Du Simon, wer macht in der Politik eigentlich was mit Cyber?

Also das AAA, die ADIC beziehungsweise die Cyber Agentur, die ACS, das BAIBW, die BAFIN, die BAGT, das BAMAD, das BBK, der BFDI, der BFV, das BKA, das BK Amt, das BAMF,

das BMF, das BMG, das BMI, das BMJV, das BMVG, das BMWI, der BND, die B-Netz A, die B-Pol,

das BSI, die BWI, die BW, das ZERT, der CAH, das COAT, die Cyber Crime Zentren, das Cyber Security Cluster,

der Cyber SR, das DIIS, der D-SIN, das G4C, die GZ, das GMLZ, das ITZ-Bund, die LSIS, das LZ,

das NCAZ beziehungsweise Cyber AZ, die SWP, die Unibundeswehr, der UP-Kritis, der VCV, die ZAK, die CETIS und natürlich das ZKA.

Wie wichtig das Thema Cyber Sicherheit ist, ich glaube, das spricht für sich. Cyber Crime definieren wir in einem weiteren Sinne. In einem weiteren Sinne ist immer dann der Fall, wenn das Internet eingesetzt wird als Tatmittel. Im engeren Sinne, wenn es darum geht, wirklich einen digitalen Schaden anzuregen.

Cyber Cyber Cyber Cyber Dialog, Cyber Cyber Cyber Cyber Angriff, Cyber Cyber Cyber Cyber Cyber Sicherheit, Cyber Cyber Cyber Cyber Außenpolitik, Cyber Cyber Cyber Cyber Cyber Mobbing, Cyber Cyber Cyber Cyber Cyber Crime, Cyber Cyber Cyber Cyber Cyber Strategie, Cyber Cyber Cyber Cyber Abwehr.

Und hier bleiben wir übrigens am Ball, auch bei dem ganzen Thema Cyber und Umgang mit öffentlichen und privaten Datensammlungen. Das Thema Cyber ist insgesamt ein sehr großes Thema. Wir haben auch Offensive-Fähigkeiten bei verschiedenen Bereichen, wo wir Cyber machen.

Cyber Offense und noch viel wichtiger Cyber Defense rücken auf der sicherheitspolitischen Prioritätenliste ganz nach oben. Unbekannte Hacker, unbekannte Hacker hatten an einen Trojaner eingeschleust. Und das ist ein Cyberdelikt im engeren Sinne. Auch vier Wochen nach einem Cyber Angriff auf das Computernetzwerk ist noch immer nicht genau klar, welche Daten in fremde Hände gelangt sich.

Ich glaube, das steht, das spricht für sich. Cyber Cyber Cyber Cyber Cyber Dialog, Cyber Cyber Cyber Cyber Cyber Attacke, Cyber Cyber Cyber Cyber Cyber Sicherheit, Cyber Cyber Cyber Cyber Außenpolitik, Cyber Cyber Cyber Cyber Speich, Cyber Cyber

Cyber Cyber Crime, Cyber Cyber Cyber Cyber Cyber Strategie, Cyber Cyber Cyber Cyber Cyber Abwehr. Auf meiner Sicht wären da wesentliche Trends schon klar. Ein Mehr in den Bereich Cyber, ein Mehr in den Bereich Cyberdialog.

Cyberattacke. Cyberstrategie. Cyberabwehr. Cyberangriff. Cybercrime. Cybermobbing. Cyberspace und Cyber-Außenpolitik. Wir haben Polizei, wir haben deutsche Cybersicherheit. Guten Abend, es ist der vierte Dienstag im Monat und daher Zeit für das Pentaradio

im November. Im Studio sind... Halb Mensch, halb Pide, der Simon. Und der Honky. Der auch halb Pide, halb Mensch. Ehrlich zu sein. Ja, wir werden uns heute mit dem Thema Cyber beschäftigen.

Bis dahin müssen wir mal schauen, dass wir erst mal uns die News anhören. Und bevor wir dann richtig ins Thema einsteigen, ich hoffe, ihr habt schon mal einen kleinen Eindruck davon bekommen, dass Cyber irgendwie jeden angeht, zumindest wenn man unseren Politikern traut. Was aber scheinbar nicht jeden etwas angeht, das ist Freifunk, oder?

Ja, da gibt es offensichtlich Parteien in unserem Bundestag, die der Meinung sind, dass Freifunkvereine nicht gemeinsünstig sein sollten. Was macht der Freifunk? Wem dient der Freifunk? Na, der Freifunk dient dazu, freies WLAN zur Verfügung zu stellen

und gibt es in vielen zumindest größeren Orten. Warum sollte man das tun? Also klar, WLAN haben überall alles toll, aber aus einem eigenen Anschluss teilen? Na, erstens hat man damit ja auch idealerweise noch ein lokales Mesh-Netzwerk,

was sozusagen unabhängig von anderen Netzwerken funktioniert. Und wenn man was von seiner Bandbreute abgibt, wird das natürlich für alle schneller. Ja, und vor allen Dingen, wenn jemand sich das Internet nicht leisten kann oder mal anonym im Internet unterwegs sein möchte oder, oder, oder, dann ist es natürlich schön, wenn man einen Nachbarn hat,

der oder die in der Lage ist, seinen oder ihren Beitrag dazu zu leisten. Also Freifunk ist eigentlich schon was sehr gemeinnütziges, aber der Bundestag stimmt dagegen. Es war ein Antrag der FDP, das als gemeinnützig anzusehen. Oder genau das Gegenteil?

Eigentlich klingt der FDP eher danach, als hätten sie... In dem Fall wahrscheinlich schon. Wahnsinn liberal genug, sehr schön. Abgelehnt wurde es dann durch die CDU, CSU, SPD und AfD. Hip hip hurra, da liegt unsere Internetkompetenz. Müssen wir mal schauen, was sich da noch ergibt. Also wir wünschen allen Freifunkern Durchhaltevermögen.

Gebt nicht auf, ihr macht eine gute Sache. Ja, vielleicht inzwischen die alten Router von Oma. Guarding Against Physical Attacks, die Xbox One Story. Hast du das da reingepackt?

Okay, dann würde ich sagen, springen wir da drüber weg. Es gibt anscheinend mal wieder ein J-Break für iOS. Was heißt das für jemand, der gar nicht weiß, was das die Worte bedeuten? Jailbreak zum Beispiel. Na, auf einem iOS-Device kann man ja eigentlich sozusagen nur Software installieren, die durch den App Store abgesegnet ist

und durch Apple damit. Und genau, gleichzeitig auch nur die Version von iOS, die Apple für dieses Telefon vorgesehen hat. Aber das klingt doch total gut, weil dann kann ja keine böse Software

auf mein Telefon kommen, oder? Das hat ja auch Vorteile, sagen wir mal so. Und vor allen Dingen kann ich keine kostenlose Software installieren. Na, das kommt halt drauf an. Aber vielleicht hat deine kostenlose Software ja andere Eigenschaften, die Apple nicht mag.

Zum Beispiel mochte es Apple, glaube ich nicht, dass man z.B. Zahlungen jenseits Apple Pay durchführt. Also z.B. wenn man seine Podcasts bespenden möchte oder wenn man irgendwie Spiele-Abos abschließen möchte. Genau, da sind zum Teil schon Apps aus dem App Store rausgeflogen.

Das ist z.B. so ein Grund, warum man vielleicht auch nicht von Apple freigegebenes Software installieren wollen würde. Genau, und am Anfang, als das iPhone relativ neu war, gab es eigentlich für jede Version und für jedes Telefon irgendwelche Jailbreaks. Warum? Also...

Wahrscheinlich, weil die damals halt noch genug Sicherheitslücken hatten, sodass jemand da immer was bauen konnte. Meistens, also manchmal sogar nur durch den Besuch einer Webseite oder durch das Einspielen irgendwelcher Apps oder Knopfkombinationen oder sowas. Das war also noch die Zeit, wo man sein Telefon von Apple

befreien konnte. Mittlerweile wird es immer schwerer, auch durch die ganze Firmware und die ganzen Chips, die da drin verbaut sind. Genau, und anscheinend gibt es für die aktuelle Version wieder einen Jailbreak, der funktioniert. Ich bin mir jetzt nicht ganz sicher.

Ich erinnere mich, dass es in den alten Tagen da immer Unterscheidungen von Jailbreaks gab, nämlich welche, die man nach jedem Reboot neu machen musste und welche, die dauerhaft waren. Persistente und nur temporäre. Genau, das weiß ich jetzt gerade nicht, wie das mit dem neuen aussieht.

Zu dem Thema, was ich letztens gelernt habe. Wir sind gerade an dem Peak, wo eine Sicherheitslücke bei Apple weniger kostet, als eine Sicherheitslücke bei Android. Das heißt, wenn man ein Geheimdienst ist, eine private Firma, die Informationen sammelt oder verkauft und man findet in iOS eine Sicherheitslücke, die es ermöglicht, dort administrative Rechte

oder zumindest spähende Rechte zu bekommen, war es ganz lange Zeit so, dass die Softwarequalität von iOS höher war als die von Android. Das heißt, die Lücken tendenziell seltener waren. Und man deswegen als so eine Firma deutlich höhere Preise für iOS bezahlen musste. Mittlerweile hat das Google-Projekt mit Google Zero oder mit anderen Hilfen

darauf aufgelegt, dass die wirklich sicherer geworden sind. Und man jetzt schon wieder überlegen müsste, wenn man sich nur zwischen iOS und Android entscheiden würde, dass man dann tendenziell auch Android jetzt wieder in Betracht ziehen muss als an Anführungsstrichen sicheres Betriebssystem. Wobei ich sagen würde, dass sich das ja nicht nur

nach der Sicherheit des Betriebssystems richtet, sondern sicherlich ist eine Android-Lücke auch dadurch teurer, dass du damit einen größeren Markt aufmachst. Ja, okay, das mag auch eine Rolle spielen. Stimmt, das hatte ich jetzt nicht bedacht.

Das heißt sozusagen, die Lücke für das einzelne iOS-Gerät ist dann sozusagen immer noch teurer. Kennen wir Alternativen zu den beiden Betriebssystemen? Nein, ich höre, der Honky hat eine Alternative. Ja, Sailfish OS oder Jolla, wie es vorher hieß. Es gibt natürlich auch irgendwelche Microsoft-Produkte, die ich jetzt nicht weiter ausführen kann. Es gibt auch Lineage OS, Lineage, Lineage.

Lineage geschrieben für alle, die es tippen wollen in die Suchmaschine ihrer Wahl. Dort ist quasi eine von Google-Diensten befreite Android-Version verfügbar. Allerdings gibt es auch dort noch deutliche Spuren von dem ganzen Google-Kram, was Kontakte angeht.

Beziehungsweise, es kommt halt drauf an, man kann tatsächlich auch ein Google-freies Lineage installieren, aber das ist dann schon mit gewissen Schmerzen verbunden. So sieht es aus. Apropos, the price to pay.

Noch nicht ganz. Ich habe hier noch mal kurz nach dieser Guarding Against Physical Attacks. Da handelt es sich offensichtlich um einen Vortrag beim sogenannten Platform Security Summit 2019. Hä? War da jemand? Nee, Quatsch, das war er nicht.

Keine Ahnung. Auf alle Fälle wurde da offensichtlich ein Vortrag gehalten, wie denn die Xbox One gegen physikalische Attacken verteidigt wird. Ach, den habe ich sogar gesehen, aber der Punkt ist nicht von mir. Bin ich mir ziemlich sicher. Da geht es darum, was man quasi tun muss, wenn man physikalischen Zugriff auf die Xbox hat,

um dort Sicherheitslücken zu benutzen, um dann dort halt die Hoheit über das System zu erfahren. Wer unsere Sendung im Januar 2018 gehört hat, die verschollene Sendung, die es nicht als Podcast gibt, Februar, der neue Januar, nee. Im Februar gehört das, da ging es um Heim-Automatisierung und auch um fahrende Roboter.

Und da hatte ich erzählt, dass man dadurch, dass man bestimmte Pins an einem Computerchip quasi kurzschließt, ihn dazu bringen kann, seinen Speicherinhalt auszukübeln und darüber dann zum Beispiel Passworte, die gerade im Speicher sind, auszulesen, um dann wieder da neue Software für uns zu entwickeln und so weiter. Selbes Prinzip oder ähnliche Prinzipien finden bei diesem Vortrag auch Anwendungen.

