wir es wirklich mit dem hasi zu tun haben.
Wenn wir die E-Mail bekommen.
Und das müssen wir sicherstellen.
Natürlich können wir jetzt Signaturen einfügen.
Außerdem haben wir das Problem bei nachweisbarem Verkehr,
schriftlichem Verkehr, Lachen
dass der ... das ist blöd, da darf man nicht drüber lachen.
Wenn ich einen Brief kriege, und der gefällt mir nicht,
dann kann ich den einfach weglegen und sagen,
den habe ich nie bekommen.
Erst wenn ich ein Einschreiben bekomme, bin ich daran festgenagelt.
Guter Tipp kann man immer mal zur Anwendung bringen.
Und diese beiden Probleme, haben sie gedacht, die lösen wir bei De-Mail so,
wer eine De-Mail Adresse registriert, der muss seinen Ausweis zeigen.
Wunderbar. Außerdem verpflichten wir den Nutzer diese De-Mails abzuholen.
Und bieten einen kostenpflichtigen Dienst für den Absender an.
Eine Empfangsbestätigung zu bekommen.
Zahlst du ein bisschen was drauf, dann hast du ein Einschreiben.
Und derjenige, der die De-Mail bekommen hat oder auch nicht bekommen hat,
ist dann verbriefter Empfänger.
Das war mein erster Grund zu sagen,
okay dann so eine Adresse möchte ich eigentlich nicht haben.
E-Mail hat ein weiteres kleines Problem, man kann kein Geld damit verdienen.
Auch dafür haben wir eine intelligente Lösung gefunden.
39 Cent kostet eine De-Mail.
Lachen
Es gibt Profiaccounts bei denen man auf Preise von 32 Cent runterkommt.
Gelächter
Und 10 Gratis De-Mails.
Was natürlich aus Sicherheitsperspektive kritisiert werden kann,
ist dass es ein verteiltes System mit vielen konkurierenden Anbietern ist.
Auch dafür gibt es eine Lösung,
wir machen einfach eine teure Zertifizierung.
Dann haben wir nur wenige Anbieter und die konkurieren eine Zeit lang
bis sie alle eingehen und dann haben wir am Ende ein zentrales System.
Natürlich ein großes Problem bei E-Mail 2009 noch,
viele Anbieter bieten unverschlüsselte Verbindungen an.
Zu dem Thema kommen wir dann noch.
Dann haben sie gesagt, wir machen SSL durchgängig.
Also eine De-Mail wird niemals im Klartext übertragen.
Dann gibt es noch ein Problem, bei E-Mail nicht jeder Nutzer unterstützt,
Ende-zu-Ende Verschlüsselung, PGP oder SMIME, was zu einer sicheren Verschlüsselung
führen würde.
Was vor allem dazu führen würde, dass der Anbieter selber die De-Mails
dann nicht lesen kann.
Auch dafür gibt es eine Lösung, machen wir weiterhin nicht.
Gelächter
In den 90er Jahren gab es ein Problem,
das erkenne ich an,
das waren E-Mail Würmer.
Jemand hatte sich überlegt, primär war Outlook davon betroffen,
Es wäre super, wenn man eine E-Mail schreiben könnte,
in die man JavaScript reinschreibt
und der Empfänger bekommt das
und der Rechner von dem Empfänger führt dann dieses JavaScript aus
und dann können wir...
weiß ich nicht, was blinken lassen.
Ergebnis war, dass massenweise E-Mails kamen mit Viren,
die dann das Outlook dann per Script befallen haben
und andere Sachen geschickt haben.
E-Mail Würmer waren ein Problem.
Da hat man sich gesagt, dafür haben wir auch eine Lösung.
Wir machen einen Virenscan.
Einen Virenscan beim Anbieter.
Wer denkt, dass das eine gute Idee ist?
Lachen
Person im Publikum: McAfee.
Linus Neumann: lacht McAfee - ja McAfee.
Applaus
Linus Neumann: Das Ding ist auf meinen Namen registriert.
Wenn ich jetzt vor habe jemanden mit einem Virus zu befallen oder zu infizieren,
dann mache ich das doch nicht mit einer Absenderadresse,
die auf meinen eigenen Namen registriert ist,
und wo ich zusätzlich noch 39 Cent zahle.
Lachen
[nicht verständlicher Einwurf aus dem Publikum]
Neumann: Es könnte sich rausstellen, dass es die 39 Cent doch wert sind.
Für einen Massenangriff ist es viel zu teuer,
wenn ich sage, mein Ziel ist es ein großes Botnetz zu bauen,
dann kann ich das natürlich nicht über De-Mail machen,
da zahle ich mich dumm und dämlich.
Wenn ich aber einen gezielten Angriff habe,
für jemanden sensibles, für jemanden der es mir wert ist,
dass ich sogar 39 Cent ausgebe, um den meinen Virus zuzustellen,
Und vielleicht noch einen halben Nachmittag investiere,
einen Virus zu basteln, was ich nur für diese eine Person baue,
was der Virenscanner wahrscheinlich gar nicht kennt,
und ich dann noch die Möglichkeit habe, das vorher zu prüfen,
weil ich es mir auch fünfmal an mich senden kann.
Dann sehe ich, ob der Virenscanner von De-Mail den Virus findet oder nicht.
Und dann schicke ich es an jemanden, der sagt,
geil, Viren gescannt, kann ich ausführen.
Also keine besonders gute Idee.
Außerdem gibt es natürlich andere Wege,
ich kann eine URL statt einer Datei De-mailen,
ich kann eine E-Mail schicken,
ich kann darauf hoffen, dass die Leute eine Software downloaden,
ich kann auf Flash oder Java setzen,
das machen Generationen von Angreifern seit Jahren.
Mit großem Erfolg.
Das heißt, wozu das eigentlich führt,
ist der Effekt, den man dem Fahrradhelm nachsagt,
Risikokompensation, ich bin geschützt,
ich kann hier machen, was ich möchte.
In Wirklichkeit hat man diesen Fahrradhelm leider am Knie,
und wenn man auf die Schnauze...
irgendwie so, der Vergleich hinkt ich weiß.
Lachen
Das heißt wir haben am Ende ein System,
was unverschlüsselt ist, denn es ist nur eine Transportverschlüsselung.
Das heißt auf den De-Mail Servern selber liegt die De-Mail unverschlüsselt.
Bzw. sie sagen, sie speichern verschlüsselt ab und haben den Schlüssel daneben liegen.
Ich weiß das ist ein sehr schönes Argument, das so anzubringen.
Es gilt aber nun mal faktisch als unverschlüsselt, wenn man den Schlüssel hat.
Es gibt nur wenige Anbieter und darüber wird nur sensible Kommunikation abgewickelt.
Es ist außerdem ein Traum für das Bundeskriminalamt
und das Bundesamt für Verfassungsschutz.
Denn für die löst sich nebenbei auch noch die Spamproblematik.
