< Return to Video

Bullshit made in Germany

  • 0:09 - 0:12
    Herald: Okay also ihr seid alles die Glücklichen,
  • 0:12 - 0:13
    die es in den Talk von Linus geschafft haben.
  • 0:13 - 0:15
    Der Talk heißt "Bullshit made in Germany -
  • 0:15 - 0:18
    so hosten Sie Ihre DE-Mail, E-Mail und Cloud direkt beim BND"
  • 0:18 - 0:21
    Geht eine Stunde von 20:30 bis 21:30.
  • 0:21 - 0:33
    For everyone who is not a German native speaker, there is a translation you just call your DECT, you call 8014 and then you get a translation of the talk.
  • 0:33 - 0:39
    Es gibt außerdem Untertitel. Die findet ihr auf Twitter @c3subtitles.
  • 0:39 - 0:44
    There are also subtitles you find them on twitter @c3subtitles.
  • 0:44 - 0:50
    Viele von euch hören vielleicht regelmäßig den Podcast "Logbuch Netzpolitik"
  • 0:50 - 0:52
    mit Linus und Tim Pritlove.
  • 0:52 - 0:55
    Und wer das tut hat Linus häufiger ranten hören,
  • 0:55 - 0:58
    über das Thema DE-Mail und die anderen Sachen, um die es hier heute geht.
  • 0:58 - 1:01
    Linus ist ja auch Experte auf dem Gebiet, macht das auch beruflich.
  • 1:01 - 1:05
    War auch im Bundestag, bei verschiedenen Anhörungen,
  • 1:05 - 1:07
    in Ausschüssen, im Innenausschuss und im Rechtsausschuss.
  • 1:07 - 1:09
    Und davon erzählt er euch gleich mehr
  • 1:09 - 1:10
    und darauf freue ich mich sehr. Viel Applaus für Linus.
  • 1:10 - 1:20
    Applaus
  • 1:23 - 1:28
    Lachen und Applaus
  • 1:34 - 1:35
    Linus Neumann: Vielen Dank, dass ihr gekommen seid.
  • 1:35 - 1:37
    Hört man mich? - Ja. - Okay, wunderbar.
  • 1:37 - 1:40
    Eigentlich ist über den Vortrag alles gesagt worden.
  • 1:40 - 1:42
    Wir können den eigentlich auch ausfallen lassen.
  • 1:42 - 1:45
    Aber ich denke, ich mache es trotzdem mal.
  • 1:45 - 1:50
    Ich will mich ein bisschen mit bundesdeutscher Sicherheitstechnik
  • 1:50 - 1:55
    vor und nach Snowden auseinandersetzen.
  • 1:55 - 2:00
    Meine These ist, dass dieses vor und danach eigentlich keine Rolle spielt.
  • 2:00 - 2:05
    Wie ich dann mal an vier Beispielen versuchen möchte zu verdeutlichen.
  • 2:05 - 2:07
    Das erste ist natürlich DE-Mail.
  • 2:07 - 2:09
    Das zweite ist E-Mail made in Germany.
  • 2:09 - 2:12
    Das Schlandnet darf natürlich nicht fehlen.
  • 2:12 - 2:18
    Und zuletzt erlaube ich mir noch ein paar Kommentare zur Deutschlandcloud.
  • 2:18 - 2:25
    Die De-Mail Sachen gingen eigentlich los zu einer Zeit weit vor Snowden.
  • 2:25 - 2:29
    Ich habe da schon 2011 Artikel dazu geschrieben.
  • 2:29 - 2:34
    Damals war auch Harald Welte dann einmal in einem Ausschuss des Bundestages
  • 2:34 - 2:37
    und hat ein Gutachten für den CCC abgeliefert.
  • 2:37 - 2:40
    Man hatte den Eindruck, dass das ganze Thema durch ist.
  • 2:40 - 2:43
    Doch plötzlich kochte es dann wieder hoch.
  • 2:43 - 2:46
    Wie es dazu kam, möchte ich dann jetzt gleich erklären.
  • 2:46 - 2:51
    Wir erinnern uns, De-Mail hat als Ziel für ein sicheren, vertraulichen
  • 2:51 - 2:56
    und nachweisbaren Geschäftsverkehr für jedermann im Internet zu sorgen.
  • 2:56 - 2:58
    Dafür haben wir uns ein eigenes Gesetz geschrieben,
  • 2:58 - 3:02
    in dem dann irgendwie De-Mail Dienste festgeschrieben wurden.
  • 3:02 - 3:05
    Wenn man darüber nachdenkt, eigentlich leuchtet das ein.
  • 3:05 - 3:13
    Es ist klar, dass man nicht per E-Mail ernsthaft gerichtsfest und nachweislichen
  • 3:13 - 3:19
    äh nachweisbaren Geschäftsverkehr ausführen kann.
  • 3:19 - 3:25
    Es gibt viele Leute, die seit langer Zeit an dem Konzept E-Mail Kritik üben.
  • 3:25 - 3:31
    Die sich wünschen, dass man irgendwann etwas besseres dafür entwickeln würde.
  • 3:31 - 3:36
    Es gibt Leute, die haben das in die Hand genommen und PGP gebastelt.
  • 3:36 - 3:39
    Und die Bundesregierung hat dann auch was gemacht.
  • 3:39 - 3:45
    Man dachte, vielleicht unterziehen sie jetzt SMTP und IMAP einer Pflege,
  • 3:45 - 3:49
    dass das ein tolles neues Ding wird, was funktioniert.
  • 3:49 - 3:56
    Und alles ging los 2009, als sie sagten, ja wir machen einen akkreditierten Dienstanbieter
  • 3:56 - 3:59
    die müssen dem Nutzer ein sicheres elektronisches Postfach
  • 3:59 - 4:03
    für einen sicheren Versanddienst für elektronische Nachrichten anbieten.
  • 4:03 - 4:05
    Wunderbar, dann haben wir das Problem ja geklärt.
  • 4:05 - 4:09
    2011 kam dann das De-Mail Gesetz, in dem gesagt wurde,
  • 4:09 - 4:15
    das ist das jetzt. Also De-Mail ist jetzt das Sichere.
  • 4:17 - 4:25
    Und dann... ich dachte da kommt eine andere Folie, Entschuldigung.
  • 4:25 - 4:28
    Und was haben sie gemacht?
  • 4:28 - 4:31
    Sie sind ein paar Probleme von E-Mail angegangen.
  • 4:31 - 4:31
    Mit ihrem De-Mail.
  • 4:31 - 4:34
    Das muss man ihnen zugestehen.
  • 4:34 - 4:37
    Da haben sie sich gedacht, jeder kann "hasi69@yahoo.com" registrieren,
  • 4:37 - 4:40
    das heißt noch lange nicht, dass wir es wirklich mit dem hasi zu tun haben.
  • 4:40 - 4:42
    Wenn wir die E-Mail bekommen.
  • 4:42 - 4:44
    Und das müssen wir sicherstellen.
  • 4:44 - 4:46
    Natürlich können wir jetzt Signaturen einfügen.
  • 4:46 - 4:52
    Außerdem haben wir das Problem bei nachweisbarem Verkehr,
  • 4:52 - 4:54
    schriftlichem Verkehr, Lachen
  • 4:54 - 5:00
    dass der ... das ist blöd, da darf man nicht drüber lachen.
  • 5:00 - 5:05
    Wenn ich einen Brief kriege, und der gefällt mir nicht,
  • 5:05 - 5:08
    dann kann ich den einfach weglegen und sagen,
  • 5:08 - 5:09
    den habe ich nie bekommen.
  • 5:09 - 5:14
    Erst wenn ich ein Einschreiben bekomme, bin ich daran festgenagelt.
  • 5:14 - 5:17
    Guter Tipp kann man immer mal zur Anwendung bringen.
  • 5:17 - 5:21
    Und diese beiden Probleme, haben sie gedacht, die lösen wir bei De-Mail so,
  • 5:21 - 5:26
    wer eine De-Mail Adresse registriert, der muss seinen Ausweis zeigen.
  • 5:26 - 5:32
    Wunderbar. Außerdem verpflichten wir den Nutzer diese De-Mails abzuholen.
  • 5:32 - 5:36
    Und bieten einen kostenpflichtigen Dienst für den Absender an.
  • 5:36 - 5:38
    Eine Empfangsbestätigung zu bekommen.
  • 5:38 - 5:41
    Zahlst du ein bisschen was drauf, dann hast du ein Einschreiben.
  • 5:41 - 5:46
    Und derjenige, der die De-Mail bekommen hat oder auch nicht bekommen hat,
  • 5:46 - 5:48
    ist dann verbriefter Empfänger.
  • 5:48 - 5:50
    Das war mein erster Grund zu sagen,
  • 5:50 - 5:54
    okay dann so eine Adresse möchte ich eigentlich nicht haben.
  • 5:54 - 5:57
    E-Mail hat ein weiteres kleines Problem, man kann kein Geld damit verdienen.
  • 5:57 - 6:01
    Auch dafür haben wir eine intelligente Lösung gefunden.
  • 6:01 - 6:03
    39 Cent kostet eine De-Mail.
  • 6:03 - 6:06
    Lachen
  • 6:06 - 6:10
    Es gibt Profiaccounts bei denen man auf Preise von 32 Cent runterkommt.
  • 6:10 - 6:13
    Gelächter
  • 6:13 - 6:19
    Und 10 Gratis De-Mails.
  • 6:20 - 6:24
    Was natürlich aus Sicherheitsperspektive kritisiert werden kann,
  • 6:24 - 6:28
    ist dass es ein verteiltes System mit vielen konkurierenden Anbietern ist.
  • 6:28 - 6:29
    Auch dafür gibt es eine Lösung,
  • 6:29 - 6:31
    wir machen einfach eine teure Zertifizierung.
  • 6:31 - 6:35
    Dann haben wir nur wenige Anbieter und die konkurieren eine Zeit lang
  • 6:35 - 6:39
    bis sie alle eingehen und dann haben wir am Ende ein zentrales System.
  • 6:41 - 6:45
    Natürlich ein großes Problem bei E-Mail 2009 noch,
  • 6:45 - 6:48
    viele Anbieter bieten unverschlüsselte Verbindungen an.
  • 6:48 - 6:50
    Zu dem Thema kommen wir dann noch.
  • 6:51 - 6:53
    Dann haben sie gesagt, wir machen SSL durchgängig.
  • 6:53 - 6:58
    Also eine De-Mail wird niemals im Klartext übertragen.
  • 7:00 - 7:05
    Dann gibt es noch ein Problem, bei E-Mail nicht jeder Nutzer unterstützt,
  • 7:05 - 7:09
    Ende-zu-Ende Verschlüsselung, PGP oder SMIME, was zu einer sicheren Verschlüsselung
  • 7:09 - 7:11
    führen würde.
  • 7:11 - 7:13
    Was vor allem dazu führen würde, dass der Anbieter selber die De-Mails
  • 7:13 - 7:15
    dann nicht lesen kann.
  • 7:16 - 7:18
    Auch dafür gibt es eine Lösung, machen wir weiterhin nicht.
  • 7:18 - 7:21
    Gelächter
  • 7:21 - 7:23
    In den 90er Jahren gab es ein Problem,
  • 7:23 - 7:24
    das erkenne ich an,
  • 7:24 - 7:25
    das waren E-Mail Würmer.