Also haben wir auch das Rätsel noch beleuchten können. Vielen Dank fürs Nachschauen. Genau, und dann sagtest du jetzt schon the price to pay. Und da haben wir jetzt eine Rubrik in der News, denn ich stolperte über eine Zettungszeile

und deswegen habe ich dann gleich mal eine Rubrik hier gemacht. Die Rubrik Gefangene sozusagen. Ohje, die Gefangenen des Monats. Die Gefangenen des Monats. Genau, und ich war über eine Nachricht über Herrn Julian Assange gestolpert.

Er hatte ja vor einiger Zeit sein Asyl in der Botschaft in Ecuador verloren und war daraufhin von der britischen Polizei verhaftet worden. Das war nicht die Botschaft in Ecuador, das war die äquatorianische Botschaft in London. Ja, gut, aber... Letztendlich ist es äquatorianische Boden wahrscheinlich.

Hast du trotzdem recht, aber nur um das klarzustellen. Genau. Also genau, die Äquatorianer haben gesagt, hier könnt ihr jetzt hier abholen und hat die britische Polizei dann auch gemacht. Videos könnt ihr euch im Internet anschauen. Und daraufhin wurde er in ein Gefängnis verbracht. Und zwar wegen Verstoßes gegen seine Kautionsauflagen.

Weil er befand sich ja sozusagen nur gegen Kautionen auf freien Fuß, als er damals, 2012, die äquatorianische Botschaft betrat. Und dadurch, dass er dann sieben Jahre in der äquatorianischen Botschaft blieb,

hat er zum Beispiel die Auflage nicht mehr eingehalten, sich täglich bei der Polizeistation in irgendeinem englischen Dorf zu melden. Ich weiß gerade nicht mehr, wie es sich hieß. Wobei die Polizei wahrscheinlich in einem sehr hohen Maße genau wusste, wo er sich befindet, denn die haben da täglich so viel Geld verbrannt. Ja, aber es stand da trotzdem, trotzdem war die Kautionsauflage halt, sich täglich, 17 Uhr oder so,

in folgender Polizeiwache zu melden. Und das hat er nicht getan. Daraufhin wurde er also wegen Verstoßes gegen die Kautionsauflagen zu einer Haftstrafe verurteilt. Ich glaube, irgendwas um die 48, 49 Wochen, irgendwas. Das heißt, er wird weiter in britischer Haft bleiben,

voraussichtlich bis Mai, glaube ich. Hattest du eigentlich gesagt, wer Julian Assange ist und warum dieser Mensch in der äquatorianischen Botschaft in London? Nee, das hatte ich nicht gesagt. Ich dachte, das wissen die Hörer vielleicht noch. Also Julian Assange war unter anderem,

oder ist am bekanntesten, für seine Eigenschaft als Gründer von WikiLeaks. Er hätte auch fast einen Torg gehalten, glaube ich, auf dem Acht. Er hat zwei Torgs gehalten. Er hat einen gehalten, er wurde aber auch schon mal abgelehnt auf dem Kongress. Keine Ahnung, er hat zwei gehalten, auf alle Fälle.

Und zwar genau die zwei Jahre, wo ich noch nicht da war. Auf dem 25. und auf dem 26.C3 gibt es hier einen Vertrag von WikiLeaks. Und WikiLeaks ist für jemand, der es auch nicht weiß, grob in einem Satz. WikiLeaks ist eine Webseite für die Veröffentlichung von geheimen Informationen, wie auch immer. Und eine der Grundsätze ist sozusagen,

die Informationen mehr oder weniger vollständig zu veröffentlichen. Und in der Regel auch ohne Kommentar. Das ist dann später etwas aufgeweicht worden, als es auch einige Publikationen mit Kommentar gab.

Zum Beispiel das Video Collateral Murder. Genau. Und worauf ich eigentlich hinaus wollte. Damals unter Kautionsauflagen war er eigentlich, weil es in Schweden eine Untersuchung zu einem Vergewaltigungsvorwurf gab.

Und die wurde dann mal eingestellt und dann wurde sie wieder aufgenommen und so weiter. Und jetzt, während er seine Haftstrafe wegen den Kautionsauflagen absitzt, wurde sie mal wieder eingestellt.

Okay, das heißt, die Hoffnung besteht, dass er frei kommt? Das ist das eine, was besteht. Allerdings hat sich ja sozusagen jetzt mit seiner Verhaftung, denn auch das bewahrheitet, was er sozusagen die ganze Zeit gefürchtet hat. Weswegen er auch von Schweden nach Großbritannien geflohen war. Nämlich, dass er sagte, dass er eine Auslieferung in die Vereinigten Staaten fürchtet.

Und mit seiner Verhaftung wurde dann, oh Wunder, oh Wunder, auch plötzlich ein Auslieferungsgesuch der US-Behörden öffentlich. Das heißt, die wollen ihn haben und in eigene Gefänge zu stecken? Zumindest, genau.

Gibt es Anklagepunkte gegen ihn? Ich glaube, diese summieren sich auf eine Haftzeit von 175 Jahren. Und sind, glaube ich, 18 Anklagepunkte. Kann ich jetzt nicht im Einzelnen referieren. Aber ich glaube, selbst bei einem gesunden Lebensstil wird das schwierig, ne? Genau. Und das, warum es jetzt eigentlich diese Woche irgendwelche Meldungen gab,

war, dass sich irgendwelche Ärzte gemeldet haben und haben gesagt, dass man den Herrn Assange doch vielleicht mal einem Arzt vorstellen und auch ein bisschen behandeln sollte, weil sonst könnte er sozusagen von uns gehen.

Ich habe dazu mehrere Artikel gelesen. Aber es gibt da auch überall nur vage Andeutungen und nicht wirklich was Solides. Wie lange war er da? Da war er mehrere Jahre, ne? In der ecuatorianischen Botschaft. In der Botschaft war er sieben Jahre. Und natürlich ist das auch ein enormer Stress, so quasi, mit freien Himmelverbot und in einem Raum als Gast einer Regierung,

deren Land man nicht angehört. Also wahrscheinlich hat da auch einfach jeder normale Mensch oder wahrscheinlich irgendwie gesundheitliche Folgen davon ziehen. Genau. Das war also der aktuelle Anlass.

Und da habe ich mir gedacht, dann sollte man sich nochmal fragen, gibt es eigentlich gerade noch andere Leute, die da so in Haft sitzen. Und da gibt es zum Beispiel weiterhin Chelsea Manning, die wieder seit dem 16. Mai in Haft sitzt.

War die nicht begnadigt worden von Obana? Ja, ja. Und wieso jetzt schon wieder? Zu schnell gefahren oder was Neues? Nein, nein, nein, nein. Na, sie soll aussagen vor der Grand Türi, im Wesentlichen gegen Julian Assange.

Und es handelt sich dabei um eine Erzwingungshaft einer Aussage. Und es häufen sich da auch irgendwie für jeden Tag einer Nicht-Aussage irgendwelche absurden Strafforderungen in Geld an und so und genau.

Und das kann aber jetzt auch noch bis zu einem Jahr durchgezogen werden. Also es gab es irgendwie im März schon mal, durfte sie schon mal zwei Wochen einsetzen und jetzt seit Mai durchgehend. Ohje, die Land of the Free.

Aber es ist in Deutschland glaube ich auch nicht so viel anders. Du hast als Zeuge auch nur schwierig. Also gibt es auch ein paar Sachen, die man tun muss und die man nicht tun darf. Aber es ist halt jetzt insbesondere da auch ein bisschen schwierig, weil sie halt für diese Straftat eigentlich begnadigt wurde. Und ja, die vorher auch schon quasi gestanden hat.

Und sie deswegen sagt, na, also die Nummer ist jetzt eigentlich mal durch. Lasst mich jetzt mal damit in Ruhe. Genau. Und ein bisschen sozusagen in die Kategorie, die jetzt von Leuten, die Sachen mal so grob aus der Hacker-Community kommen,

die da mir noch über den Weg gelaufen sind, die auch schon sehr lange in Haft sitzen, ist der Herr Jeremy Hammond. Der sitzt auch seit 2013 glaube ich. Was hat der gemacht? Oder soll er getan haben? Der soll beteiligt gewesen sein an diesen Lulzack-Hacks und an Stratfor und so weiter.

Genau. Und der sitzt glaube ich auch mindestens 10 Jahre, also noch mindestens bis 23, wenn nichts passiert.

Genau. Und falls ihr irgendeinem dieser was Gutes tun wollt, gibt es da für alle Stellen, wo man was dafür spenden kann. Da müsst ihr mal schauen, wo das findet sich. Und in den Show Notes werde ich euch von allen drei die Adresse verlinken,

falls ihr vielleicht einen lieben Brief hinschreiben wollt. Dann noch zu guter Letzt eine Meldung von mir. Es war nicht ganz so schlimm wie Knast. Eigentlich im Gegenteil. Es war zwar sehr warm,

weil wir waren zu sechst in einem sehr kleinen Studio. Ich war mal wieder in einer Sendung für die Fondanz der Welt. Es ging um den Ubuntu Linux Einstieg am Linux Presentation Day. Der Link ist in den Show Notes. Könnt ihr euch gerne mal anhören. Es ist eine tolle Sendung. Und damit haben wir die News hinter uns gebracht. Ich wünsche euch viel Spaß mit Audio Binger Citylights.

Wir hören uns gleich wieder und steigen dann in unser Thema ein. Bis gleich.

Alle da draußen, die jetzt darauf gewartet haben, erklärt zu bekommen, warum Simon hier in bunt quietschigen Klamotten sitzen könnte,

wenn er sich auf die Sendung Cyber den Modestil vorbereitet hätte. Den muss ich leider eine kleine Enttäuschung entgegenbringen. Es tut mir sehr leid. Das geht heute nicht um den Modestil Cyber, der so ein bisschen aus der gefühlten Technoszene, lange Stiefel, bunte, quietschige Farben, Haare und

ja, ein Modestil, den wahrscheinlich außer Simon keiner bei uns groß intensiv pflegt. Es geht heute eher um ein anderes Thema. Wir haben vorhin schon kurz gesagt, wer alles in der Politik bei uns Cyber macht. Wir haben danach das Lied unseres Cyber-Cyber-Regierungen von den Jung- und Naiv-Ultras gespielt.

Also vielen, vielen Dank an Tilo Jung, dass uns unwissend diesen Song zur Verfügung gestellt hat. Cyber, sag mal Simon, cyberst du in irgendeiner Art und Weise?

Ja, also wenn man so die Definition der Regierung so anlegt und so. Ich glaube, wir cybern alle ein bisschen, weil Cyber kommt eigentlich so von der Kybernetik. Das heißt, nach Norbert Wiener benannt, ist das so die Wissenschaft der Steuerung und Regelung.

Wer sich jetzt darunter nicht so richtig vorstellen kann, kann ja mal in Richtung seines Heizkörpers lunzen oder was auch immer er benutzt, um die Temperatur oder sie benutzt bei sich, die Temperatur zu regeln. Thermostate sind nämlich ein perfektes Beispiel für kybernetische Systeme. Sie nehmen einen Istwert auf, wie warm ist es im Raum.

Sie kennen einen Sollwert, wie warm soll es im Raum sein. Und die Maßnahme, die sie dann einleiten, also zum Beispiel das Zuführen von warmem Wasser in metallene Hohlkörper, um mal Heizungen möglichst kompliziert zu beschreiben, das ist letztendlich Kybernetik.

Also da gibt es noch ganz viele andere Systeme. Ja, mir fallen jetzt natürlich, weil wir über Thermostate geredet haben, nur so Wasserboiler und so einen Quatsch ein. Aber es gibt verschiedene Systeme, die Dinge regeln und halt mechanische Eigenschaften auch haben, um dann halt die Umwelt zu beeinflussen. Zum Beispiel auch ein Bewegungsmelder, der das Licht anmacht, falls da jemand ist.

Genau. Oder es gab auch schon die Idee, kybernetisch ganze Gesellschaften zu steuern, denn es gab ja so eine größere Anzahl von Gesellschaften in der zweiten Hälfte des 20. Jahrhunderts, die sowas wie Planwirtschaft im Sozialismus ausprobiert haben.

