-
35c3 Vorspannmusik
-
Herald: Jetzt geht's aber los. Herzlich
willkommen zum Talk Hackerethik - Eine
-
Einführung. Gehackt wird viel. Ob aus
Spaß, aus Aktivismus oder aus reiner
-
Neugier. Aber man muss auch immer wieder
mal in sich kehren und überlegen: "okay,
-
wie weit kann ich eigentlich gehen? Was
ist okay und was nicht?" Klar, die AfD ist
-
scheiße. Aber darf man deswegen die
persönlichen Daten aller, die mal
-
irgendeine Webseite von denen irgendwo bei
Facebook geliked haben, veröffentlichen?
-
Ruf aus dem Publikum: Ja!
Gelächter
-
Herald: Da hat schon mal einer eine
Meinung.
-
Es gibt viele Fälle, wo es nicht
immer ganz klar ist, wie wir vorgehen
-
wollen. Es ist nicht wie in Hollywood, wo
wir den White und den Black Hat Hacker
-
haben, den Guten und den Bösen, sondern
wir befinden uns immer wieder in
-
Grauzonen, wo wir überlegen müssen: wie
weit geht es? Und da kann uns die Hacker
-
Ethik helfen. Etwas was es schon lange
gibt. Und da bekommen wir heute eine
-
Einführung von Frank. Frank ist schon seit
vielen Jahren Sprecher des CCC und noch
-
seit viel viel längeren Jahren aktives
Mitglied in unseren Reihen. Und ich freue
-
mich sehr, ihn heute hier zu haben und
auch für mich nochmal eine erneute
-
Einführung die Hacker Ethik zu bekommen.
Also begrüßt ihn mit einem großen,
-
herzlichen Applaus!
Applaus
-
Frank: Ja, vielen Dank. Die Hackerethik.
Die Hackerethik, die der CCC verwendet,
-
ist schon ein bisschen älter. Die ist
ursprünglich mal entworfen worden, bzw.
-
aufgezeichnet worden von Steven Levy,
einem amerikanischen Journalist. Der hat
-
ein Buch über die Hackerkultur am MIT in
den Achtzigern geschrieben. Das hat den
-
schönen Titel "Hackers", es wurde 1984
passenderweise verlegt. Und viele von den
-
Regeln oder Punkten die wir in der CCC
Hackeretik verwenden, gehen darauf zurück.
-
Allerdings nicht alle. Wir haben einige
dieser Regeln oder Anhaltspunkte, die wir
-
ja so ein bisschen hochhalten, als
Orientierung verwenden wollen, adaptiert.
-
Insbesondere Wau Holland hat das damals
getan. Und darüber will ich heute ein
-
bisschen reden. Warum? Warum brauchen wir
so etwas wie eine Hackerethik? Was ist
-
eigentlich der Sinn davon? Kann man nicht
einfach machen, was man will? So einfach
-
Spaß am Gerät haben und nicht länger
drüber nachdenken? Unser Impuls dazu ist,
-
dass Macht Verantwortung schafft. Wenn wir
gucken wer so sich in der Hacker Community
-
bewegt, dann sind es häufig Menschen, die
können mehr. Die wissen mehr als der
-
Durchschnitt, sind häufig energetischer,
auch wenn es manchmal nicht so aussieht.
-
Haben einen Drang zu wissen, zu forschen,
rauszubekommen, eine unbändige Neugier,
-
eine endlose Geduld, mit der es dann
möglich ist, Dinge zu schaffen die von
-
außen aussehen wie Magie. Techno Magier.
Und daraus resultiert aber eben auch die
-
Möglichkeit Dinge zu tun, die nicht so
toll sind, die schlecht sind, die andere
-
Menschen ins Unrecht setzen, sie
missbrauchen, dafür sorgen, dass sie ein
-
schlechteres Leben haben. Und dem
versuchen wir ein bisschen uns etwas
-
entgegenzustellen. Diese Idee dass Macht
Verantwortung schafft, ist in der heutigen
-
Gesellschaft mittlerweile nicht mehr ganz
so populär wieder. Wir haben ja eher
-
gerade eine Tendenz weg von den Werten der
Aufklärung, von Freiheit, Gleichheit,
-
Brüderlichkeit hin zu Trennung, hin zu dem
Versuch, zu spalten und hin zu dem
-
Versuch, irgendwie zu sagen so Hauptsache
ich kann mich selber durchsetzen, ist mir
-
doch egal was die anderen tun. Wir hier -
auf diesem Kongress zeigt sich das immer
-
besonders - denken dass das der falsche
Weg ist, sondern dass eben die Werte der
-
Aufklärung, Faktenbasierte Kommunikation,
denken nicht anhand von Wunschträumen
-
sondern von dem was wirklich ist. Der Weg
vorwärts in eine bessere Zukunft. Was wir
-
dazu brauchen ist natürlich Wissen. Und
eine der ersten Regeln aus der alten
-
Hackerethik ist der Zugang zu Computern
und allem, was einem zeigen kann, wie die
-
Welt funktioniert, sollte unbegrenzt und
vollständig sein. Und hier haben wir genau
-
diesen Punkt diese... diesen Wert der
Aufklärung, dass die Zugänglichkeit von
-
Information, wissen können wie ein System
funktioniert, die Verfügbarkeit von
-
wissenschaftlichen Ergebnissen, von
Dokumentationen. Und dazu gehört auch
-
manchmal seinen Source Code zu
dokumentieren.
