Macht ihr mich laut? Bin ich laut? Sehr gut.

Okay, wir wollen euch die nächste Stunde was darüber erzählen, was in den letzten anderthalb Jahren, zwei Jahren zusammengebrochen ist. Nämlich, wenn man sich die Meldungen so anschaut, wirkt es, als wäre die gesamte Kryptographie kaputt. Aber wir wollen euch jetzt nichts über Mathe erzählen, weil mir wurde angedroht, das sollen wir nicht machen. Sondern wir wollen euch was erzählen über die Kryptokalypse und die gesellschaftlichen Auswirkungen und was wir dagegen tun können.

Das heißt, wir werden anfangen mit dem kurzen Katastrophenrückblick. Das heißt, Revue passieren lassen, was waren die größten Sicherheitsprobleme der letzten anderthalb Jahre. Und das nicht nur auf kryptographischer Ebene, sondern auch auf politischer Ebene. Und dann wollen wir sagen, was sind die Hauptursachen, was sind die Kategorien, in die wir das einteilen können.

Und was können wir gegen diese einzelnen Fehlerursachen oder gegen diese einzelnen Katastrophenursachen tun? Und kriegen wir irgendwas hin, können wir Krypto wieder vertrauenswürdig machen, können wir was tun, damit es sicherer wird und können wir was dafür tun, dass es die nächsten anderthalb Jahre vielleicht nicht so weitergeht. Wir wollen damit anfangen, dass wir schauen, wie viele Sicherheitsprobleme gab es denn.

Und eine ungefähre Metrik sind die Common Vulnerability and Exposure. Das ist ein System, um Sicherheitslücken standardisiert beschreiben zu können und kategorisieren zu können. Und wenn wir uns die anschauen, sehen wir, dass Sicherheitslücken potentiell über die Jahre in der Anzahl gewachsen sind.

Wozu wir aber auch sagen müssen, dass wir das nicht absolut einfach so betrachten können, sondern dass da immer ein gewisser Bias drin ist. Nämlich, es ist ja prinzipiell gut, wenn mehr Sicherheitslücken erkannt werden. Weil das heißt ja nicht nur, weil weniger erkannt werden, dass weniger da sind.

Manchmal, bei manchen Sicherheitslücken haben wir Probleme zu kategorisieren, in welche Kategorie fallen die. Und deshalb passiert es auch bei diesen Statistiken, dass manchmal einfach mehrere Sicherheitslücken zweimal, dreimal in diesen Statistiken auftauchen, weil sie unter verschiedenen Kategorien laufen. Oder man manchmal ein Sicherheitsproblem hat, das sich aus so vielen Lücken zusammensetzt, dass man es zusammenfassen muss

und dass es nur als eine einzige Sicherheitslücke auftaucht. Außerdem haben wir weiterhin ein Ungleichgewicht, weil natürlich ist Software, die verbreitet ist, öfter untersucht worden. Das heißt, wir haben dieses Zitat aus einer CVE-internen Mailingliste, wo natürlich ganz klar, Microsoft-Produkte werden öfter überprüft als PHP Golf,

was quasi ein Synonym ist für Programme, die keiner kennt, keiner benutzt, die irgendwann mal ein Student geschrieben hat und hochgeladen hat, wo halt ein Sicherheitsproblem drin ist, das aber faktisch einfach niemanden betrifft. Wir wollen damit anfangen, bei der Beschreibung von Sicherheitsproblemen, die

in den letzten anderthalb Jahren vorgekommen sind, mit den dümmsten anzufangen. Das heißt, mit den Problemen, die man eigentlich nicht haben muss. Wir haben mehrmals erfahren, dass es Software gibt, die vorgibt, zu verschlüsseln, es aber nicht tut. Wir haben zuletzt, glaube ich, von NQ Vault erfahren, irgendwie durch eine Golemmatik. Und da war es eben so, dass angeboten wurde, auf dem Smartphone Daten zu verschlüsseln.

Aber in der Realität war es immer so, dass die ersten 128 Byte verschlüsselt waren. Und das konnte man auch nicht Verschlüsselung nennen, weil im Endeffekt gab es nur eine relativ primitive X-offer-Genüpfung. Und es ist einfach wirklich keine Verschlüsselung dagewesen. Wir haben auch noch diese typischen Fehler, bei denen man sich denkt, warum, warum muss das sein, wenn man sich überlegt,

dass bei dem TV-Mont-Tech zum Beispiel einfach das Passwort hinten an der Wand geklebt hat und es einfach keine Operation Security gab. Das Leute sich irgendwie Passwörter ausdenken, die banal sind und man sowas eigentlich nicht haben muss. Aber es gibt auch die wirklichen Sicherheitsprobleme. Wir hatten Shellshock. Shellshock hat dazu geführt, dass man auf, dass wenn man die Bash,

also quasi die Kommandezeile benutzt, die wir standardmäßig quasi bei Unix-UIDen-Systemen benutzen, dass wenn man Variablen eingeführt hat, die das System kennt und da Funktionen dran gehängt hat, dass diese Funktionen eventuell später mit höheren Zugriffsrechten ausgeführt wurden, als diese Variable eingebracht wurde

und dadurch eben es möglich war, jeden beliebigen Befehl auszuführen, den man ausführen wollte. Eine große Gruppe von Katastrophen, die uns passiert ist, ist das ganze SSL- und TLS-Desaster. Das heißt, eine verschlüsselte Ende-zu-Ende-Kommunikation von einem Client zu einem Server. Wir hatten ziemlich viele Vorfälle. Wir hatten als erstes GoToFail, ein Klassiker.

Man sieht im Prinzip, selbst wenn man nicht programmieren kann oder sich nicht unbedingt denken kann, was das alles bedeutet, dass dieses zweimal GoToFail und GoToFail vielleicht nicht das ist, was man haben will, weil es dazu führt, dass wenn ich das Zertifikat eines Servers überprüfen will

und diesen bestimmten Zustand erreiche, dass ich dann immer nicht in das erste GoToFail gehe, wenn es einen Fehler gibt, sondern es immer tue, auch wenn es keinen Fehler gibt, und dann einfach die Verifizierung dieses privaten Schlüssels einfach nicht vornehme. Das heißt, jeder kann sich einschalten, jeder kann sagen, ich besitze diesen privaten Schlüssel, indem er diesen Fehler auslöst und dann quasi seine Identität vorgeben.