  • 7:25 - 7:30
    Jemand hatte sich überlegt, primär war Outlook davon betroffen,
  • 7:30 - 7:36
    Es wäre super, wenn man eine E-Mail schreiben könnte,
  • 7:36 - 7:38
    in die man JavaScript reinschreibt
  • 7:38 - 7:40
    und der Empfänger bekommt das
  • 7:40 - 7:43
    und der Rechner von dem Empfänger führt dann dieses JavaScript aus
  • 7:43 - 7:46
    und dann können wir...
  • 7:46 - 7:48
    weiß ich nicht, was blinken lassen.
  • 7:48 - 7:52
    Ergebnis war, dass massenweise E-Mails kamen mit Viren,
  • 7:52 - 7:55
    die dann das Outlook dann per Script befallen haben
  • 7:55 - 7:56
    und andere Sachen geschickt haben.
  • 7:56 - 7:58
    E-Mail Würmer waren ein Problem.
  • 7:59 - 8:01
    Da hat man sich gesagt, dafür haben wir auch eine Lösung.
  • 8:01 - 8:03
    Wir machen einen Virenscan.
  • 8:03 - 8:06
    Einen Virenscan beim Anbieter.
  • 8:07 - 8:09
    Wer denkt, dass das eine gute Idee ist?
  • 8:09 - 8:11
    Lachen
  • 8:11 - 8:13
    Person im Publikum: McAfee.
  • 8:13 - 8:17
    Linus Neumann: lacht McAfee - ja McAfee.
  • 8:17 - 8:24
    Applaus
  • 8:24 - 8:27
    Linus Neumann: Das Ding ist auf meinen Namen registriert.
  • 8:27 - 8:34
    Wenn ich jetzt vor habe jemanden mit einem Virus zu befallen oder zu infizieren,
  • 8:34 - 8:38
    dann mache ich das doch nicht mit einer Absenderadresse,
  • 8:38 - 8:39
    die auf meinen eigenen Namen registriert ist,
  • 8:39 - 8:41
    und wo ich zusätzlich noch 39 Cent zahle.
  • 8:41 - 8:45
    Lachen
  • 8:46 - 8:50
    [nicht verständlicher Einwurf aus dem Publikum]
  • 8:50 - 8:52
    Neumann: Es könnte sich rausstellen, dass es die 39 Cent doch wert sind.
  • 8:52 - 8:55
    Für einen Massenangriff ist es viel zu teuer,
  • 8:55 - 8:58
    wenn ich sage, mein Ziel ist es ein großes Botnetz zu bauen,
  • 8:58 - 9:00
    dann kann ich das natürlich nicht über De-Mail machen,
  • 9:00 - 9:02
    da zahle ich mich dumm und dämlich.
  • 9:03 - 9:05
    Wenn ich aber einen gezielten Angriff habe,
  • 9:05 - 9:09
    für jemanden sensibles, für jemanden der es mir wert ist,
  • 9:09 - 9:12
    dass ich sogar 39 Cent ausgebe, um den meinen Virus zuzustellen,
  • 9:12 - 9:16
    Und vielleicht noch einen halben Nachmittag investiere,
  • 9:17 - 9:20
    einen Virus zu basteln, was ich nur für diese eine Person baue,
  • 9:20 - 9:23
    was der Virenscanner wahrscheinlich gar nicht kennt,
  • 9:23 - 9:24
    und ich dann noch die Möglichkeit habe, das vorher zu prüfen,
  • 9:24 - 9:28
    weil ich es mir auch fünfmal an mich senden kann.
  • 9:28 - 9:31
    Dann sehe ich, ob der Virenscanner von De-Mail den Virus findet oder nicht.
  • 9:33 - 9:34
    Und dann schicke ich es an jemanden, der sagt,
  • 9:34 - 9:37
    geil, Viren gescannt, kann ich ausführen.
  • 9:37 - 9:40
    Also keine besonders gute Idee.
  • 9:40 - 9:41
    Außerdem gibt es natürlich andere Wege,
  • 9:41 - 9:45
    ich kann eine URL statt einer Datei De-mailen,
  • 9:45 - 9:46
    ich kann eine E-Mail schicken,
  • 9:46 - 9:49
    ich kann darauf hoffen, dass die Leute eine Software downloaden,
  • 9:49 - 9:51
    ich kann auf Flash oder Java setzen,
  • 9:51 - 9:55
    das machen Generationen von Angreifern seit Jahren.
  • 9:55 - 9:56
    Mit großem Erfolg.
  • 9:56 - 9:59
    Das heißt, wozu das eigentlich führt,
  • 9:59 - 10:02
    ist der Effekt, den man dem Fahrradhelm nachsagt,
  • 10:02 - 10:04
    Risikokompensation, ich bin geschützt,
  • 10:04 - 10:08
    ich kann hier machen, was ich möchte.
  • 10:08 - 10:11
    In Wirklichkeit hat man diesen Fahrradhelm leider am Knie,
  • 10:11 - 10:13
    und wenn man auf die Schnauze...
  • 10:13 - 10:16
    irgendwie so, der Vergleich hinkt ich weiß.
  • 10:16 - 10:22
    Lachen
  • 10:22 - 10:25
    Das heißt wir haben am Ende ein System,
  • 10:25 - 10:30
    was unverschlüsselt ist, denn es ist nur eine Transportverschlüsselung.
  • 10:30 - 10:35
    Das heißt auf den De-Mail Servern selber liegt die De-Mail unverschlüsselt.
  • 10:35 - 10:41
    Bzw. sie sagen, sie speichern verschlüsselt ab und haben den Schlüssel daneben liegen.
  • 10:41 - 10:46
    Ich weiß das ist ein sehr schönes Argument, das so anzubringen.
  • 10:46 - 10:51
    Es gilt aber nun mal faktisch als unverschlüsselt, wenn man den Schlüssel hat.
  • 10:51 - 10:58
    Es gibt nur wenige Anbieter und darüber wird nur sensible Kommunikation abgewickelt.
  • 10:58 - 11:02
    Es ist außerdem ein Traum für das Bundeskriminalamt
  • 11:02 - 11:05
    und das Bundesamt für Verfassungsschutz.
  • 11:05 - 11:09
    Denn für die löst sich nebenbei auch noch die Spamproblematik.
  • 11:09 - 11:13
    Wir erinnern uns, wir hatten einige Zeit darunter zu leiden,
  • 11:13 - 11:18
    dass bei E-Mails zu viel Spam war, so dass sie ihre Filter überladen hatten.
  • 11:18 - 11:21
    Das sollte sich bei De-Mail geklärt haben.
  • 11:21 - 11:29
    In Wirklichkeit ist dieser Virenscan beim Anbieter nur eine Ausrede
  • 11:29 - 11:33
    oder ein Argument dafür, keine Ende-zu-Ende Verschlüsselung zu machen.
  • 11:33 - 11:36
    Denn wenn der Anbieter nicht reinschauen kann in die Nachricht,
  • 11:36 - 11:39
    dann kann er sie auch nicht auf Viren prüfen.
  • 11:39 - 11:43
    Jetzt können wir abwägen, will ich einen unvollkommenen Virenschutz haben
  • 11:43 - 11:48
    oder möchte ich eine vertrauliche Kommunikation herstellen können.
  • 11:48 - 11:57
    Das war dann 2011 und danach passierte...
  • 11:57 - 11:58
    Lachen
  • 11:58 - 11:59
    ... nichts.
  • 11:59 - 12:08
    Applaus
  • 12:08 - 12:10
    Da waren die De-Mail Anbieter unglücklich.
  • 12:10 - 12:12
    Sie hatten ihr ganzes Geld dafür ausgegeben,
  • 12:12 - 12:14
    um da eine De-Mail Infrastruktur hinzustellen.
  • 12:14 - 12:17
    Es gab einen sehr schönen Artikel auf Heise
  • 12:17 - 12:20
    von Detlef Borchers geschrieben.
  • 12:20 - 12:26
    Nachdem der CCC dann einige Gutachten zu dem Thema verfasst hatte,
  • 12:26 - 12:30
    wurden Journalisten eingeladen nach Frankfurt zum De-Mail Center.
  • 12:30 - 12:34
    Wo gezeigt wurde, dass draußen perimeter Sperren sind gegen Bulldozer-Angriffe.
  • 12:34 - 12:36
    Lachen
  • 12:36 - 12:39
    Also da wurde richtig Geld in die Hand genommen.
  • 12:39 - 12:43
    Um das sicher zu machen.
  • 12:43 - 12:45
    Aber irgendwie wollte es keiner haben.
  • 12:45 - 12:47
    Also dieser schöne sichere nachweisbare Geschäftsverkehr für jedermann,
  • 12:47 - 12:49
    keiner ist darauf angesprungen.
  • 12:49 - 12:52
    Ich kannte niemanden, der De-Mail hatte.
  • 12:52 - 12:55
    Und was musste man machen.
  • 12:55 - 12:57
    Es musste ein neues Gesetz her.
  • 12:57 - 13:00
    Und zwar diesmal Gesetze, die De-Mail zum Standard machen.
  • 13:00 - 13:03
    Indem zur einfachsten und günstigsten Methode wird,
  • 13:03 - 13:09
    gegenüber einer Reihe von teureren und eventuell überlegenen Methoden,
  • 13:09 - 13:11
    aber wir wissen natürlich,
  • 13:11 - 13:14
    dass letztendlich die niedrigste Einstiegsschwelle dann diejenige ist,
  • 13:14 - 13:16
    auf die sich die Menschen einpendeln.
  • 13:16 - 13:21
    Das wurde dann 2013 mit den E-Government und E-Justice Gesetz gemacht.
  • 13:21 - 13:27
    Das waren die Gesetze, zu denen ich dann auch in die Ausschüsse geladen wurde
  • 13:27 - 13:29
    als Vertreter für den CCC.
  • 13:29 - 13:31
    Beim ersten ging es um das E-Government Gesetz.
  • 13:31 - 13:36
    Da habe ich dieses Gesetzding bekommen.
  • 13:36 - 13:40
    Das war auch das erste Mal, dass ich sowas mit der Bürde angeschaut habe,
  • 13:40 - 13:45
    mich ernsthaft qualifiziert zu äußern zu einem Gesetzestext
  • 13:45 - 13:49
    und das in einem Ausschuss in dem mir Hans Peter Uhl gegenübersitzt.
  • 13:49 - 13:52
    Gelächter
  • 13:52 - 13:55
    Ich dachte oh das wird schwierig, das wird schwierig.
  • 13:55 - 13:59
    Dann hab ich diesen Gesetzestext bekommen...
  • 13:59 - 14:05
    Und jetzt ist es so: Die hatten in diesem Fall ein Problem,
  • 14:05 - 14:09
    denn so wie sie ihr schönes De-Mail Gesetz formuliert hatten,
  • 14:09 - 14:13
    genügt De-Mail nicht den Ansprüchen an Sicherheit,
  • 14:13 - 14:17
    die sie in anderen Gesetzen für den Transfer von bestimmten Daten definiert hatten.
  • 14:17 - 14:21
    Dort stand drin: Wenn X und Y übertragen wird,
  • 14:21 - 14:24
    dann muss das ordentlich verschlüsselt sein.
  • 14:24 - 14:29
    Jetzt mussten sie irgendwie einen Fix finden, denn ihr schönes De-Mail passte gar nicht
  • 14:29 - 14:32
    – ging gar nicht. Es hätte gegen das Gesetz verstoßen De-Mail
  • 14:32 - 14:37
    zur Übertragung dieser Daten zu nutzen, weil es offenkundig nicht sicher genug ist.