Wir erinnern uns, wir hatten einige Zeit darunter zu leiden,
dass bei E-Mails zu viel Spam war, so dass sie ihre Filter überladen hatten.
Das sollte sich bei De-Mail geklärt haben.
In Wirklichkeit ist dieser Virenscan beim Anbieter nur eine Ausrede
oder ein Argument dafür, keine Ende-zu-Ende Verschlüsselung zu machen.
Denn wenn der Anbieter nicht reinschauen kann in die Nachricht,
dann kann er sie auch nicht auf Viren prüfen.
Jetzt können wir abwägen, will ich einen unvollkommenen Virenschutz haben
oder möchte ich eine vertrauliche Kommunikation herstellen können.
Das war dann 2011 und danach passierte...
Lachen
... nichts.
Applaus
Da waren die De-Mail Anbieter unglücklich.
Sie hatten ihr ganzes Geld dafür ausgegeben,
um da eine De-Mail Infrastruktur hinzustellen.
Es gab einen sehr schönen Artikel auf Heise
von Detlef Borchers geschrieben.
Nachdem der CCC dann einige Gutachten zu dem Thema verfasst hatte,
wurden Journalisten eingeladen nach Frankfurt zum De-Mail Center.
Wo gezeigt wurde, dass draußen perimeter Sperren sind gegen Bulldozer-Angriffe.
Lachen
Also da wurde richtig Geld in die Hand genommen.
Um das sicher zu machen.
Aber irgendwie wollte es keiner haben.
Also dieser schöne sichere nachweisbare Geschäftsverkehr für jedermann,
keiner ist darauf angesprungen.
Ich kannte niemanden, der De-Mail hatte.
Und was musste man machen.
Es musste ein neues Gesetz her.
Und zwar diesmal Gesetze, die De-Mail zum Standard machen.
Indem zur einfachsten und günstigsten Methode wird,
gegenüber einer Reihe von teureren und eventuell überlegenen Methoden,
aber wir wissen natürlich,
dass letztendlich die niedrigste Einstiegsschwelle dann diejenige ist,
auf die sich die Menschen einpendeln.
Das wurde dann 2013 mit den E-Government und E-Justice Gesetz gemacht.
Das waren die Gesetze, zu denen ich dann auch in die Ausschüsse geladen wurde
als Vertreter für den CCC.
Beim ersten ging es um das E-Government Gesetz.
Da habe ich dieses Gesetzding bekommen.
Das war auch das erste Mal, dass ich sowas mit der Bürde angeschaut habe,
mich ernsthaft qualifiziert zu äußern zu einem Gesetzestext
und das in einem Ausschuss in dem mir Hans Peter Uhl gegenübersitzt.
Gelächter
Ich dachte oh das wird schwierig, das wird schwierig.
Dann hab ich diesen Gesetzestext bekommen...
Und jetzt ist es so: Die hatten in diesem Fall ein Problem,
denn so wie sie ihr schönes De-Mail Gesetz formuliert hatten,
genügt De-Mail nicht den Ansprüchen an Sicherheit,
die sie in anderen Gesetzen für den Transfer von bestimmten Daten definiert hatten.
Dort stand drin: Wenn X und Y übertragen wird,
dann muss das ordentlich verschlüsselt sein.
Jetzt mussten sie irgendwie einen Fix finden, denn ihr schönes De-Mail passte gar nicht
– ging gar nicht. Es hätte gegen das Gesetz verstoßen De-Mail
zur Übertragung dieser Daten zu nutzen, weil es offenkundig nicht sicher genug ist.
Aber es gibt natürlich für jedes technische Problem eine juristische Lösung:
Und dann finden sich so schöne Sätze wie: [siehe Text in Folie]
Gelächter
Problem gelöst!
Applaus
Eine Entschlüsselung verstößt nicht gegen das Verschlüsselungsgebot.
Das ist das was dieser lange Satz den ich hier,
vor dem ich euch jetzt schonen möchte heißt.
Ungefähr so war dann auch mein Gesicht,
weil ich tatsächlich nicht sicher war ob ich den Satz richtig verstanden hatte,
aber es war dann tatsächlich so.
Dann kam ich in den Innenausschuss und sagte:
Hallo, ich hab mir das mal angeschaut was
sie da geschrieben haben und ich halte das für gefährlich, was sie da tun.
Sie sollten - das waren so meine Hauptargumente - man muss ja wissen,
man muss da ja so argumentieren, dass die das für interessant finden was man sagt
und zuhören, den ich wollte ihnen ja nur Helfen.
Also sagte ich: Okay, wenn ihr das jetzt macht, dann sind
diese ganzen unverschlüsselten sensiblen E-Mails
auf den 4 oder sogar nur 3 De-Mail Servern um die ihr euren Perimeterschutz drum gebaut habt
- das wusste ich zu dem Zeitpunkt nicht.
Was meint ihr denn wie attraktiv diese Dinger als Angriffsziel werden, für Angreifer?
Wo ich weiß: Der Inhalt dieser Nachrichten ist so vertraulich,
dass die Menschen 39 Cent ausgeben um sich in Sicherheit zu wahren.
Das halte ich aus Security Perspektive durchaus für problematisch.
Und dann wurde interessanterweise muss man sich, ich muss das vielleicht kurz erklären:
Wenn man in so einen Ausschuss geht und da als Sachverständiger hinkommt -
Ich dachte das diesem Wort Bedeutung beikommt Gelächter
Ich habe mich geehrt gefühlt. Ich dachte hey super, die haben meinen Sachverstand anerkannt
und mich deshalb eingeladen. Gelächter
In der Regel ist das so, dass da ein Theater statt findet
mit Leuten die natürlich eingeladen werden
um das zu sagen was sie dort sagen
und da werden irgendwelche Richter von irgendwelchen Verbänden eingeladen
letztendlich ist das eine Gruppierung von Lobbyisten,
die letztendlich drängt: Das finden wir toll,
das müssen wir jetzt unbedingt machen!
Dort wurde wortwörtlich von einem Sachverständigen gesagt:
[Text siehe Folie, erster Absatz]
Wie gesagt das war vor Snowden - wenige Wochen [Zweiter Absatz der Folie]
Der gute Mann hat natürlich das Thema verfehlt:
Alltagsaustausch in der Kommunikation ist eine Facebook Nachricht,
da braucht ich jetzt nicht noch De-Mail zu
zu implementieren. Also habe ich gesagt:
Freunde passt auf, ich mache euch einen Vorschlag:
Jeder E-Mail Client unterstützt sogar S/MIME
und ihr habt den Leuten doch gerade diese Personalausweise andrehen wollen,
die sie auch nicht haben wollten.
Und auf / in diesen Personalausweisen ist eine Smartcard
und da könntet ihr so ein Zertifikat drauf haben
und dann könnten die Leute damit richtig schön ihre De-Mails verschlüsseln
und signieren.
Hättet ihr zwei Fliegen mit einer Klappe geschlagen
und hättet zusätzlich ein sicheres De-Mail System.