Wir hatten Heartbleed. Heartbleed war relativ früh. Und Heartbleed beruhte darauf, dass es für OpenSSL eine Heartbleed-Extension gab, die immer mal wieder den Server angesprochen hat, um zu sagen, hey, bist du noch da? Und normalerweise hätte es so laufen sollen, dass jemand einfach ein paar Buchstaben schickt,

sagt, ich schicke dir ein Wort mit vier Buchstaben zum Beispiel, und der Server antwortet dann mit genau diesem Wort mit den vier Buchstaben. Jetzt war es aber so, dass man auch einfach sagen konnte, hier, ich sende dir ein Wort, das hat 500 Buchstaben, hatte in der Realität zum Beispiel nur vier, und der Server hat das dann einfach aufgefüllt mit den nächsten quasi 496 Buchstaben, die im Speicher waren.

Das führte dazu, dass man einfach Daten rausgekriegt hat, zum Beispiel die Masterkeys von den Servern, Passwörter von Nutzern und alles andere Mögliche, was sensibel ist. Dann hatten wir Poodle. Poodle beruhte darauf, dass man den Server zwingen konnte,

auf eine unsichere SSL-Verbindung zurückzufallen. Das heißt, eigentlich wollen wir kein SSL 3.0 mehr. Viele unterstützen das aus Kompatibilitätsgründen, was dazu geführt hat, dass man runterverhandeln konnte, indem ihm dieser Mann in der Mitte, der der Angreifer war, gesagt hat, nee, TLS 1.2 spreche ich nicht, 1.1 auch nicht, 1.0 nicht, ich will SSL 3.0 machen,

was dazu geführt hat, dass er wiederum die Identität vorgeben konnte und den Verkehr mitlesen. Zuletzt aus dieser Gruppe gab es noch Freak Attack. Freak Attack hat eben auch ausgenutzt, dass man Sicherheitsstandards runtersetzen konnte,

dass man auf eine unsichere Version von RSA sich runtergehandelt hat beim sicheren Datenaustausch, was noch aus Zeiten der Cryptowars stammte, als man eben in den USA keine sichere Verschlüsselung exportieren konnte, was aber immer noch teilweise implementiert und unterstützt wird.

Ja, also Fehler kommen relativ häufig vor, teilweise wirklich für Informatiker peinlich häufig vor. Ich muss nochmal wiederholen, dieses Go-to-Fail war ein Fehler von Apple, wo es wirklich sehr grafisch da ist, dass da ein Problem ist. Also wenn man anfängt zu programmieren, dann ist das einer der ersten Orte, die man fehlt.

Und bei Freak hat man auch die Situation gehabt, dass das eine erhebliche Lücke war. Also insofern ist die Frage, wird es versucht zu patchen und da sind wir jetzt in einer relativ surrealen Situation, dass in den letzten zwei Jahren Microsoft mehr Fehler in diesem Bereich gemacht hat als in den zehn Jahren davor.

Ich habe auf dem Kongress ein Drittel meines Vortrags mit aktuellen Sicherheitsproblemen füllen können. Ich kann heute allerdings nur ein Viertel des Vortrags mit wirklich den heißen Security-Meldungen der letzten Wochen füllen. Warum heißen Security? Das ist eigentlich so ein sehr qualifizierter Sicherheits-Ticker

und auch eigentlich der Home-Ticker für sehr viele Windows-Admins. Also das sind Leute, die Windows irgendwie nicht negativ gestimmt sind. Insofern fand ich es eigentlich ganz interessant. Hier ist auch eine Ironie des Schicksals, dass jetzt im Beispiel Freak Angriff Microsoft sehr schnell gepatcht hat.

Es war sogar so schnell, dass sie vorher einen Hotfix rausgeschickt haben, also neben der offiziellen Patch-Strategie. Das Problem war nur, dieser Hotfix hat das System schwer beschädigt. Insbesondere gingen die normalen Updates dann nicht mehr voran, was natürlich sehr peinlich war.

Nächste Folie bitte. Heiße Security hat das dann relativ zynisch oder auch desillusioniert kommentiert. Ist ja nicht so schlimm, also inzwischen sind Microsoft-Anwender gewöhnt, dass es da Kummer gibt. Allerdings die Qualität dieser Fettnäpchen wurde nicht besser.

Wenn man sich jetzt Microsoft gelobt hat, dass sie im Fall Freaks zumindest versucht haben, das zu schnell zu patchen, kommen wir jetzt zum anderen Extremum. Der Austausch der Schar-1-Hash-Funktion, also einer Kontrollsummberechnung, die schon seit etwa 18 Jahren als gebrochen gilt, ist jetzt in den letzten Tagen in Angriff genommen worden.

Und hier passierte dann auch wieder was Übles. Microsoft hat auch diesen Update falsch gemacht. Und für uns besonders lästig war das, dass er irgendwie mitinstallierte Linux-Systeme massiv beschädigt hatte. Das System ging dann in eine Reboot-Schleife. Das klingt jetzt eigentlich lustiger als es ist.

Wir müssen daran denken, es gibt jede Menge Windows-Systeme, die in eingebetteten Systemen dran sind, wo so eine Reboot-Schleife wirklich die ganze Steuerelektronik durchaus in Probleme bringt. Also das ist eine Sache, die in der Industrie inzwischen alles andere als entspannt gesehen wird. In diesem aktuellen Fall natürlich nochmal zusätzlich ärgerlich,

dass Microsoft Windows nicht nur ihre eigenen Sachen kaputt macht, sondern die gesamte Boot-Sache zerstört. Mit anderen Worten ein ordentlich installiertes Linux bootet dann nicht, nachdem ein Windows-Update gemacht wird. Das ist natürlich sehr wenig befriedigend. Wir haben jetzt erfahren, dass wir Menschen haben, die Sicherheitsprobleme verursachen,

dass wir Software haben, die von Menschen gemacht ist, die Sicherheitsprobleme verursachen. Wir haben aber noch ein ganz anderes Problem. Wir haben kaputte Standards. Wir haben Standards, die kompromittiert sind von Geheimdienstbehörden, die bewusst geschwächt werden und damit quasi das gesamte Sicherheitskonzept ad absurdum führen.

Falscher Rechner. Wir haben Backdoors. Wir haben im September 2013 von einem relativ schwerwiegenden Backdoor erfahren. Das war ein Backdoor in einem Zufallsgenerator, der standardisiert war von NIST und der schon lange im Backdoor-Verdacht stand. Das ist das eigentlich kritische an der Sache, dass man nämlich schon wusste, da ist irgendwas faul.