-
Lachen
Frank: Ja, ich weiß... Dass das
-
ein Kern unseres Wesens ist. Die
Verfügbarkeit von Informationen war lange
-
Zeit ein Problem. Na, also wir erinnern
uns: 1984. So ich kann mich noch erinnern
-
so Mitte der 80er Jahre. Wenn ich
irgendwie Informationen darüber wollte wie
-
man irgendwie Computer benutzt und
bedient, die jetzt über sagen wir mal
-
irgendwie das Handbuch zu der in der DDR
raubkopierten Software aus dem Westen
-
hinausging, musste ich in ne Bibliothek
fahren. Es gab kein Netz. Es gab
-
Informationen, die waren schwierig zu
beschaffen. Mitte der Achtziger überlegen
-
wir uns kurz. Da war es so, dass
Informationen tatsächlich ein heißes Eisen
-
war, die Zugänglichkeit dazu... davon war
bei Weitem nicht selbstverständlich. Ich
-
kann mich noch genau erinnern, wie ich
nach den illegalen Opcodes im Zilog Z80
-
Mikroprozessor suchte, den die DDR damals
kopiert hatte. Und da musste ich mich
-
durch diverse Bücher wälzen, bis ich die
dann gefunden habe. Und das hat eine Weile
-
gedauert. Heutzutage will man einfach ein
Telefon aus der Hosentasche ziehen und
-
irgendwie kurz in die Suchmaschine seiner
Wahl benutzen und hätte das Ergebnis in 30
-
Sekunden. Und trotzdem ist es so dass wir
diese Frage, den Zugang zu Information,
-
immer noch zum Gegenstand politischen
Aktivismus' machen müssen, weil wir jetzt
-
das Problem haben, dass Information
entweder mit Daten bezahlt wird, wenn wir
-
Suchmaschinen wie Google benutzen, oder
für viel Geld gehandelt wird, wenn wir uns
-
irgendwie diese Wissenschaftsverlage
angucken, die Forschungsergebnisse, die
-
wir mit unseren Steuergeldern bezahlt
haben, versuchen uns teuer wieder zu
-
verkaufen. Das heißt dieser Zugang sowohl
zu den Computern als auch zum Wissen über
-
die Welt ist immer noch ein wichtiges
Thema. Die radikale Formulierung davon
-
ist: "Alle Informationen müssen frei
sein". Und...
-
Applaus
-
Frank: ... Eine Zeitlang, ich weiß nicht,
-
wer sich noch daran erinnert, auf dem
Chaos Communication Congress wenn wir die
-
Netzwerk Statistiken gezeigt haben, dann
hatten wir immer so einen schönen Graph,
-
der zeigte, dass wir mehr ins Netz
hochgeladen haben als aus dem Netz
-
runtergeladen haben. Das waren gute
Kongresse, wo das so war. Es gibt
-
natürlich die Kehrseite dabei: alle
Informationen? Alle, wirklich alle
-
Informationen? Deswegen kam die Regel
dazu, die damals Wau Holland dazu
-
geschrieben hat: "Öffentliche Daten
nützen, private Daten schützen".
-
Privatsphäre ist Handlungsfreiheit. Jeder
von uns hat etwas zu verbergen. Das ist
-
auch gut so, das ist sein gutes Recht.
Niemand ist gezwungen sich zu offenbaren.
-
Und es ist auch falsch so zu tun, als wäre
es normal, als wäre es vollkommen in
-
Ordnung, dass man nur wenn man einen neuen
Messenger installiert, sein gesamtes
-
Telefonbuch hochlädt. Als wäre es total in
Ordnung, Menschen auf Fotos zu taggen, die
-
davon irgendwie nichts wissen und es
eigentlich auch nicht wollen. So zu tun
-
als wäre nur weil man selber noch nicht
verstanden hat, dass seine eigenen Daten
-
möglicherweise einen Wert haben, und zwar
für die eigene persönliche
-
Handlungsfreiheit, für den eigenen
Spielraum im Leben, als könnte man dieses
-
Denken auf andere extrapolieren. Diese...
wir erinnern uns, wir reden hier von 1984.
-
Diese Dualität zu sagen, öffentliche
Daten. Daten, die uns allen nützen.
-
Wissen, was um uns herum passiert. Wissen,
wie die Verkehrsflüsse sind zum Beispiel.
-
Wann es möglich ist, zum Beispiel mit der
Bahn zu fahren. Also einfach so simple
-
Sachen wie Fahrplandaten. Darum schlagen
wir uns immer noch herum. Gibt auch Talks
-
auf dem Kongress darüber. Das heißt
diese... dieses Thema wird irgendwie nicht
-
alt. Der Staat und die großen
Konzerne sitzen auf den Daten, auf den
-
öffentlichen Daten, die uns möglicherweise
ein schöneres Leben eine bessere Zukunft
-
ermöglichen können. Aber unsere privaten
Daten, wo wir wann gewesen sind, mit wem
-
wir kommuniziert haben, was wir gerne
haben, wie wir bezahlen, was wir kaufen,
-
was wir bezahlen, was unsere Suchbegriffe
sind. Diese höchst privaten Daten, die
-
werden von denen privatisiert und
meistbietend vermarktet. Wir hatten dieses
-
Jahr eine Reihe von Skandalen, wo es genau
darum ging, dass insbesondere Facebook
-
aber auch Google und andere Unternehmen in
großem Maße persönliche Daten erhoben und
-
verhökert haben und damit sogar politische
Manipulationen begangen haben. Und das
-
zeigt, dass dieses Feld immer noch aktuell
ist. Und wenn man jetzt so schöpferisch
-
kritisch mit Technologie unterwegs ist,
dann tritt man ziemlich häufig in so einen
-
Konfliktfall genau an diesem Punkt. Gerade
heute schon wieder in meiner Inbox jemand
-
der gestolpert ist über eine Datenbank mit
tausenden Daten von Menschen, die höchst
-
privat sind und jetzt natürlich fragt,
okay, was mache ich denn jetzt? Wie gehe
-
ich denn jetzt damit um? Soll ich die
veröffentlichen? Soll ich versuchen mit
-
dem Betreiber dieses Dienstes zu reden?