  • 14:37 - 14:43
    Aber es gibt natürlich für jedes technische Problem eine juristische Lösung:
  • 14:43 - 14:46
    Und dann finden sich so schöne Sätze wie: [siehe Text in Folie]
  • 14:59 - 15:04
    Gelächter
    Problem gelöst!
  • 15:04 - 15:17
    Applaus
  • 15:17 - 15:20
    Eine Entschlüsselung verstößt nicht gegen das Verschlüsselungsgebot.
  • 15:20 - 15:22
    Das ist das was dieser lange Satz den ich hier,
  • 15:22 - 15:25
    vor dem ich euch jetzt schonen möchte heißt.
  • 15:25 - 15:27
    Ungefähr so war dann auch mein Gesicht,
  • 15:27 - 15:33
    weil ich tatsächlich nicht sicher war ob ich den Satz richtig verstanden hatte,
  • 15:33 - 15:35
    aber es war dann tatsächlich so.
  • 15:35 - 15:38
    Dann kam ich in den Innenausschuss und sagte:
  • 15:38 - 15:42
    Hallo, ich hab mir das mal angeschaut was
  • 15:42 - 15:46
    sie da geschrieben haben und ich halte das für gefährlich, was sie da tun.
  • 15:46 - 15:50
    Sie sollten - das waren so meine Hauptargumente - man muss ja wissen,
  • 15:50 - 15:55
    man muss da ja so argumentieren, dass die das für interessant finden was man sagt
  • 15:55 - 15:58
    und zuhören, den ich wollte ihnen ja nur Helfen.
  • 15:58 - 16:02
    Also sagte ich: Okay, wenn ihr das jetzt macht, dann sind
  • 16:02 - 16:04
    diese ganzen unverschlüsselten sensiblen E-Mails
  • 16:04 - 16:11
    auf den 4 oder sogar nur 3 De-Mail Servern um die ihr euren Perimeterschutz drum gebaut habt
  • 16:11 - 16:16
    - das wusste ich zu dem Zeitpunkt nicht.
  • 16:16 - 16:23
    Was meint ihr denn wie attraktiv diese Dinger als Angriffsziel werden, für Angreifer?
  • 16:23 - 16:27
    Wo ich weiß: Der Inhalt dieser Nachrichten ist so vertraulich,
  • 16:27 - 16:33
    dass die Menschen 39 Cent ausgeben um sich in Sicherheit zu wahren.
  • 16:33 - 16:39
    Das halte ich aus Security Perspektive durchaus für problematisch.
  • 16:39 - 16:45
    Und dann wurde interessanterweise muss man sich, ich muss das vielleicht kurz erklären:
  • 16:45 - 16:49
    Wenn man in so einen Ausschuss geht und da als Sachverständiger hinkommt -
  • 16:49 - 16:54
    Ich dachte das diesem Wort Bedeutung beikommt Gelächter
  • 16:54 - 16:58
    Ich habe mich geehrt gefühlt. Ich dachte hey super, die haben meinen Sachverstand anerkannt
  • 16:58 - 17:02
    und mich deshalb eingeladen. Gelächter
  • 17:02 - 17:10
    In der Regel ist das so, dass da ein Theater statt findet
  • 17:10 - 17:12
    mit Leuten die natürlich eingeladen werden
  • 17:12 - 17:15
    um das zu sagen was sie dort sagen
  • 17:15 - 17:18
    und da werden irgendwelche Richter von irgendwelchen Verbänden eingeladen
  • 17:18 - 17:22
    letztendlich ist das eine Gruppierung von Lobbyisten,
  • 17:22 - 17:27
    die letztendlich drängt: Das finden wir toll,
  • 17:27 - 17:31
    das müssen wir jetzt unbedingt machen!
  • 17:31 - 17:34
    Dort wurde wortwörtlich von einem Sachverständigen gesagt:
  • 17:34 - 17:35
    [Text siehe Folie, erster Absatz]
  • 17:46 - 17:51
    Wie gesagt das war vor Snowden - wenige Wochen [Zweiter Absatz der Folie]
  • 17:56 - 17:58
    Der gute Mann hat natürlich das Thema verfehlt:
  • 17:58 - 18:01
    Alltagsaustausch in der Kommunikation ist eine Facebook Nachricht,
  • 18:01 - 18:04
    da braucht ich jetzt nicht noch De-Mail zu
  • 18:04 - 18:06
    zu implementieren. Also habe ich gesagt:
  • 18:09 - 18:11
    Freunde passt auf, ich mache euch einen Vorschlag:
  • 18:11 - 18:15
    Jeder E-Mail Client unterstützt sogar S/MIME
  • 18:15 - 18:19
    und ihr habt den Leuten doch gerade diese Personalausweise andrehen wollen,
  • 18:19 - 18:22
    die sie auch nicht haben wollten.
  • 18:22 - 18:24
    Und auf / in diesen Personalausweisen ist eine Smartcard
  • 18:24 - 18:27
    und da könntet ihr so ein Zertifikat drauf haben
  • 18:27 - 18:31
    und dann könnten die Leute damit richtig schön ihre De-Mails verschlüsseln
  • 18:31 - 18:33
    und signieren.
  • 18:33 - 18:35
    Hättet ihr zwei Fliegen mit einer Klappe geschlagen
  • 18:35 - 18:39
    und hättet zusätzlich ein sicheres De-Mail System.
  • 18:39 - 18:42
    Übrigens: Kleiner Seitenhint, den habe ich denen dann aber nicht erzählt:
  • 18:42 - 18:46
    sie hätten sich in dem Moment natürlich auch die ganze De-Mail Sache knicken können
  • 18:46 - 18:48
    weil sobald jemand in der Lage ist sein Dokument
  • 18:48 - 18:53
    vernünftig zu signieren ist es auch völlig egal womit er es mir jetzt zusendet.
  • 18:53 - 19:00
    Die kryptographische Signatur unter einem Dokument ist genau für diesen Zweck da.
  • 19:00 - 19:03
    Dann wurde gesagt, dann mussten sie also jetzt irgendwie
  • 19:03 - 19:06
    meinen Vorschlag der Ende zu Ende Verschlüsselung
  • 19:06 - 19:08
    irgendwie ad absurdum führen und los werden.
  • 19:08 - 19:10
    Und dann sagten sie: Ja aber geht das auch auf dem Smartphone?
  • 19:10 - 19:12
    Habe ich gesagt: Ja.
  • 19:12 - 19:15
    Gelächter
  • 19:15 - 19:23
    Applaus
  • 19:23 - 19:26
    Und es stimmt, es ist übrigens ein Tipp S/MIME,
  • 19:26 - 19:28
    S/MIME Zertifikat schön aufs iphone laden.
  • 19:28 - 19:30
    Gut ich habe dann natürlich noch - ich bin ja immer freundlich -
  • 19:30 - 19:32
    ich bin ja auch aufrichtig zu Menschen und habe gesagt:
  • 19:32 - 19:36
    Halte ich aber nicht für eine gute Idee.
    Gelächter
  • 19:36 - 19:39
    Und dann wurde gefragt: Ja aber mit der Ende zu Ende Verschlüsselung
  • 19:39 - 19:41
    müsste ich jetzt mal erklären: Wie macht man das denn,
  • 19:41 - 19:45
    wenn man dann in der Türkei in einen Internetshop geht, im Urlaub
  • 19:45 - 19:49
    und seine Ende zu Ende verschlüsselte De-Mail abholen möchte?
  • 19:49 - 19:55
    Gelächter
    Linus fasst sich an den Kopf
  • 19:55 - 19:56
    Die richtige Antwort ist natürlich:
  • 19:56 - 20:01
    Man macht es NICHT!
    Gelächter
  • 20:01 - 20:09
    Gelächter
    Applaus
  • 20:10 - 20:17
    Naja, ich hab dann so erzählt und mir war auch klar, wenn so ein Gesetz erst mal an dem Punkt ist
  • 20:17 - 20:21
    in diesen Ausschüssen zu sein, wie gesagt das ist nur ein Theaterveranstaltung
  • 20:21 - 20:23
    die da statt findet und mir war klar,
  • 20:23 - 20:24
    das Ding kriege ich auch nicht mehr gestürzt,
  • 20:24 - 20:28
    Ich habe jetzt da meine Rolle ernst genommen
  • 20:28 - 20:31
    und habe versucht Sachverstand anzuwenden aber das Ding war verloren.
  • 20:31 - 20:34
    Übrigens der junge Mann der mir diese Frage stellte
  • 20:34 - 20:41
    - als ich dann aus dem Ausschussraum raus ging und am Fahrstuhl stand kam er zu mir und sagte:
  • 20:41 - 20:46
    "Ich weiß sie haben recht, aber.. so ist das eben."
  • 20:46 - 20:51
    Gelächter
  • 20:51 - 20:53
    Und ich dachte: Naja okay hm.. was willste machen.
  • 20:53 - 20:57
    Gelächter
  • 20:57 - 21:00
    Wir erinnern uns: In diesem Innenausschuss
  • 21:00 - 21:04
    - weil ich dachte ja so, ja das sind ja Leute die interessieren sich für innere Sicherheit,
  • 21:04 - 21:09
    dennen erzähl ich einen vom Cyberwar und vom Cybercrime, damit kriege ich deren Gehör.
  • 21:09 - 21:13
    Was mir da so ein bisschen gar nicht aufgefallen war ist,
  • 21:13 - 21:17
    dass ich mich so die ganze Zeit auf "Sicher" konzentriert habe
  • 21:17 - 21:21
    und nicht auf nachweisbar. Das ist denen auch aufgefallen und deswegen
  • 21:21 - 21:24
    haben sie noch ein zweites Gesetz noch gemacht das eJustice Gesetz,
  • 21:24 - 21:30
    wo sie sagten in dem Fall müssen wir die ganzen Strafprozessordnungen umschreiben,
  • 21:30 - 21:39
    so, dass wir bei gerichtlicher Kommunikation in diesen Abläufen irgendwie De-Mail anwenden können
  • 21:39 - 21:42
    und wie gesagt, jetzt ging es um Nachweisbarkeit.
  • 21:42 - 21:48
    Es geht darum, dass die De-Mail dann auch das Papier auf dem sie ausgedruckt wird wert ist.
  • 21:48 - 21:52
    Gelächter
  • 21:52 - 21:57
    Und ich dachte wieder: oh schwierig, jetzt sogar so Jura-Text über Gesetze selber,
  • 21:57 - 22:01
    das wird bestimmt nochmal schwieriger und die Sätze waren auch echt nochmal viel länger.
  • 22:01 - 22:04
    Gelächter
  • 22:04 - 22:05
    Und da wurde dann gesagt:
  • 22:05 - 22:09
    Auch wenn es sich bei De-Mail um ein Transportmedium,
  • 22:09 - 22:12
    bei der qualifizierten elektronischen Signatur
  • 22:12 - 22:16
    - erklär ich gleich - hingegen um ein dokumentbezogenes Sicherungsmittel handelt,
  • 22:16 - 22:20
    ist im Beweisrecht eine Gleichbehandlung beider Instrumente geboten,
  • 22:20 - 22:24
    weil es sich bei der De-Mail-Nachricht auch um ein elektronisches Dokument im Sinne von
  • 22:24 - 22:29
    § 371 handelt und die Absenderbestätigung dazu führt,
  • 22:29 - 22:34
    dass die Nachricht mit einer qualifizierten elektronischen Signatur des Providers versehen wird.
