Mehr schlecht als Recht: Grauzone Sicherheitsforschung
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Title of Series | ||
| Number of Parts | 165 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/39280 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
| |
| Keywords |
35C3 Refreshing Memories52 / 165
2
5
6
7
8
9
10
11
12
13
15
16
17
22
26
29
30
31
33
37
38
39
40
44
45
48
49
53
54
55
57
59
60
62
65
66
69
70
72
73
74
77
80
82
83
84
85
86
87
89
92
94
100
104
105
106
107
108
111
113
114
115
116
117
119
121
122
123
124
127
132
133
136
139
141
143
144
145
146
148
149
150
154
155
156
157
158
159
160
161
162
163
164
165
00:00
Reverse engineeringSoftwareComputer animationDiagram
00:34
Computer animationLecture/Conference
01:26
Process (computing)Computer animationLecture/Conference
02:01
SoftwareCodeOperating systemLecture/ConferenceComputer animation
02:33
Hacker (term)Lecture/ConferenceComputer animationSource code
03:05
Android (robot)TOUR <Programm>PAPSource codeComputer animation
03:39
Mobile appPAPComputer animationLecture/Conference
04:28
Advanced Encryption StandardPAPSoftwareComputer animationLecture/Conference
05:14
EmailReverse engineeringComputer animation
06:07
EmailComputer animationLecture/Conference
06:57
SoftwareSoftwareLecture/ConferenceSource code
07:30
SoftwareSoftwareLecture/ConferenceSource code
08:06
WindowEmailLecture/ConferenceComputer animation
09:19
DistanceLecture/ConferenceComputer animation
09:57
PAPLecture/Conference
10:51
Computer scienceUniformer RaumComputer animation
11:47
SicLecture/ConferenceComputer animation
12:28
Statische AnalyseReverse engineeringRhytidectomyDebuggerEmulatorStatische AnalyseVariable (mathematics)Computer animation
13:15
Statische AnalyseReverse engineeringRhytidectomyComputer animationLecture/Conference
13:52
Statische AnalyseReverse engineeringRhytidectomySource codeDevice driverInterface (computing)Open sourceComputer animation
14:33
Reverse engineeringRhytidectomyCodeEmulationInterface (computing)Run-time systemEmulatorLecture/ConferenceComputer animation
15:08
Reverse engineeringRhytidectomyPAPEnde <Graphentheorie>Computer animation
16:10
Lecture/ConferenceComputer animation
16:50
Computer animation
17:36
Computer animationLecture/Conference
18:09
SoftwareComputer animationLecture/Conference
19:06
SoftwareHausdorff spaceMobile appComputer animation
19:57
ZifferInformationLengthSource codeLecture/ConferenceComputer animation
20:33
PAPComputer animationLecture/Conference
21:06
Uniformer RaumComputer animation
22:03
Lecture/ConferenceComputer animation
22:59
Process (computing)Smart cardLecture/ConferenceComputer animation
23:37
Computer animation
24:36
Software
25:09
KommunikationSpeciesLecture/ConferenceComputer animation
26:13
Context awarenessComputer animation
27:17
Uniformer RaumLecture/ConferenceComputer animation
27:52
Lecture/ConferenceComputer animation
28:45
Instanz <Informatik>Lecture/ConferenceComputer animation
30:00
Uniformer RaumLecture/ConferenceComputer animation
30:33
Uniformer RaumLecture/Conference
31:29
Hungarian Academy of SciencesKeim <Mathematik>Computer animation
32:18
Computer animationLecture/Conference
33:18
Lecture/Conference
34:10
Lecture/ConferenceMeeting/Interview
34:48
Programmer (hardware)CompilerForm (programming)Lecture/ConferenceMeeting/Interview
36:22
Student's t-testInternetLecture/ConferenceMeeting/Interview
37:35
Lecture/ConferenceMeeting/Interview
39:03
Lecture/ConferenceMeeting/Interview
39:45
Decision theoryCall centreLecture/ConferenceMeeting/Interview
41:26
Moment (mathematics)Lecture/ConferenceComputer animation
Transcript: German(auto-generated)
00:19
Nun folgt der Vortrag, mehr schlecht als recht, Grauzone Sicherheitsforscher mit Dominik und Fabian.