Übrigens: Kleiner Seitenhint, den habe ich denen dann aber nicht erzählt:
sie hätten sich in dem Moment natürlich auch die ganze De-Mail Sache knicken können
weil sobald jemand in der Lage ist sein Dokument
vernünftig zu signieren ist es auch völlig egal womit er es mir jetzt zusendet.
Die kryptographische Signatur unter einem Dokument ist genau für diesen Zweck da.
Dann wurde gesagt, dann mussten sie also jetzt irgendwie
meinen Vorschlag der Ende zu Ende Verschlüsselung
irgendwie ad absurdum führen und los werden.
Und dann sagten sie: Ja aber geht das auch auf dem Smartphone?
Habe ich gesagt: Ja.
Gelächter
Applaus
Und es stimmt, es ist übrigens ein Tipp S/MIME,
S/MIME Zertifikat schön aufs iphone laden.
Gut ich habe dann natürlich noch - ich bin ja immer freundlich -
ich bin ja auch aufrichtig zu Menschen und habe gesagt:
Halte ich aber nicht für eine gute Idee.
Gelächter
Und dann wurde gefragt: Ja aber mit der Ende zu Ende Verschlüsselung
müsste ich jetzt mal erklären: Wie macht man das denn,
wenn man dann in der Türkei in einen Internetshop geht, im Urlaub
und seine Ende zu Ende verschlüsselte De-Mail abholen möchte?
Gelächter
Linus fasst sich an den Kopf
Die richtige Antwort ist natürlich:
Man macht es NICHT!
Gelächter
Gelächter
Applaus
Naja, ich hab dann so erzählt und mir war auch klar, wenn so ein Gesetz erst mal an dem Punkt ist
in diesen Ausschüssen zu sein, wie gesagt das ist nur ein Theaterveranstaltung
die da statt findet und mir war klar,
das Ding kriege ich auch nicht mehr gestürzt,
Ich habe jetzt da meine Rolle ernst genommen
und habe versucht Sachverstand anzuwenden aber das Ding war verloren.
Übrigens der junge Mann der mir diese Frage stellte
- als ich dann aus dem Ausschussraum raus ging und am Fahrstuhl stand kam er zu mir und sagte:
"Ich weiß sie haben recht, aber.. so ist das eben."
Gelächter
Und ich dachte: Naja okay hm.. was willste machen.
Gelächter
Wir erinnern uns: In diesem Innenausschuss
- weil ich dachte ja so, ja das sind ja Leute die interessieren sich für innere Sicherheit,
dennen erzähl ich einen vom Cyberwar und vom Cybercrime, damit kriege ich deren Gehör.
Was mir da so ein bisschen gar nicht aufgefallen war ist,
dass ich mich so die ganze Zeit auf "Sicher" konzentriert habe
und nicht auf nachweisbar. Das ist denen auch aufgefallen und deswegen
haben sie noch ein zweites Gesetz noch gemacht das eJustice Gesetz,
wo sie sagten in dem Fall müssen wir die ganzen Strafprozessordnungen umschreiben,
so, dass wir bei gerichtlicher Kommunikation in diesen Abläufen irgendwie De-Mail anwenden können
und wie gesagt, jetzt ging es um Nachweisbarkeit.
Es geht darum, dass die De-Mail dann auch das Papier auf dem sie ausgedruckt wird wert ist.
Gelächter
Und ich dachte wieder: oh schwierig, jetzt sogar so Jura-Text über Gesetze selber,
das wird bestimmt nochmal schwieriger und die Sätze waren auch echt nochmal viel länger.
Gelächter
Und da wurde dann gesagt:
Auch wenn es sich bei De-Mail um ein Transportmedium,
bei der qualifizierten elektronischen Signatur
- erklär ich gleich - hingegen um ein dokumentbezogenes Sicherungsmittel handelt,
ist im Beweisrecht eine Gleichbehandlung beider Instrumente geboten,
weil es sich bei der De-Mail-Nachricht auch um ein elektronisches Dokument im Sinne von
§ 371 handelt und die Absenderbestätigung dazu führt,
dass die Nachricht mit einer qualifizierten elektronischen Signatur des Providers versehen wird.
Gelächter
Applaus
Steht da so!
Ist sogar jetzt geltendes Recht!
Gelächter
Vielleicht mal kurz zur Erklärung: was das Wort was da gerade vorkam,
die qualifizierte elektronische Signatur:
Das ist also eine tatsächliche richtige kryptographische Signatur,
die dokumentgebunden angebracht wird.
Das heißt ich nehme einen Text, eine E-Mail oder sonst was, mache ein bisschen Magie
Gelächter
und habe aufgrund von asymetrischer Kryptographie
die Möglichkeit, dass mein Empfänger feststellen kann,
dass das Dokument was ich ihm signiert gesendet habe:
a) von mir signiert wurde und b) auch auf dem Weg nicht verändert wurde.
Das ist ein sehr entscheidender Bestandteil von asymetrischer Kryptographie,
findet bei PGP sehr viel Anwendung.
Findet aber auch bei den anderen asymetrischen Verschlüsselungsverfahren.. wird es genauso gemacht.
Also man signiert etwas.
Das gesamte SSL CA-Modell ist darauf aufgebaut, dass eine andere vertrauenswürdige Instanz signiert,
dass diese Person sie ist und die signiert dann wiederum ihren Text
und da kann man dann so eine Trustchain aufbauen
und das ist wunderbar.
Also ich bin froh, dass es das gibt.
Und jetzt wurde also gesagt:
Wir bauen diese Funktion zu signieren in den neuen Personalausweis ein.
Geht auch mit anderen Sachen, man kann das
- wie ich dann lernte - auch bei seiner Bank irgendwie beantragen,
dann kriegt man auf den Smartcardchip in seiner ec-Karte irgendwie ein Zertifikat.
Wunderbar, das heißt es geht irgendwie so ab:
Ich nehme ein Dokument, stecke meinen Personalausweis oder meine Signaturkarte in ein Lesegerät,
gebe den Geheimcode ein um das Zertifikat da drin frei zu schalten,
bringe die Signatur an und dieses Dokument ist dann von mir signiert
und mit gutem Recht genau so viel wert wie eine Signatur mit Tinte.
Ist das ungefähr klar? Also man kann damit signieren.
Und wenn jetzt etwas signiert ist, dann muss man sich überlegen welchen Sinn haben Signaturen?
Also man kann - das war diese jenige Person... und juristisch geht es natürlich um so etwas
wie einen Identitätsbeleg gegenüber Dritten.
Wenn mir jemand etwas unterschrieben hat - zum Beispiel einen Vertrag -
dann kann ich zu einem Dritten gehen, zum Beispiel zu einem Richter
und kann sagen diese Person hier hat sich nicht an den Vertrag gehalten.
Wir haben aber ein Vertrag und muss jetzt hier Strafe..
Der Begriff dafür ist glaube ich eine dokumentierte Willensbekundung,
den muss ich mit einer Signatur versehen.