  • 22:34 - 22:36
    Gelächter
  • 22:36 - 22:50
    Applaus
  • 22:50 - 22:51
    Steht da so!
  • 22:51 - 22:53
    Ist sogar jetzt geltendes Recht!
  • 22:53 - 22:59
    Gelächter
  • 22:59 - 23:03
    Vielleicht mal kurz zur Erklärung: was das Wort was da gerade vorkam,
  • 23:03 - 23:06
    die qualifizierte elektronische Signatur:
  • 23:06 - 23:11
    Das ist also eine tatsächliche richtige kryptographische Signatur,
  • 23:11 - 23:12
    die dokumentgebunden angebracht wird.
  • 23:12 - 23:19
    Das heißt ich nehme einen Text, eine E-Mail oder sonst was, mache ein bisschen Magie
  • 23:19 - 23:23
    Gelächter
    und habe aufgrund von asymetrischer Kryptographie
  • 23:23 - 23:27
    die Möglichkeit, dass mein Empfänger feststellen kann,
  • 23:27 - 23:30
    dass das Dokument was ich ihm signiert gesendet habe:
  • 23:30 - 23:35
    a) von mir signiert wurde und b) auch auf dem Weg nicht verändert wurde.
  • 23:35 - 23:40
    Das ist ein sehr entscheidender Bestandteil von asymetrischer Kryptographie,
  • 23:40 - 23:44
    findet bei PGP sehr viel Anwendung.
  • 23:44 - 23:50
    Findet aber auch bei den anderen asymetrischen Verschlüsselungsverfahren.. wird es genauso gemacht.
  • 23:50 - 23:51
    Also man signiert etwas.
  • 23:51 - 23:57
    Das gesamte SSL CA-Modell ist darauf aufgebaut, dass eine andere vertrauenswürdige Instanz signiert,
  • 23:57 - 24:01
    dass diese Person sie ist und die signiert dann wiederum ihren Text
  • 24:01 - 24:03
    und da kann man dann so eine Trustchain aufbauen
  • 24:03 - 24:07
    und das ist wunderbar.
    Also ich bin froh, dass es das gibt.
  • 24:07 - 24:08
    Und jetzt wurde also gesagt:
  • 24:08 - 24:14
    Wir bauen diese Funktion zu signieren in den neuen Personalausweis ein.
  • 24:14 - 24:16
    Geht auch mit anderen Sachen, man kann das
  • 24:16 - 24:19
    - wie ich dann lernte - auch bei seiner Bank irgendwie beantragen,
  • 24:19 - 24:24
    dann kriegt man auf den Smartcardchip in seiner ec-Karte irgendwie ein Zertifikat.
  • 24:24 - 24:26
    Wunderbar, das heißt es geht irgendwie so ab:
  • 24:26 - 24:32
    Ich nehme ein Dokument, stecke meinen Personalausweis oder meine Signaturkarte in ein Lesegerät,
  • 24:32 - 24:36
    gebe den Geheimcode ein um das Zertifikat da drin frei zu schalten,
  • 24:36 - 24:39
    bringe die Signatur an und dieses Dokument ist dann von mir signiert
  • 24:39 - 24:46
    und mit gutem Recht genau so viel wert wie eine Signatur mit Tinte.
  • 24:46 - 24:53
    Ist das ungefähr klar? Also man kann damit signieren.
  • 24:53 - 24:58
    Und wenn jetzt etwas signiert ist, dann muss man sich überlegen welchen Sinn haben Signaturen?
  • 24:58 - 25:03
    Also man kann - das war diese jenige Person... und juristisch geht es natürlich um so etwas
  • 25:03 - 25:06
    wie einen Identitätsbeleg gegenüber Dritten.
  • 25:06 - 25:09
    Wenn mir jemand etwas unterschrieben hat - zum Beispiel einen Vertrag -
  • 25:09 - 25:12
    dann kann ich zu einem Dritten gehen, zum Beispiel zu einem Richter
  • 25:12 - 25:16
    und kann sagen diese Person hier hat sich nicht an den Vertrag gehalten.
  • 25:16 - 25:20
    Wir haben aber ein Vertrag und muss jetzt hier Strafe..
  • 25:20 - 25:24
    Der Begriff dafür ist glaube ich eine dokumentierte Willensbekundung,
  • 25:24 - 25:26
    den muss ich mit einer Signatur versehen.
  • 25:26 - 25:30
    Eine andere Funktion des Personalausweises ist es,
  • 25:30 - 25:34
    es den Menschen zu vereinfachen die Identität zu lesen.
  • 25:34 - 25:35
    Also man muss dann nicht mehr auf den Perso kucken,
  • 25:35 - 25:38
    sondern man kann den an so ein Lesegerät halten gibt auch irgendwie kurz den Code ein,
  • 25:38 - 25:43
    dann überträgt der Perso die Daten die in ihm gespeichert sind.
  • 25:43 - 25:46
    Das dient natürlich nur zur einmaligen Identitätsfeststellung,
  • 25:46 - 25:54
    weil derjenige nichts weiter bekommt, er bekommt nur einmal die Daten der Person
  • 25:54 - 25:58
    und ein Zeichen, dass der Ausweis nicht gefälscht ist.
  • 25:58 - 26:02
    Es gibt also Ausweis zeigen und es gibt unterschreiben.
  • 26:02 - 26:06
    Und jetzt schauen wir uns mal an was wir mit DE-Mail machen:
  • 26:06 - 26:08
    Bei DE-Mail gehe ich also einmal hin,
  • 26:08 - 26:12
    zur Post oder irgendwo anders, wo ich meinen Ausweis zeigen kann.
  • 26:12 - 26:13
    Sage: hier ist mein Ausweis.
  • 26:13 - 26:17
    Sagen die: ah wunderbar bekommst eine DE-Mail-Adresse.
  • 26:17 - 26:23
    Und dann ist jede DE-Mail die ich schreibe ein signiertes Dokument
  • 26:23 - 26:26
    und gleichwertig mit der qualifizierten elektronischen Signatur,
  • 26:26 - 26:29
    was natürlich das hier absolut ad absurdum führt.
  • 26:29 - 26:34
    Um das mal zu vergleichen: Ich gehe also - wenn wir das jetzt auf einen Brief übertragen -
  • 26:34 - 26:38
    - bei einer DE-Mail, Gerichtsfestigkeit der DE-Mail..
  • 26:38 - 26:43
    Ich gehe irgendwann mal zur Post und zeige meinen Ausweis,
  • 26:43 - 26:50
    ich schreibe dann einen Brief, werfe ihn in einen Briefkasten und schreibe hinten meinen Absender drauf.
  • 26:50 - 26:59
    Dann kommt Magie (Gelächter) und die Post unterschreibt jeden Brief für mich
  • 26:59 - 27:03
    und ich wandere dafür dann wo auch immer ich hin muss hin.
    Gelächter
  • 27:03 - 27:08
    Hat natürlich einen Nachteil wenn jetzt jemand anderes zu dem Briefkasten geht und da etwas einwirft.
  • 27:08 - 27:10
    Blöd.
  • 27:10 - 27:16
    Habe ich gedacht: Boah wenn die Richter das hören, die anderen Sachverständigen,
  • 27:16 - 27:22
    die werden kreidebleich! Und dann sagte Dr. Wolfram Viehfhues:
  • 27:22 - 27:32
    (siehe Folie)
  • 27:32 - 27:37
    Mit anderen Worten: ich solle den Ball etwas flacher spielen. Gelächter
  • 27:37 - 27:39
    Thema erledigt. Ich habe ihn dann noch darauf hingewiesen,
  • 27:39 - 27:46
    dass wir dann ja auch Klagen demnächst über Web.de Grußkarte, Facebook oder Twitter Nachricht einreichen können.
  • 27:46 - 27:55
    GelächterApplaus
  • 27:55 - 27:59
    Sie haben sich wirklich mit Händen und Füßen gegen diese Ende zu Ende Verschlüsselung gewehrt.
  • 27:59 - 28:01
    Hauptsächlich, das Argument war dann immer,
  • 28:01 - 28:07
    das ist so kompliziert. Ich möchte dann vielleicht auch jetzt noch einmal klarstellen:
  • 28:07 - 28:13
    Die Tatsache dass viele Menschen keine Ende zu Ende verschlüsselung benutzen,
  • 28:13 - 28:16
    ist meines Erachtens, zum großen Teil darin begründet,
  • 28:16 - 28:20
    dass es nicht per Default in jedem E-Mail-Client drin ist.
  • 28:20 - 28:26
    Insbesondere PGP ist selten per Default integriert. SMIME hat sich noch nicht so ganz herumgesprochen,
  • 28:26 - 28:29
    aber es wird einfach per Default nicht gemacht.
  • 28:29 - 28:34
    Mit DE-Mail hätte man einmalig die Gelegenheit gehabt, das wirklich so richtig schön zu machen
  • 28:34 - 28:42
    und jedem Bürger sein eigenes Zertifikat zu geben und so richtig schön den Anteil
  • 28:42 - 28:45
    von verschlüsselter Kommunikation die der Staat nicht lesen kann,
  • 28:45 - 28:48
    mal richtig signifikant zu erhöhen.
  • 28:48 - 28:51
    Damit habe ich glaube ich auch erklärt, warum das nicht getan wurde.
  • 28:51 - 29:01
    GelächterApplaus
  • 29:01 - 29:03
    Das erklärt - ich habe mich da so ein bisschen darüber aufgeregt -
  • 29:03 - 29:11
    - aber auch irgendwann resigniert. Und dann kam eines Tages irgendwie so ein brauner Umschlag bei mir an,
  • 29:11 - 29:16
    und habe ich gedacht mal gucken, habe ich erstmal nicht verstanden,
  • 29:16 - 29:19
    habe ein bisschen weiter recherchiert,
  • 29:19 - 29:23
    wir möchten so ein bisschen zurück in der Zeit gehen, also weit bevor es überhaupt
  • 29:23 - 29:29
    dieses Bürgerportalgestz gab, mit dem dann der Grundstein für DE-Mail gelegt wurde.
  • 29:29 - 29:36
    2001 meldete eine kleine Firma die Wortmarke "Dmail" an
  • 29:36 - 29:44
    und zwar für Maschinen für Sortierung, Frankierung, Wägung insbesondere von Briefen, Päckchen usw.
  • 29:44 - 29:56
    2007 meldete das Bundesamt Sicherheit in der Informationstechnik die Wortmarke "D-mail" an,
  • 29:56 - 30:00
    für Rechenmaschinen, DV-Geräte und Computer,
  • 30:00 - 30:03
    Werbung - ist natürlich eine interessante und wichtiger Bestandteil von DE-Mail -
  • 30:03 - 30:07
    Geschäftsführung, Unternehmensverwaltung, Büroarbeiten, Telekommunikation usw.
  • 30:07 - 30:09
    noch ein paar andere Sachen.
  • 30:09 - 30:11
    Und jetzt gab es natürlich ein Problem,
  • 30:11 - 30:17
    denn das BSI hatte jetzt versucht eine Wortmarke anzumelden die schon jemand anderes hatte.