Soll ich es ignorieren? Soll ich
-
versuchen, all diesen Menschen eine Mail
zu schreiben und zu sagen: "Hier guck mal,
-
deine Daten liegen übrigens da offen im
Internet rum" und es sind keine einfachen
-
Abwägungen. Also man hat eine große Macht,
man kann an so einer Stelle ne Menge Mist
-
bauen, der das Leben von Menschen stark
negativ beeinträchtigt. Und diese... mit
-
dieser Verantwortung umzugehen, ist nicht
immer einfach. Wir hatten auf vergangenen
-
Kongressen mal eine Telefonnummer, die
Hackerethik Hotline, wo wir gesagt haben:
-
"okay wenn du zufällig im Internet über
Dinge gestolpert bist, wo du dir denkst
-
naja das könnte möglicherweise jetzt ein
bisschen schwierig werden", ruf uns an.
-
Und die Fälle, die wir da bekommen haben
drehten sich eigentlich fast immer darum,
-
dass Daten irgendwie schlecht geschützt
waren, dass auch Daten erhoben wurden, die
-
nicht erhoben hätten werden sollen und man
befindet sich da natürlich in so einer
-
gewissen Zwickmühle. Am Ende ist unser Rat
da immer zu sagen: Tu das, was am
-
wenigsten Schaden macht, aber dafür sorgt
dass dieser Missstand abgestellt wird. Und
-
ist in der Regel natürlich etwas was
irgendwie mit den... darauf hinausläuft,
-
mit dem Betreiber dieser Systeme zu reden.
Was wir auch gerne tun. Also wenn ihr in
-
solch einer Situation seid, kommt zu uns
wir helfen da gerne weiter, weil es ist in
-
der Regel sehr viel einfacher wenn der
Anruf so geht: "Guten Tag. Frank Rieger,
-
Chaos Computer Club. Ich hätte gerne mal
den technischen Geschäftsführer
-
gesprochen." In der Regel werde ich sofort
durchgestellt.
-
Gelächter
Als wenn sie da versuchen irgendwie...
-
"Guten Tag, ich bin John Doe Hacker, ich
hab da ihre Daten." Das geht in der Regel
-
schief. Heise Security macht auch so etwas
ähnliches, die helfen auch in solchen
-
Fällen. Also wir sind da nicht alleine.
Wir versuchen halt irgendwie, da möglichst
-
auch Andere, die irgendwie mit solchen
Fällen qualifiziert umgehen können, zu
-
helfen und voranzubringen. Letzten Endes
geht es darum: haben solche Unternehmen
-
eigentlich ein Unrechtsbewusstsein? Sind
die willens und in der Lage, da zu handeln
-
oder ist es denen eigentlich total egal?
Und was wir da häufiger jetzt haben, ist
-
so eine Art Umarmungsstrategie. "Schön,
dass Sie anrufen. Wir wollen natürlich
-
sofort gerne alles helfen, aber wir
brauchen leider ein halbes Jahr dafür."
-
Solche Probleme stellen sich tatsächlich
heutzutage in der Realität, dass versucht
-
wird, möglichst auf Zeit zu spielen,
möglichst viel Zeit raus zu schinden.
-
Während dieser Zeit liegen die Daten
häufiger dann immer noch ein halbes Jahr
-
im Internet, und sowas ist natürlich
inakzeptabel. Das heißt, das Abstellen von
-
solchen Missständen ist tatsächlich
oberste Priorität. Die Frage, wie wir
-
dafür sorgen können, dass möglichst viele
öffentliche Daten zur Verfügung stehen,
-
also die etwas abgemilderte Form von "Alle
Informationen sollen frei sein". Hat
-
natürlich auch eine Menge mit zivilem
Ungehorsam zu tun. Ein schönes Beispiel,
-
was wir dieser Tage hatten, war die
Öffentlichmachung alle Gesetzblätter im
-
Internet. Man denkt sich so Deutschland,
Gesetze, na ja klar sind die im Internet.
-
Stellt sich raus: die sind bisher...
gehören die dem Bundesanzeiger Verlag,
-
einer privaten Organisation, die
profitabel betrieben wird von einem
-
Verlag. Und nachdem dann eine Initiative
die Daten halt einfach mal ins Netz getan
-
hat und gesagt hat "Entschuldigung wir
sind hier Deutsche, wir müssen doch wohl
-
unsere Gesetze haben können, ohne dass wir
irgendwie dafür Geld bezahlen, hallo?",
-
ging es dann plötzlich ganz schnell und
die Justizministerin hat verkündet, dass
-
die Daten, also diese Gesetze und
Verordnungen demnächst kostenfrei digital
-
zur Verfügung stehen. Also da sieht man
tatsächlich: es funktioniert.
-
Applaus
Und diese Aussicht darauf, dass die eigene
-
Aktivität was zum Besseren verändert, dass
das eigene Handeln nicht bedeutungslos
-
ist, dass das, was wir tun mit dem was wir
können und wissen einen Unterschied macht.