Eine andere Funktion des Personalausweises ist es,
es den Menschen zu vereinfachen die Identität zu lesen.
Also man muss dann nicht mehr auf den Perso kucken,
sondern man kann den an so ein Lesegerät halten gibt auch irgendwie kurz den Code ein,
dann überträgt der Perso die Daten die in ihm gespeichert sind.
Das dient natürlich nur zur einmaligen Identitätsfeststellung,
weil derjenige nichts weiter bekommt, er bekommt nur einmal die Daten der Person
und ein Zeichen, dass der Ausweis nicht gefälscht ist.
Es gibt also Ausweis zeigen und es gibt unterschreiben.
Und jetzt schauen wir uns mal an was wir mit DE-Mail machen:
Bei DE-Mail gehe ich also einmal hin,
zur Post oder irgendwo anders, wo ich meinen Ausweis zeigen kann.
Sage: hier ist mein Ausweis.
Sagen die: ah wunderbar bekommst eine DE-Mail-Adresse.
Und dann ist jede DE-Mail die ich schreibe ein signiertes Dokument
und gleichwertig mit der qualifizierten elektronischen Signatur,
was natürlich das hier absolut ad absurdum führt.
Um das mal zu vergleichen: Ich gehe also - wenn wir das jetzt auf einen Brief übertragen -
- bei einer DE-Mail, Gerichtsfestigkeit der DE-Mail..
Ich gehe irgendwann mal zur Post und zeige meinen Ausweis,
ich schreibe dann einen Brief, werfe ihn in einen Briefkasten und schreibe hinten meinen Absender drauf.
Dann kommt Magie (Gelächter) und die Post unterschreibt jeden Brief für mich
und ich wandere dafür dann wo auch immer ich hin muss hin.
Gelächter
Hat natürlich einen Nachteil wenn jetzt jemand anderes zu dem Briefkasten geht und da etwas einwirft.
Blöd.
Habe ich gedacht: Boah wenn die Richter das hören, die anderen Sachverständigen,
die werden kreidebleich! Und dann sagte Dr. Wolfram Viehfhues:
(siehe Folie)
Mit anderen Worten: ich solle den Ball etwas flacher spielen. Gelächter
Thema erledigt. Ich habe ihn dann noch darauf hingewiesen,
dass wir dann ja auch Klagen demnächst über Web.de Grußkarte, Facebook oder Twitter Nachricht einreichen können.
GelächterApplaus
Sie haben sich wirklich mit Händen und Füßen gegen diese Ende zu Ende Verschlüsselung gewehrt.
Hauptsächlich, das Argument war dann immer,
das ist so kompliziert. Ich möchte dann vielleicht auch jetzt noch einmal klarstellen:
Die Tatsache dass viele Menschen keine Ende zu Ende verschlüsselung benutzen,
ist meines Erachtens, zum großen Teil darin begründet,
dass es nicht per Default in jedem E-Mail-Client drin ist.
Insbesondere PGP ist selten per Default integriert. SMIME hat sich noch nicht so ganz herumgesprochen,
aber es wird einfach per Default nicht gemacht.
Mit DE-Mail hätte man einmalig die Gelegenheit gehabt, das wirklich so richtig schön zu machen
und jedem Bürger sein eigenes Zertifikat zu geben und so richtig schön den Anteil
von verschlüsselter Kommunikation die der Staat nicht lesen kann,
mal richtig signifikant zu erhöhen.
Damit habe ich glaube ich auch erklärt, warum das nicht getan wurde.
GelächterApplaus
Das erklärt - ich habe mich da so ein bisschen darüber aufgeregt -
- aber auch irgendwann resigniert. Und dann kam eines Tages irgendwie so ein brauner Umschlag bei mir an,
und habe ich gedacht mal gucken, habe ich erstmal nicht verstanden,
habe ein bisschen weiter recherchiert,
wir möchten so ein bisschen zurück in der Zeit gehen, also weit bevor es überhaupt
dieses Bürgerportalgestz gab, mit dem dann der Grundstein für DE-Mail gelegt wurde.
2001 meldete eine kleine Firma die Wortmarke "Dmail" an
und zwar für Maschinen für Sortierung, Frankierung, Wägung insbesondere von Briefen, Päckchen usw.
2007 meldete das Bundesamt Sicherheit in der Informationstechnik die Wortmarke "D-mail" an,
für Rechenmaschinen, DV-Geräte und Computer,
Werbung - ist natürlich eine interessante und wichtiger Bestandteil von DE-Mail -
Geschäftsführung, Unternehmensverwaltung, Büroarbeiten, Telekommunikation usw.
noch ein paar andere Sachen.
Und jetzt gab es natürlich ein Problem,
denn das BSI hatte jetzt versucht eine Wortmarke anzumelden die schon jemand anderes hatte.
Eigentlich wäre an dieser Stelle der Punkt gewesen an dem das BSI hätte sagen müssen:
"Scheisse müssen wir anders nennen". Sie haben dann 2008 sogar noch das "DE-Mail"
dann angemeldet und was dann stattfand, war eine vertragliche Einigung
zwischen dem Bundesministerium für das Innere und der Firma "Giersch Ventures",
in der geregelt wurde, wofür die Bundesrepublik Deutschland oder das Bundesinnenministerium
die Wortmarke DE-Mail nutzen darf und wofür nicht.
Was da drin dann ausgeschlossen wurde war: "Dienstleistung, Transportwesen und Postdienstleistungen..."
Das ist übrigens neu, das habe ich noch nie irgendwo erzählt.
Das ist ein kleiner Auszug aus diesem kleinen Vertrag zwischen BMI und Giersch Ventures
und da wird eben eine bestimmte Form Nutzung bei D-Mail ausgeschlossen.
und diese Form wäre eben das ich eine De-Mail schicke, unverschlüsselt zu meinem Anbieter,
der sie ausdruckt und an jemand anderen weiter sendet,
So, dass ich quasi einen Brief machen kann, man könnte sagen einen, quasi einen Postbrief,
man könnte sogar sagen einen e-Postbrief!
GelächterApplaus
Und das ist - jetzt wird es interessant - das war natürlich allen klar,
wenn erst einmal gesetzlich so etwas festgelegt ist,
dass dann mit dieser DE-Mail-Technik -
oder was auch immer für eine Technik - irgendwo da verbrieft wird
und mit der man Geld verdienen kann, dass mit der auch Geld verdient werden wird!
Und da war die Post natürlich sehr unglücklich drüber, dass sie ihr Konkurrenzprodukt "E-Postbrief"
nicht registriert bekommen könnte.
Die haben auch irgendwie alle möglichen EU Beschwerden gestartet,
wollten das E-Government Gesetz noch im Bundesrat stoppen,
weil sich massiv benachteiligt fühlten,
weil sie diesen schönen E-Postbrief hatten, der genauso sicher bzw. unsicher ist,
aber ausgedruckt werden kann und der darf nicht DE-Mail sein.