  • 30:17 - 30:21
    Eigentlich wäre an dieser Stelle der Punkt gewesen an dem das BSI hätte sagen müssen:
  • 30:21 - 30:26
    "Scheisse müssen wir anders nennen". Sie haben dann 2008 sogar noch das "DE-Mail"
  • 30:26 - 30:34
    dann angemeldet und was dann stattfand, war eine vertragliche Einigung
  • 30:34 - 30:42
    zwischen dem Bundesministerium für das Innere und der Firma "Giersch Ventures",
  • 30:42 - 30:49
    in der geregelt wurde, wofür die Bundesrepublik Deutschland oder das Bundesinnenministerium
  • 30:49 - 30:55
    die Wortmarke DE-Mail nutzen darf und wofür nicht.
  • 30:55 - 31:05
    Was da drin dann ausgeschlossen wurde war: "Dienstleistung, Transportwesen und Postdienstleistungen..."
  • 31:05 - 31:07
    Das ist übrigens neu, das habe ich noch nie irgendwo erzählt.
  • 31:07 - 31:13
    Das ist ein kleiner Auszug aus diesem kleinen Vertrag zwischen BMI und Giersch Ventures
  • 31:13 - 31:17
    und da wird eben eine bestimmte Form Nutzung bei D-Mail ausgeschlossen.
  • 31:17 - 31:22
    und diese Form wäre eben das ich eine De-Mail schicke, unverschlüsselt zu meinem Anbieter,
  • 31:22 - 31:24
    der sie ausdruckt und an jemand anderen weiter sendet,
  • 31:24 - 31:31
    So, dass ich quasi einen Brief machen kann, man könnte sagen einen, quasi einen Postbrief,
  • 31:31 - 31:34
    man könnte sogar sagen einen e-Postbrief!
  • 31:34 - 31:44
    GelächterApplaus
  • 31:44 - 31:46
    Und das ist - jetzt wird es interessant - das war natürlich allen klar,
  • 31:46 - 31:48
    wenn erst einmal gesetzlich so etwas festgelegt ist,
  • 31:48 - 31:50
    dass dann mit dieser DE-Mail-Technik -
  • 31:50 - 31:53
    oder was auch immer für eine Technik - irgendwo da verbrieft wird
  • 31:53 - 31:56
    und mit der man Geld verdienen kann, dass mit der auch Geld verdient werden wird!
  • 31:56 - 32:03
    Und da war die Post natürlich sehr unglücklich drüber, dass sie ihr Konkurrenzprodukt "E-Postbrief"
  • 32:03 - 32:05
    nicht registriert bekommen könnte.
  • 32:05 - 32:09
    Die haben auch irgendwie alle möglichen EU Beschwerden gestartet,
  • 32:09 - 32:13
    wollten das E-Government Gesetz noch im Bundesrat stoppen,
  • 32:13 - 32:16
    weil sich massiv benachteiligt fühlten,
  • 32:16 - 32:21
    weil sie diesen schönen E-Postbrief hatten, der genauso sicher bzw. unsicher ist,
  • 32:21 - 32:25
    aber ausgedruckt werden kann und der darf nicht DE-Mail sein.
  • 32:25 - 32:32
    Der Hintergrund ist einfach dieser Geheimvertrag der mir dann da zugespielt wurde.
  • 32:32 - 32:38
    Sie haben sich sogar noch so stark durch lobiiert, dass in dem finalen Gesetzestext dann drin steht:
  • 32:38 - 32:41
    "..oder vergleichbare sichere Verfahren..",
  • 32:41 - 32:44
    das heißt sie haben sogar noch mit ihrem Lobbyismus Erfolg gehabt.
  • 32:44 - 32:50
    Alles weil das Bundesministerium für das Innere ein Geheimvertrag über Markenrecht hat.
  • 32:50 - 32:53
    Fand ich interessant. Dann habe ich gedacht:
  • 32:53 - 32:56
    "Hm, von wem hat sich denn die Post beraten lassen?",
  • 32:56 - 32:59
    dass die irgendwie jahrelang an so einem E-Postbrief entwickeln
  • 32:59 - 33:04
    und am Ende da landen, mit einem Produkt
  • 33:04 - 33:08
    was sie eigentlich für den zentralen Kernbereich gar nicht vermarkten können.
  • 33:08 - 33:13
    Und stellt sich heraus die würden von BearingPoint beraten, steht auf ihrer Seite.
  • 33:13 - 33:18
    Unsere Partner: BearingPoint berät Unternehmen und Organisationen aus den Bereichen
  • 33:18 - 33:25
    Commercial Services, usw. BearingPoint war ein großer Berater der Deutschen Post bei diesem E-Postbrief.
  • 33:25 - 33:27
    BearingPoint stellte sich erst vor kurzem
  • 33:27 - 33:31
    durch eine kleine Anfrage der Fraktion "Die Linke" heraus:
  • 33:31 - 33:34
    War auch ein sehr großer Berater der Bundesrepublik Deutschland
  • 33:34 - 33:37
    bei der Formulierung des DE-Mail-Standards.
  • 33:37 - 33:40
    Gelächter
  • 33:40 - 33:41
    Ein Schelm wer Böses dabei denkt.
  • 33:41 - 33:47
    Applaus Ich finde das absolut OK.
  • 33:47 - 33:49
    Versteht mich da nicht falsch, ich finde das absolut in Ordnung,
  • 33:49 - 33:53
    wenn man irgendwie zwei Deppen findet die das gleiche kaufen,
  • 33:53 - 33:55
    warum sollte man das nicht machen?
  • 33:55 - 34:01
    GelächterApplaus
  • 34:01 - 34:04
    Und da findet sich dann in dieser Anfrage, wo "die Linke" dafür gesorgt hat,
  • 34:04 - 34:07
    mal alle möglichen Firmen die für die Bundesregierung
  • 34:07 - 34:09
    im IT Sicherheits Bereich arbeiten,
  • 34:09 - 34:13
    dass dann da mal das Auftragsvolumen mal benannt wird
  • 34:13 - 34:20
    und die Projekte, unter BearingPoint unter anderem dann
  • 34:20 - 34:24
    Bürgerportale, DE-Mail, strategische Projektunterstüzung und ähnliche Sachen gemacht.
  • 34:24 - 34:29
    Außerdem hat BearingPoint bei der E-Government Initiative und dem neuen Personalausweis beraten
  • 34:29 - 34:33
    und eben auch zentral bei DE-Mail.
  • 34:33 - 34:36
    Andere Firma die damit gearbeitet hat bei DE-Mail
  • 34:36 - 34:43
    die sich dann auch durch diese kleine Anfrage der Fraktion "die Linke" zeigte war CSC.
  • 34:43 - 34:47
    Das war jetzt auch vor wenigen Wochen noch in den Nachrichten.
  • 34:47 - 34:51
    CSC ist einer der wichtigsten Partner der US -Geheimdienste.
    Gelächter
  • 34:51 - 34:56
    Sie entwickeln Spähprogramme für die NSA.
  • 34:56 - 35:05
    Eine Tochterfirma war an der Verschleppung von "Khaled el-Masri" 2004 beteiligt.
  • 35:05 - 35:12
    Seit 2009 haben sie ein Auftragsvolumen von 25 Millionen Euro
  • 35:12 - 35:19
    für Beratungsdienstleistungen im Bereich E-Pass und DE-Mail von der Bundesrepublik bekommen.
  • 35:19 - 35:24
    Also das Sicherheitskonzept für unsere neue sichere Kommunikation,
  • 35:24 - 35:27
    unseren neuen sicheren, nachweisbaren Verkehr für Jedermann
  • 35:27 - 35:32
    wurde von einem US-Geheimdienst Subcontractor geschrieben.
  • 35:32 - 35:35
    Quizfrage: Kunden... (siehe Folie)
  • 35:35 - 35:47
    GelächterApplaus
  • 35:47 - 35:49
    CSC.. berät Bundesrepublik und sagt:
  • 35:49 - 35:53
    Macht mal schön DE-Mail.. Wer weiß was die noch gemacht haben?
  • 35:53 - 35:58
    Das sollte bestimmt jemand der hier ist wissen? Publikum: E-Perso?
  • 35:58 - 36:01
    E-Perso? E-Pass weiß ich nur, E-Perso bin ich mir nicht sicher,
  • 36:01 - 36:03
    Ich gebe mal einen kleinen Tipp..
  • 36:03 - 36:10
    Gelächter
  • 36:10 - 36:12
    Publikum: Den Bundestrojaner natürlich!
  • 36:12 - 36:14
    Sie haben den Codereview beim Bundestrojaner gemacht!
  • 36:14 - 36:16
    Der Bundestrojaner wurde - wie wir wissen -
  • 36:16 - 36:20
    - wurde von Digitask geschrieben und diejenigen die den Codereview gemacht haben
  • 36:20 - 36:24
    waren CSC und die DE-Mail haben sie uns auch noch gebracht.
  • 36:24 - 36:28
    Aber das ist etwas anderes, das ist ja sicher, mit Virenscanner!
  • 36:28 - 36:32
    *Gelächter
  • 36:32 - 36:34
    Kommen wir jetzt mal zum Ende:
  • 36:34 - 36:35
    Also DE-Mail wie wir es jetzt haben, geht nicht
  • 36:35 - 36:38
    über die übliche E-Mail Sicherheit hinaus.
  • 36:38 - 36:40
    Es ist unnötigerweise und absichtlich
  • 36:40 - 36:42
    inkompatibel mit dem Rest der Welt.
  • 36:42 - 36:45
    Eine DE-Mail kann ich nicht an eine normale E-Mail-Adresse schicken.
  • 36:45 - 36:47
    Verschlüsselt nur auf dem Transportweg,
  • 36:47 - 36:51
    d.h. auf den Servern kann man weiter rein schauen.
  • 36:51 - 36:54
    Sind wenige Server die aufgrund der Inhalte der Nachrichten
  • 36:54 - 36:58
    eine erhöhte Attraktivität als Angriffsziel haben.
  • 36:58 - 37:02
    Es hat rechtliche Nachteile und Risiken für die Nutzer
  • 37:02 - 37:06
    und der einzige Grund der das alles erklären kann ist,
  • 37:06 - 37:09
    dass das Ziel ist, die Wirtschaft zu fördern in Deutschland
  • 37:09 - 37:13
    und die Abhörbarkeit der Kommunikation zu erhalten!
  • 37:13 - 37:25
    Applaus
  • 37:25 - 37:26
    Und diese Gesetze würden so beschlossen!
  • 37:26 - 37:28
    Ich habe das dann irgendwann einmal gesagt:
  • 37:28 - 37:29
    Keine Regierung ist so blöd,
  • 37:29 - 37:32
    ihren Bürgern ein abhörsicheres Kommunikationsmedium zu geben
  • 37:32 - 37:36
    - und ist auch richtig so - nein also der Satz ist richtig!
  • 37:36 - 37:42
    GelächterApplaus
  • 37:42 - 37:48
    Sagte auch.. Gelächter
  • 37:48 - 37:54
    .. Edward Snowden, der wenige Wochen oder Monate danach dann mit seinen Leaks raus kam
  • 37:54 - 37:57
    und sagte: Ja wir haben hier so ein kleines Problem:
  • 37:57 - 38:06
    Die US Anbieter lesen alles und auch daraus musste natürlich Kapital geschlagen werden
  • 38:06 - 38:10
    und dann kamen wir zu E-Mail made in Germany.
  • 38:10 - 38:13
    Ihr erinnert euch, das war großspurig angekündigt:
  • 38:13 - 38:17
    Die großen deutschen Anbieter machen jetzt eine Sicherheitsinitiative
  • 38:17 - 38:19
    und verschlüsseln alle E-Mails.