Dieser Standard wurde von der NSA eingebracht, was nicht unbedingt ungewöhnlich ist. Das heißt, das ist quasi kein Alleinstellungsmerkmal dafür, dass wir einen Backdoor haben. Macht es aber vielleicht wahrscheinlich, vor allem wenn man sich bei manchen Punkten fragt, warum wird das gemacht, ist das irgendwie nachvollziehbar oder begründbar, was da in diesem Zufallsgenerator passiert.

Danach haben wir erfahren, dass es nicht nur diesen kompromittierten Standard gab, sondern dass RSA 10 Millionen Dollar von der NSA bekommen hat, um das eben in ihre B-Safe-Crypto-Library einzubauen und als Standard zu setzen. Das heißt, als default zu setzen. Das heißt, wir haben kaputte Standards, kaputte Menschen und kaputte Software.

Wir haben aber auch kaputte Hardware. Das heißt, wir haben in den letzten Monaten und Jahren immer wieder einen Trend gesehen, dass die Angriffe, die gefahren werden, auf immer tieferen Ebenen gehen. Das heißt, wenn wir sagen, wir kompromittieren Dinge auf Software-Ebene, haben wir eine ganz andere Möglichkeit, das vielleicht zu umgehen oder andere Software zu benutzen,

als wenn die Hardware kompromittiert ist. Das heißt, wir können nicht viel dagegen tun, dass wir ein BIOS haben, in dem quasi schon ein Rootkit drin ist, das dafür sorgt, dass immer, wenn wie bei LightEther ein Prozess gestartet wird, dass dieses Rootkit informiert wird und dass dieses Rootkit dann einfach Daten direkt aus dem Arbeitsspeicher lesen kann.

Das heißt, wir können uns private Schlüssel zulegen, wie wir wollen. Wenn dieses Rootkit diesen privaten Schlüssel einfach aus dem Arbeitsspeicher lesen kann, bringt uns das überhaupt nichts mehr. Das haben wir auch gesehen bei dem Gemalto-SIM-Karten-Hack. Das war, als bekannt wurde, dass NSA und GCHQ bei Gemalto-SIM-Karten-Keys direkt abgegriffen haben.

Was bedeutete, dass damit die Verschlüsselung zwischen dem Telefon und dem Funkmast quasi gebrochen werden konnte, ohne dass es eine Möglichkeit gab, das zu bemerken. Was aber auch ermöglicht hat, dass SIM-Karten gefälscht werden konnten und damit Menschen inkorporiert werden konnten.

Das heißt, man konnte quasi eine SIM-Karte klonen. Und was noch dreister ist, ist eigentlich, um dann zu verdecken, dass man extra Datenverkehr hat, wurden sogar noch die Rechnungen gefälscht. Das heißt, man hat wirklich Daten, die dann wieder an den Provider gesendet wurden, einfach verfälscht. Ein weiteres Problem neben der Hardware ist unsere Politik.

Das heißt, wir hatten Meldungen von Cryptowars 3.0. Wir hatten wieder Forderungen dagegen, dass man nicht mehr sicher verschlüsseln muss in diesem Cyberraum, weil sonst ja die Polizei keinerlei Möglichkeit hat, gegen die bösen Terroristen zu ermitteln, wenn die einfach so ihre Kommunikation verschlüsseln können.

Das heißt, man forderte, und zwar von verschiedenen Seiten, man forderte von Seiten Obamas, man forderte von Seiten von Cameron und man forderte von Seiten von Demisier, dass man eventuell eine verbindliche Schlüsselhinterlegung verpflichtend machen soll, die eben dann im Tampf gegen Terror als Reaktion auf die Charlie-Hepto-Anschläge helfen soll,

eben die Bösenverdächtigen zu fangen. Das Ganze wurde verglichen mit einer Hausdurchsuchung, weil man ja sagte, ja bei einer Hausdurchsuchung bei den Kriminellen haben wir ja die gleichen Möglichkeiten, wobei man einfach sagen muss, dass diese Analogie unglaublicher Irrsinn ist, weil bei einer Hausdurchsuchung merkt man, dass das Haus durchsucht wird, und man hat die Möglichkeit sich einen Beistand zu holen, zumindest theoretisch,

und eben ganz andere Eingriffsmöglichkeiten. Das war das, was wir euch ungefähr vorstellen wollten. Und jetzt wollen wir uns fragen, ist es kaputt oder können wir noch irgendwas dagegen machen? Und haben versucht, ungefähr die Fehlerkategorien mal runterzubrechen.

Die erste Fehlerkategorie ist natürlich der Mensch, das haben wir gesehen bei dem TV5-Hack. Es gab einfach keine Operation Security, keine guten Nutzer, sind meistens relativ schlecht aufgeklärt, was quasi gutes Verhalten angeht, oder sie tun es trotzdem nicht, auch wenn sie es wissen. Ich glaube, jeder kennt jemanden, TM, der schlechte Passwörter hat,

der Passwörter unter acht Zeichen hat. Und das ist sowohl im Privaten so, als auch im Beruflichen. Das heißt, Leute, die in ihrem Job mit sensiblen Daten umgehen, machen das nicht unbedingt besser. Das heißt, die Software kann noch so gut sein, wenn das Passwort an der Wand klebt, bringt uns das überhaupt nichts. Das Problem zwei, was sich sehr hartnäckig hält, sind unsichere Systeme an sich.

Wir haben erfahren, dass in der Berliner Verwaltung immer noch mit Windows XP gearbeitet wird, auch wenn der Support schon vor über einem Jahr eingestellt wurde. Dann hat der Berliner Datenschutzbeauftragte gesagt, das kann eigentlich gar nicht sein. Die Gefahr, dass dann wieder so etwas passiert wie bei Tifamont, ist einfach unglaublich groß.

Wir erleben aber auch, dass Sicherheit oder Maßnahmen wieder zurückgestellt wurden. Wir haben damals auf Netzpolitik veröffentlicht, dass das LKA in Niedersachsen, das ursprünglich mal Linux eingeführt hatte, wieder auf Windows zurückgerudert hat. Die Gründe, darüber kann man reden, aber einer der Gründe war eben,

die uns aus einer Kommunikation bekannt waren, dass die Nutzer, weil sie auf den Linux-Rechnern die USB-Ports nicht benutzen konnten, aus Sicherheitsgründen und die CD-Laufwerke, weil das abgeschaltet war, um eben Sicherheit zu geben, sich einfach parallel Windows-Rechner hingestellt haben, in denen das ging. Vollkommen an jeder Sicherheit vorbei.