Der Hintergrund ist einfach dieser Geheimvertrag der mir dann da zugespielt wurde.
Sie haben sich sogar noch so stark durch lobiiert, dass in dem finalen Gesetzestext dann drin steht:
"..oder vergleichbare sichere Verfahren..",
das heißt sie haben sogar noch mit ihrem Lobbyismus Erfolg gehabt.
Alles weil das Bundesministerium für das Innere ein Geheimvertrag über Markenrecht hat.
Fand ich interessant. Dann habe ich gedacht:
"Hm, von wem hat sich denn die Post beraten lassen?",
dass die irgendwie jahrelang an so einem E-Postbrief entwickeln
und am Ende da landen, mit einem Produkt
was sie eigentlich für den zentralen Kernbereich gar nicht vermarkten können.
Und stellt sich heraus die würden von BearingPoint beraten, steht auf ihrer Seite.
Unsere Partner: BearingPoint berät Unternehmen und Organisationen aus den Bereichen
Commercial Services, usw. BearingPoint war ein großer Berater der Deutschen Post bei diesem E-Postbrief.
BearingPoint stellte sich erst vor kurzem
durch eine kleine Anfrage der Fraktion "Die Linke" heraus:
War auch ein sehr großer Berater der Bundesrepublik Deutschland
bei der Formulierung des DE-Mail-Standards.
Gelächter
Ein Schelm wer Böses dabei denkt.
Applaus Ich finde das absolut OK.
Versteht mich da nicht falsch, ich finde das absolut in Ordnung,
wenn man irgendwie zwei Deppen findet die das gleiche kaufen,
warum sollte man das nicht machen?
GelächterApplaus
Und da findet sich dann in dieser Anfrage, wo "die Linke" dafür gesorgt hat,
mal alle möglichen Firmen die für die Bundesregierung
im IT Sicherheits Bereich arbeiten,
dass dann da mal das Auftragsvolumen mal benannt wird
und die Projekte, unter BearingPoint unter anderem dann
Bürgerportale, DE-Mail, strategische Projektunterstüzung und ähnliche Sachen gemacht.
Außerdem hat BearingPoint bei der E-Government Initiative und dem neuen Personalausweis beraten
und eben auch zentral bei DE-Mail.
Andere Firma die damit gearbeitet hat bei DE-Mail
die sich dann auch durch diese kleine Anfrage der Fraktion "die Linke" zeigte war CSC.
Das war jetzt auch vor wenigen Wochen noch in den Nachrichten.
CSC ist einer der wichtigsten Partner der US -Geheimdienste.
Gelächter
Sie entwickeln Spähprogramme für die NSA.
Eine Tochterfirma war an der Verschleppung von "Khaled el-Masri" 2004 beteiligt.
Seit 2009 haben sie ein Auftragsvolumen von 25 Millionen Euro
für Beratungsdienstleistungen im Bereich E-Pass und DE-Mail von der Bundesrepublik bekommen.
Also das Sicherheitskonzept für unsere neue sichere Kommunikation,
unseren neuen sicheren, nachweisbaren Verkehr für Jedermann
wurde von einem US-Geheimdienst Subcontractor geschrieben.
Quizfrage: Kunden... (siehe Folie)
GelächterApplaus
CSC.. berät Bundesrepublik und sagt:
Macht mal schön DE-Mail.. Wer weiß was die noch gemacht haben?
Das sollte bestimmt jemand der hier ist wissen? Publikum: E-Perso?
E-Perso? E-Pass weiß ich nur, E-Perso bin ich mir nicht sicher,
Ich gebe mal einen kleinen Tipp..
Gelächter
Publikum: Den Bundestrojaner natürlich!
Sie haben den Codereview beim Bundestrojaner gemacht!
Der Bundestrojaner wurde - wie wir wissen -
- wurde von Digitask geschrieben und diejenigen die den Codereview gemacht haben
waren CSC und die DE-Mail haben sie uns auch noch gebracht.
Aber das ist etwas anderes, das ist ja sicher, mit Virenscanner!
*Gelächter
Kommen wir jetzt mal zum Ende:
Also DE-Mail wie wir es jetzt haben, geht nicht
über die übliche E-Mail Sicherheit hinaus.
Es ist unnötigerweise und absichtlich
inkompatibel mit dem Rest der Welt.
Eine DE-Mail kann ich nicht an eine normale E-Mail-Adresse schicken.
Verschlüsselt nur auf dem Transportweg,
d.h. auf den Servern kann man weiter rein schauen.
Sind wenige Server die aufgrund der Inhalte der Nachrichten
eine erhöhte Attraktivität als Angriffsziel haben.
Es hat rechtliche Nachteile und Risiken für die Nutzer
und der einzige Grund der das alles erklären kann ist,
dass das Ziel ist, die Wirtschaft zu fördern in Deutschland
und die Abhörbarkeit der Kommunikation zu erhalten!
Applaus
Und diese Gesetze würden so beschlossen!
Ich habe das dann irgendwann einmal gesagt:
Keine Regierung ist so blöd,
ihren Bürgern ein abhörsicheres Kommunikationsmedium zu geben
- und ist auch richtig so - nein also der Satz ist richtig!
GelächterApplaus
Sagte auch.. Gelächter
.. Edward Snowden, der wenige Wochen oder Monate danach dann mit seinen Leaks raus kam
und sagte: Ja wir haben hier so ein kleines Problem:
Die US Anbieter lesen alles und auch daraus musste natürlich Kapital geschlagen werden
und dann kamen wir zu E-Mail made in Germany.
Ihr erinnert euch, das war großspurig angekündigt:
Die großen deutschen Anbieter machen jetzt eine Sicherheitsinitiative
und verschlüsseln alle E-Mails.
Dachte so: Oh super, wie machen sie das denn?
Gelächter
Sie setzen einen RFC um. Den ersten gab es glaube ich 1999.
RFC2487, der wurde dann irgendwie 2002 nochmal überholt durch RFC 3207.
Das heißt die ganze Idee ist ca. 15 Jahre alt,
dass man zwischen zwei E-Mail-Servern die Nachrichten,
also die Übertragung tatsächlich verschlüsselt machen könnte!
Applaus
So d.h., das ist jetzt hier eine Grafik,
die habe ich von der E-Mail Made in Germany Webseite:
der Nutzer schreibt seine E-Mail,
sie wird für den Transport verschlüsselt,
kommt beim E-Mail-Server an,
dieser E-Mail-Server schickt dann diese eine E-Mail und die ganzen vielen tausend anderen,
die er schickt, auch verschlüsselt herum.
Und der Nutzer.. am Ende wird sie auch wieder verschlüsselt abgeholt.
Diesen Teil machen wahrscheinlich viele Nutzer schon seit Jahren,
weil es auch von den Anbietern auch schon angeboten wird,
Dass das ad absurdum geführt wird,
wenn wir dann von diesem Teil in der Mitte sprechen..
also was hilft es mir wenn ich meine Nachricht
verschlüsselt bis zu T-Mobile oder T-Online sende,
wenn sie dann alle Nachrichten irgendwie unverschlüsselt durch das Internet blasen.