  • 38:19 - 38:22
    Dachte so: Oh super, wie machen sie das denn?
  • 38:22 - 38:27
    Gelächter
  • 38:27 - 38:34
    Sie setzen einen RFC um. Den ersten gab es glaube ich 1999.
  • 38:34 - 38:42
    RFC2487, der wurde dann irgendwie 2002 nochmal überholt durch RFC 3207.
  • 38:42 - 38:45
    Das heißt die ganze Idee ist ca. 15 Jahre alt,
  • 38:45 - 38:50
    dass man zwischen zwei E-Mail-Servern die Nachrichten,
  • 38:50 - 38:53
    also die Übertragung tatsächlich verschlüsselt machen könnte!
  • 38:53 - 39:03
    Applaus
  • 39:03 - 39:05
    So d.h., das ist jetzt hier eine Grafik,
  • 39:05 - 39:10
    die habe ich von der E-Mail Made in Germany Webseite:
  • 39:10 - 39:11
    der Nutzer schreibt seine E-Mail,
  • 39:11 - 39:16
    sie wird für den Transport verschlüsselt,
  • 39:16 - 39:18
    kommt beim E-Mail-Server an,
  • 39:18 - 39:23
    dieser E-Mail-Server schickt dann diese eine E-Mail und die ganzen vielen tausend anderen,
  • 39:23 - 39:26
    die er schickt, auch verschlüsselt herum.
  • 39:26 - 39:33
    Und der Nutzer.. am Ende wird sie auch wieder verschlüsselt abgeholt.
  • 39:33 - 39:39
    Diesen Teil machen wahrscheinlich viele Nutzer schon seit Jahren,
  • 39:39 - 39:42
    weil es auch von den Anbietern auch schon angeboten wird,
  • 39:42 - 39:43
    Dass das ad absurdum geführt wird,
  • 39:43 - 39:49
    wenn wir dann von diesem Teil in der Mitte sprechen..
  • 39:49 - 39:51
    also was hilft es mir wenn ich meine Nachricht
  • 39:51 - 39:55
    verschlüsselt bis zu T-Mobile oder T-Online sende,
  • 39:55 - 40:00
    wenn sie dann alle Nachrichten irgendwie unverschlüsselt durch das Internet blasen.
  • 40:00 - 40:06
    Wo dann die NSA dran hängt, da ist keinem geholfen.
  • 40:06 - 40:09
    Und das haben sie "an gemacht".
  • 40:09 - 40:14
    Man könnte sagen, dass es absolut sträflich und unverzeihlich ist,
  • 40:14 - 40:16
    dass sie diese Verschlüsselung nicht an hatten,
  • 40:16 - 40:20
    aber sie machen es natürlich.. was soll man machen..
  • 40:20 - 40:21
    Wir machen da eine Werbekampagne draus.
  • 40:21 - 40:25
    Wir machen jetzt sichere Kommunikation "E-Mail made in Germany.
  • 40:25 - 40:28
    Die sichere Übertragung und Speicherung ihrer Nachricht ist garantiert".
  • 40:28 - 40:31
    Gelächter
  • 40:31 - 40:35
    Und wenn man kein E-Mail Made in Germany hat,
  • 40:35 - 40:41
    dann kriegt man Spam: "Diese E-Mail wurde aus dem Sicherheitsverbund E-Mail made in Germany gesendet",
  • 40:41 - 40:49
    das war so ein Footer, den GMX unter seine E-Mail gesendet hat.
  • 40:49 - 40:55
    Quizfrage: Wo ist die unverschlüsstelte E-Mail?
  • 40:55 - 40:59
    A) beim Absender B) bei der Telekom
  • 40:59 - 41:02
    C) bei web.de oder D) beim Empfänger ?
  • 41:02 - 41:15
    Applaus (siehe Folie)
  • 41:15 - 41:17
    Quizfrage: Wie sah es denn vorher aus?
  • 41:17 - 41:22
    Gelächter
  • 41:22 - 41:26
    Ungefähr so, ich habe mir das mal erlaubt die Grafik etwas zu ändern
  • 41:26 - 41:29
    und statt sich zu schämen, macht man halt eine Werbekampagne.
  • 41:29 - 41:30
    Gelächter
  • 41:30 - 41:36
    Und als ich so vor zwei Tagen hier an der Folie saß
  • 41:36 - 41:41
    und mich gefragt habe: Hat sich denn überhaupt etwas verändert?
  • 41:41 - 41:46
    Ähm.. ah ne komme ich gleich zu... Wer hat denn noch Zugriff?
  • 41:46 - 41:51
    Genau, der Bundesnachrichtendienst, das Bundeskriminalamt, e-plus..
  • 41:51 - 41:55
    Gelächter
  • 41:55 - 41:58
    Die Leute hatten zu dem Zeitpunkt alle Zugriff
  • 41:58 - 42:01
    auf diese E-Mails, die die Menschen da verschicken.
  • 42:01 - 42:03
    Und als ich so dachte, ich kuck mal..
  • 42:03 - 42:07
    Wie ist das denn, mit dem "E-Mail made in Germany", sind die überhaupt verschlüsselt?
  • 42:07 - 42:11
    Stelle ich fest: Sind sie nicht.
  • 42:11 - 42:13
    Man ist weiterhin in der Lage,
  • 42:13 - 42:16
    seine E-Mails "Made in Germany" unverschlüsselt abzuholen.
  • 42:16 - 42:19
    Ich habe das mal hier so ein kleines Netcat-Ding hingeschrieben.
  • 42:19 - 42:21
    Was das macht: Also es stellt eine Verbindung her
  • 42:21 - 42:27
    zu dem Imap-Server von T-Online und sagt "Hallo ich bin folgender Nutzer,
  • 42:27 - 42:33
    dies ist meine E-Mail-Adresse, das ist das Passwort, liste mal bitte die Folder die es hier gibt,
  • 42:33 - 42:35
    geh mit mir in den Folder Inbox, in den Posteingang.
  • 42:35 - 42:38
    Dann sagt er: ja hier gibt es diese so und so folgende Nachrichten.
  • 42:38 - 42:44
    Dann sag ich, hole mir bitte einmal die Nachricht 2 und logge mich wieder aus.
  • 42:44 - 42:48
    Das gleiche bei GMX.
  • 42:48 - 42:52
    Gelächter
  • 42:52 - 42:55
    Und wenn ich jetzt noch genug Zeit gehabt hätte,
  • 42:55 - 42:56
    hätte ich das jetzt hier mal kurz live demonstriert.
  • 42:56 - 42:59
    Ich denke ihr glaubt mir das so, ich habe euch ja den Code gegeben.
  • 42:59 - 43:04
    E-Mails made in Germany können nach wie vor unverschlüsselt versendet und abgeholt werden
  • 43:04 - 43:07
    und es ändert auch nichts daran, dass da dieses Siegel dran steht
  • 43:07 - 43:10
    und behauptet wird, diese E-Mail ist jetzt besonders sicher.
  • 43:10 - 43:13
    Finde ich auch nicht in Ordnung.
  • 43:20 - 43:22
    Da sieht man es jetzt nochmal.
  • 43:22 - 43:24
    Ah das war die alte Folie, das ist keine E-Mail Made in Germany,
  • 43:24 - 43:29
    das ist eine normale E-Mail, weil die habe ich ja nicht von einem Made in Germany-Ding gesendet, tschuldigung.
  • 43:29 - 43:31
    Also was haben wir bei E-Mail made in Germany?
  • 43:31 - 43:35
    Wir setzten fast 20 Jahre alte Standards um.
  • 43:35 - 43:38
    Viele Jahre waren die E-Mails nicht verschlüsselt,
  • 43:38 - 43:41
    sie sind es ohnehin nur auf dem Transportweg.
  • 43:41 - 43:45
    Das wäre mit anderen Anbietern genauso möglich.
  • 43:45 - 43:49
    Gmail z.B. macht es seit jeher.
  • 43:49 - 43:51
    Und wir machen es noch nicht einmal vernünftig,
  • 43:51 - 43:56
    weil unverschlüsseltes absenden und holen der E-Mails weiterhin möglich ist.
  • 43:56 - 43:58
    Ich weiß nicht was ich dazu jetzt noch sagen soll,
  • 43:58 - 44:00
    ich bin mit dem Thema am Ende.
  • 44:00 - 44:11
    Applaus
  • 44:11 - 44:16
    Wobei ich sagen muss, dass diese Entdeckung, dieser Fund,
  • 44:16 - 44:18
    mich schon irgendwie, schon schockiert hat.
  • 44:18 - 44:23
    Ich hätte eigentlich doch schon den beteiligten Unternehmen zugetraut
  • 44:23 - 44:28
    dass sie dieses Sicherheitsversprechen dann auch wirklich einlösen würden.
  • 44:28 - 44:31
    Vielleicht kurz zum Grund warum das so ist,
  • 44:31 - 44:36
    warum sie wahrscheinlich - meine Vermutung - warum sie immer noch diese unverschlüsselten Verbindungen machen:
  • 44:36 - 44:39
    Sie haben halt über viele Jahre den Nutzern erklärt,
  • 44:39 - 44:42
    ihre E-Mail-Clients so zu konfigurieren, dass sie es eben unverschlüsselt machen.
  • 44:42 - 44:47
    Wenn sie jetzt von einem Tag auf den anderen diese unverschlüsselten Verbindungen ausschalten,
  • 44:47 - 44:50
    dann knüpfen sie natürlich ein paar Leute von ihrer Kommunikation ab
  • 44:50 - 44:55
    und das wiederum sorgt dann für Anrufe beim Helpdesk und für unglückliche Kunden.
  • 44:55 - 44:59
    Ich weiß nicht ob die Kunden langfristig glücklicher sind,
  • 44:59 - 45:02
    wenn ihre E-Mails unverschlüsselt durchs Netz fliegen,
  • 45:02 - 45:07
    aber naja, also ich bin da echt ziemlich schockiert von.
  • 45:07 - 45:12
    Anderes Thema, das "Schlandnet"!
  • 45:12 - 45:15
    Das Schlandet, ihr seht so dieses magentafarbene "T",
  • 45:15 - 45:20
    das kommt in allen vier immer sehr prominent vor.
  • 45:20 - 45:22
    Schlandnet ist schwierig zu erklären.
  • 45:22 - 45:26
    Ich habe das oft versucht und auch Clemens hat sich daran versucht,
  • 45:26 - 45:30
    ich will es jetzt mal vereinfacht darstellen und ein bisschen pointiert.
  • 45:30 - 45:35
    Als das Internet gelegt wurde - das ist die Bundesrepublik Deutschland
  • 45:35 - 45:41
    als das Internet gelegt wurde, wurden diese Kabel in der Erde vergraben
  • 45:41 - 45:48
    und das wurde primär von Leuten gemacht, die im "in der Erde vergraben"-Business sind.
  • 45:48 - 45:55
    GelächterApplaus
  • 45:55 - 46:01
    Und Leute die im "in der Erde vergraben"-Business sind, haben in der Regel so ein großes Business,
  • 46:01 - 46:05
    dass sie sich nicht an Ländergrenzen halten, sondern z.B: irgendwie - was weiß ich -
  • 46:05 - 46:09
    ein Rohr legen, von da nach da und das geht durch drei Länder
  • 46:09 - 46:13
    und da legen wir jetzt auch noch ein bisschen Glasfaser mit rein, dann haben wir Internet.