Und das wurde quasi als Grund genommen zu sagen, wir führen jetzt Windows wieder ein, weil die Nutzer wollen das ja eh nicht. In der Software, wenn wir in die Sicherheit von Software gehen, haben wir natürlich einen menschlichen Faktor. Bugs sind in jeder Software drin.

Das heißt, die Industrie schätzt 15 bis 50 Bugs auf 1.000 Zeilen Code. Und wenn wir uns überlegen, dass so Software nicht nur 1.000 Zeilen Code hat, sondern aber tausende Zeilen von Code, wissen wir, da ist ein Fehler drin. Das können wir nicht vermeiden. Und wir müssen endlich aufhören, damit diejenigen, die diese Bugs verursachen, anzuschuldigen und an den Pranger zu stellen, wie das bei Heartbleed passiert ist,

auch wenn der Fehler, der gemacht wurde, relativ stupide war. Wir müssen aber uns an die eigene Nase fassen, zumindest die, die in der Lage dazu sind, die Software selber anzugucken und die Software zu auditieren. Und das müssen Mechanismen geschaffen werden, um Software auditieren zu können. Ein weiteres Problem ist eben Legacy-Software.

Das heißt, selbst wenn ich selber Software programmiere und mich um einen Audit kümmere, ich greife meistens auf Libraries zurück, ich greife auf Systeme zurück. Ich muss immer dem, was quasi unter der Schicht ist, die ich aufsetze, vertrauen. Und wir können einfach, wenn wir vor allem keine Open-Source-Software haben, einfach nicht wissen, was da passiert.

Eine weitere Fehlerquelle im Menschlichen und im Programmieren ist einfach schlechtes Software-Engineering. Es gibt Methoden, es gibt das Vier-Augen-Prinzip, das heißt, dass nicht der Programmierer alleine auf seinen Code draufguckt. Es gibt Code-Reviews. Natürlich, das ist alles keine Garantie dafür, dass wir keine Fehler mehr in der Software haben, aber es ist zumindest eine notwendige Bedingung dafür.

Ja, und drastisch ist eigentlich auch die Problemlage im Bereich der Hintertüren. Und da muss ich jetzt doch mal ein paar harte Informatikworte machen, wenn man Closed Source hat. Also wenn niemand in den Code reingucken kann, ist es wirklich eine relativ beliebte Fingerübung für Kryptografen,

dann Nachrichten herauszuschmucken. Auch nochmal ein anderer Punkt, auf der nochmal hinzuweisen ist, also jetzt mit diesen neuen UFI-Systemen gibt es wirklich die Situation, dass, wie Anna richtig gesagt hat, auf der untersten Ebene schon Schlüssel abgefangen werden können. Das Drastische ist, dass teilweise auf dieser untersten Ebene dann auch noch Netzverbindungen hergestellt werden können.

Also Hintertüren sind wirklich ein echtes riesiges Problem. Und wenn man nicht in den Code reinschauen kann, dann ist man wirklich, und das sage ich sogar in einem harten Informatik-Sinn, beweisbar hilflos. Freie Software ermöglicht, dass wir in den Code reingucken.

Wir haben gesehen, um es mal ganz klar zu sagen, es ist auch eine Schande für die Informatik, was im Open-Source-Bereich gegangen ist, dass wirklich niemand auf diese Open-Source-Sicherheitsprobleme aufmerksam geworden ist. Oder nur sehr spät, im Fall von Heartbleed und insbesondere auch im Fall von Go2Fail,

wurde das gefunden, aber nach einer schmerzhaft langen Zeit. Also durchaus in der Open-Source-Szene ist da auch ein Anlass zur Selbstkritik. Aber ich muss noch mal ganz klar sagen, Open-Source tut jedenfalls Backdoors sehr, sehr schwierig machen. Also insofern ist es wirklich eine notwendige Bedingung, dass wir den Code ansehen können.

Die Leute, die jetzt Open-Source gegen andere Sachen abwägen, sagen dann immer, es gibt auch Scherz-Source-Konstruktionen oder veröffentlichten Source-Code mit restriktiven Lizenzen. Das ist richtig. PGB oder Kryptophon sind normale kommerzielle Produkte, wo allerdings der Source-Code veröffentlicht wurde.

Also wer es genau definieren will, kann man sagen, lesbarer Source-Code ist eine notwendige Bedingung, um Backdoors zu verweihen, ist aber keine hinreichende Bedingung, weil offensichtlich hat die ganze Community und auch die Anwender von Open-Source bisher nicht die Notwendigkeit gesehen, da ordentlich reinzuschauen.

Aber ich möchte es nochmal betonen, Open-Source ist wirklich eine großartige Errungenschaft und auch im Bereich der Kryptographie ist es wirklich eine Sache, wo man sehr erfreut sein muss. Ich weiß, hier ist eine Konferenz, wo viele Leute vorne stehen und sagen, hier ist eine Revolution, die alles ändert. Man ist da in der Tat kritisch, insofern möchte ich vorausschicken,

das Gute an der Sache ist, es kostet nichts und ihr müsst auch keinen Mathematiker einstellen. Die ganzen mathematischen Forschungen sind veröffentlicht, die werden evaluiert in der Wissenschaftsgemeinde, dafür muss niemand zahlen. Open-Source ist auch so, dass der Programm zunächst mal kostenlos zur Verfügung gestellt wird.

Also insofern ist es eine erfreuliche Sache, die Tools, um das Spiel dramatisch zu ändern, liegen einfach da, sie müssen eingesetzt werden. Nochmal, die Snowden-Veröffentlichungen haben wirklich herausgefunden, erstens die Kryptographie hält. Es gibt ein paar Randbereiche, wo Kryptographen schon seit 10 Jahren oder 20 Jahren warten,

Warnen im Bereich der Hechtfunktion Schar 1, im Bereich RC 4. Verschlüsselungen haben wir gewarnt und werden heute jetzt ein bisschen stärker gehört, aber insgesamt wackelt die Kryptographie nicht. Die Open-Source wackelt in den meisten Fällen auch nicht. Wenn wir da nachlesen, hat Snowden sein Leben an GPG anvertraut

und auch die Analyse der bisherigen NSA-Peber zeigt, dass Gnu Privacy Guard ein freies Tool ist, was wirklich eine große Menge an Sicherheit macht. Also die gute Nachricht A, es sind Tools da, um das Spiel zu enden. Die schlechte Nachricht ist, dass es trotzdem kaum jemand einsetzt

und das ist, glaube ich, einer der Hauptsachen, die wir bei dem Vortrag adressieren. Die Sachen sind da, ihr braucht sie nicht kaufen, ihr braucht niemanden bezahlen dafür. Benutzt sie bitte. Nächste Folie. Der letzte Punkt, den ich nochmal sagen muss. Open-Source-Community hat ein Problem der Qualitätssicherung.