Und da gab es auch Ansätze zur kybernetischen Steuerung dieser Systeme, wo man sich das dann auch so vorgestellt hat, dass man dann erfasst, wer denn jetzt alles ein Wartburg braucht und das dann kybernetisch zuordnet. Allerdings ist die praktische Umsetzung, bin wohl doch weitgehend daran gescheitert,

dass es da bei vielen Produkten halt über längere Zeiträume einen akuten Mangelbedarf gab, weswegen, sage ich mal, die kybernetische Steuerung eher sehr einseitig ausgefallen ist. Ich muss gerade an eine unserer letzten Sendungen denken, das Machine Learning.

Also vielleicht gibt es doch demnächst wieder durch die großen Datenberge, die gesammelt werden, kybernetische Systeme, die ähnliche Sachen versuchen zu regeln. Also gerade zum Beispiel Gesundheitsdaten und so. Wer die Nachrichten verfolgt hat, da gab es durchaus Datenberge, die auch teilweise falsch oder nicht richtig anonymisiert weitergegeben worden sind.

Und um halt daraus zum Beispiel Abhängigkeiten von Medikamenten zueinander oder Wechselwirkungen von Medikamenten mitzubekommen. Und das geht halt nicht nur dort, sondern auch in anderen Bereichen des Lebens. Ich glaube aber nicht, dass das, also hoffe zumindest nicht, dass das das Hauptaugenmerk unserer Politik oder unserer Regierung ist,

über Regelungssysteme die Bevölkerung zu steuern. Es gibt dennoch immer wieder Leute, die diesen Begriff benutzen, Cyber. Sie meinen wahrscheinlich in dem Moment auch gar nicht so richtig die Kybernetik und die Regelung an sich, sondern benutzen es vielmehr als Synonym für Computer oder für Informationstechnologie.

Also sie setzen einfach vor alles mögliche Cyber. Cyber-Sicherheit ist halt die Sicherheit von Computersystemen, von Informationssystemen. Sie benutzen es im Cyber-Krieg, ist halt der Krieg innerhalb der Computerwelt, innerhalb des Internets oder andere Silben, wo man Cyber davor stellen soll.

In meinem Kopf geht immer, wenn jemand Cyber sagt, so der Gedanke, ihm eine Gesundheit zu wünschen, als hätte er genießt, kann man mal extrazieren. Also wenn jemand Cyber sagt, kurz in seinem Kopf denken, Gesundheit, und dann mal gucken, wie oft das eigentlich passiert. Das ist ziemlich oft. Damit wir aber über das Thema so richtig reden können,

müssen wir noch zwei Begriffe ein bisschen voneinander trennen. Es gibt den Begriff der IT-Sicherheit und es gibt den Begriff der Cyber-Sicherheit. Also das sind so zwei Dinge, die im Regierungssprech des Öfteren mal fallen. Die IT-Sicherheit ist dabei relativ eng definiert, also schon ziemlich technischer Begriff.

Das ist der Schutz der Vertraulichkeit, der Schutz der Integrität und der Schutz der Verfügbarkeit von Daten. Simon, rette mich!

Okay, die Integrity und die Availability von Daten, also abgekürzt CIA. Wie könnte man es besser abkürzen? Und der zweite Begriff, der da wichtig ist, ist diese Cyber-Sicherheit. Das ist auch ein bisschen ein gefühlteres Ding als das, was wir mit der IT-Sicherheit voneinander wirklich hart abgrenzen können. Es ist also breiter definiert, es umfasst zusätzlich also sowas wie

soziokulturelle, politische und rechtliche Dimensionen, also so ein bisschen schwerer zu greifen. Und seit Cyber-Sicherheitsstrategie, die 2016 beschlossen worden ist, in bestimmten Papieren, ist das auch der Einsatz von offenen Cyber-Werkzeugen.

Du meinst Cyber-Waffen? Cyber-Waffen, aber Cyber-Waffen haben nicht nur die bösen Hacker, egal aus welchem Land sie kommen, es haben auch unsere Polizei und unsere Geheimdienste, nämlich den sogenannten Bundestrojaner. Also Bundestrojaner ist ja jetzt eine sehr eingeschränkte Cyber-Waffe,

würde ich sagen. Ja, ein Stein ist auch eine ziemlich eingeschränkte Waffe, aber wenn du dir einen Kopf geworfen kriegst, tut es trotzdem weh. Ja, aber ich glaube mit offensiven Cyber-Werkzeugen, das geht schon ein ganzes Stück über den Bundestrojaner hinaus. Was wäre denn eine offensive Cyber-Maßnahme?

Naja, eben das, was im nächsten Punkt auch kommt, halt aktive Cyber-Abwehr, sogenannte Hackbacks, also dass du sozusagen auch Systeme eines tatsächlichen oder vermeintlichen Angreifers selbst aktiv angreifst. Indem man zum Beispiel Sicherheitslücken von Firmen kauft,

also das Wissen über eine Sicherheitslücke von Firmen kauft, die diese nicht weitergemeldet haben, das machen teilweise Geheimdienste. Beziehungsweise sich da schon mal vorsorglich einhackt, dass man dann bereit ist für den digitalen Gegenschlag. Wenn man zum Beispiel der Hersteller ist für irgendeine Komponente,

die im Netzwerk eines Stromkraftwerks liegt oder die in einer Wasseraufbereitung ist und man dort vorsätzlich oder vorsehend halt quasi Sicherheitslücken einbaut, damit man sie im Falle eines Falles aktivieren kann. Ja, was ich heute in der Vorbereitung noch gehört habe,

da gab es wohl eine israelische Studie zu, es gibt da auch so Dinge, an die man gar nicht so denkt. So zum Beispiel, man könnte ja in einem Land so alle Sprengklaranlagen anschalten und dann würde der Druck des Wassersystems zusammenbrechen. Und dann können wir uns nicht mehr waschen.

Es gibt wahrscheinlich viele schlimme Sachen, die da passieren. Kein Löschwasser, kein Trinkwasser. Wenn das modernen Status zusammenbricht, ist das jetzt nicht so lustig. Also es gibt verschiedene Dinge, die man sich da vorstellen kann. Die Sicherheitsstrategie von 2016 lässt halt zu, dass solche Sachen bedacht, eingeplant oder auch überprüft

werden, wenn man Dinge von außen einkauft. Huawei, also Huawei, für alle, die die Tagesschau gucken, hat ja gerade eben auch Probleme mit solchen Vorwürfen, dass sie angeblich irgendwelche Backdoors in ihren Systemen haben. Währenddessen wir fröhlich irgendwie Cisco-Systeme benutzen,

die definitiv auch solche Lücken haben oder hartgekodete Passwörter. Also quasi genau das Gegenteil, nicht aus China, sondern aus den USA. Also es ist immer ein zweischneidiges Schwert, was da... Tatsächlich hat der CDU-Bundesparteitag einen Antrag diskutiert, ob die CDU den Einsatz von Huawei-Komponenten ablehnt.

Und hat sich dann am Ende dagegen entschieden. Aha, wir setzen... Ja gut, ich meine, es ist auch nichts Schlimmes. Also die Heterogenität von Systemen ist immer besser als die Homogenität. Weil wenn man dann quasi einmal einen Fehler bei einem Hersteller hat, ist man gleich im gesamten System lahmgelegt.

Wenn man mehrere Hersteller einsetzt, hat man natürlich den Vorteil, dass nicht immer alles gleichzeitig kaputt geht. Hat natürlich aber dafür den Nachteil, dass man sich mit verschiedenen Systemen rumschlagen muss, die alle verschiedene Fehler haben. Und deswegen eine höhere... Ich glaube, in der Allgemeinheit wurde halt, sage ich mal, deutlich mehr

über die Sicherheit von Huawei diskutiert, als denn, was dann die Alternativen wären und dass die jetzt auch nicht so ultravertrauenserweckend sind. Falls ihr mal auf eine Cyber-Veranstaltung gehen wollt, ich fand das nur sehr lustig zwischendrin, es gibt einen Cyber-Veranstaltungskalender. Den habe ich euch mal in die Show Notes geparkt.

Da gibt es halt verschiedene, also verschiedene von den einzelnen Unternehmungen und Vereinen, die wir euch nachher noch so vorstellen werden, gesponserte, veranstaltete oder gestützte Events, die man besuchen kann. Also da stehen sie gut drin. Dort steht aber auch der Kongress zum Beispiel drin, der 36C3, der vom 27. bis 30.12. diesen Jahres stattfinden wird.

Das ist ja traumhaft, dass wir in einer Cyber-Veranstaltung teilnehmen werden. Dieser ganze Cyber-Kram ist eigentlich schon relativ alt. Er ist deutlich älter als ich. Mindestens ein Jahr, denn er hat 1986 angefangen.

Dort hat nämlich die Zentralstelle für das Schiffrierwesen, das ZFCH, das erste Mal eine Arbeitsgruppe aufgebaut, die sich um die Entwicklung von EU-Car-Technik mit Sicherheitsfragen beschäftigte. Das heißt, das erste Mal wurde so dieser ganze Cyberbegriff, also das erste Mal innerhalb der deutschen Politik,

sagen wir es mal so. Das war dann Informations- und Computertechnik. Computer oder Kommunikation? Ich denke Kommunikation, EU-Car. Juck. 1991 ging es dann so richtig los, als das Bundesamt für Sicherheit gegründet worden ist. Das BSI, wem das nichts sagt, das ist eine sympathische Bundesanstalt,

die aus dem BND heraus gegründet worden ist, quasi mit der Aufgabe, sich um Sicherheit zu kümmern, ist mittlerweile so die zentrale Meldestelle für die Zusammenarbeit aller Behörden und aller Bundeseinrichtungen.

Das heißt, wenn man Fragen hat als Behörde oder sich über sein Sicherheitskonzept nicht ganz im Klaren ist, findet man im BSI so die erste Anlaufstelle, die da Informationsmaterial, Expertenwissen usw. zur Verfügung stellt, ist dem Bundesministerium des Inneren unterstellt,

des Inneren Heimat und Bau und damit Seehofer. Genau, Cyberhost. Cyberhost. Das gibt aber noch so ein bisschen dezentralere Einheiten. Also wusste ich bis letztens auch nicht, es gibt sogenannte ZERT-Verbunde. Also ZERT ist nicht das Chaos Emergency Response Team,

sondern es ist das Computer Emergency Response Team. Das heißt, das sind so lokale Gruppen oder lokale, oftmals sind es eigentlich nur Mailinglisten, wo sich quasi innerhalb eines, eines, eines, einer Stadt, einer Kommune, eines Landes oder Bundeslandes sich Leute zusammenfinden und sich dann gegenseitig dabei helfen,

ihre Systeme sauber zu halten und sich über aktuelle Geschehnisse zu unterhalten. Also auch in Dresden wird es sowas geben, auch in Sachsen wird sowas geben. Diese ZERT sind halt relativ dezentral organisiert, haben aber auch wieder Verbünde, die dann wieder am BSI enden.

Nur so der Vollständigkeit halber war so ein Fun Fact, den ich bisher nicht kannte, hat sich aber so in der Zeit 2001 gebildet. Na wer war da wohl die Henne und das Ei bei dem Chaos Emergency Response Team? Man weiß es nicht so genau. Tja, also den Club gibt es seit 84. Also ich bin mir fast sicher, dass wir eher dran waren.

Also angenommen, es kommt in Deutschland zu einem Cyber-Vorfall. Was könnte sowas sein? Alle Sprinkleranlagen gehen an. Oder die E-Mails des Bundestages verschwinden. Oder geheime Informationen von Bundestagsmitgliedern

werden in einem Adventskalender ähnlichem Format täglich zum Dezember gepublished. Oh, es ist ja bald wieder Dezember. Also haltet die Augen offen, nicht, dass wieder Türchen aufgehen. Ja und wir das dann erst im Januar merken, weil der Twitter-Account so schlecht vernetzt ist. Deutschland ist Entwicklungsland, was das angeht. Ne, worauf ich hinaus wollte, ist, es gibt eine Einheit

oder es gibt ein Team, was sich darum kümmert. Das sogenannte IT-Lagezentrum. Das wurde dann 2005 gegründet. Dort, das ist dem BSI unterstellt. Dort sitzen halt Leute. 24 Stunden am Tag gibt es dort jemanden, den man anrufen kann. Da wird quasi so der aktuelle Zustand Deutschlands gemonitort.