  • 46:13 - 46:19
    Das heißt diese Kabel auf denen unser Internet basiert, liegen selten..
  • 46:19 - 46:25
    die halten sich selten an Ländergrenzen und irgendwie muss ja alles was Internet ist,
  • 46:25 - 46:32
    muss ja miteinander verbunden sein und dafür gibt es sogenannte "Commercial Internet exchanges"
  • 46:32 - 46:34
    In Deutschland haben wir einen ganz schönen in Frankfurt,
  • 46:34 - 46:38
    das gilt glaube ich inzwischen als einer der größte weltweit,
  • 46:38 - 46:43
    oder der größte weltweit, wo so alles was Internet macht, ob es ein Rechenzentrum ist,
  • 46:43 - 46:46
    ob es ein E-Mail Provider ist, ob es..
  • 46:46 - 46:50
    egal was wir wollen Internet haben, wir müssen irgendwo mit Internet verbunden sein.
  • 46:50 - 46:53
    Die haben in der Regel ein Kabel liegen nach Frankfurt
  • 46:53 - 46:57
    und dort steht dann der DE-CIX und dann ist da alles zusammen.
  • 47:02 - 47:03
    So und da kann man dann..
  • 47:03 - 47:07
    und da haben sich alle hingelegt und machen sowas wie wir hier, stecken ein Kabel an.
  • 47:07 - 47:10
    Und dann könnte man sagen: Wunderbar, ist jetzt schön.
  • 47:10 - 47:13
    Was jetzt hier passiert ist, dass eigentlich alles aneinander gesteckt wird
  • 47:13 - 47:18
    und sich alle irgendwie ihre Datenpakete hinschicken können wo sie wollen
  • 47:18 - 47:21
    und was aber dann einige andere Anbieter sich überlegt haben ist:
  • 47:21 - 47:30
    "Hm, ich bin so groß als Anbieter, dass andere einen größeren Vorteil davon haben,
  • 47:30 - 47:37
    sich mit mir zu verbinden, als ich einen Vorteil habe mich mit ihnen zu verbinden."
  • 47:37 - 47:40
    Gelächter
  • 47:40 - 47:41
    Und das macht die Deutsche Telekom,
  • 47:41 - 47:46
    die hat viele Kunden und sagt: Wer mit uns verbunden werden möchte,
  • 47:46 - 47:51
    wer mit uns "peeren" möchte, der möge bitte dafür zahlen
  • 47:51 - 47:55
    und übrigens: Ach du hast da schon ein Kabel nach Frankfurt zum DE-CIX liegen,
  • 47:55 - 47:59
    hm ja ist ungünstig, denn da sind wir nicht,
  • 47:59 - 48:03
    aber wir sind eben in Klein-Buxtehude und
  • 48:03 - 48:04
    ach du brauchst ein Kabel dahin?
  • 48:04 - 48:07
    Kein Problem, wir sind im "Loch Graben"-Business,
  • 48:07 - 48:08
    wir geben dir das Kabel.
  • 48:08 - 48:09
    Gelächter
  • 48:09 - 48:13
    Das heißt für einen Anbieter der sagt, er möchte mit der Deutschen Telekom verbunden werden,
  • 48:13 - 48:15
    ich baue jetzt ein Rechenzentrum oder was auch immer,
  • 48:15 - 48:19
    ich mache ein Server auf und möchte irgendwie am DE-CIX mit der Deutschen Telekom peeren,
  • 48:19 - 48:22
    dann sagen die: Ja wie viel hast du denn?
  • 48:22 - 48:27
    Ist die Standardantwort, die die Telekom immer gibt: Klar geht!
  • 48:27 - 48:37
    Applaus
  • 48:37 - 48:42
    Und das ist passiert, die letzten zehn Jahre in Deutschland.
  • 48:42 - 48:46
    Das hat dazu geführt, dass die ganzen Anbieter ja irgendwie
  • 48:46 - 48:49
    trotzdem die tollen Telekom-Kunden haben wollen.
  • 48:49 - 48:52
    Sie möchten ja irgendwie ihre Inhalte zu diesen vielen Nutzer bringen,
  • 48:52 - 48:56
    ist ja nun mal der größte Internet-Provider in Deutschland.
  • 48:56 - 49:03
    Also gehen sie folgenden Weg:
  • 49:03 - 49:05
    Machen ein Peering-Vertrag mit Level 3.
  • 49:05 - 49:08
    Level 3 wiederum ist so groß,
  • 49:08 - 49:10
    dass selbst die Telekom kleiner ist
  • 49:10 - 49:13
    Gelächter
  • 49:13 - 49:17
    und sagt: Ja okay, bei uns gibt es Internet Punkt.
  • 49:17 - 49:22
    Die bieten an, wenn du dich mit uns,
  • 49:22 - 49:25
    wenn wir dein neues Internet sind und wir mit dir peeren,
  • 49:25 - 49:29
    dann gibt es alle Verbindungen, auch die zur Deutschen Telekom,
  • 49:29 - 49:33
    die interessanterweise in Deutschland eben teurer gewesen wäre.
  • 49:33 - 49:37
    Das heißt um als deutscher Anbieter mit der Telekom
  • 49:37 - 49:40
    bzw. mit den Telekom Kunden vernünftig verbunden zu sein,
  • 49:40 - 49:42
    gehe ich lieber einen kleinen Umweg.
  • 49:42 - 49:52
    Applaus
  • 49:52 - 49:56
    Denn die physikalische Distanz, äh die Leitungsgeschwindigkeit
  • 49:56 - 49:59
    korreliert nicht nennenswert mit der physikalischen Distanz.
  • 49:59 - 50:01
    Das ist etwa eine Millisekunde mehr,
  • 50:01 - 50:04
    aber dafür habe ich eine vernünftige Anbindung zu den Telekom Kunden.
  • 50:04 - 50:07
    Diese Politik der Telekom hat dazu geführt,
  • 50:07 - 50:09
    dass sich ein Schlandnet nicht automatisch ergeben hat.
  • 50:09 - 50:13
    Unabhängig davon ob ein Schlandnet jetzt eine gute oder schlechte Idee ist.
  • 50:13 - 50:15
    Aber es ist der Telekom zu verdanken,
  • 50:15 - 50:19
    dass wir keines haben.
  • 50:19 - 50:20
    Und jetzt kann man sich natürlich überlegen,
  • 50:20 - 50:26
    natürlich ist die Telekom nicht besonders glücklich über diese entgangenen Kunden
  • 50:26 - 50:29
    und es wäre natürlich schöner wenn die alle direkt bei der Telekom zahlen würden,
  • 50:29 - 50:32
    aber das tun sie ja nicht, weil es ja ein unregulierter Markt ist
  • 50:32 - 50:35
    und die Leute sich aussuchen können mit wem sie peeren.
  • 50:35 - 50:38
    Wenn wir jetzt ein Schlandnetz hätten und sagen:
  • 50:38 - 50:41
    Ja hier per Dekret, alles muss innerhalb von Deutschland geroutet werden,
  • 50:41 - 50:45
    dann gibt es eine große Firma in Deutschland die sehr davon provitieren würde
  • 50:45 - 50:51
    und das ist die Telkom und die wird natürlich dann sagen, was sie immer sagt:
  • 50:51 - 50:55
    Machen wir! Denn die internationale Konkurrenz ist ja dann weg.
  • 50:55 - 50:58
    Das wäre also der Schritt der jetzt hier notwendig wäre,
  • 50:58 - 51:00
    so das ganze andere deutsche Internet,
  • 51:00 - 51:02
    es ist nicht nur das deutsche Internet,
  • 51:02 - 51:04
    der DE-CIX, da peeren irgendwie halb Europa,
  • 51:04 - 51:06
    die ganze Welt, was weiß ich.
  • 51:06 - 51:08
    Jetzt stellt sich aber heraus,
  • 51:08 - 51:11
    der DE-CIX hat aber auch gerade Problem in den Medien,
  • 51:11 - 51:14
    denn es halten sich markante Gerüchte,
  • 51:14 - 51:19
    dass dort sowohl deutsche als auch US-Amerikanische Geheimdienste an den Kabeln schnorcheln.
  • 51:19 - 51:24
    Das heißt ein Schlandnet sähe dann irgendwann eher so aus.
  • 51:24 - 51:25
    Gelächter
  • 51:25 - 51:27
    Und das heißt, auch da haben wir keinen Gewinn,
  • 51:27 - 51:31
    wir können nicht.. wir haben die gleiche Situation wie vorher,
  • 51:31 - 51:34
    es ist nur jemand anderes der uns abhört.
  • 51:34 - 51:36
    Also Fazit zum Schlandnet:
  • 51:36 - 51:42
    Es löst keine Probleme sondern zentralisiert sie.
  • 51:42 - 51:45
    Es widerspricht den physikalischen Gegebenheiten der "Leitungen",
  • 51:45 - 51:47
    denn die Kabel liegen nun mal nicht so,
  • 51:47 - 51:49
    dass sie am Ende der Ländergrenze sagen:
  • 51:49 - 51:52
    "Oh whoops jetzt ist hier einfach mal nicht mehr".
  • 51:52 - 52:00
    Es erhält bzw. erhöht die Überwachungsmöglichkeiten für deutsche Dienste
  • 52:00 - 52:05
    und es erhöht die Marktmacht und den Umsatz der deutschen Telekom
  • 52:05 - 52:09
    und ganz oben drein ist die bisherige Politik der deutschen Telekom Hauptgrund dafür,
  • 52:09 - 52:14
    dass sich kein Schlandnet ergeben hat.
  • 52:14 - 52:20
    Letztes Thema: Cloud Das ist..
  • 52:20 - 52:23
    ursprünglich wollte ich dieses Thema sehr viel ausführlicher behandeln,
  • 52:23 - 52:28
    aber, die anderen Themen habe ich mir dann doch gedacht, sind ganz nett.
  • 52:28 - 52:30
    Eigentlich ist zu der Cloud nur eines zu sagen,
  • 52:30 - 52:36
    das hat Frank Rieger vor wenigen Wochen dem Réne Obermann von der Deutschen Telekom persönlich gesagt:
  • 52:36 - 52:38
    "Ihre Daten sind woanders, und Sie wissen nicht wo.
  • 52:38 - 52:40
    Davon halte ich prinzipiell nichts."
  • 52:40 - 52:41
    Damit ist das..
  • 52:41 - 52:52
    GelächterApplaus
  • 52:52 - 52:55
    Also an dieser Stelle gilt natürlich das Wort des Gelehrten
  • 52:55 - 52:58
    und das Thema ist eigentlich abschließend behandelt.
  • 52:58 - 53:00
    Gelächter
  • 53:00 - 53:02
    Nichts desto trotz, wird natürlich..
  • 53:02 - 53:06
    muss man sich die Situation für Cloud in Deutschland ist echt schlimm,
  • 53:06 - 53:10
    also es gibt einfach keine nennenswerten Cloud-Anbieter
  • 53:10 - 53:13
    und die deutschen Geheimdienste sitzen da und sagen scheiße den ganzen Tag
  • 53:13 - 53:15
    und irgendwie bei den Amis..
  • 53:15 - 53:17
    und die deutschen Anbieter sitzen da und sagen Mist,
  • 53:17 - 53:22
    wir haben keine Kunden.. Auch da wieder das große magentafarbene "T",
  • 53:22 - 53:27
    das jahrelang irgendwie es verpasst hat auf diesen Cloud-Zug aufzuspringen.