Muss man ganz klar sagen, diese Heartbleed-Sachen hätten nicht passieren dürfen. Dieses Go-To-Fail hätte nicht passieren müssen. Insofern ist in meinen Augen aber eine Notwendigkeit für Industrie- und staatliche Stellen, die Open-Source einsetzen. Und man kann einfach die konservativen Wirtschaftswissenschaftler aufrufen.

Die staatlichen Behörden und die Industrie sparen Millionen und vielleicht sogar Milliarden durch den Einsatz von Open-Source. Ich glaube, dass es für staatliche Stellen eine juristische Verpflichtung und für die Industrie auch eine moralische und auch eine kommerzielle Verpflichtung ist, hier im Bereich der Open-Source-Sicherheitsevaluation eigene Anstrengungen vorzubringen.

Die zweite interessante Sache, weil wir ja auch ein Bereich sind, wo Community und leichte Anwendbarkeit durchaus ein sehr wichtiger Punkt ist. Ich möchte darauf hinweisen, auch in diesem Bereich gibt es einige Entwicklungen.

Ein sehr schönes Tool ist zum Beispiel HTTPS Everywhere von der Electronic Frontier Foundation. Das installiert man einmal und das ist nicht schwierig. Die Web-Anwender haben über 70 Prozent, was in anderen Talks nur mit mäßiger Freude aufgenommen wurde, ein Adblocker installiert.

Es ist ein etwa genauso großer Aufwand, etwas geringer in meinen Augen sogar, ein HTTPS zu installieren, was einfach Folgendes macht. Wir geben eine normale Web-Adresse ein und dieses Tool versucht, automatisch auf eine sichere Verbindung zu gehen. Das ist völlig transparent, es einmal installiert und er ändert das Spiel schon relativ dramatisch.

Ein weiterer Punkt ist, wo es eigentlich relativ witzig ist, dass einige Anmerkungen, die bisher auf der Bidebene waren, wirklich riesige gesellschaftliche Auswendungen haben. Ein Beispiel ist, dass wir zunächst einmal an Firmen und staatliche Behörden

durchaus verlangen sollten, dass die starke ordentliche Kryptographie waren. Ein schönes Beispiel ist Perfect Forward Secrecy. Das war eine Konstruktion, die vereinfacht gesagt, schlicht und einfach sagt, jede Verbindung kriegt einen neuen Schlüssel. Vergiss mal in die ganze Mathematik, die ganze Kryptographie. Wenn jede Verbindung einen eigenen Schlüssel hat,

dann bedeutet das, dass irgendwie Angreifer, das können staatliche Behörden mit irgendwelchen gerichtlichen Sachen, das können aber auch normale Angreifer sein, jeweils einen Schlüssel angreifen und damit nur eine Verbindung komprimitieren. Was ist die Alternative? Und das ist eine Alternative, die zum Beispiel auch bei LavaBit,

dem E-Mail Provider von Snowden, aufgelaufen ist. Da gab es nur einen Serverschlüssel, der für alle Verbindungen verantwortlich war. Was passiert jetzt natürlich? Die US-Regierung hat eine gerichtliche Anweisung, dass der Schlüssel herausgegeben werden muss. Der Schlüssel musste nach einigen lustigen Versuchen, es zu vermeiden, herausgegeben werden.

Was Ergebnis war? Alle Kunden sind komprimitiert. Und das ist natürlich eine interessante Frage, wenn man zum Beispiel Cloud Service hat, wenn man Cloud Service als Firma hat und irgendeiner von den Kollegen, die bei dem selben Provider sind, macht Mist, die Behörden klagen den Schlüssel raus, die Behörden haben alles aufgezeichnet,

wird meinen gesamten Daten auch komprimitiert, obwohl ich mit der ganzen Sache überhaupt nichts zu tun habe. Hier ist es wirklich ein Punkt, wo dann auch das BSI gesagt hat, für unsere Verbindungen der Bundesregierung müssen wir Mindeststandards setzen und diese Mindeststandards sahen sehr vernünftigerweise aus,

dass RC4 nicht mehr verwendet werden kann, aber auch, dass diese Perfect Forward Secrecy anzuwenden ist. Also vereinfacht gesagt, das bedeutet für jede Verbindung einen neuen Schlüssel. Ein Angreifer kann nicht einen Schlüssel für alles greifen, sondern muss jede Verbindung einzeln abschreiben. Ich bin kein großer Freund von staatlichen Eingriffen,

aber auch staatliche Eingriffe können mit Perfect Forward Secrecy in einer Weise dann durchgeführt werden, wo nicht völlig Unbeteiligte in unakzeptabler Sache angegriffen werden. Also nochmal, diese einfachen Sachen, die in der Kryptographie durchaus immer erzählt wurden,

sind wirklich Sachen, die das Spiel dramatisch ändern. Wir haben dann auch noch soziale Protokolle. Zum Beispiel finde ich auch ganz interessant, dass jetzt bei diesen Instant Messaging Systemen Krypto hier und Krypto da diskutiert werden. Seit über, ich glaube, 15 Jahren etwa gibt es JAPA und OTA, also ein Protokoll, das wirklich von Kryptographen so entwickelt wurde,

dass soziale Eigenschaften eines vertraulichen Gesprächs gegeben sind. Also wer das zum ersten Mal sieht, wundert sich ganz gewaltig, aber diese Konstruktion, dass ich im Netz mich mit jemandem unterhalten will, auch sicher sein, dass es diejenige Person ist, aber im Netz auch irgendwie der Anrecht auf der Privatsphäre da ist,

das bedeutet, nicht jede Äußerung muss unterschrieben werden und muss mir vorgehalten werden. Das sind zum Beispiel soziale Eigenschaften von Protokollen, dass zum Beispiel bei diesem OTA-Standard adressiert wurde und ich glaube, es ist hier auch ein guter Ort, mal darauf hinzuweisen, dass wir Kryptographen eigentlich

seit Jahrzehnten mit interessanten Protokollen rumlaufen, die eine erweiterte Pseudonyme machen, die anonyme Wahlen ermöglichen, aber irgendwie von der sonstigen webaktiven Szene weitgehend ignoriert worden sind. Also so Sachen wie Liquid Feedback kann man durchaus mit der gängigen Kryptographie auch in vernünftig machen, aber irgendwie hatten die jungen Leute da offensichtlich

sehr viel wichtigere Dinge zu tun, als irgendwie die Welt ein bisschen sicherer, und zwar genau die digitale Welt, relativ schwierig, um damit irgendwelche algebraischen Konstruktionen zu machen. Also man kann sich wirklich hinstellen und sagen, ok, ihr habt jetzt einen Supercomputer, dann machen wir halt den Schlüssel etwas länger.