Das heißt, da werden halt versucht, Grafiken zu erstellen, grüne und rote Grafen. Wo kommt gerade der meiste Spam her? Wo sind die meisten Netzwerkausfälle zu beobachten? Das sind also einfach Leute, die versuchen, das Internet zu bewerten aus Sicht der deutschen Infrastruktur oder des deutschen Landes sozusagen.

Also und im Fall eines Krisenfalles wird das Ganze dann hoch gepusht. Da kommen halt mehr Leute dahin und das wird alles, das sind halt die Büroräume und sowas dafür da, wird das dann zum IT-Krisenzentrum. Die Ziele dieses IT-Lagezentrums sind Prävention, Detektion und Reaktion,

fand ich sehr schön formuliert. Also erkennen, erfassen und bewerten von Vorfällen, informieren, alarmieren und warnen, wenn solche Sachen passieren, und reagieren bei IT-Sicherheitsvorfällen. Das heißt, angenommen es gab eine Spezifischlüge, die benutzt wurde, um alle Sprenkler anzumachen, dann sind die quasi dazu zuständig, erst mal zu erkennen, dass es passiert ist.

Die Leute, die davon betroffen sind, zu informieren und die Leute, die vielleicht das Wasser abstellen sollten, zu alarmieren und dann halt auch die Leute, die diese Systeme haben, die diese Sicherheitslücke hatten, zu informieren und zu schulen, wie sie diese Sicherheitslücke abstellen können. Das ist so die Aufgabe des IT-Lagezentrums. Klingt ja jetzt erstmal nicht verkehrt.

Also sowas könnte man vielleicht gebrauchen. Kann man schon mal probieren. Dann kam 2010 dieser genannte Stuxnet-Wurm. Kannst du erklären, was der gemacht hat, wo der herkam, was das war? Also der Stuxnet-Wurm, der wurde irgendwann auf Windows-Systemen gefunden.

Und auf den meisten Systemen hat er einfach nur gar nichts gemacht. Da war der halt so da. Er war immer noch ein Wurm. Er war so ein Wurm und hat versucht, sich so ein bisschen weiter zu verbreiten. Aber eigentlich hat er nicht groß was getan.

Und dann irgendwann fand man heraus, dass er doch unter bestimmten Umständen was tut. Nämlich, wenn er an dem Rechner einen bestimmten Typ von Siemens Industriesteueranlagen vorfindet,

dann tut er doch was. Nämlich, dann tut er da so die Eingabeparameter immer so ein bisschen variieren. Aber immer nur ein ganzes, kleines bisschen. Immer nur so ein bisschen. Und dann hat man sich so ein bisschen gefragt, naja, wofür ist denn das jetzt interessant?

Und dann stellt es sich heraus, dass man diese Siemens Industriesteueranlagen in Zentrifugen benutzt. Und zwar Zentrifugen, die sich sehr schnell drehen. Und bei denen es sehr genau darauf ankommt, mit welcher Geschwindigkeit sie sich drehen,

weil sie sonst nämlich nicht das Ergebnis liefern, was sie sollen, und sich mitunter auch einfach selbst zerstören, nämlich die Lager kaputt machen und so weiter. Und diese Art Zentrifugen, von denen ich rede, das sind Zentrifugen zum Anreichern von Uran. Die benutzt man nämlich in einer Uran-Anreicherungsanlage.

Sogar noch ein spezifisches Modell von Controller. Also es war nicht nur irgendwie der eine Controller, den alle benutzen. Oder jemand hat das gebaut, damit alle Anreicherungsanlagen davon betroffen sind. Sondern es war schon ein ziemlich spezielles Ding. Man hat sich dann natürlich auch noch ein bisschen angeguckt, wo sich denn eigentlich der Virus so konzentriert.

Das kann man ja so lokal auswerten, wo der denn als erstes aufgetaucht ist und so weiter. Und dann stellt es sich heraus, dass der als erstes im Iran aufgetaucht ist. Und offensichtlich wurden damit die iranischen Uran-Anreicherungsanlagen manipuliert.

Und man geht davon aus, dass es sich dabei um eine Zusammenarbeit zwischen israelischen und amerikanischen Heimdiensten handelt. Und das mit dem Wurm, das ist wohl ein bisschen aus dem Ruder gelaufen.

Also eigentlich wollte man wahrscheinlich nur, dass sich der halt so in der Anlage gut verteilt. Aber ja, irgendwie ist er dann in die freie Wildbahn entkommen. Da gibt es eine schöne, ich glaube, Alternativlos-Podcast-Folge dazu. Kann man sich mal anhören. Dort wird halt auch analysiert,

also wird vorgestellt, dass da auch mehrere sehr gute Sicherheitslücken genutzt wurden, die am freien Markt sehr teuer und noch sehr unbekannt waren. Wo die Wahrscheinlichkeit ist, dass diese selber von diesen Gruppen gefunden worden ist. Das müssen auch mehrere gewesen sein, weil sich irgendwie der Programmstil innerhalb dieses Programms doch unterschiedlich dargestellt hat.

Auf jeden Fall hat es 2011 dann, also das kam 2010 raus, 2011 wurde dann als Reaktion zum Beispiel auf diesen Stuxnet-Wurm von der Politik und der Regierung darauf reagiert. Nämlich haben sie sich eine Cyber-Sicherheitsstrategie ausgedacht, in der so drei, vier Sachen wichtig sind. Nämlich, dass man ein nationales Cyber-Abwehrzentrum bräuchte.

Was auch immer das ist, das werden wir dann gleich erklären. Dass man eine zentrale Stelle für Informationstechnik im Sicherheitsbereich bräuchte. Abgekürzt CITES, werden wir nachher noch öfter sagen. Und dass es vielleicht sinnvoll wäre, eine Agentur für Innovationen in der Cyber-Sicherheit zu haben, die sogenannte ADIC.

Weiterhin sind aus diesem ganzen Kontext auch die IT-Sicherheitsgesetze gekommen, die verschiedene Folgen hatten für private Unternehmen. Zum Beispiel halt das Melden von Sicherheitslücken beziehungsweise von Eindringungen in ihr System. Führte natürlich dann auch zum Cyber-Sicherheitsrat,

der gegründet worden ist. Also ihr merkt, das sind ganz viele Gremien. Wir haben auch eine schöne Grafik in den Shownotes, falls ihr euch die mal anschauen wollt. Ich werde sie auch bei uns im Space mal aufhängen. Dort sieht man mal, wie diese ganzen Bundesbehörden miteinander sprechen. Der Cyber-Sicherheitsrat ist so eine ministerienübergreifende Geschichte.

Da ist das AA drin, das BMWi, das BMI, BMJV, BMVG, Bundeskanzleramt, BMBF, BMWi und das BMF. Also schon so, dass die Ministerien, die sich für Cyber zuständig führen, die entsenden Mitarbeiter in diesen Rat. Und der soll dann auch diesen Austausch

voranbringen. Weiterhin sind da auch kommunale Spitzenverbände mittlerweile drin. Das heißt auch Landesämter sind damit drin. Das Bundesministerium für Verteidigung ist damit drin. Also es geht so Stück für Stück in die Sache, dass das eine staatliche

Aufgabe ist, Deutschland im Cyber-Raum zu verteidigen. Es steht zum Beispiel nirgendwo im Grundgesetz drin, dass das so sei. Also kann ja sein, das ist Ländersache, kann ja sein, das ist jedem selbst überlassen, sich zu verteidigen. Ist ein bisschen schwierig, weil das halt alles noch so in Anführungsstrichen neu ist im Vergleich zu was mache ich eigentlich, wenn mein Bienenschwarm rumfliegt oder

wen darf ich wann wie bestrafen oder nicht. Denkt immer dran, euer Bienenschwarm dürfte auch auf fremde Grundstücke folgen. Ja, da merkt man mal, dass die Grundgesetzväter auch und Mütter, gab es eigentlich Frauen, weiß man, ja, dass die Bienenfreunde waren und Bienenfreundinnen.

Da haben wir ja Glück, dass man den plural benutzen kann. Ich würde im Angesicht der Zeit jetzt hier ein bisschen kürzer über die aktuelleren Sachen drüber gehen. Also Koalitionsvertrag hat das dann nochmal bekräftigt, dass wir Cyber- Abwehrzentren brauchen. Es kam zu diesen wilden IT-Sicherheitsgesetzen, zu dem man sich durchaus mal informieren

kann, nämlich dass kritische Infrastrukturen die IT-Sicherheit ernst nehmen müssen und sich auch einen Standard ausdenken müssen, um das dann im BSI zu melden. Das BSI muss diesen Standard, den sie sich selber ausgedacht haben, genehmigen. Und alle zwei Jahre müssen die Unternehmen nachweisen, dass sie sich den selbst gesetzten Standard noch erfüllen.

Das war auch so eine ganz komische Geschichte. Das Wichtige, was da noch war, dass es halt eine anonyme Meldepflicht gab, nur dass man halt Sicherheitsvorfälle melden musste. Also angenommen, jemand hat die zentrale Nutzerdatenbank von Kunden, von Krankheitsdaten, von Geodaten keine Ahnung, aufgemacht und hat die entwendet oder hätte sie theoretisch entwenden können, gibt es eine gewisse Frist,

in der man das melden muss. Also auch schon vor der DSGVO gab es das. Zumindest anonym. Das ist ja jetzt eine andere Frage. Also nach der DSGVO musst du sehr potenziell den Nutzer melden. Aber hier geht es ja um die Meldung an staatliche Stellen sozusagen. Das wurde dann nochmal alles aktualisiert am 6. April 2016.

Am 6. April 2017 wurde dann die CITES so richtig gegründet, was ihr euch gerne mal in den Shownotes durchlesen könnt. Das sind so ziemlich die längsten Shownotes, die ich jemals produziert habe. Es sind so 400 Leute, die da bis 2022 arbeiten sollen. Es sind also schon ein paar, die sich darum kümmern,

die Behörden des Bundes halt in Sicherheitsaufgaben zu schulen, entwickeln und forschen halt nach Methoden und Werkzeugen, entwickeln aber auch digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Big Data-Auswertung und so ein Kram. Also CITES entwickelt schon ein paar Tools,

mit denen man Cyber machen kann. 2018 gab es dann den neuen Koalitionsvertrag, wo nochmal so das Cyberabwehrzentrum plus kommen sollte und aber auch das Cyberabwehrzentrum in so eine Art Cyberagentur auch noch, um die Cyberagentur erweitert werden soll. Und so kam

es eigentlich zu dem Thema der Sendung, dass ich gerne verstehen wollte, was diese ominöse Cyberagentur ist, die es jetzt demnächst in Halle und Leipzig geben soll. Halle ist nicht direkt Sachsen, sondern Sachsen-Anhalt, Leipzig ist Sachsen, ist eine Region mit hoher Arbeitslosigkeit,

10% oder so. Kohleabbau hört da gerade so ein bisschen auf. Und jetzt sollen da IT-Experten wachsen. Direkt vom Kohlebacker-Cyberabwehrzentrum. Jetzt werden Daten geschaufelt. Es sind auf jeden Fall, kann man sich vorstellen, ungefähr 100 Stellen, die da geschaffen werden sollen. 100 Leute

sollen sich dort um gewisse Dinge kümmern. Wir versuchen noch darauf genauer einzugehen vorher, um so ein bisschen einen Geschmack dafür zu bekommen, wie diese Cyberämter funktionieren, würde ich gerne über das nationale Cyberabwehrzentrum kurz sprechen. Bevor wir darüber aber reden, hören wir uns noch eine ganz kleine

Musik an. Wir schauen mal, ob wir sie bis zu Ende hören. Aber bis gleich.