  • 53:27 - 53:30
    Cloud war echt der heiße Scheiß
  • 53:30 - 53:32
    und alle machen es nicht in Deutschland.
  • 53:32 - 53:40
    Schon vor 2-3 Jahren bin ich dann das erste mal über so Bemühungen
  • 53:40 - 53:43
    des Bundesamts für Sicherheit in der Informationstechnik,
  • 53:43 - 53:49
    dem Wirtschaftsforderungsorgan der Bundesrepublik Deutschland in diesem Bereich gestoßen
  • 53:49 - 53:56
    wo dann gesagt wurde: "Ja, wir machen jetzt hier so ein Eckpunktepapier "Cloud"
  • 53:56 - 53:58
    und dann machen wir so Kriterien
  • 53:58 - 54:03
    und wenn man so drei Checkmarks muss man mindestens haben
  • 54:03 - 54:04
    und wenn man dann noch zwei mehr hat,
  • 54:04 - 54:08
    dann kann man seinen Dienst nicht Silber
  • 54:08 - 54:14
    sondern Bronze nennen und dann ist das eine Cloud der Klasse C+" oder so,
  • 54:14 - 54:18
    so dass dann irgendwie relativ einfach zugeschnittene T-Systems Cloud
  • 54:18 - 54:19
    sich irgendwie dran schreiben kann:
  • 54:19 - 54:24
    "Hier Platin und alle super. Deutsch und deutsch und deutsch.."
  • 54:24 - 54:26
    Dann habe ich mir das so angeschaut
  • 54:26 - 54:28
    und da habe ich mich schon vor einem Jahr so ein bisschen drüber lustig gemacht
  • 54:28 - 54:30
    und ein bisschen drüber geärgert,
  • 54:30 - 54:33
    weil natürlich auch hier der eine entscheidende Punkt,
  • 54:33 - 54:37
    der EINE entscheidende Punkt, der eine Cloud akzeptabel macht ist:
  • 54:37 - 54:40
    Ist wenn ich eine Ende zu Ende Verschlüsselung rein baue.
  • 54:40 - 54:44
    Das heißt ich nehme Dateien, die ich in die Cloud werfe
  • 54:44 - 54:47
    und verschlüssele sie vorher auf meinem Rechner
  • 54:47 - 54:51
    und zwar so, dass der Cloud Anbieter dieses Passwort nicht hat,
  • 54:51 - 54:57
    das heißt ich degradiere den Cloud-Anbieter zu einer Festplatte.
  • 54:57 - 54:59
    Das ist das was ich mit meinen Dateien mache.
  • 54:59 - 55:02
    Ich war jahrelang Dropbox-Nutzer,
  • 55:02 - 55:03
    jetzt habe ich mir gedacht,
  • 55:03 - 55:06
    dass mir das Geld dafür zu schade ist. Aber ich habe einfach alle Dateien,
  • 55:06 - 55:08
    die ich da rein blase vorher verschlüsselt
  • 55:08 - 55:11
    und dann kann ich auch mit jedem Cloud-Anbieter arbeiten.
  • 55:11 - 55:12
    Das wäre ein schöner Standard gewesen,
  • 55:12 - 55:14
    wenn das BSI gesagt hätte:
  • 55:14 - 55:17
    "Ok super, wir prüfen, dass das vernünftig gemacht wird
  • 55:17 - 55:20
    und dann könnt ihr hier einen auf deutsche Cloud machen."
  • 55:20 - 55:23
    Haben sie aber nicht.
  • 55:23 - 55:26
    Und dann habe ich so gedacht, naja, wer hat die denn beraten?
  • 55:26 - 55:38
    GelächterApplaus
  • 55:38 - 55:40
    Auch hier wieder die Anfrage der Linken:
  • 55:40 - 55:43
    Technologiewettbewerb, sichere Internetdienste,
  • 55:43 - 55:50
    sicheres Cloud-Computing für Mittelstand und öffentlichen Sektor (trusted Cloud).
  • 55:50 - 55:56
    Workshop zur zukünftigen IT-Strategie: Vision 2021
  • 55:56 - 56:03
    Und: Beratungsleistung zu Review TKÜ-Aufbau BKA.
  • 56:03 - 56:36
    GelächterApplaus
  • 56:36 - 56:38
    Herald: Super, vielen Dank Linus für diesen
  • 56:38 - 56:41
    sehr informativen und vor allem auch außerordentlich erheiternden Vortrag!
  • 56:41 - 56:42
    Danke schön, das war richtig cool.
  • 56:42 - 56:44
    Wir haben noch ein paar Minuten Zeit,
  • 56:44 - 56:48
    ich würde sagen zwei Fragen. Wir haben hier Saalmikrofone.
  • 56:48 - 56:52
    Hier rennt einer, der hat es ganz besonders dringend, du hast die erste Frage.
  • 56:52 - 56:58
    Und jemand der es auch sehr dringend hat. Bitte schön, du zu erst.
  • 56:58 - 57:03
    Frage: Ich wollte fragen, ob dieser Giersch der das Recht für den D-Mail Namen hat,
  • 57:03 - 57:07
    ob das der selbe Daniel Giersch ist, der auch das Recht für "G-Mail" hatte,
  • 57:07 - 57:11
    weswegen man in Deutschland "G-Mail" "Googlemail" nennen musste?
  • 57:11 - 57:20
    GelächterApplaus
  • 57:20 - 57:33
    Linus: Ja, ja! Ja diese Person ist sehr bekannt für derartige Dinge.
    Gelächter
  • 57:33 - 57:35
    Aber ich glaube ich das der auch ziemlich gute Anwälte hat,
  • 57:35 - 57:37
    deswegen möchte ich dazu nicht so viel sagen.
  • 57:37 - 57:42
    GelächterApplaus
  • 57:42 - 57:45
    Linus: Sie haben auf jeden Fall ganz gute..
  • 57:45 - 57:51
    also seine Anwälte haben auf jeden Fall immer ganz gute Verträge ausgehandelt und äh..
  • 57:51 - 57:54
    sehr geschäftstüchtiger junger Mann.
  • 57:54 - 57:55
    Herald: Du kannst die nächste Frage stellen.
  • 57:55 - 58:00
    Frage: Mich interessiert ob in Anbetracht des Grundgesetzes Paragraph 10,
  • 58:00 - 58:06
    das nicht ein schwerwiegendes Verbrechen ist, wenn die diese E-Mail unverschlüsselt abholen können?
  • 58:06 - 58:11
    Linus: Ich äh, du müsstest jetzt nochmal kurz den Artikel 10 zitieren?
  • 58:11 - 58:11
    Gelächter
  • 58:11 - 58:13
    Brief und Post und Fernmeldegeheimnis vermute ich?
  • 58:13 - 58:17
    Frage: Es geht um das Fernmeldegeheimnis, genau.
  • 58:17 - 58:24
    Linus: Ähm, das kann ich nicht beurteilen, du musst das so sehen, es war..
  • 58:24 - 58:32
    (Gemurmel ohne Mikro im Publikum "Wir haben doch Hackerparagraphen")
    Herald: Bitte hier steht ein Mikro
  • 58:32 - 58:35
    Linus: Peter möchte gerade darauf hinweisen, dass es eigentlich darum geht,
  • 58:35 - 58:38
    das Ausnahmen nur durch ein Gesetz geregelt werden können..
  • 58:38 - 58:41
    Frage: Genau und diese gesetzliche Regelung hast du ja vorhin aufgezeigt,
  • 58:41 - 58:43
    insofern ist das quasi umgangen.
  • 58:43 - 58:47
    Juristische Lösung für ein anders geartetes Problem.
  • 58:47 - 58:52
    Linus: Noch ganz kurz: E-Mails unverschlüsselt abholen ist so eine Unsitte,
  • 58:52 - 58:58
    die um sich greift, die einfach auch so auf alten
  • 58:58 - 59:02
    in alten Bereichen noch relativ verbreitet ist.
  • 59:02 - 59:06
    Was die Deutsche Telekom hier macht und GMX und Web.de
  • 59:06 - 59:09
    ist natürlich das so ein bisschen auf Kosten der Altnutzer.
  • 59:09 - 59:14
    Die Altnutzer die irgendwie eine Jahre alte Konfiguration fahren
  • 59:14 - 59:16
    werden halt noch unverschlüsselt bedient,
  • 59:16 - 59:19
    aber für den Werbeeffekt ist das ja egal.
  • 59:19 - 59:22
    Ich würde nicht unbedingt so weit gehen,
  • 59:22 - 59:25
    das als schwerwiegendes Verbrechen zu bezeichnen,
  • 59:25 - 59:27
    dafür fehlt mir die Kompetenz.
  • 59:27 - 59:34
    Das es ziemlich, ziemlich nachlässig und verantwortungslos ist - denke ich - ist offenkundig.
  • 59:34 - 59:39
    Frage: Das dürfte vertragsrechtsmäßig auf jeden Fall noch interessant sein.
  • 59:39 - 59:41
    Linus: I'm not a lawyer.
  • 59:41 - 59:43
    Herald: Du kannst die letzte Frage stellen
  • 59:43 - 59:46
    Frage: Ja, ich habe eine technische Frage: Ich habe kein DE-Mail Erfahrung,
  • 59:46 - 59:53
    aber, ist es möglich PGP oder nur PG bei DE-Mail zu nutzen
  • 59:53 - 59:57
    oder wird der Virenscanner diese Mail als Malware klassifizieren?
  • 59:57 - 60:04
    Linus: Das ist eine sehr sehr gute Frage, das machen solche Malwarescanner-Systeme
  • 60:04 - 60:08
    die dann auch bei Unternehmen zum Einsatz kommen.
  • 60:08 - 60:11
    Das sind ja Lösungen die man so kaufen kann,
  • 60:11 - 60:13
    da gibt es einen technischen Anbieter und sagt,
  • 60:13 - 60:17
    hier wir lesen alle deine E-Mails und sagen dir ob da Viren drinn sind
  • 60:17 - 60:21
    und wenn dann eine verschlüsselte E-Mail durch das System geht,
  • 60:21 - 60:27
    dann schreiben die vorher oben in den Betreff rein: "Achtung verschlüsselte E-Mail!"
  • 60:27 - 60:29
    und warnen davor.
  • 60:29 - 60:30
    Gelächter
  • 60:30 - 60:33
    Herald: Ok, alles klar, vielen Dank, dass du dir noch die Zeit genommen hast
  • 60:33 - 60:34
    zum Fragen beantworten.
  • 60:34 - 60:36
    Danke nochmal an Linus für diesen super geilen Vortrag!
  • 60:36 - 60:37
    Linus: Danke
  • 60:37 - 60:40
    Applaus
  • 60:40 - 60:48
    subtitles created by c3subtitles.de
Title:
Bullshit made in Germany
Video Language:
German
Duration:
01:00:48
  • geschrieben bis minute 4. versuche den rest heut noch zu tippen.

  • geschrieben bis minute 4. versuche den rest heut noch zu tippen.

  • Ich hab mal von Minute 14 bis 20 weitergeschrieben und teilweise auch den Text aus dem Pad mit rüber kopiert.

  • Bis 24:58 transkribiert

  • Deutsch der Text ist komplett, Timing ist maschinell gemacht, es fehlt nur noch ein Review!

  • Ich hab mal angefangen ins Englische zu übersetzen. Ich weiß nicht ob es sowieso geplant war aber ein Englischsprachiger Freund hat mich darum gebeten.

German subtitles

Revisions