Wo dann die NSA dran hängt, da ist keinem geholfen.
Und das haben sie "an gemacht".
Man könnte sagen, dass es absolut sträflich und unverzeihlich ist,
dass sie diese Verschlüsselung nicht an hatten,
aber sie machen es natürlich.. was soll man machen..
Wir machen da eine Werbekampagne draus.
Wir machen jetzt sichere Kommunikation "E-Mail made in Germany.
Die sichere Übertragung und Speicherung ihrer Nachricht ist garantiert".
Gelächter
Und wenn man kein E-Mail Made in Germany hat,
dann kriegt man Spam: "Diese E-Mail wurde aus dem Sicherheitsverbund E-Mail made in Germany gesendet",
das war so ein Footer, den GMX unter seine E-Mail gesendet hat.
Quizfrage: Wo ist die unverschlüsstelte E-Mail?
A) beim Absender B) bei der Telekom
C) bei web.de oder D) beim Empfänger ?
Applaus (siehe Folie)
Quizfrage: Wie sah es denn vorher aus?
Gelächter
Ungefähr so, ich habe mir das mal erlaubt die Grafik etwas zu ändern
und statt sich zu schämen, macht man halt eine Werbekampagne.
Gelächter
Und als ich so vor zwei Tagen hier an der Folie saß
und mich gefragt habe: Hat sich denn überhaupt etwas verändert?
Ähm.. ah ne komme ich gleich zu... Wer hat denn noch Zugriff?
Genau, der Bundesnachrichtendienst, das Bundeskriminalamt, e-plus..
Gelächter
Die Leute hatten zu dem Zeitpunkt alle Zugriff
auf diese E-Mails, die die Menschen da verschicken.
Und als ich so dachte, ich kuck mal..
Wie ist das denn, mit dem "E-Mail made in Germany", sind die überhaupt verschlüsselt?
Stelle ich fest: Sind sie nicht.
Man ist weiterhin in der Lage,
seine E-Mails "Made in Germany" unverschlüsselt abzuholen.
Ich habe das mal hier so ein kleines Netcat-Ding hingeschrieben.
Was das macht: Also es stellt eine Verbindung her
zu dem Imap-Server von T-Online und sagt "Hallo ich bin folgender Nutzer,
dies ist meine E-Mail-Adresse, das ist das Passwort, liste mal bitte die Folder die es hier gibt,
geh mit mir in den Folder Inbox, in den Posteingang.
Dann sagt er: ja hier gibt es diese so und so folgende Nachrichten.
Dann sag ich, hole mir bitte einmal die Nachricht 2 und logge mich wieder aus.
Das gleiche bei GMX.
Gelächter
Und wenn ich jetzt noch genug Zeit gehabt hätte,
hätte ich das jetzt hier mal kurz live demonstriert.
Ich denke ihr glaubt mir das so, ich habe euch ja den Code gegeben.
E-Mails made in Germany können nach wie vor unverschlüsselt versendet und abgeholt werden
und es ändert auch nichts daran, dass da dieses Siegel dran steht
und behauptet wird, diese E-Mail ist jetzt besonders sicher.
Finde ich auch nicht in Ordnung.
Da sieht man es jetzt nochmal.
Ah das war die alte Folie, das ist keine E-Mail Made in Germany,
das ist eine normale E-Mail, weil die habe ich ja nicht von einem Made in Germany-Ding gesendet, tschuldigung.
Also was haben wir bei E-Mail made in Germany?
Wir setzten fast 20 Jahre alte Standards um.
Viele Jahre waren die E-Mails nicht verschlüsselt,
sie sind es ohnehin nur auf dem Transportweg.
Das wäre mit anderen Anbietern genauso möglich.
Gmail z.B. macht es seit jeher.
Und wir machen es noch nicht einmal vernünftig,
weil unverschlüsseltes absenden und holen der E-Mails weiterhin möglich ist.
Ich weiß nicht was ich dazu jetzt noch sagen soll,
ich bin mit dem Thema am Ende.
Applaus
Wobei ich sagen muss, dass diese Entdeckung, dieser Fund,
mich schon irgendwie, schon schockiert hat.
Ich hätte eigentlich doch schon den beteiligten Unternehmen zugetraut
dass sie dieses Sicherheitsversprechen dann auch wirklich einlösen würden.
Vielleicht kurz zum Grund warum das so ist,
warum sie wahrscheinlich - meine Vermutung - warum sie immer noch diese unverschlüsselten Verbindungen machen:
Sie haben halt über viele Jahre den Nutzern erklärt,
ihre E-Mail-Clients so zu konfigurieren, dass sie es eben unverschlüsselt machen.
Wenn sie jetzt von einem Tag auf den anderen diese unverschlüsselten Verbindungen ausschalten,
dann knüpfen sie natürlich ein paar Leute von ihrer Kommunikation ab
und das wiederum sorgt dann für Anrufe beim Helpdesk und für unglückliche Kunden.
Ich weiß nicht ob die Kunden langfristig glücklicher sind,
wenn ihre E-Mails unverschlüsselt durchs Netz fliegen,
aber naja, also ich bin da echt ziemlich schockiert von.
Anderes Thema, das "Schlandnet"!
Das Schlandet, ihr seht so dieses magentafarbene "T",
das kommt in allen vier immer sehr prominent vor.
Schlandnet ist schwierig zu erklären.
Ich habe das oft versucht und auch Clemens hat sich daran versucht,
ich will es jetzt mal vereinfacht darstellen und ein bisschen pointiert.
Als das Internet gelegt wurde - das ist die Bundesrepublik Deutschland
als das Internet gelegt wurde, wurden diese Kabel in der Erde vergraben
und das wurde primär von Leuten gemacht, die im "in der Erde vergraben"-Business sind.
GelächterApplaus
Und Leute die im "in der Erde vergraben"-Business sind, haben in der Regel so ein großes Business,
dass sie sich nicht an Ländergrenzen halten, sondern z.B: irgendwie - was weiß ich -
ein Rohr legen, von da nach da und das geht durch drei Länder
und da legen wir jetzt auch noch ein bisschen Glasfaser mit rein, dann haben wir Internet.
Das heißt diese Kabel auf denen unser Internet basiert, liegen selten..
die halten sich selten an Ländergrenzen und irgendwie muss ja alles was Internet ist,
muss ja miteinander verbunden sein und dafür gibt es sogenannte "Commercial Internet exchanges"
In Deutschland haben wir einen ganz schönen in Frankfurt,
das gilt glaube ich inzwischen als einer der größte weltweit,
oder der größte weltweit, wo so alles was Internet macht, ob es ein Rechenzentrum ist,
ob es ein E-Mail Provider ist, ob es..
egal was wir wollen Internet haben, wir müssen irgendwo mit Internet verbunden sein.