Bevor Honky euch weiter mit Institutionen und Jahreszahlen bewirft, will ich euch kurz eine Geschichte erzählen. Stellt euch vor, es ist bald

Weihnachten, es ist ja auch bald. Und ihr habt dann den Weihnachtsbaum zu Hause schon aufgestellt und dann ist plötzlich das Licht aus. Meine Kerzen brennen weiter. Ja. Also der Weihnachtsbaum ist an der Stelle eine Hilfe. Aber

das Problem ist, es ist nicht nur das Licht aus, sondern es ist auch dein Kühlschrank aus. Dein Rechner geht dann so nach ein paar Stunden aus, wenn der Akku alle ist. Dein Handy geht dann so ein bisschen später aus, weil der Akku meistens ein bisschen länger hält als beim Laptop. Genau, aber das Handy

hilft dir im Zweifelsfall auch gar nichts mehr, weil das Mobilfunknetz ohne Strom ja auch nicht funktioniert. Es ist Winter, draußen ist die Strom, die Straßenbeleuchtung aus. Aber Simon, ich weiß, was du tun würdest und ich weiß, was ich tun würde. Wir würden beide zu unseren Autos mit Solaranplatten gehen

und unseren CB-Punk anwerfen, richtig? Das ist sicherlich hilfreich, aber das ist nicht das normale Bild der Menschen. Das haben leider nicht alle. Genau. Und dann ist übrigens auch Winter. Da gehen dann auch die Pumpen in der Heizung aus und

dann fängt so langsam das Wasser an einzufrieren. Und genau. Simon, es ist Weihnachten. Warum erzählst du uns so eine schreckliche Geschichte? Weil das so passiert ist, nämlich den Lorten in der Westukraine 2015. Das ist uncool. Warum ist das denn passiert?

Naja, weil es da einen Cyberangriff auf das ukrainische Stromnetz gab und relativ schnell konnten die das nur wieder herstellen, weil die das gerade erst neu digitalisiert hatten und das alte analoge System noch gab und sie darauf wieder umschalten konnten. Zum Glück ist das wohl ohne größere

Verluste an Menschenleben zum Beispiel über die Bühne gegangen. Aber im Dezember ist halt in der Ukraine auch kalt und im Zweifelsfall ist da die Wasserleitung auch schnell durchgefroren und dann geplatzt. Ohje. Genau. Und ich habe euch

die Geschichte erzählt damit, weil man sollte darüber schon nachdenken, wie anfällig unsere Infrastruktur für so Cyberangriffe ist und es ist schon auch wenn wir uns da immer gerne ein bisschen lustig machen über viel Cyber.

Es ist schon sinnvoll darüber nachzudenken, wie denn das funktioniert und was man da tun kann und so weiter. Der Trend geht zum Holzofen, habe ich gehört. Das ist hilfreich. Genau. Daher machen wir jetzt mal weiter mit der

Wenn ihr keinen Holzofen habt, dann könnt ihr euch in zweiter Instanz vielleicht noch auf die Politik verlassen, denn die hat das nationale Cyber Abwehrzentrum gegründet aus dem Plan von 2011. Was muss man sich darunter vorstellen? Naja, das ist so eine kleine Institution,

keine eigenständige Behörde. Das heißt, das sind so Büroräume, da sitzen ja geschätzt 15 Leute permanent, die als Hauptaufgabe haben, den Austausch zwischen den Behörden und den Regierungsstellen zu koordinieren. Also die da sitzt zum Beispiel jemand drin, vom BSI acht Leute, um genau

zu sein, jemand vom Verfassungsschutz, jemand vom Bundesamt und Bevölkerungsschutz und so weiter. Bundespolizei, Zollkriminalamt, Kriete sitzt da mit drin, die Bafen sitzt da mit drin, sitzen also mehrere Behörden mit drin, die sich gegenseitig austauschen und sich schulen, halt um zum Beispiel solche Vorfälle gezielter mitzubekommen, um sich auf solche Vorfälle

vorzubereiten, um Erfahrungen auszutauschen. Das klingt erst mal alles ja total praktisch, also so Austausch und so ist ja toll. Gibt es aber leider eine Sache, die dagegen spricht, nämlich das sogenannte Trennungsgebot von Polizei und Geheimdiensten. Also die Bundespolizei darf zum Beispiel nicht direkt mit dem Bundesnachrichtendienst zusammenarbeiten.

Das ist so eine der Lehre, die wir aus der Zeit zwischen 33 und 45 gelernt haben, dass es keine gute Idee ist, bestimmte Sachen dort untereinander auszutauschen. Das bezieht sich natürlich jetzt eher fallbezogen und arbeitsbezogen auf Dinge und nicht wie betreibe ich meine Server. Das kann man ja vielleicht noch machen. Also der Weg dazwischen ist echt

schmal und wenn sich die Leute da kennen, das ist etwas, was da deutlich dagegen spricht. Es ist auch nicht so ganz klar, wie das ganze Zeug finanziert ist. Also man hat da verschiedene Behörden, die ihre Leute dahinschicken. Das heißt, das sind halt im Wesentlichen Angestellte weiterhin dieser Behörde, die dort arbeiten, die die Art und

Weise, wie diese Behörden arbeiten, um noch mal die Polizei und den Bundesnachrichtendienst zum Beispiel rauszupicken. Wenn die Polizei von einer Straftat hört, dann muss sie sofort agieren und Ermittlungen einleiten. Wenn der Bundesnachrichtendienst von irgendetwas Relevantem hört, irgendeiner Geheiminformation, dann muss diese nicht sofort irgendwie publiziert

werden oder genutzt werden, sondern die halten die dann im Zweifel zurück. Es gibt dann einfach so Fälle, wo sich das überschneidet, wo das echt schwierig wird, das auseinander zu halten und das wahrscheinlich auch nicht so gewünscht ist, dass das wirklich so sich überschneidet. Jedenfalls sitzen diese Leute da zusammen, haben so tägliche

Besprechungen, Arbeitsgruppen, Arbeitskreise, machen so Projektgruppen und Workshops. Wer da mehr Details haben will, es gibt eine wunderbare Studie, die wir in den Show Notes verlinkt haben oder lasst euch einfach mal die Show Notes durch. Wie gesagt, das ist so eine der längeren Show Notes und in Anbetracht der Zeit werden wir auch

sehr viele Sachen hier versuchen rauszulassen. Ein Nachteil, der dem Cyber-Abwehrzentrum immer vorgeworfen ist, ist der Einfluss des BSI, dass das BSI nämlich da zu viel Einfluss hat. Von den Leuten, die da permanent arbeiten, sind halt ein Großteil vom BSI und auch die

90 Prozent vom BSI. Wie gesagt, die Quellen dazu findet ihr. Es gibt Konflikte zu anderen bestehenden Organisationen, deswegen habe ich es so vorhin ein bisschen gesagt. Also der Zertbund zum Beispiel, das IT-Lagezentrum macht was sehr Ähnliches. Wer ist eigentlich wann zuständig? Wer kontrolliert den ganzen Laden eigentlich? Das ist keine eigene

Behörde. Das ist irgendwie was Eigenständiges, wo die Behörden Arbeiter hingeschickt werden. Das heißt, die Kontrolle dieser einzelnen Mitarbeiter unterliegt den parlamentarischen Ausschüssen und so ein Kram gibt es da nicht. Es gibt keinen Aufsichtsrat, der da irgendwie von Bundestagsabgeordneten gesetzt ist oder so. Ist also eine ziemlich

intransparente Sache, die da vor sich hin vegetiert und vielleicht ja gute Arbeit macht, aber man weiß es nicht so genau. Man kann da nicht reingucken. Auf jeden Fall sitzen da ziemlich viele Leute mit ziemlich vielen Informationen ziemlich nah beieinander und unterhalten sich und lernen voneinander. Also so richtig klar ist das nicht. Im Grundgesetz steht das nicht drin, dass das okay ist. Eigentlich eher so ein Gegenteil.

Naja, weil dann diese Kalenderaktion kam, von der wir vorhin gesprochen haben, wo so Bundestagsabgeordnete teilweise privaten E-Mail-Verkehr an die Öffentlichkeit verloren haben oder irgendwelche anderen Informationen geleakt worden sind. Im Nachhinein stette

sich doch raus, dass das irgendein Einzeltyp war, der einfach nur gut googeln konnte. War das nicht sogar so, dass es relativ einfach zugänglichste Systeme waren, dass da also schon kriminelle Energie dahinter steckte, aber wenig... Aber es war jetzt eher Fleißarbeit als... Genau. Ja, fancy.

Jedenfalls haben sie da dieses Cyber-Abwehrzentrum noch weiter ausbauen wollen mit dem Code namens Cyber-Abwehrzentrum Plus im Rahmen des zweiten IT-Sicherheitsgesetzes. Habeck forderte damals eine Cyber-Polizei, was ich auch sehr interessant fand und das, was auch mal ein Thema ist, was wahrscheinlich uns später nochmal berühren wird. Naja, es ist auf jeden Fall eine ziemlich intransparente Sache von ziemlich vielen Behörden, Ministerien

und Dingen, die da zusammenarbeiten, die da nicht zusammenarbeiten müssten zwingend. Ich meine, diese Trennung hat ja auch seinen Zweck. In Baden-Württemberg seid ihr übrigens sicherer, denn in Baden-Württemberg gibt es die Cyber-Währ. Aber die Cyber-Währ hat leider kein Cyber-Währ-Fahrzeug,

da müsst ihr zu uns kommen. Die Cyber-Währ wird auch auf dem 36C3 zu bewundern sein. Wir schauen mal, in welchem Rahmen genau. Wer sich jetzt nichts darunter vorstellen kann, de Mesier war das doch, oder? Der sogar sowas wie eine freiwillige Feuerwehr für Cyber-Angriffe gefordert hat und auch gerne die Nummer des Chaos-Computer-Clubs haben wollte.

Es gibt mittlerweile eine Cyber-Nummer, die suche ich euch nachher noch aus, eine 0800er-Nummer von unter anderem den Cyber-Abwehrzentren, glaube ich. Da kann man anrufen, wenn man sich über Cyber informieren will. Die suche ich euch nachher noch aus, ansonsten schneide ich sie euch ans Ende des Podcasts. Also bei uns könnt ihr ja theoretisch hier auch im Radio anrufen.

Das ist dann quasi auch temporär die Nummer des Chaos-Computer-Clubs. Simon, siehst du hier ein Telefon? Also ich sehe zwar die. Okay, dann ruft bitte an, die 0351 320 54711 und fasst euch kurz. Aber nur, wenn ihr einen Cyber-Vorfall melden wollt. Nur, wenn ihr einen Cyber-Vorfall melden wollt.

Wir würden euch dann live im Ratschuh beraten. Ja, bis sie uns die Sendung abdrehen und wir nur noch im Internet zu hören sind. Wir sind jetzt ein bisschen über diesen Cyber-Abwehrzentrum drüber gerutscht. Das ist so das gewesen, was man 2011 als erstes versucht hat zu machen,

nämlich so die Behörden miteinander zu koordinieren. Das Abwehrzentrum berichtet zum Beispiel auch dem Cyber-Sicherheitsrat, diesem ominösen Rat oder Gremium, was ich vorhin erwähnt habe, vierteljährlich zum Beispiel, und berät halt auch so nochmal den Austausch. Was jetzt neu dazu gekommen ist und wie gesagt auch der Grund ein bisschen für diese Sendung war, ist die Cyber-Agentur.

Die Cyber-Agentur, das ist total spannend, weil die war mal geplant. Da hieß sie eigentlich die Agentur für disruptive Innovationen Cyber-Sicherheit und Schlüsseltechnologien, ADIC. Die Abkürzungen haben irgendwie... Das klingt sehr toll, von denen will ich bezahlt werden.

Da darf ich ja offensichtlich machen, wozu ich gerade... Da willst du doch deine Steuergelder hinschicken, oder? Für die Agentur für disruptive Innovationen. Was sind denn disruptive Innovationen? Naja, so nicht kontinuierlich so. Der nächste Quantensprung. Der nächste Quantensprung, zum Beispiel Quantencomputer, das Deschiffrieren von Cryptographien.

Das wäre sehr disruptiv für asymmetrische Verschlüsselung. Zum Beispiel. So ein Quantencomputer. Die Cyber-Agentur ist 2018 im Koalitionsvertrag beschlossen worden, wie ich das vorhin schon gesagt habe, war so die Direktion auf die Bundestagsleaks, ist zur Hälfte finanziert vom Bundesverteidigungsministerium und zur Hälfte vom Innenministerium.