00:28
Stellt euch vor, ihr seid Forscher, ihr wollt euch ein Stück Software genauer angucken, verstehen, wie es funktioniert und macht das, was üblich ist, Reverse Engineering. Dabei findet ihr eine Sicherheitslücke, wenn man so in den Programmschedule von diesem Kongress guckt,
00:43
ist das jetzt nichts allzu unübliches, was passiert, aber plötzlich kommt Post vom Anwalt. Von dieser Geschichte erzählen uns die beiden Forscher Dominik und Fabian. Begrüßt sie und ihren Leidesweg mit einem großen Applaus.
01:08
Dankeschön. Genau, wir halten mein Kollege Fabian und ich halten heute einen Talk. Warum stehen wir hier? Ich habe es gerade schon kurz angedeutet, das hat irgendwas mit rechtlichen Dingern zu tun.
01:20
Disclaimer vorweg, wir sind keine Rechtsanwälte. Dankeschön dafür. Ich muss auch dazu sagen, es sind nicht nur wir beide betroffen gewesen, es waren acht Leute insgesamt, die hier in rechtliche Turbulenzen verwickelt waren. Das waren zwei Gruppen, komplett unabhängige Forscher.
01:41
Einmal das Team im folgenden Team V von der Friedrich-Alexander-Universität Erlangen. Das sind drei Leute von der FAU und mich. Ich bin inzwischen an der TU Berlin und das andere Team, das Team TUM aus München, TU München, vier Leute, inklusive Fabian und eigentlich einer noch von der TU Eindhoven. Der wurde aber im Laufe des Prozesses irgendwie von der Gegenseite einfach ignoriert.
02:05
Ist okay, er hat sich nicht darüber beschwert. Das Einzige, was wir gemeinsam haben, ist, dass wir keiner Lösung trauen, die absolute Sicherheit bewirbt. Wer macht sowas? Die sogenannte Antragsstellerin. Das ist eine Anbieterin von Sicherheitslösungen. Das Versprechen ist, gib mir deine Software, ich mach sie sicher, egal wie böse das Betriebssystem ist.
02:25
Schützt vor malware, man in the middle, code injection, spyware, also einfach vor allem. Und warum haben wir beide Gruppen uns das angeschaut? Wegen der relativ hohen Verbreitung am deutschen Markt, das war der Grund. Wie ist das Ganze, wie hat das angefangen? Wir haben das letztes Jahr angeschaut
02:41
und daraus ging dann so eine Veröffentlichung vor, langsam ging es los. Erstmal ein Artikel in der Süddeutschen Ende letzten Jahre. Sie seht rechts auf den Folien immer schön die Zeitleiste. Blau ist dafür die Color Coding der Team FAU, grün ist die TU München. Wir haben das gemeldet und ohne weitere Details einen Zeitungsartikel veröffentlicht.
03:03
Und dann einen Monat später gab es einen Vortrag auf dem Kongress dazu, die fabulöfte Welt des Mobile Bankings von Vincent Haupert von der FAU in Nürnberg. Und darauf ausliegend haben wir dann ein Paper auch noch geschrieben, also ein Wissenschaftlichspapier, das wir auf der DIMWA dieses Jahres vorgestellt haben.
03:24
Honey, I shrunk your app security. Da haben wir dann nicht nur die Antragstellerin betrachtet, sondern auch noch das umliegende Umfeld. Also wir haben uns auch nicht auf diese eine Firma verschossen, sondern wir haben uns dann auch noch ein bisschen den Markt angeschaut. Ja, das war eigentlich so das von uns und dann war es für uns auch vorbei, das Thema.