Das ist durchaus möglich, insofern tun wir mal die Haltung zur Mathematik grundlegend überdenken, Mathematik ist cool, Mathematik ist ja ein Freund, die beste Nachricht ist, ihr müsst aber trotzdem nicht anfassen, das wird alles in Open Source irgendwie ordentlich gemacht, insofern könnt ihr irgendwie auch in eurer Antimosität gegen Mathematik weiterhin aufhalten,

wenn ihr zumindest die richtige Software nutzt in dem Bereich. Weitere Schlussbotschaft, wir haben es schon angesprochen, es gibt Software, die uns beim Verschlüsseln hilft, und auch wenn wir nicht wissen können, ob diese Software keine Sicherheitslücken hat, das heißt, wenn wir nicht wissen können, ob unsere PGP-Schlüssel nicht einfach

auf der Hardware-Ebene schon angegriffen werden, ist es immer noch die schlechteste Möglichkeit, trotzdem ungeschützt zu kommunizieren, dieser Fatalismus bringt uns nicht weiter, wir müssen einsehen, dass jeder Versuch von Verschlüsselungen mit bewährten Methoden es einfach schwieriger macht, Daten auszuwerten, das heißt, wenn wir versuchen, uns gegen die NSA zu schützen,

kann es sein, dass die NSA das trotzdem knacken kann, aber wenn wir das skalieren, das heißt, wenn jeder von uns irgendeine Art von Verschlüsselung anwendet und eine bewährte Art anwendet, dann wird der Aufwand einfach wesentlich höher, denn auch wenn es vielleicht kaputt ist, trotzdem ist es mehr Aufwand, als einfach eine Klartextnachricht durch die Welt zu schicken und dann zu sagen, ja, lies sie doch einfach,

es bringt ja eh nichts. Außerdem, dadurch, dass wir diese Software nutzen, vergrößern wir die Motivation, dass diese Software auch auditiert wird, das heißt, man vergrößert den Druck, einfach zu sagen, wir haben oft benutzte Software, es gibt eine kollektive Verantwortung, sich darum zu kümmern, dass diese Software sicher ist. Google hat das mit seinem Zero-Day-Team

einigermaßen vorgemacht, weil einfach Google auch eine Firma ist, die viel Open-Source-Software benutzt und irgendwann mal gesagt hat, na, wir wollen doch auch, dass die sicher ist, wir wollen ja nicht nur diese Software benutzen, wir wollen es auf die irgendwie verlassen können, also haben wir eine gewisse Verantwortung, wenn wir damit Unmengen an Geld machen, auch mal in diese Software reinzugucken und zu schauen, was können wir zurückgeben

und was können wir machen, um eben diese Software sicherer zu machen. Das ist aber vielleicht nicht nur eine Aufgabe von einem Privatunternehmen, das ein quasi Monopolist ist, sondern das ist auch eine Aufgabe von der Politik, das heißt, die Politik hat eine Verantwortung, hat eine gewisse Schutzpflicht, den Bürgern eben zu ermöglichen, für Schlüssel zu kommunizieren und nicht zu fordern, dass Schlüssel hinterlegt werden

und dass alles ab Absurdum geführt wird. Ein weiterer Punkt, den wir schon oft erwähnt haben, aber den wir trotzdem nicht müde werden, zu erwähnen, dass wir freie und offene Software wollen, in die wir reingucken können, bei denen es die Möglichkeit gibt, Hintertüren zu erkennen, Sicherheitslücken zu erkennen, diese Software zu verändern,

diese Software weiterzuentwickeln, was jeder mit seinen eigenen Möglichkeiten tun kann. Es gibt Menschen, die werden die Krypto weiterentwickeln, es wird Menschen geben, die können vielleicht endlich mal dafür sorgen, dass die Software benutzbar wird für den normalen Nutzer und attraktiv wird für den normalen Nutzer. Und dann unsere quasi Schlussbotschaft, es gibt Kryptomagie und Kryptomagie ist für uns eben genau

die Kombination aus Kryptographie, eben aus den mathematischen Grundlagen, die es seit Jahrzehnten gibt, die nichts Neues sind, und Open-Source-Software. Das heißt, wir wollen, dass wir gute Kryptographie benutzen, dass wir keine kompromittierten Standards haben und dass wir Open-Source benutzen. Nicht nur in Software, wir wollen es auch in Hardware, wir wollen wissen, was die Sachen tun und wir wollen die Möglichkeit haben, uns zu schützen.

Dankeschön. Vielen Dank erstmal bis hierhin. Gibt es denn vielleicht Fragen, weil wir haben noch ein paar Minuten Zeit an die beiden hier.

Da sehe ich den ersten Moment. Ruhig bei den Fragen hinstellen, weil dann sehen sie auch. Hallo. Jetzt hattest du ja vorhin sehr viele Microsoft-Produkte erwähnt. Jetzt, wenn man hier so ein bisschen durch die Gegend guckt, dann sieht man glaube ich immer weniger Laptops, sondern immer mehr Telefone und Tablets.

Wie sieht das zum Beispiel dort mit freier Software aus, beziehungsweise mit dem Abschalten von den gelockten Bootloadern zum Beispiel? Also im Bereich mobile Geräte gibt es durchaus einige Open Source-Projekte, aber da sind wir in der Tat noch nicht so weit.