-
Darum geht es in der Hackerethik. Es ist
nicht egal, was ihr tut, es ist nicht so
-
dass da draußen in der Welt sich nichts
verändert, wenn man nicht an der richtigen
-
Stelle das richtige tut. Ein ganz
wichtiger Punkt, den wir seit Anbeginn des
-
Chaos Computer Clubs haben, ist: Wir
wollen Hacker und Hackerinnen nicht danach
-
beurteilen, wie sie aussehen oder wo sie
herkommen oder aus welcher sozialen
-
Schicht sie kommen oder wie viel Geld sie
haben oder was auch immer. Eigentlich
-
interessiert nur, was sie können und was
sie wissen, was sie für Energie haben, was
-
ihr Ziel ist. Und man muss sich immer mal
wieder vergegenwärtigen dass das ein
-
ziemlich radikaler Anspruch ist. Zu sagen,
wir sind eine Meritokratie. Wir möchten
-
eigentlich nicht aus irgendeiner anderen
Grundlage über Menschen urteilen als
-
darüber, was sie tun. Dieser Ansatz ist
natürlich umstritten. Einerseits von den
-
Konservativen, die sagen "So aber hoher
Status muss doch irgendwie sein Privileg
-
haben." Andererseits von Leuten die sagen
"Ja ne, Menschen können doch gar nicht so
-
verschieden sein." Man muss sich wieder
vergegenwärtigen 1984 ist eine Zeit, in
-
der die Nerds in der Regel in den Klassen
noch im Papierkorb steckten. An denen
-
Leute die irgendwie besser waren in Mathe
nicht so richtig die populären Kids in der
-
Schule waren. Als jemand der sich für
Computer interessierte und Netze und all
-
diese Dinge, war man jetzt nicht so
unbedingt so der Held in der Klasse. Und
-
der Chaos Computer Club war schon immer
eine Heimat für solche Menschen. Die
-
meisten von uns sind dahin gekommen genau
weil wir da zum ersten Mal Leute getroffen
-
haben, die dieselben Interessen hatten,
die genauso weird und verrückt und schräg
-
waren, wie wir selber. Und das
vorherrschende Gefühl, wenn man auf so
-
einen Kongress kommt so... ankommt und
denkt so: "Endlich zu Hause. Endlich unter
-
den Menschen die wissen, dass das was mich
interessiert auch wichtig ist." Und die
-
genauso daran interessiert sind, was ich
tue, wie interessiert daran bin, was sie
-
tun. Und diese... diesen Grundsatz, diese
Gleichheit in unserem Tun und unseren
-
Interessen ist es, was den Kern des Clubs
ausmacht. Wo wir nicht von abweichen
-
werden. "Misstraue Autoritäten - fördere
Dezentralisierung". Der Chaos Computer
-
Club ist schon immer eine Organisation
gewesen, wo die Zentrale "Dezentrale"
-
hieß, aus dem einfachen Grund weil wir
gesagt haben, okay wir wollen eigentlich
-
nicht so viel Zentralisierung haben. Klar
gibt es Erfakreise, die ein bisschen
-
wichtiger sind, die ein bisschen aktiver
sind, wo mehr Menschen sind so. Aber es
-
gibt jetzt nicht das Hauptquartier oder
so. Und wenn man sich diesen Congress
-
anguckt und wie dieser Congress
organisiert ist, gibt es eine große Menge
-
von Teams, von Freiwilligen, die hier ihre
Zeit und ihre Energie reinstecken und die
-
sich eine Aufgabe suchen. Die sich ein
Ziel setzen und sagen, so "Wir wollen
-
dafür sorgen, dass dieser Teilbereich
bestmöglich erledigt wird. Da stecken wir
-
unsere Kreativität, unsere Energie, unser
Tun rein." Und genauso funktioniert der
-
Chaos Computer Club auch insgesamt. Das
heißt, es gibt da nicht irgendwie ein
-
Organigramm oder irgendwie den großen
Verein der irgendwie schön strukturiert
-
ist wie eine Pyramide, sondern das ist
halt eher so ein Gewusel. Wir versuchen zu
-
sagen, so, denk für dich selber, werd
selber aktiv, versuch selber das zu tun
-
was nötig ist ohne darauf zu warten, dass
dir irgendjemand sagt, wo vorne ist. Die
-
Strukturen, die wir haben sind ein
bisschen schwierig zu verstehen wenn man
-
aus so einer... Da gibt's ja so ein Verein
und so ein Verein hat so einen Vorstand
-
und der Vorstand hat so einen Vorsitzenden
und der Vorsitzende sagt wo's lang geht -
-
Denke kommt, ist man am Computer Club ein
bisschen falsch. Ist nicht das was wir
-
tun. Der Chaos Computer Club funktioniert
so, dass wir sagen: Es gibt Gruppen, die
-
machen Dinge. Und da wird dann schon
irgendwie zusammen wuseln. Wir haben Chaos
-
auch im Namen stehen, nicht ohne Grund.
Wir haben ja festgestellt über die Zeit
-
funktioniert mal gut mal weniger gut. Hat
natürlich auch Nachteile. Wir sind nicht
-
besonders gut daran, zum Beispiel sehr
lange an irgendeinem Thema dranzubleiben.