Also die Cyber-USHI und der Cyber-Horst, wie wir es oben im Titel wahrscheinlich mit verwurstet haben werden. Cyber-Horst, also Horst Seehofer für alle, die dem jetzt nicht folgen können oder wollen,

hat sich dann noch mal so ein bisschen umentschieden und anstatt... Also ursprünglich waren geplant 365 Millionen Euro über vier Jahre oder sieben Jahre. Dann hat sich aber das Verteidigungsministerium sogar daran gehalten, hat die Hälfte davon überwiesen, also bereitgestellt 182,5 Millionen. Und das Innenministerium sagte sich dann so,

nee, lieber so nur noch 40 Millionen. Okay, kann man machen. Führt dann natürlich dazu, dass aus dem 365 Millionen Budget, es ist eigentlich viel 365 Millionen für eine Bundeseinheit. Also zum Beispiel die Spund, also das

Institut, das muss ich euch noch rausholen, dann reden wir nachher noch mal drüber. Die haben zum Beispiel 650 Millionen zur Erforschung von Quantencomputer allein in dieser Legislaturperiode ausgegeben. Dann sind 40 Millionen, wo ihr sehr wenig. Oder halt 220 Millionen für die gesamte Agentur. Also es ist auch so eine Sache, was das eigentlich dann genau werden soll.

Die Cyber Agentur ist eine GmbH. Also keine Behörde, kein rechtliches, kein richtiges Organ, sondern eine private Gesellschaft mit begrenzter Haftung. Ich meine, das machen wir ja so bei Helmholtz Zentren auch so. Ja, aber bei der Verteidigung des Landes.

Also ich bitte dich, wir reden hier über eine Agentur, die dieselbe Aufgabe hat wie die DARPA. Die DARPA, wer sie nicht kennt, ist der Laden, der das Internet erfunden hat und in den USA für sämtliche weirde Forschungen bezahlt im militärischen Bereich.

Und die haben 3 Milliarden Euro pro Jahr zur Verfügung. Ja, das ist ein bisschen mehr. Ja, ein bisschen mehr, also zehnmal mehr, wenn man den gesamten Laden nimmt oder 80 Millionen pro Jahr, was zurzeit angedacht ist. Also das ist ja sehr komisch. Damit das Ganze stattfinden kann, gab es so ein paar Einschränkungen

vom Haushaltsausschuss, nämlich dass es halt eine gewisse Menge von Aufsichtsräten geben muss in dieser GmbH. Darunter sollen zwei Bundestagsabgeordnete sein, dass es aus den verschiedenen Ämtern und beteiligten Organisationen Personalräte in diesen Aufsichtsräten geben muss und dass die Cyberagentur zum Beispiel keine eigene Labore betreiben darf

oder eigene Forschung machen darf. Denn die Aufgabe der Cyberagentur ist ähnlich die der DARPA, das Verteilen des Geldes an innovative Projekte, die disruptive Sprunginnovationen zur Folge haben.

Aber nicht an private Unternehmen sozusagen, weil da steht ja, dass ich... Nee, sie darf nicht für private Unternehmen tätig werden. Also es darf niemand sagen, hey, liebe Cyberagentur, ich habe hier ein Problem. Die Cyberagentur darf sagen, oh, das, was ihr da machen wollt, das klingt aber interessant.

Da dürfen wir euch mit Geld bewerfen. Genau, hier habt ihr noch mal ein paar mehr Mitarbeiter und die könnt ihr die nächsten paar Jahre beschäftigen. Ich sehe schon, ich will übrigens doch nicht da arbeiten. Das sind ja schlechtere Arbeitsbedingungen als an der Uni. Maximal vier Jahre steht hier. Ja, ja, das ist auch zeitlich begrenzt, die ganze Geschichte.

Es ist auch räumlich begrenzt. Also sie wollen erst in Halle am alten NWM-Gebäude anfangen, am Rieweckeplatz. Das Ziel ist 2022 dann in den Flughafen umzuziehen, was dann natürlich nach zwei Jahren auch schon wieder ganz schön viel Stress und Selbstbeschäftigung zur Folge hat. Vor allen Dingen, wenn man da nicht weiß,

wie man dann zwei Jahre später, ob man da noch da arbeiten wird oder nicht, je nachdem, ob der Laden noch finanziert ist oder nicht. So, die Cyberagentur klingt jetzt erst mal so wie was, was, okay, Gelder verteilt, also an Forschungsunternehmen oder an Forschungsvorhabende. Es gibt auch ein paar Leute, die das nicht so gut finden.

Ich meine, Forschung zu fördern ist ja vielleicht nicht schlecht. Gut, die Forschung, die sie da fördern wollen, ist halt fragwürdig. Die Bitkom zum Beispiel sagt, also der Bundesverband der IT-Unternehmen sagt, das dauert zu lang mit der Gründung, okay, kann man finden. Die wollen aber wahrscheinlich auch eher die Gelder

dann möglichst schnell zur Verfügung haben, die dort zur Verfügung stehen sollen. Die Finanzierung, wie gesagt, hatten die schwankt halt immer mal. Mal soll es 365 sein, dann nur noch 220. Jetzt wurden erst mal 80 Millionen genehmigt. DARPA hat viel mehr. Wer sich da mal ein sehr geschultes Interview dazu anhören will,

kann sich mal Anna Biselli im Deutschlandfunk anhören dazu. Die macht da seit Jahren wunderbare Arbeit und erwähnt da zum Beispiel auch, dass es eigentlich sowas wie die Cyberagentur schon viele Male gibt in Deutschland. Es gibt nämlich von der Bundeswehr den Cyber Innovation Hub. Das heißt, es gibt da schon eine Forschungsgruppe,

die als Aufgabe hat, disruptive Innovation und digitale Transformation zu fördern. Die haben also schon mal Geld dafür ausgegeben. Dann gibt es ein ganzes Forschungsinstitut, die Cyber Defense erforscht, das sogenannte Code. Die machen ressourcenübergreifenden Cyber Cluster für Grundlagenforschung im Exzellenzniveau.

Ich finde das immer so schöne Formulierungen. Ich habe da so ein bisschen ein Faible für. Und es gibt auch vom Forschungsministerium halt Dinge, so Kompetenzzentrum für IT-Sicherheitsforschung und halt die haben besagte 650 Millionen für die Quantentechnologie, diese Legislaturperiode zur Verfügung gehabt.

Und dann auch noch die besagte vom BSI geförderte Agentur zur Förderung von Sprung Innovationen, SPINT. Und die CITES, die dann auch ähnliche Aufgaben hat. Also die Frage ist, warum schafft man hier etwas, was es schon so fünf, sechsmal oder vielleicht sogar mehrmals

in der Bundesrepublik schon gibt, mit weniger Geld als diese anderen Stellen an einem Ort, wo es auch schwierig ist, irgendwie Personal zu finden. Also nichts gegen Halle. Aber in Halle, wenn da Kohle geschaufelt wird, sind deswegen nicht viele IT-Techniker dort und schon gar nicht sind die dann zwingend bereit für die Cyber Agentur zu arbeiten.

Und das nächste Ding ist, die wollen besonders qualifiziertes Personal haben in der Cyber Agentur. Na ja, aber irgendwie ist das ein bisschen widersprüchlich, weil auf der einen Seite wollen die hier super qualifiziertes Personal. Auf der anderen Seite sollen die halt nicht selber forschen,

sondern eigentlich nur Geld verteilen. Ja, damit sie halt wissen, an wen sie das Geld geben sollen. Und die haben auch eigene Labore. Das ist auch so was, was der Bundesrechnungshof irgendwie angekritisiert hat. Aber ich denke, sie dürfen gerade keine eigenen Labore bauen. Ach so, sie dürfen welche haben. Sie wollen auch hoch qualifiziertes Personal haben, haben aber kein Geld dafür wegen des Besserstellungsverbotes.

Also quasi, dass man staatliche Angestellte nicht besser bezahlen darf als andere vergleichbare staatliche Angestellte. Du kannst also niemanden, der irgendwie IT in der Behörde macht, schlechter bezahlen als jemand, der IT-Sicherheit an der Cyber Agentur macht. Das heißt, dort wird es halt nur eine begrenzte Anzahl an

Bezahlungsmöglichkeiten geben, auch wenn es da so Maßnahmen gibt. Zum Beispiel die Verlängerung zu Maßnahmen für Gewinnung von Fachkräften auf ein Gebiet der Informationstechnik. Das ist so eine Aktion vom BMI, vom Bund, wo sie halt sagen, es gibt besondere Prämien. Ihr könnt hier als Informatiker besonders viel Geld verdienen, in Anführungsstrichen, also mit Boni und irgendwie 15 Jahre lang oder vielleicht sogar länger die Boni bekommen und so.

Also es gibt da schon irgendwie Versuche, das Ganze attraktiv zu machen, zumindest finanziell. Aber sie scheitern halt an ganz vielen anderen Geschichten. Also wer sich da mal informieren will, wie gesagt, die Show Notes kann ich euch nur ans Herz legen. Hier sind nochmal so sechs, sieben Punkte

von einem Haushaltsausschuss zu der ganzen Geschichte. Werden wir leider heute hier in diesen anderthalb Stunden nicht beleuchten können. Aber es gibt ja auch noch einen wunderschönen Block, wo die ganzen Abkürzungen, die ich am Anfang erzählt habe, näher ausgeführt sind, falls jemand nachschlagen will,

was denn das so für lustige Böden waren. Genau, kann ich euch auch die Show Notes empfehlen. Beziehungsweise die Studie, die wir dort verlinken. Das war so erst mal grob zusammengefasst, was die Cyberagentur macht. So ein Laden, den es eigentlich schon viele Male gibt,

in einer Region, wo es schwierig ist, Personal zu bekommen mit einer fragwürdigen Finanzierung und einer Laufzeit von vier Jahren mit einem Umzug nach zwei Jahren. So kann man es so grob zusammenfassen, was diese Cyberagentur macht. Sie verteilt Forschungsaufgaben und will disruptive Technologien und Innovationen fördern. Sprung Innovation nennt sie das.

Wir sind gespannt. Wir sind gespannt. Deswegen würde ich vorschlagen, wir verdauen das jetzt kurz, hören eine Musik und schauen dann mal, wie wir das hätten anders gemacht und was wir uns noch so bis Ende des Jahres anschauen sollten. Bis gleich. Kommen wir zurück in der monatlichen Sendung

des Chaos Computer Clubs, dem Penta Radio. Wir haben uns heute mit dem Wort Cyber beschäftigt, den Einrichtungen der Politik, die sich mit Cyber beschäftigen. Wir haben über die Cyberagentur und das Cyberabwehrzentrum geredet. In Anbetracht der Zeit reden wir jetzt noch über Cyber-Sicherheit zu Hause. Wenn man zu Hause sich ein bisschen sicherer fühlen möchte,

worauf sollte man so achten, Simon? Na, man sollte zum Beispiel darauf achten, dass die IT-Systeme nicht nach außen offen sind wie ein Scheunentor. Das heißt, man installiert einen so genannten Firewall oder nutzt zumindest den, der im Plast-Router des Internetanbieters

schon enthalten ist. Den man übrigens auch mal regelmäßig updaten sollte. Das wäre hilfreich. Dann macht ihr mal schön Backups. Verschlüsselt eure Festplatten. Nutzt Open-Source-Software. Wechselt regelmäßig eure Passworte.

Überlegt, ob Anti-Viren-Software wirklich was für euch ist. Und ja, lest den Blog von Julia Reda, die nämlich auch zehn gute Tipps dafür hat, wie man wirklich hätte gut cybern können in Deutschland. Also welche Rechte und Pflichten Hersteller zum Beispiel von Geräten erfüllen müssten,

damit die IT-Sicherheit halt steigt. Denn wie bei einer Kette ist es immer das Schwächste Glied, was einen Einbrecher in das System hineinlässt. Und manchmal ist das Schwächste Glied der Mensch. Und manchmal ist es halt irgendwie die fancy schmency LED-Steckdosen-Steuerung,

damit man was machen kann. Was ich jetzt hier tatsächlich noch nicht in Julias Punkten sehe, was aber auch oft gefordert wird, ist, dass doch Hersteller für ihre Produkte haften sollten. Auf face-liability.3. Ach, da ist es ja. Also IoT, das S steht für Sicherheit.

Tja, das wissen wir ja alle. Und damit kommen wir zu unserer beliebten Kategorie Werbung in eigener Sache. Hoffentlich baut uns irgendwann mal jemanden Jingle. Das wird jedes Mal peinlicher. Die lieben Hexen, die weiblichen Hackerinnen auf dem Kongress bauen Hexenschreine.