03:41
Deswegen kommen wir jetzt Fabian. Ja, danke Dominik. Also das Problem in dieser ganzen Geschichte ist, dass es leider ziemlich verzwickt ist. Es gibt zwei Zeitstrengen, die quasi an einigen Stellen parallel abläufen. Ich erzähle euch jetzt, was gleichzeitig an der TUM geschah. Was passiert ist, ist, dass ein Kollege von mir aus unserer Autorengruppe an der TUM sich die Elster App für die elektronische Lohnsteuererklärung angeschaut hat und festgestellt hat,
04:03
na ja, das, was da drinnen ist, das sieht ziemlich nach dem aus, was der Vincent auf dem 34C3 schon mal in einem Talk erwähnt hat. So ist der allererste Kontakt zu den Steinen zu kommen. Zu dem Zeitpunkt war das Paper auf der DIMM war, gerade conditionally accepted, wenn ich mich richtig entsinne.
04:20
Und dann floss ein bisschen was von unserer Analyse in das Paper noch mit ein. Was wir außerdem gefunden haben, ist eine sogenannte Weitbox-Kryptographie, die zusätzlicher Schutzbaustein in der Software der Antragstellerin ist. Und wir hatten eigentlich danach, dass ich nach diesen Weitbox-Krypto-Scheinen,
04:40
wir wollten das schon immer schon immer länger anschauen und haben gedacht, okay, zu diesem akademischen Diskurs bringt Weitbox-Kryptographie etwas, bringt es nichts, ohne zu wissen, was es jetzt genau ist. Wir wollten was beitragen und haben dann versucht, ein Paper zu veröffentlichen und haben ein Paper auf dem 12. New Snakes Workshop on Offensive Technologies,
05:01
der kurz VOOT 18, eingereicht und wir haben uns dann sehr gefreut, dass es conditionally accepted wurde, knapp einen Monat später. Da hat man sich nicht mit gerechnet. Dann sind wir überrascht worden, das erste Mal so knapp. Man sieht das hier an der Zeitleiste.
05:20
Ein paar Wochen nachdem wir das conditionally accepted bekommen haben, gab es eine E-Mail vom CTO der Antragstellerin mit dem Betreff Responsibles Closure Violation. Da sind wir das erste Mal aus allen Wolken gefallen. Eigentlich, man muss dazusagen, unsere Findings, das war jetzt eigentlich, wir haben da zwar Reverse Engineering betrieben,
05:44
aber wir haben nicht so direkten Sicherheitsleck da gefunden tatsächlich. Es ging eigentlich eher mehr so um einen Vergleich von etwas mit der akademischen Welt. Trotzdem haben wir die Forschungsergebnisse, die wir hatten und einen Vorabzug des PayPars der Firma um dies dagegen zur Verfügung gestellt und haben dann, die waren natürlich nicht begeistert,
06:02
dann haben wir über verschiedene Aspekte unseres Papiers mit denen 10 Tage lang diskutiert. Ja, Überraschung. Wir hatten ja zu dem Zeitpunkt, da habe ich vorhin schon dargelegt, abgeschlossen mit dem Thema. Wir hatten unser Papier Re-Release, das ist so in der Wissenschaft üblicherweise, da hat man dann nicht mehr so viel damit zu tun. Und plötzlich flattert so ein Schreiben, offiziell aussehendes Schreiben.
06:24
Also erst mal kam eine Mail am Freitagabend, am Montag kam dann auch das per Post. Bitte einmal unterschreiben, im Volksmund wird es eine Abmahnung genannt. Worum ging es da? Ja, ein E-Mail von der Rechtsanwalt, das Kanzlei zur Forderung der Abgabe einer Strafbewerten-Unterlassungserklärung,
06:44
das muss ich ablesen, mit der Frist von, also Freitagabend kam das an, nur zwei Werktagen, was nicht sehr viel ist, Verstoß gegen, ja, was könnten wir verstoßen haben? Wir sind böse Hacker, deswegen wahrscheinlich irgendwas mit Hackersachen, genau, Urheberrecht.