-
Es sei denn jemand interessiert sich
dafür. Immer wenn ihr denkt so der Chaos
-
Computer Club müsste doch jetzt zu diesem
Thema unbedingt mal was sagen und er tut
-
es nicht, dann kann es entweder zwei
Gründe haben: Entweder es gibt da keine
-
irgendwie geartete Konsensfindung zu. Wir
sind uns darüber nicht einig. Ein Beispiel
-
dazu war zum Beispiel Google Streetview.
Oder es interessiert einfach niemanden.
-
Das kann auch passieren. Die
Möglichkeiten, die wir dadurch haben oder
-
nicht haben, ergänzen sich mit anderen
NGOs natürlich ganz gut, die halt ein
-
bisschen mehr Kontinuität da reinbringen,
aber wir denken, dass genau diese
-
Unabhängigkeit zu sagen "Es gibt eben
keine Zentrale die sagt: Jetzt machen wir
-
aber das", sondern Themen werden beackert
oder angegangen, wenn Leute Bock drauf
-
haben. Wenn sie das Gefühl haben ist es
notwendig, wenn es ihnen Spaß macht. Dass
-
es uns einfach die Möglichkeit gibt,
solche Dinge wie diesen Wahnsinns Kongress
-
hier zu stemmen. Überlegen wir mal kurz,
17 000 Leute und das Ganze wird von
-
Freiwilligen gemanaged?
Applaus
-
F: Autoritäten führen in der Regel dazu,
dass sich Dinge verfestigen, dass es keine
-
Bewegung gibt, dass Neues es schwieriger
hat. Deswegen versuchen wir das irgendwie
-
zu vermeiden, wenn es geht. Ja der Teil,
den Carina vorhin so schön mit irgendwie
-
Black Hat, White Hat, Grauhut oder wie
auch immer beschrieb, den hat Wau damals
-
als "Mülle nicht in den Daten anderer
Leute" beschrieben.
-
Ruf aus dem Publikum: Falsch, der ist von
mir!
-
Frank: Entschuldigung
Rufer: Der ist von Mir!
-
Frank: OK Tschuldigung, war ich falsch
informiert.
-
Gelächter
Applaus
-
Frank: Ihr seht, der Vorteil von
Dezentralität und Misstrauen von
-
Autoritäten ist, dass manchmal die
Autoritäten im Saal sitzen und einem
-
korrigieren, finde ich gut. Ja, "Mülle
nicht in den Daten anderer Leute". Die
-
Frage was passiert wenn man so ein System
gehackt hat und man steht jetzt vor so
-
einer Datenbank. Oder man hat jetzt
plötzlich die Macht, Dinge zu tun die man
-
vorher nicht tun konnte, ist natürlich so
alt wie dieser Club. So alt wie die
-
Fähigkeit, in anderer Leute Systeme
einzudringen und sie zu manipulieren.
-
Hacking definieren wir als den
schöpferisch kritischen Umgang mit
-
Technologie. Wir definieren uns nicht als
das Einbrechen in anderer Leute Systeme,
-
um damit Schindluder zu treiben, wie es im
Rest der Welt so gerne definiert wird. Und
-
die Frage "Wie geht man in so einem Fall
vor?" ist natürlich nicht ohne weiteres
-
und nicht ohne... nicht ganz so einfach zu
beantworten. Wir versuchen... in der
-
Regel, wenn wir mit solchen Fällen
konfrontiert sind, nicht zu sagen "okay,
-
und dann machst du das oder das oder das
oder das" sondern wir versuchen Fragen zu
-
stellen. Die wichtigste Frage ist: Und was
passiert dann? Wie geht es denn weiter
-
danach? Wenn du was auch immer du gerade
vorhast getan hast. Überraschenderweise
-
stellen sich die meisten Leute diese Frage
nicht. Man denkt erst einmal nur bis zu
-
dem "Und dann veröffentliche ich die Daten
und schreib' eine Pressemitteilung dazu
-
und dann wird schon alles gut werden." In
der Regel ist das nicht der Fall. Die
-
Erfahrung zeigt, meistens geht das Leben
danach weiter und es wird dann halt
-
schwieriger. Das heißt die Frage "Was
passiert dann?" ist die, die man sich in
-
solchen Fällen immer mehrfach
hintereinander stellen sollte. Wir haben
-
diese Verantwortung, die damit kommt dass
man zum Beispiel andere Leute in das Thema
-
einbringen kann, oder dass man Systeme
manipulieren kann, mittlerweile in
-
Skalierungsfaktoren, die wir früher für
quasi unmöglich gehalten hatten. Auf dem
-
letzten Kongress kam jemand zu mir. Die
hatten einen Botnet gebaut, eigentlich
-
mehr so aus Versehen. Die hatten... ja
tatsächlich! Es lief halt so, die hatten
-
halt einen Fehler in einem beliebten IoT-
Gerät gefunden und haben dann halt einen
-
Bot dafür gebaut, der sich halt so ein
bisschen verbreitete. Und dann dachten
-
sie, ach naja, es wäre doch eigentlich
ganz schön, wenn der auch noch gucken
-
könnte, ob andere Geräte in demselben
Netzwerk auch dieselbe Schwachstelle haben
-
und sich dann da auch installiert. Und der
Bot hat nichts weiter getan, der hat halt
-
nur sich installiert, also hat kein DDoS
gemacht oder irgendwas. So einfach nur...