Hexenschreine sind kleine Memorials, die Frauen, die zur Entwicklung bei Computern beigetragen haben, die Anerkennung und Wahrnehmung auf dem Kongress oder auf der Welt beibringen soll. Es gibt quasi noch freie Memorials für tolle Frauen,

die Dinge getan haben in Informationstechnologie. Wer sich also dazu berufen führt, gut basteln kann oder einfach möchte, dass man Frauen in der Informationstechnik mehr und besser wahrnimmt, der darf bitte in den Show Notes auf die Wiki der Hexenschreine klicken. Und an einen Hexenschrein bauen. Ja, bitte. So, ansonsten hätten wir noch Vorschläge,

was ihr mit eurem überschüssigen Steuergeld anstellen könnt, bevor sich das Jahr dem Ende zuneckt. Empfehlenswerte Seiten, die sich über Spenden finanzieren und auch im Wesentlichen beigetragen haben zu der Informationsfindung dieser Sendung, sind? Netzpolitik.org.

Ein Journalistenblog, der sich im Wesentlichen mit Netzpolitik beschäftigt und man täglich mal besuchen kann und wenig bis gar keine Werbung hat. Also an einer zweiten Plattform, die sehr viele interne Dokumente, auf die ich auch in den Show Notes verlinkt habe, durchaus schön ins Netz gestellt hat, es fragt den Staat.de.

Also wer mal wissen möchte, wie die Cyberagentur intern ihre Aufbauweise hat oder welche Empfehlungen sie ihren Mitarbeitern gibt, wie sie miteinander umgehen sollen, der kann da wunderbar schön Dinge drin lesen. Ansonsten, wenn die euch da nicht beantworten wollen, können wir euch dann weiterleiten an die Kollegen von Verklagt den Staat.

Da könnt ihr gegebenenfalls dann eure Informationsfreiheitsgesetz Anfrage mit etwas Glück, sogar mit Unterstützung der Gesellschaft für Freiheitsrechte, die ihr natürlich auch unterstützen könnt, juristisch weiterverfolgen. Falls ihr dann noch Kohle übrig habt, der NetzBiotop e.V.,

der sich in Dresden lokal für die Erhaltung der Netzfreiheit einsetzt, freut sich auch um überspenden. Die Mitgliederversammlung ist am 5. Dezember. Ich glaube, 19 Uhr im Zentralwerk Dresden. Es sind Gäste willkommen. Es ist eine öffentliche Veranstaltung.

Jetzt haben wir noch eine Sache von unserem eigentlich Dritten im Bunde. Ja, genau. Denn einer war heute nicht da. Er hat sich nicht vorgestellt, weil er nicht da war, was ich eine Frechheit finde. Er ist ganz schön dreist. Er hat auch nicht angerufen unter der 035132054711. Das könnte daran liegen, dass die Internetverbindung in deutschen Zügen nicht so gut ist.

Oder überhaupt in Deutschland. Ja, also Xeire, er hat nicht gespenst. Also er hat schon gespenst, aber er hat nicht behauptet, krank zu sein oder irgendwas, sondern er war heute auf einer Veranstaltung der Stiftung Datenschutz

zum Spannungsfeld von Datenschutz und Datenteilung in Berlin. Und davon hat er uns einen kleinen Audiobericht gemacht, den werden wir jetzt ans Ende schneiden. Die Radiohörer werden den nicht mehr ganz zu hören kriegen. Da müsst ihr dann nochmal in den Podcast schauen,

den ihr unter www.c3d2.de findet oder in allen möglichen lustigen Podcastquellen. Eine Sache noch, media.ccc.de. Keine Sendung vergeht, ohne dass wir das nennen. Genau, da gibt es auch wieder tolle Vorträge zum Thema IT Security.

Genau, damit würde ich sagen, verabschieden wir uns. Vielleicht für dieses Jahr, vielleicht auch nicht. Die nächste Sendung wäre genau zu Heiligabend, wo natürlich jeder gute Pentaradiohörer den Weihnachtsbaum kurz verlässt und uns dazu hört. Wir werden sehen, was es da gibt.

Das entnehmt ihr dem Sendekalender. Viel Spaß euch, ein gutes Jahr, schöne Weihnachten und bis bald. Einen tollen Kongress. Ja, bis zum Kongress kommt vorbei. Und wenn ihr jemanden vom Pentaradiohörer seht, dann bewerft ihn mit Schunk, nickt ihm oder ihr nett zu.

Und dann schauen wir mal, was passiert. Viel Spaß mit Rod Hamilton und Tiffany Seale, Butterfly Peas und Cyra's Beitrag im Anschluss. Bis bald.

Hallo Pentaradiohörer, hier ist Stefan. Heute nicht mal aus Dresden, sondern aus Berlin. Denn ich bin heute bei der Veranstaltung Datenmacht und Monopole der Stiftung Datenschutz. Und das ist mal eine andere Perspektive. Wenn wir hier im Podcast normalerweise drüber reden, mit so einem Radio, haben wir eher so die Technikersicht

und vielleicht auch so die ethische, moralische Sicht, aus der wir mit unserer konkreten Schlagnummer herkommen. Und hier ist heute mal ein Blick auf die Sache, die der explizit ökonomisch und juristisch ist. Und das Thema, das es hier insbesondere geht, ist die Datenteilungspflicht. Das ist eben so ein Vorschlag, mit dem man Datenmacht

und Monopole so ein bisschen in den Griff kriegen kann. Und der erste wesentliche Vortrag, den ich mich dabei ziehe, ist von Professor Wolfgang Kerber gewesen, von der Philipps-Universität Marburg. Der ist Wirtschaftswissenschaftler und hat so erklärt, was er zu dem Thema forscht. Und der Stand der Forschung da ist,

wohl, dass Daten auf mehrere Art und Weise halt zu Macht führen. Das Erste ist einmal, dass es ein Informationsmacht ist. Das kennen wir ja, wie z.B. von Amazon. Amazon weiß ganz genau, wie ihre Bestände und so sind. Und dann könnten die das natürlich z.B. davon nutzen, um die Preise zu regulieren, je nachdem, wie viel gerade noch da ist. Oder z.B. auch Hotelvergleichsseiten bieten ja dann

irgendwie auch das letzte Zimmer nochmal deutlich teurer an. Also diese Informationsmonopole, die da bestehen, die führen zu einem Marktversagen. In dem Sinne, dass da halt nicht irgendwie der Markt, wie das ja immer gerne behauptet wird, von den Wirtschaftswissenschaftlern den effizientesten Preis ausrechnet. Die zweite Art und Weise, wie es zu einer Macht kommt, ist Marktmacht.

Oh, ich, nee, ich übersteuere nicht, okay. Marktmacht heißt in dem Falle, dass es ja Netzwerkeffekte gibt. Das kennen wir auch von den großen Plattformen. Wenn alle deine Freunde bei Facebook sind, musst du auch bei Facebook sein. Und das begünstigt natürlich dann, dass Facebook so ein Monopol aufbaut. Und das Dritte ist eine sogenannte Intermediationsmacht.

Nämlich, wenn man eine Plattform hat, auf der Firmen mit Kunden in Kontakt treten können, dann hat man natürlich Kontrolle darüber, welche Firmen man rauflässt oder auf welchen Konditionen die sind. Das sieht man zum Beispiel bei Apples App Store. Die können halt da 30 Prozent Gebühren nehmen, einfach weil es halt einfach keinen anderen Zugang gibt zu Apps für iOS-Geräte. Und genauso halt größtenteils auch beim Google Play Store für Android.

Nun gibt es da als ein mögliches Instrument um zumindest diese Informations- und Marktmacht ein bisschen zu regulieren, den Vorschlag der Datenteilungspflicht. Das ist ein bisschen analog zur Open Data. Also Open Data bezieht sich auf Regierungsdaten und das bezieht sich halt durch die Daten, die von Firmen gehalten werden.

Das heißt also, wenn eine Firma irgendwie sauber anonymisierte oder nicht personenbedingte Datensätze hält, müssen die auch mit anderen Marktteilnehmern geteilt werden, vielleicht auch mit der Öffentlichkeit. Also zum Beispiel kennen wir ja irgendwie die besten Spracherkennungssoftware. Die haben halt die großen Firmen wie Google, Amazon, Apple oder sowas, weil die einfach gigantische Datensätze haben von irgendwelchen Aufnahmen von Leuten, die reden

und wo dann entsprechende Texte annotiert ist. Und damit können sie ihre Systeme trainieren. Und für einen neuen Marktteilnehmer, also für eine kleine Firma oder ein Startup oder auch nur jemand aus einer anderen Branche, der halt nicht diese ganzen Daten hat, ist es halt nicht möglich, diesen Markt einzutreten. Und das hindert natürlich den Wettbewerb. Und deswegen sollen dann solche Unternehmen verpflichtet werden,

diese Datensätze auch auszugeben an andere Marktteilnehmer oder vielleicht auch an die Zivilgesellschaft. Da gibt es natürlich mehrere Probleme. Die wurden auch diskutiert. Das erste Problem ist natürlich, wenn ich jetzt höre, sauber anonymisierter Datensatz. Das klingt erst mal für mich wie saubere Kohle. Also nach so einem intrinsischen Paradoxon. Mit Anonymisierung ist das so ein bisschen wie mit Verschlüsselung.

Wenn ich einen Verschlüsselungsstandard von vor 40 Jahren nehme, der wird heute von irgendwelchen Studenten als Übungsaufgabe geknackt. Und genauso wie wenn ich mir Anonymisierung angucke, die vor zehn Jahren gemacht wurde, die ist heute absolut trivial deanonymisiert. Das ist halt auch ein aktives Forschungsgebiet und auch die kriminellen und Geheimdienste dieser Welt forschen natürlich auch weiter daran, wie man Dinge deanonymisieren kann.

Das heißt also, es ist sehr problematisch stand, eine Datenteilungspflicht für auch anonymisierte Daten zu machen, wenn dieses Risiko besteht, dass sie anonymisiert werden könnten, zum Beispiel durch Zusammenführung mit anderen Daten setzen. Und da gibt es die Idee vielleicht, dass man in dem Fall dann nur Training an den Daten erlaubt. Also ich schicke dann quasi mein Programm zu der Firma,

die diesen Datensatz hält. Und die trainieren dann halt mein Modell damit und schicken mir das Ergebnis zurück oder ich mache mein wegen meine Statistik darüber und kriege dann nur die Statistik als das Ergebnis zurück. Aber die Daten selber werden nicht herausgegeben. Ein anderes Problem mit dieser Datenteilungspflicht ist, ja, was würde man eigentlich definieren, welche Daten geteilt werden müssen? Zum Beispiel, wenn ich jetzt ein Forschungslabor bin, was irgendwie neue Produkte entwickelt für eine Firma.

Also die Forschungsabteilung von der Firma sind dann meine Forschungsergebnisse, Daten, die geteilt werden müssen, wahrscheinlich eher nicht. Das ist relativ Konsens, dass es sich dabei um Firmengeheimnisse handelt. Aber zum Beispiel, wenn ich jetzt interne Tests mache, sind die Messdaten, die ich da oben habe, eigentlich Daten, die geteilt werden müssen. Das ist vielleicht nicht so klar.