07:02
Und natürlich waren wir auch noch Wettbewerber und haben unlauteren Wettbewerb betrieben. Wir haben uns gewundert, die Forderungen waren folgendermaßen, kein Reverse-Engineering mehr machen, also zumindest der Software der Antragstellerin, keine Schutzmaßnahmen umgehen, die, die hier irgendwie, das ist ja denen ihr Job,
07:22
also die machen Schutzmaßnahmen, wir dürfen die nicht mehr umgehen, damit ist dann wieder der Schutz perfekt. Nichts mehr veröffentlichen und keine Software mehr erwerben oder besitzen,
07:40
die entweder A oder B ermöglicht, also, nicht, keine, hört auf mit eurem Job, ein Leben lang, Strafe hier Verstoß, 10.000 Euro, also jedes Mal, wenn ich AIDA aus Versehen irgendwo, egal, strafrechtliche Konsequenzen auch noch angedroht, also so ein böser Nebensatz, der sagt ja übrigens, obwohl ihr hier vielleicht das unterschreibt,
08:00
ihr könnt ja dann trotzdem noch auf anderen Wege belangt werden, das fanden wir nicht so gut. Ich hatte jetzt die glückliche Situation, ja, easy, an der Uni, ich bin ja Forscher und so, ich hab da angerufen, ja, ich hab ein Problem, liebe Rechtsabteilung und die Rechtsabteilung so, ja, überhaupt gar kein Problem, machen Sie sich keine Sorgen, wir kümmern uns um das Thema, damit bin ich fertig.
08:21
Danke für eure Aufmerksamkeit, ich geh zurück an Fabian. Ja, jetzt wär's ja schön gewesen, wenn das bei uns auch so einfach gewesen wäre. Also wir haben diesen schönen Brief in Form eines Vorzugs per E-Mail an einem Freitag bekommen, ich glaube, es war irgendwie so 15, 15.30 oder so,
08:45
wir saßen glücklicherweise noch in einer Besprechung mit meiner Chefin, meiner Professorin, die mir mein Promotionsprojekt betreut und die hat dann gleich reagiert und meine Rechtsabteilung angerufen, naja, gut, jetzt, Uni, ich weiß nicht, könnt ihr euch überlegen, was passiert, der Mann um 16 Uhr an einem Freitag,
09:02
da versucht irgendjemanden zu erreichen, es war zum Glück tatsächlich noch jemand da, ja, also es war noch jemand da, der unsere Anfrage erst mal aufgenommen hat, es hieß allerdings tatsächlich nur, ja, der Herr Oberregierungsrat, der sich das anschauen könnte, der ist leider nicht mehr im Haus, ich geb ihm das gleich am Montag. Ich hab hier so einen kleinen Kalender, um zu sehen, wie knapp das war.
09:21
Am 20. haben wir es bekommen, der 24. war die Frist, bis dahin sollten wir das zurückschicken, unterschrieben, dann könnten wir vielleicht den zivilrechtlichen Forderungen entgehen, wurde uns versprochen, in diesem Abstand schreiben. Gut, am Wochenende ist da ja nichts passiert, wir mussten dann so zehnne Knöchen ins Wochenende gehen, ohne was bewegen zu können.
09:41
Am 23. und 24. haben wir dauernd mit der Rechtsabteilung telefoniert, mehrfach, oft, und haben versucht irgendwie, den zu erklären, was eigentlich passiert ist, tatsächlich, die sind erst mal aus allen Wolken gefallen, wir haben gedacht, oh Gott, was ist da schiefgelaufen,
10:01
dann haben wir erst mal versucht zu sehen, okay, was ist die Historie, wir haben ja schon im Vorfeld eine Diskussion zu unserem Paper mit denen geführt, haben denen unser Paper gegeben, und dann gab es das nächste Problem, naja, das sind, ich will jetzt die Juristen nicht runtermachen, keineswegs, aber die haben halt ein anderes Fachgebiet, und wir machen unsere Forschung, wir machen unsere Forschung da und sollen denen jetzt auf einmal erzählen,
10:23
was unsere verschiedenen Analysetechniken dann bedeuten und wie das rechtlich einzuordnen ist. Das war sehr schwierig, und die Rechtsabteilung hat das auch am Anfang nicht so locker gesehen, also die erste Reaktion war, glaube ich, oh Gott, wir informieren erst mal den Vizekanzler, wir sehen da potentiell auch noch Schadensausforderungen
10:42
auf uns zukommen, potentiell auch nach ausländischem Recht, und ja, das war nicht witzig. Wir haben dann um eine Fristverlängerung gebeten, die Rechtsabteilung hat das netterweise für uns übernommen. Es ist ein Schreiben an den gegnerischen Rechtsanwalt. Wichtig ist eigentlich, nutzt euch das Fette, wir bitten um eine Fristverlängerung bis Dienst
11:01
seit dem 31. Juli, wie ihr jetzt auf diesem Kalender sehen könnt, das wäre jetzt genau eine Woche gewesen, gekriegt, ein Tag haben wir. Danke. Okay, also weiter hetzen. Wir müssen irgendwie mit unserer Rechtsabteilung erklären, was wir jetzt machen können. Also wir haben mit denen tatsächlich juristische Fachartikel gewälzt.