-
hat sich einfach nur propagiert. Und nach
Hause telefoniert und gesagt "Hier bin
-
ich". Und... naja dann saßen die halt so
auf einer niedrigen sechsstelligen Anzahl
-
von IoT-Geräten und dachten sich so: "Hm,
und nu? Was machen wir denn jetzt?" Und
-
oft genug gibts dann halt so
Komplikationen. Man wird jetzt sagen so In
-
einer idealen Welt, Hollywood-Szenario,
würde man sagen "Na ja, dann benutzt du
-
diesen Bot halt, um irgendwie diese Lücke
zu schließen und sich danach selber zu
-
löschen und wenn du damit fertig bist dann
sagen wir dem Hersteller Bescheid." Stellt
-
sich raus: dat geht nicht schadensfrei.
Also ein Teil der Fälle wäre es dazu -
-
bei bestimmten Firmware-Versionen oder
Hardware-Versionen - wäre es dazu
-
gekommen, dass es da halt dann zu einem
Geräteverlust gekommen wäre. Was jetzt
-
nicht so unbedingt das Tollste ist. Auf
der anderen Seite kann man jetzt sagen:
-
"Aaja, wäre jetzt andererseits auch denkbar,
dass irgendjemand anders dieselbe Lücke
-
findet und da halt ein DDoS Netzwerk
daraus baut. Was machen wir jetzt?" Am
-
Ende hat sich die Sache relativ einfach
geklärt, weil die Lücke dem Hersteller
-
offensichtlich auch irgendwie aufgefallen
ist, und der dann halt mit der nächsten
-
Firmware-Version von sich aus einen Patch
nachgeschoben hat. Deswegen ist die Sache
-
nicht öffentlich geworden und es gibt
immer noch ein paar Tausend Geräte da
-
draußen, die angreifbar sind, aber nicht
mehr in der Dimension. Aber es war
-
ganz interessant genau dieses Mal zu
durchdenken, weil in der Regel haben wir
-
jetzt wirklich das Problem, wenn wir eine
Sicherheitslücke haben, dass wir nicht
-
mehr davon reden, dass man mal einen
Server aufmacht. Wir können mittlerweile
-
mit den Bandbreiten, die wir haben das
vollständige Internet enumerieren. Wir
-
können alle Server im Internet finden, die
eine bestimmte Lücke haben. Es gibt
-
genügend Suchmaschinen, mit denen man,
wenn man die Muster nach denen man fragt
-
für eine Sicherheitslücke entsprechend gut
aufbaut, wirklich fast alle Maschinen im
-
Internet findet, oder alle IoT-Geräte
findet, die diese Lücke aufweisen. Das
-
heißt, auf einer Sicherheitslücke zu
sitzen, die plötzlich Zehntausende,
-
Hunderttausende oder gar Millionen Geräte
betrifft, ist nicht unwahrscheinlich. Es
-
ist nicht so, dass einem das nicht
passieren kann. Manchmal guckt man auch
-
lieber gar nicht nach, gibt es auch. Also
ich kenne Leute, die sagen: "Okay ich habe
-
hier eine Lücke gefunden, ich geb die mal
lieber nicht in so eine Suchmaschine ein,
-
weil ich will es eigentlich gar nicht
wissen." Kann man machen, ist aber
-
eigentlich verantwortungslos, weil man
dann nicht dafür sorgt, dass das Problem
-
aus der Welt geht. Wir reden jetzt bisher
immer davon, Systeme aufzumachen und
-
Sicherheitslücken zu finden. Viele von uns
sind aber auch damit beschäftigt, Systeme
-
zu bauen. Also dafür zu sorgen, dass
wir... unsere Computer funktionieren, dass
-
Datenbanken funktionieren und so weiter
und so fort. Neben der offensichtlichen
-
Verantwortung, dafür zu sorgen dass die
Systeme halbwegs sicher sind, soweit es
-
halt eben die Technologie erlaubt, gibt es
auch eine andere Verantwortung. Und das
-
ist die Verantwortung dafür, was die
Systeme tun. Und wir haben genau dieses
-
Skalierungsproblem auch auf der anderen
Seite. Wenn wir heute ein System bauen,
-
nehmen wir mal, ganz harmlos, ein
Datingportal, dann fallen in diesem
-
Datingportal tonnenweise Daten an, höchst
sensible Daten. Will man es? Will man,
-
dass diese Daten so gespeichert sind, dass
sie irgendwann mal jemand, der über eine
-
Sicherheitslücke stolpert, zum Opfer
fallen und der die möglicherweise
-
kriminell verwendet oder für Erpressung
verwendet? Will man Systeme bauen, die ein
-
hohes Schadenspotenzial haben? Oder will
man seine Energie vielleicht lieber darauf
-
verwenden, Systeme zu bauen, die das
Leben besser machen, in dem z. B. Daten
-
ordnungsgemäß verschlüsselt sind, in dem
die Daten vielleicht gar nicht erst
-
erhoben werden, in dem dafür gesorgt wird,
dass die Menschen, die diese Systeme
-
verwenden, nicht im Unklaren darüber
gelassen werden, was mit ihren Daten
-
eigentlich passiert. Und immer wenn ich so
gucke - es gibt so jedes Jahr so eine
-
Landkarte der Firmen, die in der
Werbeindustrie tätig sind. Das sind
-
Tausende. Firmen, die nichts weiter tun
als dafür sorgen, dass wenn man auf eine
-
Webseite geht, die Daten aus den Cookies
und aus sonstigen Identifikationsmerkmalen
-
möglichst schnell weitergeleitet werden
und Leute darauf bieten können, welche
-
Werbung sie einem jetzt irgendwie
reinspielen. Und ich denke mir immer so:
-
da müssen Leute sitzen, die programmieren
den Scheiß. Da müssen Leute sitzen, die
-
ihren Tag damit verbringen, dafür zu
sorgen, dass die Bilder von dramatisch
-
ausgeleuchteten Zahnpastatuben schneller
bei mir im Browser landen und die wissen,
-
dass ich lieber Pfefferminz Zahnpasta mag,
als welche mit Himbeergeschmack. Ist das
-
ein Lebenszweck? Fühlt man sich
dabei irgendwie gut?