Es gibt durchaus interessante Sachen, dass irgendwie auch wettbewerbsrechtlich darauf gedrängt wird, dass Leute auf ihrem Gerät auch eigene Software installieren. Aber da hast du völlig recht, da ist der Weg noch relativ weiter im Vergleich zu Linux, wo man in der Tat wackelnde,

aber doch anwendbare Lösungen haben und auch konkurrenzfähige Lösungen weitgehen. Im Bereich mobile Geräte gebe ich dir völlig recht, da ist noch ein noch weiterer Weg da. Wir haben außerdem auch ein Problem bei Mobilgeräten. Wir müssen ja nicht nur dem Betriebssystem auf diesem Mobilgerät vertrauen. Das heißt, wir müssen nicht nur Android vertrauen,

das auf dem Mobilgerät drauf ist, sondern wir müssen auch dem Baseband-Prozessor vertrauen. Der Baseband-Prozessor ist der, der diese rudimentäre Kommunikation regelt, von dem wir nichts mitbekommen. Und das stellt quasi eine Art zweites Betriebssystem auf dem Telefon dar, das quasi unter dem eigentlichen Betriebssystem, das wir zu sehen bekommen, das wir zu spüren bekommen, bei dem wir, bei dem viele Leute was entwickeln können,

eben noch haben. Und es gibt Versuche, Open-Source-Baseband-Betriebssysteme zu entwickeln, aber soweit ich weiß, sind die nicht besonders weit gekommen. Und ich glaube, das ist ein Punkt, an den man unbedingt ansetzen muss, weil es wurde versucht, glaube ich, bevor diese ganze Smartphonewelle kam, also bevor quasi Smartphones mehr oder weniger ubiquitär geworden sind. Und ich glaube,

jetzt ist ein Punkt, wo man da wirklich nochmal reinschauen muss und zu sagen muss, das ist ein Problem, das uns alle betrifft, da muss man irgendwas rein investieren. Genau, da ein bisschen anschließend. Also ich arbeite in der Jugendarbeit und ich versuche die Jugendlichen dazu zu animieren, PGP zu benutzen oder, aber die haben halt einfach ihre Smartphones,

ich kriege die maximal zum 3MAS Signal oder irgendwas, aber mir geht da nicht. Also das ist irgendwie, da müsste es noch irgendwas geben, was schick ist, anwendbar ist und wo auch alle sind. Also sie sind alle bei Facebook, ich hätte sie natürlich lieber bei Diaspora, aber da kann ich übrigens nicht viel machen.

Ich glaube, wir haben angesprochen, dass es eben auch daran liegt, dass Leute eben nicht nur die Krypto entwickeln und nicht nur quasi die tiefer liegenden Schichten entwickeln, sondern eben auch die Oberflächen entwickeln. Und wir haben ein Problem mit den Monopolisten. Wir haben ein Problem damit, dass Leute bei Facebook sind, weil alle Leute bei Facebook sind. Und ich glaube, es ist ein langer Prozess

und es ist ein langer Prozess, dass diese Alternativen sich vielleicht etablieren können. Ich kann nur von mir persönlich sagen, wenn ich mir überlege, wie viele verschlüsselte E-Mails ich vor zwei Jahren bekommen habe, dann war das im Prozentbereich, und zwar im einstelligen Prozentbereich. Wenn ich heute in meine Inbox gucke, sind, ich sag mal, ungefähr 40 bis 50 Prozent der Mails, die ich privat bekomme, verschlüsselt.

Klar, ich bin hauptsächlich vielleicht die Zielgruppe an Menschen, mit denen ich kommuniziere, die die Jugendlichen haben, aber ich glaube, es ist einfach eine Entwicklung, dass ich auch selbst von Leuten, die jetzt nicht unbedingt Journalisten sind oder die jetzt irgendwie nicht sich damit mehr oder weniger hauptberuflich auskennen wollen, verschlüsselte E-Mails bekomme. Und je mehr sich das durchsetzt und je mehr das quasi in Diskussion ist, je mehr irgendwie du deine Mutter fragst,

so hier, du kannst mir jetzt verschlüsselte E-Mails schicken, desto mehr wird sich das auch durchsetzen und vielleicht auch irgendwann massentauglich werden. Das Problem ist schon besprochen mit Basebandprozessoren und was für Code da drauflauft. Aber können wir überhaupt unsere Hardware noch vertrauen? Weil darauf geht eine Menge zurück.

Wenn wir jetzt gucken auf moderne Intel-Hardware, da laufen komplette Debugger auf dem Die, auf der on the Processor Core. Wir haben immer mehr Cores, es gibt GPUs, wo auch nochmal Software läuft, die wir nicht kennen. Das, was drunter liegt,

unter unserer Open Source Software, unter alles, was wir jetzt benutzen, können wir das noch vertrauen? Sind da Vectors drin? Und werden wir das jemals rausfinden? Ausführliche Antwort nein. Das Problem ist massiv. Ich bin ja Kummer in dem Bereich gewöhnt,

aber als ich diese aktuellen Sachen, die hat einer auch glaube ich in einem Artikel beschrieben, also diese Angriffe wirklich auf der untersten Ebene, stehe ich halt nur davor und sage, na ja, das ist Matrix, also die können wirklich eine unterste Ebene voll machen. Ich bin auch zusammengezuckt, als ich erfahren habe, dass UV-Alt auch ein kleines Betriebssystem ist,

da darf ich Heise die aktuelle CT zitieren, mit rottischem verschlüsseltem Intel-Code, der irgendwie unterschreibt Heise, der Verdacht nahelegt, dass da eine Vector da ist. Ich komme mir eigentlich irgendwie ein bisschen vor wie in einem falschen Film. Also in der Hacker-Szene haben wir vor zehn Jahren auch wortreich gewarnt,

dass da Vectors uns drohen. Und ich habe jetzt irgendwie, wenn ich mir meine Talks angeguckt habe, ausgerechnet an den Stellen, wo ich gesagt habe, jetzt habe ich aus politischen Gründen etwas dick aufgetragen mit den Vectors, bin ich eigentlich von der Realität überrannt worden. Also wir vertrauen jetzt irgendwelchen Herstellern in China und die intelligenteren Leute in der Industrie

fragen sich natürlich, wenn die große Demokratie Amerika sagt, wir möchten nicht eine Vector, sondern eine Fördertür haben, wo wir reingehen können, na ja, wie können wir dann China gegen argumentieren, wenn die sagen, wir bauen jetzt Vectors ein, damit nicht gemeine Terroristen auf einmal über Demokratie erzählen.