Die haben in der Regel ein Kabel liegen nach Frankfurt
und dort steht dann der DE-CIX und dann ist da alles zusammen.
So und da kann man dann..
und da haben sich alle hingelegt und machen sowas wie wir hier, stecken ein Kabel an.
Und dann könnte man sagen: Wunderbar, ist jetzt schön.
Was jetzt hier passiert ist, dass eigentlich alles aneinander gesteckt wird
und sich alle irgendwie ihre Datenpakete hinschicken können wo sie wollen
und was aber dann einige andere Anbieter sich überlegt haben ist:
"Hm, ich bin so groß als Anbieter, dass andere einen größeren Vorteil davon haben,
sich mit mir zu verbinden, als ich einen Vorteil habe mich mit ihnen zu verbinden."
Gelächter
Und das macht die Deutsche Telekom,
die hat viele Kunden und sagt: Wer mit uns verbunden werden möchte,
wer mit uns "peeren" möchte, der möge bitte dafür zahlen
und übrigens: Ach du hast da schon ein Kabel nach Frankfurt zum DE-CIX liegen,
hm ja ist ungünstig, denn da sind wir nicht,
aber wir sind eben in Klein-Buxtehude und
ach du brauchst ein Kabel dahin?
Kein Problem, wir sind im "Loch Graben"-Business,
wir geben dir das Kabel.
Gelächter
Das heißt für einen Anbieter der sagt, er möchte mit der Deutschen Telekom verbunden werden,
ich baue jetzt ein Rechenzentrum oder was auch immer,
ich mache ein Server auf und möchte irgendwie am DE-CIX mit der Deutschen Telekom peeren,
dann sagen die: Ja wie viel hast du denn?
Ist die Standardantwort, die die Telekom immer gibt: Klar geht!
Applaus
Und das ist passiert, die letzten zehn Jahre in Deutschland.
Das hat dazu geführt, dass die ganzen Anbieter ja irgendwie
trotzdem die tollen Telekom-Kunden haben wollen.
Sie möchten ja irgendwie ihre Inhalte zu diesen vielen Nutzer bringen,
ist ja nun mal der größte Internet-Provider in Deutschland.
Also gehen sie folgenden Weg:
Machen ein Peering-Vertrag mit Level 3.
Level 3 wiederum ist so groß,
dass selbst die Telekom kleiner ist
Gelächter
und sagt: Ja okay, bei uns gibt es Internet Punkt.
Die bieten an, wenn du dich mit uns,
wenn wir dein neues Internet sind und wir mit dir peeren,
dann gibt es alle Verbindungen, auch die zur Deutschen Telekom,
die interessanterweise in Deutschland eben teurer gewesen wäre.
Das heißt um als deutscher Anbieter mit der Telekom
bzw. mit den Telekom Kunden vernünftig verbunden zu sein,
gehe ich lieber einen kleinen Umweg.
Applaus
Denn die physikalische Distanz, äh die Leitungsgeschwindigkeit
korreliert nicht nennenswert mit der physikalischen Distanz.
Das ist etwa eine Millisekunde mehr,
aber dafür habe ich eine vernünftige Anbindung zu den Telekom Kunden.
Diese Politik der Telekom hat dazu geführt,
dass sich ein Schlandnet nicht automatisch ergeben hat.
Unabhängig davon ob ein Schlandnet jetzt eine gute oder schlechte Idee ist.
Aber es ist der Telekom zu verdanken,
dass wir keines haben.
Und jetzt kann man sich natürlich überlegen,
natürlich ist die Telekom nicht besonders glücklich über diese entgangenen Kunden
und es wäre natürlich schöner wenn die alle direkt bei der Telekom zahlen würden,
aber das tun sie ja nicht, weil es ja ein unregulierter Markt ist
und die Leute sich aussuchen können mit wem sie peeren.
Wenn wir jetzt ein Schlandnetz hätten und sagen:
Ja hier per Dekret, alles muss innerhalb von Deutschland geroutet werden,
dann gibt es eine große Firma in Deutschland die sehr davon provitieren würde
und das ist die Telkom und die wird natürlich dann sagen, was sie immer sagt:
Machen wir! Denn die internationale Konkurrenz ist ja dann weg.
Das wäre also der Schritt der jetzt hier notwendig wäre,
so das ganze andere deutsche Internet,
es ist nicht nur das deutsche Internet,
der DE-CIX, da peeren irgendwie halb Europa,
die ganze Welt, was weiß ich.
Jetzt stellt sich aber heraus,
der DE-CIX hat aber auch gerade Problem in den Medien,
denn es halten sich markante Gerüchte,
dass dort sowohl deutsche als auch US-Amerikanische Geheimdienste an den Kabeln schnorcheln.
Das heißt ein Schlandnet sähe dann irgendwann eher so aus.
Gelächter
Und das heißt, auch da haben wir keinen Gewinn,
wir können nicht.. wir haben die gleiche Situation wie vorher,
es ist nur jemand anderes der uns abhört.
Also Fazit zum Schlandnet:
Es löst keine Probleme sondern zentralisiert sie.
Es widerspricht den physikalischen Gegebenheiten der "Leitungen",
denn die Kabel liegen nun mal nicht so,
dass sie am Ende der Ländergrenze sagen:
"Oh whoops jetzt ist hier einfach mal nicht mehr".
Es erhält bzw. erhöht die Überwachungsmöglichkeiten für deutsche Dienste
und es erhöht die Marktmacht und den Umsatz der deutschen Telekom
und ganz oben drein ist die bisherige Politik der deutschen Telekom Hauptgrund dafür,
dass sich kein Schlandnet ergeben hat.
Letztes Thema: Cloud Das ist..
ursprünglich wollte ich dieses Thema sehr viel ausführlicher behandeln,
aber, die anderen Themen habe ich mir dann doch gedacht, sind ganz nett.
Eigentlich ist zu der Cloud nur eines zu sagen,
das hat Frank Rieger vor wenigen Wochen dem Réne Obermann von der Deutschen Telekom persönlich gesagt:
"Ihre Daten sind woanders, und Sie wissen nicht wo.
Davon halte ich prinzipiell nichts."
Damit ist das..
GelächterApplaus
Also an dieser Stelle gilt natürlich das Wort des Gelehrten
und das Thema ist eigentlich abschließend behandelt.
Gelächter
Nichts desto trotz, wird natürlich..
muss man sich die Situation für Cloud in Deutschland ist echt schlimm,
also es gibt einfach keine nennenswerten Cloud-Anbieter
und die deutschen Geheimdienste sitzen da und sagen scheiße den ganzen Tag
und irgendwie bei den Amis..
und die deutschen Anbieter sitzen da und sagen Mist,
wir haben keine Kunden.. Auch da wieder das große magentafarbene "T",
das jahrelang irgendwie es verpasst hat auf diesen Cloud-Zug aufzuspringen.
Cloud war echt der heiße Scheiß
und alle machen es nicht in Deutschland.