-
Arbeitet hier jemand in so einer Branche?
Gelächter
-
Nein. Kennt jemand jemanden,
der in so einer Branche arbeitet?
-
Gelächter
-
Geht's denen gut irgendwie? Und ich denke,
dass wir... dass Hackerethik auch bedeutet,
-
sich zu überlegen, was man mit seiner
Lebenszeit anfängt. Wofür man seine Zeit
-
verwendet, was die Dinge sind, die man
hinterlässt oder die Bewegung, die man in
-
Gang setzt, die Trends die man schafft.
Und ich glaube, da sollte man ein bisschen
-
länger drüber nachdenken. Ich verurteile
niemanden, der in so einer Branche
-
arbeitet. Wir müssen alle irgendwie unsere
Miete bezahlen, aber möglicherweise kann
-
man seine Talente auch anders verwenden,
da wo sie tatsächlich einen positiven
-
Unterschied machen. Viele von uns tun das
hier. Ich kenne auch etliche, die sagen:
-
"Okay, ich arbeite in so einer eher etwas
schattigen Branche, wo es nicht so schön
-
ist, aber dafür habe ich irgendwie mehr
Freizeit, die ich halt in gute Dinge tun
-
kann." Ist auch ein Tradeoff, der aus
meiner Sicht jetzt nicht völlig falsch
-
ist, aber darüber nachzudenken, das eigene
Handeln zu reflektieren, infrage zu
-
stellen, zu gucken, ob das was man da
gerade macht, noch das ist, was man
-
eigentlich tun sollte und wollte, ob die
Ideale mit denen man mal angefangen hat
-
noch irgendwas damit zu tun haben, ist auf
jeden Fall gelegentlich ein ganz guter...
-
ganz gute Übung.
Applaus
-
Wenn man, egal ob man in Systeme eindringt
oder über Sicherheitslücken stolpert oder
-
Systeme baut... eine gute Frage ist:
"Heiligt hier eigentlich gerade der Zweck
-
die Mittel?" Oder konkreter: "Was wäre,
wenn das, was du da gerade tust, dir jemand
-
zufügen würde, wenn du davon betroffen
wärst, wär's dann immer noch okay?
-
Würdest du denken, okay, unter den und den
Voraussetzungen ist es eine legitime
-
Handlung, ist es ein Vorgehen, was du
irgendwie gutheißen würdest, auch wenn du
-
selber betroffen wärst?" Und kann man
natürlich irgendwie sich schönreden oder
-
so. Aber einer dieser Fälle ist halt: was
passiert eigentlich, wenn man Technologie
-
verwendet gegen echte oder
wahrgenommene politische Gegner und
-
sie damit quasi legitimiert. Was passiert
denn, wenn das selbe mit deinen Freunden
-
passiert? Bist du dann immer noch der
Meinung, dass das eine coole Sache war?
-
Die Antwort darauf kann "ja" sein. Also es
kann sein, dass man sagt: "Okay, es ist
-
vollkommen in Ordnung" oder man kann
sagen: "Naja vielleicht hätte man dann
-
doch nochmal einen Moment länger
drüber nachdenken sollen."
-
Eine Variante davon ist: "Schießen wir
gerade mit Kanonen auf Spatzen?"
-
Wir haben häufiger mal so Fälle,
wo Menschen kommen und sagen so:
-
"Hier, ich hab hier diesen Online-Shop
aufgemacht und da war das PHP ein
-
bisschen älter und hab da irgendwie
2600 Leute gefunden, die Lebkuchen gekauft
-
haben. Na ja gut okay man muss halt etwas
damit tun. Wenn das nun der erste Online-
-
Shop ist den, der oder diejenige gerade
aufgemacht hat, dann ist natürlich der
-
Puls noch ein bisschen höher und irgendwie
die Aufregung groß. Aber gut, dann muss
-
man halt sagen okay, ja dann reden wir
halt mit dem Anbieter, helfen ihm sein PHP
-
upzudaten, sorgen dafür, dass die Daten
nicht ins Netz gehen und kriegen
-
vielleicht noch eine Packung Lebkuchen
geschenkt, wenn alles gut gegangen ist. Da
-
müssen wir jetzt kein großes Fass draus
machen. Also wir müssen jetzt nicht
-
irgendwie da eine Pressemitteilung draus
machen, dass irgendwie... keine Ahnung...
-
lebkuchen24.now (fiktive adresse) seine
Daten im Netz hatte. Also wir machen nicht
-
aus allem was uns was zu uns kommt
irgendwie tatsächlich eine
-
Pressemitteilung, sondern nur dann wenn es
darum geht, dass entweder wirklich mit
-
sehr sensitiven Daten hochgradig schlampig
umgegangen wird und auch sagen wir mal
-
die Betreiber von solchen Systemen dann
auch so eine gewisse Beratungsresistenz
-
zeigen, dann kann es halt schon passieren,
dass es dann auch eine Pressemitteilung
-
wird. Aber in der Regel versuchen wir,
möglichst die Sachen zu erledigen, ohne
-
dass da jemand zu Schaden kommt
und niemand dabei heult.