Da kommt es dann auf die konkrete Formulierung an, die dann im Gesetz steht am Ende. Ein anderes Problem ist, dass eine Datenteilungspflicht kleine Unternehmen abhalten könnte, davon neue Datensätze zu erstellen. Wenn ich jetzt weiß, wie ich als kleines Unternehmen investiere, jetzt irgendwie meinen, quasi einen großen Teil meines Vermögens darin, irgendwie einen neuen Datensatz aufzubauen, um vielleicht meine konkrete Nische zu bedienen. Vielleicht irgendwie möchte ich Statistiken über die Bäume,

die in Dresden stehen, sammeln, um dann, was zum Beispiel in Frankreich in einer Stadt gemacht wird, eine App anzubieten, wo Leute gucken können, welche Arten von Bäumen gibt es in diesem Viertel, damit sie nicht in ein Viertel ziehen, wo dann die ganzen Bäume stehen, gegen die sie allergisch sind. Wenn ich jetzt als kleines Firma diesen Aufwand betreibe, so einen Datensatz zu erstellen, der vielleicht hochspezialisiert ist,

könnte ja dann aufgrund der Datenteilungspflicht einfach Google ankommen und das dann sofort in Google Maps einpflegen oder Emo Scout kommt und baut das dann in ihrer Immobilien-Suche ein und dann ist mein Geschäftsmodell weg. Da gibt es mögliche Vorschläge, wie man das machen könnte. Man könnte es machen wie im Patentrecht oder im Urheberrecht, dass man, wenn man einen Datensatz erstellt, erst mal für eine bestimmte Zeit, vielleicht für drei Jahre oder für 20 Jahre

oder was auch immer eine Monopol drauf hat, ist natürlich wieder eine Abwägungsfrage, wie lang genau. Ein anderer Vorschlag wäre, dass die Datenteilungspflicht dann nur vom Markt beherrschen und große Unternehmen gelten soll oder dass es so einen progressiven Anstieg der Datenteilungspflicht gibt mit dem Marktanteil, also dass so ein kleines Startup irgendwie, was erst 0,001% Marktanteil hat, einfach nix teilen muss und aber ein großer Monopolist,

der 90% Marktanteil hat, der muss halt alles teilen oder zumindest fast alles. Also, man sieht schon, dass es nicht so einfach. Da gibt es viele Schrauben, an die man drehen kann und es gibt auch viele Parameter, die darauf Einfluss haben, was jetzt am Ende aus einer ökonomischen Sicht wirklich sinnvoll ist, um halt den optimalen Wettbewerb zu erreichen. Die Forschung hat sich zum Beispiel mit Suchmaschinen beschäftigt.

Da sieht es wohl so aus, dass eine Datenteilungspflicht wahrscheinlich effektiv ist, also dass halt dieser Suchindex auch mit kleinen Anbietern geteilt werden soll. Das würde schon durchaus helfen, den Wettbewerb zu beleben. Wenn man zum Beispiel andere Branchen anguckt, sieht man zum Beispiel bei Versicherungen gibt es auch hochspezialisierte Datensätze. Die haben natürlich auch Erfahrungen

quasi in Form von Daten gesammelt über die Jahre, um ihre Prämien daran anzupassen und ihre Kapitalrücklagen. Und da fehlen aber anscheinend die Skaleneffekte, denn wir sehen ja durchaus, dass es nicht nur drei Versicherungen gibt. Es gibt ja auch sehr viele kleine Anbieter von Versicherungen, auch Spezialitätenversicherungen und so weiter. Dann ist in diesem Zusammenhang mit der Datenteilungspflicht noch die zehnte Novelle des Gesetzes

gegen Wettbewerbsbeschränkungen in der Diskussion. Die ist wohl gerade in Arbeit im zuständigen Justizministerium. Und da scheint es wohl tatsächlich jetzt ein bisschen Impulse in die Rechnung zu geben. Also unser jetziger Bundesdatenschutzbeauftragter Ulrich Kälber war bei der neunten Novelle damals noch beteiligt als Staatssekretär im Justizministerium

und meinte, da gab es auch schon so diesen Ansatz, so eine gewisse Datenteilungspflicht zu fordern, zumindest wenn es halt wettbewerbsverzerrend wirkt. Und in der zehnten Novelle soll das jetzt noch ausgebaut werden, weil das eben in der neunten Novelle damals noch nicht geholfen hatte. Insbesondere soll es jetzt eine zusätzliche Aufsicht geben für Unternehmen eben mit marktübergreifender Bedeutung für den Wettbewerb. Wie gesagt eben, was halt einer dieser Vorschläge ist,

diese Datenteilungspflicht insbesondere halt auf große Unternehmen, also halt mit marktübergreifender Bedeutung wirken zu lassen. Was wohl ein bisschen umstritten ist in dieser zehnten Novelle, das kann ich jetzt noch nicht hundertprozentig wiedergeben. Das ist, ob ich das jetzt komplett richtig verstanden habe, was ich so verstanden habe, war, dass es da wohl eine Umformulierung geben soll,

dass Daten als essentielle Infrastruktur angesehen werden, also so analog wie zum Beispiel zum Schienennetz, dass es halt einfach eine Sache ist, zu der man den Zugang nicht verwehren kann. Also zum Beispiel auch die Deutsche Bahn kann dir nicht prinzipiell den Zugang zum Schienennetz verweigern, weil das halt einfach essentielle Infrastruktur ist. Oder auch ein Stromanbieter kann dir nicht prinzipiell verweigern,

von ihm Strom zu beziehen, auch wenn du vielleicht aus irgendwelchen Gründen komplizierter Kunde bist, so lange du zahlst, ist alles okay. So, das war jetzt das große Thema Datenteilungspflicht. Jetzt kommen wir noch quasi zu den Kurzmeldungen, nämlich so Sachen, die so am Rande erwähnt wurden, die ich aber auch vielleicht für diese Runde ganz interessant fand. Wie gesagt, Ulrich Kielber war da, also unser Bundesbeauftragter für Datenschutz und Informationsfreiheit.

Und der hat natürlich auch ein paar Sachen erwähnt zur unserer lieben Datenschutz-Grundverordnung, der DSGVO. Die ist jetzt etwas über 500 Tage mittlerweile in voller Kraft. Und natürlich, wir haben gesehen, es gibt immer noch viel zu wenig Bußgelder und viel zu wenig Präzedenzfälle. Also, man hört mal so von ein, zwei Fällen. Aber die Tatsache, dass man da irgendwie von kleinen Bußgeldern

über 80.000 Euro oder so was mal hört, heißt natürlich auch, dass es noch nicht die richtigen Millionen Bußgelder gegeben hat. Und das liegt ganz einfach daran, dass diese Datenschutzbehörden hoffnungslos überfordert sind. Die Datenschutzbehörden in Deutschland gab es natürlich auch schon vorher und die haben natürlich auch schon vorher Anfragen bearbeitet. Aber die DSGVO hat halt jetzt die Anforderungen hochgeschraubt. Das ist halt nicht nur einfach so ein strongly worded letter,

der dann der von der Datenschutzbehörde geschickt wird, sondern es handelt sich hier tatsächlich um Bescheide und sowas. Die juristischen Anforderungen sind gestiegen, was natürlich positiv ist, weil das soll ja auch Durchschlagskraft haben. Aber das führt halt dazu, dass die Arbeit dort mehr wird. Und gerade auch in den anderen EU-Ländern ist das Personal halt einfach noch nicht da, um diese ganzen Anfragen zu bearbeiten.

Die angebliche Abmahn, Sturzflut an kleine Unternehmen, die irgendwie Geburtsdaten oder sowas sammeln oder irgendwie Klingelschilder an Häuser machen, das deswegen abgemahnt werden sollte, was ja irgendwie befürchtet wurde, als das ganze Kraftrad ist ausgeblieben. Habe ich auch nichts von gehört und Ulrich Kelber offenbar auch nicht. Und um das jetzt noch komplett auszuschließen,

auch für die Zukunft ist jetzt in Arbeit. Und soweit ich weiß, auch gerade im Bundestag in den Ausschüssen, dass ein gesetzlicher Ausschluss definiert werden soll von kostenpflichtigen Abmahnungen gegen Unternehmen kleiner als 50 Mitarbeiter oder kleiner als 10 Millionen Umsatz. Das heißt also, ja, klar, man kann dich vielleicht noch abmahnen,

aber du kannst diejenigen können dann nicht von dir fordern, dass die Anwaltskosten ersetzt werden für die Abmahnung. Also es steht dann nicht irgendwie vom Wegen, du musst jetzt hier, wenn du nicht gerichtlich gegen uns vorgehst, gleich mal 400 Euro Anwaltskosten zahlen. Und damit ist halt dieses Geschäftsmodell von Anwaltabgäten weg. Also man kann wirklich abmahnen, wenn man noch ein Rechtsverstoß sieht,

aber man kann nicht damit irgendwie sein ganzes Geschäftsmodell beschreiten. Ulrich, ich muss mich beeilen, hier wird gleich abgebaut, da werde ich jetzt wahrscheinlich gleich vom Stuhl vertrieben, aber ich bin noch gleich fertig. Noch ein anderes Themenfeld, PSD 2 hatten wir vor zwei Monaten bei uns in der Sendung die Payment Services Directive 2, also die Zahlungsdienstrichtlinie, die novelliert wurde.

Und da nehme ich auch ein Vertreter einer Bank hier bei einer Diskussionsrunde war, aber ich gelinke da genutzt, um mal zu fragen, wie es eigentlich aussieht mit den Schnittstellen. Denn der PSD 2 ist ja definiert, dass die Banken Zugriff geben müssen, wenn du das gerne möchtest, auf deine Kontodaten durch zertifizierte Dienstleister. Also zum Beispiel, wenn du jetzt diese Sofortüberweisung machst,

dann muss er die Sofortüberweisung auf dein Konto raufgucken, um dann deine Bonität zu prüfen. Oder meinetwegen zum Beispiel Check24 bietet dann so eine Funktion an, dass du da dein Konto prüfen lassen kannst, dann gucken die nach, nach den Daueraufträgen von deinem Stromanbieter und sagen dir dann, dass du sicherlich total viel zu viel bezahlst und wechselt doch mal hier bitte deinen Stromanbieter und so weiter.

Und tatsächlich wurde mir das bestätigt, dass dieser Zugriff auf die Bankdaten nur durch zertifizierte Dienstleister erfolgen darf und nicht durch Endkunden, wie das ja bei dem alten HBCI der Fall war. HBCI war so eine deutsche Insellösung und das wird halt jetzt wirklich durch PSD 2 abgesetzt. Also wortwörtlich hat dieser Bankvertreter gesagt,

HBCI ist tot. Es wird nach vollendeter Umstellung auf PSD 2 komplett verschwinden. Wenn das Banken jetzt noch anbieten, dann ist das halt nur übergangsweise. Ich kann das jetzt natürlich nicht mit 100%iger Sicherheit sagen, aber wie gesagt, das ist das, was dieser Vertreter einer namhaften Bank mir gesagt hat. Und das ist natürlich ziemlich frustrierend für mich, denn wir haben in unserem Vereinskonto ja auch schon mal versucht,

irgendwie diese HBCI-Schnittstelle ans Laufen zu bekommen, damit ich nicht die Kontoauszüge von Hand in die Buchhaltungssoftware abtippen muss. So, das war jetzt inhaltlich im Prinzip alles. Ach du meine Güte, 13 Minuten schon wieder. Noch kurz eine Sache. Die Veranstaltung heute hier war ausgerichtet von der Stiftung Datenschutz. Das ist so eine Stiftung des Bundes,

wo von der Konfiguration her analog zur Stiftung Warentest zum Beispiel wurde 2013 von Justizministerin Sabine Leuthalter-Schnarrenberger von der FDP ins Leben gerufen und mit einem entsprechenden Stiftungsvermögen ausgestattet. Und die finanzieren sich zurzeit sehr relativ knappe Finanzierungen. Hier heute mussten sie tatsächlich mit Sponsoren arbeiten, was eigentlich ein Unding ist für eine Bundesstiftung,

aber ansonsten könnten die halt eigentlich Anfang November ihre Arbeit auch mal einstellen, weil das Budget so knapp ist, was sie haben. Sie arbeiten wirklich nur mit der Vermögensverwaltung ihres Stiftungsvermögens. Da nehme ich der Bundeshaushalt 2019 für die Zuschüssehöhe von Null Euro hatte und jetzt gerade beschlossen in den Haushaltsverhandlungen 2020 verdoppelt sich dieser Zuschuss auf Null Euro.

Von daher bitte empört euch, denn das sind gute Leute. Die machen gute Arbeit, um der Wirtschaft und zu vermitteln, worum es bei Datenschutz geht und diesen Dialog zwischen Politik und Wirtschaft aufrechtzuerhalten und ein bisschen auch Zivilgesellschaft. Wir hatten ja zum Beispiel auch den Vorsitzenden Frederik Richter bei den Datenspuren. Da können wir vielleicht noch den Media CCC-Link dazu tun.

Also wenn ihr mal mit einem Abgeordneten oder so etwas reden wollt, das ist zum Beispiel ein Thema, was man mal ansprechen kann. Alles klar, vielen Dank und bis zum nächsten Mal.