11:21
Dann kam am 25. leider noch der nächste Brüller, ja, wir können das Antwort schreiben, leider nur vorbereiten, unterschreiben müsst ihr es selbst. Wir können es als Uni nicht zurückweisen. Auf dem Briefkopf steht euer Name, ihr müsst es unterschreiben. Die TUM ist nicht offiziell Prozesspartei bis jetzt. Da war auf unserer Seite erst mal stille.
11:40
Wir konnten es nicht fassen. Wir mussten dann tatsächlich darauf eingehen und haben das deren vorbereitetes Antwort schreibt, dann selbst unterzeichnet und die Forderung des Antrags der Antragstellerin zurückgewiesen. Ganz kurz erinnere mich dran, ich habe es komplett vergessen. Das war natürlich nicht, wie es war. Also sie haben sofort gesagt, ja, es steht ihr Name drauf.
12:02
Good luck, have fun. Sie sollten sich dringend an Antwort nehmen. Geht uns nichts an. Also das war dann geil. Weiter rechtlicher Hintergrund, Fabian. Okay, also das, was jetzt folgt, das wussten wir natürlich zu dem damaligen Zeitpunkt noch nicht.
12:20
Das ist das, was wir jetzt über den, das wird vielleicht noch alles kommt im Vortrag. Da haben wir das so angesammelt an Wissen. Wie gesagt, wir sind keine Anwälte, aber ich versuche trotzdem mal so ein bisschen euch auseinanderzunehmen. Wo ist das Problem juristisch, soweit wir es verstehen? Wir haben uns für unsere Analyse der Software-Kompetenzen tatsächlich in der Art, weil diese die mit der Dupatform um die es da ging,
12:40
verschiedene Methoden aus dem reverse engineering Baukasten bedient. Der ist jetzt hier als Querbalkengrün dargestellt. Und da ist z.B. halt drin dekompilieren, verschiedene statische Analyse Techniken. Man kann das Programm zum Beispiel testen, indem man es in einem Emulator ausführt und nicht direkt auf der Hardware, aber man kann ein bisschen pippen an ein paar Stellen.
13:00
Man kann das Programm zu auf und als Black Box nehmen und einfach dem zuschauen, was es tut. wenn man es im Debugger ausführt tatsächlich, dann sieht man auch, wie sich die Registerwerte verändern. Disassemblieren tatsächlich wird auch durch den Debugger gemacht, tatsächlich ist aber ja, man kann es auch bei Object-Dump oder so reinschmeißen. Juristisch ist es so, dekompilieren never do it.
13:20
Das ist verboten nach verschiedenen Paragraphen aus dem Urheberrecht. Und ein Teil Anspruch, je nachdem, glaube ich, auf welchen Anwalt mal trifft, leiten die das auch her aus dem Gesetz gegen den unlauteren Wettbewerb. Wo steht man darf, nicht mit technischen Maßnahmen, Geschäftsgeheimnisse einer anderen Firma sich aneignen,
13:41
testen und beobachten wiederum tatsächlich, ist völlig okay. Das ist explizit erlaubt nach dem Urheberrecht und dankenswerterweise auch nicht ausschließbar nach dem AGB. Bei den ganzen Zwischendingern ist es so, je nachdem, welchen juristischen Fachartikel man da liest, da gibt es nur ein paar davon.