-
Einer der schönsten Teile
der Hackerethik ist:
-
man kann mit einem Computer Kunst und
Schönheit schaffen. Und für uns ist es
-
vielleicht mittlerweile
selbstverständlich, weil die meiste Kunst
-
die wir kennen kommt aus dem Computer,
wenn man zum Beispiel Filme anguckt.
-
Schönheit kann man vielleicht drüber
reden, aber wenn wir runtergehen in die
-
Assemblies und das Hackcenter und gucken,
was die Leute so machen mit ihren
-
Computern und wie schön es ist und wie
viel Ästhetik und wie viel Charme da drin
-
steckt, ist eigentlich vollkommen klar,
dass es selbstverständlich geworden ist.
-
Und das Interessante daran ist: damals war
das nicht so. Damals waren Computer diese
-
Dinger die halt irgendwie an Text
Terminals hingen und wenn man sie echt
-
gequält hat und wirklich viel Zeit hatte
und vielleicht sogar schon eine
-
Grafikkarte hatte, konnte man vielleicht
mal so etwas wie irgendwie eine Mandelbrot
-
Grafik rendern, die sehr schön war,
dauerte halt nur sehr lange. Und wenn man
-
Glück hatte, konnte man sie auf seinem
neuen Nadeldrucker auch noch ausdrucken
-
und an die Wand hängen. Ja, das ist so
'84, wir müssen davon zurückgehen.
-
Trotzdem, es ist tatsächlich eines der
Dinge, die mich immer wieder angenehm
-
berührt, dass Menschen immer noch daran
denken, dass man mit Computern auch
-
wirklich Kunst und Schönheit schaffen
kann. Der letzte Punkt ist einer der
-
kontroversesten. Wenn man aus der IT-
Security kommt. Da stellt sich dann so
-
Montagmorgen beim News lesen häufiger
schon mal so dieses: "Will ich nicht
-
vielleicht doch lieber irgendwas mit Holz
oder Metall machen oder Schafe züchten
-
oder Orchideen oder Rosen oder so?" Und
man kann ja schon so ein bisschen zynisch
-
werden. Gerade so IT-Security ist ja so
ein Feld, wo man so dem... immer das Gefühl
-
hat wird halt nicht besser außer man
kümmert sich selber drum. Aber wir sollten
-
nicht so zynisch sein. Tatsächlich ist es
so, dass Computer für viele Menschen das
-
Leben wirklich sehr viel besser gemacht
haben. Ich habe mit vielen Menschen
-
kommuniziert auf dem Congress hier und im
Vorfeld und mir einfach erzählen lassen,
-
wie Computer ihr Leben besser gemacht
haben. Und da sind Menschen dabei, die
-
können nicht sehen, die hören schlecht,
die haben Orientierungsprobleme, die sind
-
schon ein bisschen älter. Und für diese
Menschen sind computergestützte Systeme
-
um ihren Alltag besser zu bewältigen
essenziell und lebenswichtig. Die haben
-
ihr Leben wirklich besser gemacht. Die
meisten von uns wüssten gar nicht mehr,
-
wie sie ihr Leben ohne Computer wirklich
bewältigen sollten. Wir wissen nicht mehr
-
so richtig wie es geht ohne Computer uns
Informationen zu beschaffen. Ich weiß
-
nicht: Wer war irgendwie in den letzten
vier Wochen in einer Bibliothek? Wer kennt
-
jemand, der in der Bibliothek war? Okay,
immerhin ein paar. Wir sind nach der
-
Zombie-Apokalypse nicht vollständig
verloren. Merkt euch die Hände.
-
Gelächter
Ja, aber die Realität ist nicht nur
-
Informationsbeschaffung, sondern auch
Kommunikation, alle Dinge, bei denen wir
-
uns orientieren, sowas wie digitale
Landkarten, sowas wie die Wikipedia in der
-
Hosentasche. Sowas wie digitale Bücher,
die es möglich machen in Urlaub zu fahren
-
ohne dass man einen zweiten Rucksack
braucht. Diese Dinge haben wir alle mit
-
Computern gebaut und dafür zu sorgen, dass
es so bleibt, dass wir die positiven
-
Aspekte davon weiter haben und weiter
ausbauen können. Die negativen Aspekte,
-
all die ganzen Probleme, die wir gerade
haben mit irgendwie schon schwindenden
-
Aufmerksamkeitsspannen. Mit dem Hass in
den sozialen Medien, mit der Spaltung der
-
Gesellschaft in Segmente, die nicht mehr
miteinander reden können, weil sie nicht
-
einmal dieselbe Faktenbasis haben, sollten
uns nicht davon ablenken, dass wir eine
-
Menge sehr positive Sachen haben und wir
vielleicht bestimmte Sachen einfach
-
abschalten sollten. Ich meine, niemand
stirbt, wenn Facebook morgen abgeschaltet
-
wird.
Applaus
-
Aber wir sollten nicht den Fehler begehen,
zu sagen: "Ach diese Computer, sind doch
-
alle doof!" Wie gesagt, wenn man ein IT-
Security arbeitet: so ein Hobby mit Holz
-
ist eine gute Sache. Kann ich sehr
empfehlen. Auch Löten ist ganz gut. Aber
-
im Prinzip hat dieser Satz immer noch
seine Gültigkeit. In diesem Sinne vielen
-
Dank für's Zuhören und viel Spaß am Gerät.
Applaus
-
35c3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!