Also das Problem, wir brauchen Open Source Hardware, nicht weil wir irgendwie paranoide Hackers sind, sondern wir brauchen es für die Industrie, die konkurriert mit Firmen, wo es es irgendwie nicht toll finden, dass die Amerikaner und die Chinesen alles mitlesen können. Also nochmal, das Problem ist, ich kann euch nicht mal helfen, wenn wir da Geräte drin haben,

die auf einer unteren Ebene kommunizieren, dann kann ich da oben wunderschöne Tänze aufführen, ohne dass ich überhaupt mitkriege, dass da eine weitere Matrix-Ebene da ist. Gibt es noch vielleicht eine Frage? Bei ein bisschen Zeit haben wir noch. Ja, da hinten, Moment.

Ja, ihr hattet GNU-PG auf der Folie drauf und ich glaube, das Hauptproblem davon ist eigentlich, es ist viel zu kompliziert. Also wenn man sich die Kommandozeilen, Settings anschaut, das sind die Hunderten,

wenn nicht sogar Tausende und ich glaube, hier sitzt keiner im Publikum drin, der da mit manuell eine E-Mail verschlüsseln kann und das ist glaube ich das Hauptproblem. Es ist einfach zu kompliziert. Solange meine Mutter eine 10-stündige Schulung braucht, um eine verschlüsselte E-Mail zu verschicken, wird sich das nicht durchsetzen. Und ich glaube, hier ist die meiste Arbeit nötig, dass

die Komplexität versteckt wird und dass wir userfreundliche und einfache Tools haben, die Plattformen übergreifend funktionieren, womit man Verschlüsselung anbieten kann. Solange wir das nicht haben, wird es immer nur ein Randthema bleiben für Minderheiten. Ich glaube, du hast, also ich würde dir widersprechen, weil niemand ist heute noch dazu gezwungen, seine E-Mails

per Kommandozeile zu verschlüsseln. Es gibt Wizards, es gibt Plugins für normale Mail-Klines, es gibt alles Mögliche und ich glaube, ein Kernproblem an der ganzen Adaption von Verschlüsselungssoftware ist, dass Leute sich einfach nicht zutrauen, dass Leute einfach sagen, hier, das ist was für die Techies, das ist was für diese Nerds mit den kaputten Pullis und dann einfach sagen,

das kann ich doch sowieso nicht und ich weiß nicht, wie vielen Leuten ich in den letzten Monaten Mailverschlüsselung beigebracht habe und die Leute waren keine Informatiker und die Leute waren keine Menschen mit dem technischen Hintergrund und die Leute haben es trotzdem geschafft. Ich finde, man sollte ein bisschen mehr Vertrauen haben und es eben auch seiner Mutti zeigen und dann sagt man es der Mutti vielleicht einmal öfter und dann ist es okay.

Aber die Leute müssen sich das einfach zutrauen. Wir müssen diese Technikangst überwinden, weil wir leben in der technisierten Welt und es kann nicht sein, dass alle, die keinen Informatikabschluss sagen, hier, das kann ich eh nicht, da bin ich zu blöd für und das ist zu kompliziert und die Leute müssen eben auch kommunizieren. Die Leute müssen kommunizieren denjenigen, die das entwickeln, was sie wollen. Die Leute müssen sagen, wir brauchen diese Software, wir wollen sie auch benutzen

und nicht sagen, nee, das werde ich eh niemals tun. So geht das halt nicht weiter und so kommen wir einfach nicht voran. Du hast da vollkommen recht, aber es sind halt einfach viele Sachen kaputt. Schau dir die Key-Server an. Es gibt viele dezentrale Key-Server, weil das Ganze ist komplett, teilweise mit Spam hat man viele Probleme, teilweise gibt es auch keine Verschlüsselung

für die Look-ups auf Key-Servern. Gruppennachrichten mit PGP zu verschlüsseln, das ist auch ein Problem. Es geht praktisch nicht wirklich gut und das sind halt alles solche kleinen Bausteile, die fehlen, damit das eine gute Lösung für die Zukunft wird. Aber um da nochmal kurz anzugängen, 70% der Web-Klicker installieren Adblocker.

Es ist genauso aufwendig, HTTPS zu installieren oder wie einer gesagt hat Enigma-Mail, zum Beispiel in Thunderbird, ist genauso aufwendig. Wenn du Java benutzt, dann ist es auch nur ein Häkchen, was man klicken muss. Also ich gebe dir vollkommen recht, wir Informatiker müssen uns den Schuh ansehen, dass wir Sachen

entwickelt haben, die cool sind, die mathematisch schwierig sind, die cool zu programmieren sind und dann sagen Leute, aber jetzt programmieren wir nicht auch noch die grafische Oberfläche. Ja, das müssen wir vielleicht auch noch in Angriff nehmen, aber trotzdem dann wirklich die Bitte, dann erklärt uns mal, was ihr genau braucht. Weil, wie gesagt, es gibt

jede Menge Tools, die jetzt schon auch durch HTTPS everywhere ist und das ist auch ein Punkt, den Anna nochmal ganz deutlich hergestellt hat, auch wenn ihr ein bisschen verschlüsselt, dient er irgendwie der gesamten Gesellschaft. Weil im Moment ist einfach der Unterschied, im Moment tue ich einfach eine Antenne in den ETA heben und kann als NSE

jede Webverbindung lösen. Wenn nur 20% HTTPS benutzen, habe ich bei den 20% nur ein Rauschen, dass ich höchstens Einzel- und Millionenaufwand angreifen kann. Also wenn wir wirklich auch opportunistisch verschlüsseln, nicht so, dass Ihr Kryptographen total glücklich ist, dass Ihr mit dem Schlüsselgut

umgeht, sondern einfach auch mal Verdacht verschlüsseln, in Anführungszeichen, dann wird schon diese ganze Spiel drastisch geändert. Nochmal, wer unverschlüsselt kommuniziert, tun die Geheimdienste eine Antenne in den ETA oder an die Glasfaserkörbel oder mit dem BND zusammen und haben alles. Nicht nur die Vorratsdaten,

die Metadaten, was der BND abgeschnaudelt hat, aber alles. Wenn da irgendwie 30% HTTPS everywhere benutzen, dann haben sie 30% bekacktes Rauschen. Und das ist ein gutes Ding. Okay, ich glaube, wir sind mit der Zeit durch. Falls Ihr uns erreichen wollt, entweder hier. Wir sind glaube ich noch eine Weile hier oder eben per

Mail.