Schon vor 2-3 Jahren bin ich dann das erste mal über so Bemühungen
des Bundesamts für Sicherheit in der Informationstechnik,
dem Wirtschaftsforderungsorgan der Bundesrepublik Deutschland in diesem Bereich gestoßen
wo dann gesagt wurde: "Ja, wir machen jetzt hier so ein Eckpunktepapier "Cloud"
und dann machen wir so Kriterien
und wenn man so drei Checkmarks muss man mindestens haben
und wenn man dann noch zwei mehr hat,
dann kann man seinen Dienst nicht Silber
sondern Bronze nennen und dann ist das eine Cloud der Klasse C+" oder so,
so dass dann irgendwie relativ einfach zugeschnittene T-Systems Cloud
sich irgendwie dran schreiben kann:
"Hier Platin und alle super. Deutsch und deutsch und deutsch.."
Dann habe ich mir das so angeschaut
und da habe ich mich schon vor einem Jahr so ein bisschen drüber lustig gemacht
und ein bisschen drüber geärgert,
weil natürlich auch hier der eine entscheidende Punkt,
der EINE entscheidende Punkt, der eine Cloud akzeptabel macht ist:
Ist wenn ich eine Ende zu Ende Verschlüsselung rein baue.
Das heißt ich nehme Dateien, die ich in die Cloud werfe
und verschlüssele sie vorher auf meinem Rechner
und zwar so, dass der Cloud Anbieter dieses Passwort nicht hat,
das heißt ich degradiere den Cloud-Anbieter zu einer Festplatte.
Das ist das was ich mit meinen Dateien mache.
Ich war jahrelang Dropbox-Nutzer,
jetzt habe ich mir gedacht,
dass mir das Geld dafür zu schade ist. Aber ich habe einfach alle Dateien,
die ich da rein blase vorher verschlüsselt
und dann kann ich auch mit jedem Cloud-Anbieter arbeiten.
Das wäre ein schöner Standard gewesen,
wenn das BSI gesagt hätte:
"Ok super, wir prüfen, dass das vernünftig gemacht wird
und dann könnt ihr hier einen auf deutsche Cloud machen."
Haben sie aber nicht.
Und dann habe ich so gedacht, naja, wer hat die denn beraten?
GelächterApplaus
Auch hier wieder die Anfrage der Linken:
Technologiewettbewerb, sichere Internetdienste,
sicheres Cloud-Computing für Mittelstand und öffentlichen Sektor (trusted Cloud).
Workshop zur zukünftigen IT-Strategie: Vision 2021
Und: Beratungsleistung zu Review TKÜ-Aufbau BKA.
GelächterApplaus
Herald: Super, vielen Dank Linus für diesen
sehr informativen und vor allem auch außerordentlich erheiternden Vortrag!
Danke schön, das war richtig cool.
Wir haben noch ein paar Minuten Zeit,
ich würde sagen zwei Fragen. Wir haben hier Saalmikrofone.
Hier rennt einer, der hat es ganz besonders dringend, du hast die erste Frage.
Und jemand der es auch sehr dringend hat. Bitte schön, du zu erst.
Frage: Ich wollte fragen, ob dieser Giersch der das Recht für den D-Mail Namen hat,
ob das der selbe Daniel Giersch ist, der auch das Recht für "G-Mail" hatte,
weswegen man in Deutschland "G-Mail" "Googlemail" nennen musste?
GelächterApplaus
Linus: Ja, ja! Ja diese Person ist sehr bekannt für derartige Dinge.
Gelächter
Aber ich glaube ich das der auch ziemlich gute Anwälte hat,
deswegen möchte ich dazu nicht so viel sagen.
GelächterApplaus
Linus: Sie haben auf jeden Fall ganz gute..
also seine Anwälte haben auf jeden Fall immer ganz gute Verträge ausgehandelt und äh..
sehr geschäftstüchtiger junger Mann.
Herald: Du kannst die nächste Frage stellen.
Frage: Mich interessiert ob in Anbetracht des Grundgesetzes Paragraph 10,
das nicht ein schwerwiegendes Verbrechen ist, wenn die diese E-Mail unverschlüsselt abholen können?
Linus: Ich äh, du müsstest jetzt nochmal kurz den Artikel 10 zitieren?
Gelächter
Brief und Post und Fernmeldegeheimnis vermute ich?
Frage: Es geht um das Fernmeldegeheimnis, genau.
Linus: Ähm, das kann ich nicht beurteilen, du musst das so sehen, es war..
(Gemurmel ohne Mikro im Publikum "Wir haben doch Hackerparagraphen")
Herald: Bitte hier steht ein Mikro
Linus: Peter möchte gerade darauf hinweisen, dass es eigentlich darum geht,
das Ausnahmen nur durch ein Gesetz geregelt werden können..
Frage: Genau und diese gesetzliche Regelung hast du ja vorhin aufgezeigt,
insofern ist das quasi umgangen.
Juristische Lösung für ein anders geartetes Problem.
Linus: Noch ganz kurz: E-Mails unverschlüsselt abholen ist so eine Unsitte,
die um sich greift, die einfach auch so auf alten
in alten Bereichen noch relativ verbreitet ist.
Was die Deutsche Telekom hier macht und GMX und Web.de
ist natürlich das so ein bisschen auf Kosten der Altnutzer.
Die Altnutzer die irgendwie eine Jahre alte Konfiguration fahren
werden halt noch unverschlüsselt bedient,
aber für den Werbeeffekt ist das ja egal.
Ich würde nicht unbedingt so weit gehen,
das als schwerwiegendes Verbrechen zu bezeichnen,
dafür fehlt mir die Kompetenz.
Das es ziemlich, ziemlich nachlässig und verantwortungslos ist - denke ich - ist offenkundig.
Frage: Das dürfte vertragsrechtsmäßig auf jeden Fall noch interessant sein.
Linus: I'm not a lawyer.
Herald: Du kannst die letzte Frage stellen
Frage: Ja, ich habe eine technische Frage: Ich habe kein DE-Mail Erfahrung,
aber, ist es möglich PGP oder nur PG bei DE-Mail zu nutzen
oder wird der Virenscanner diese Mail als Malware klassifizieren?
Linus: Das ist eine sehr sehr gute Frage, das machen solche Malwarescanner-Systeme
die dann auch bei Unternehmen zum Einsatz kommen.
Das sind ja Lösungen die man so kaufen kann,
da gibt es einen technischen Anbieter und sagt,
hier wir lesen alle deine E-Mails und sagen dir ob da Viren drinn sind
und wenn dann eine verschlüsselte E-Mail durch das System geht,
dann schreiben die vorher oben in den Betreff rein: "Achtung verschlüsselte E-Mail!"
und warnen davor.
Gelächter
Herald: Ok, alles klar, vielen Dank, dass du dir noch die Zeit genommen hast
zum Fragen beantworten.
Danke nochmal an Linus für diesen super geilen Vortrag!
Linus: Danke
Applaus
subtitles created by c3subtitles.de