14:04
Also wir haben gefragt, keiner konnte das so richtig sagen, wir mussten im Vorgang auch Anwälte nehmen, auch die meinten ja, das ist nicht abschließend geklärt unserer Meinung. Es gibt bei dem Dekompilieren netterweise eine Ausnahme, das ist die Herstellung von Interoperabilität.
14:21
Also wie gesagt, ich bin wieder kein Jurist, aber ich vermute, das trifft so aus wie Treiberentwicklung. Ihr habt einen Closed Source Treiber und ihr wollt, es gibt eine Schnittstelle und ihr wollt jetzt einen Open Source Pendant dazu anbieten, oder es gibt irgendeine klar definierte Schnittstelle und aus Wettbewerbsgründen, damit da Wettbewerb bestehen kann, darf man im Notfall da auch Dekompilieren, um mal rauszukriegen, wie diese Schnittstelle zu bedienen ist.
14:43
Im Emulator ausführen, wir haben mal unsere Anwälte dann später gefragt, die meinten, es ist wahrscheinlich eher verboten. Das müsst ihr euch jetzt mal auf der Zunge zergehen lassen. Also die Begründung war dann, naja, das Programm läuft dann ja nicht mehr in seiner natürlichen Umgebung.
15:05
Schwierig. Und statische Analyse, also teilweise, wir haben auch juristische Fachlehrer, da war Disassemblieren schon verboten. Also wenn ihr auch im Hexeditur das Programm aufmacht und den Disassemblierer in eurem Kopf hat tatsächlich, also ihr könnt dann aus den Hexedituren die Obcodes herleiten und selbst wenn ihr in eurem Kopf Dekompilieren könnt, das ist fein.
15:24
Wenn ihr aber ein Tool dafür benutzt, das es automatisch macht, ist das schwierig. Eigentlich war unser Ziel das Ganze, wir wollten eigentlich gerne mit der, also wir hatten kein Interesse an Streit. Wir haben gesagt, naja, okay, was können wir denn machen, ohne unsere wissenschaftliche Unabhängigkeit zu verlieren,
15:46
um das der Gegenseite so ein bisschen schmackhaft zu machen, dass wir das Paper veröffentlichen. Wir haben dann mit denen diskutiert, ein paar Formulierungen, die wirklich einfach drin waren, die wissenschaftlich null Relevanz haben, wo man nicht sagen kann, hey, wir hätten uns da jetzt einen faulen Kompromiss gemacht, haben wir gestrichen, aber das hat alles nichts gebracht.
16:04
Letzten Endes haben wir trotz intensiver Diskussion mit der Antragsgegnerin das Paper dann finaly zurückgezogen. Obwohl die Wut uns signalisiert, also es kam zwischenzeitlich von der Wut die E-Mail, ja, wir nehmen das an in der Fassung. Also das war nicht mehr nur conditionally accepted, das war finaly accepted zu dem Zeitpunkt. Dann haben wir gesagt, wir bringen das dann irgendwann später, vielleicht mal.
16:23
Und dann sind wir in den Urlaub gefahren und haben gedacht, naja, jetzt ist hier hoffentlich Ruhe, oder? Warst du dann auch irgendwie so ein Wochenende bei Ruhe? Hier ist das Unboxing-Video, was dann am nächsten, nächste Woche kommt.
16:42
Ja, das war das Schreiben. Danke. Im Inhalt oder zumindest an Masse fehlt es nicht. Das war das Schreiben vom Gericht, vom Nürnberger Landesgericht.
17:03
War sehr gehaltvoll. Und was war das dann? Sie haben versucht, eine einsweilige Verfügung zu erreichen, das Gericht hat das aber nicht direkt akzeptiert und hat gesagt, das ist ein sehr komplexes Thema. Erst mal sehr großer Wert und so. Man kann da irgendwie als Gericht sagen, ja, das winken wir direkt durch.
17:22
Eins, weil die Verfügung wird akzeptiert und da muss man irgendwie dagegen klagen und so weiter. Oder man sagt als Gericht, das will man gerne mal verhandeln, das hatten Sie gerne verhandelt. Mit Anwaltszwang, das heißt, wir haben uns dann auch Anwälte genommen, so, und volles Programm natürlich. Und persönliches Erscheinen wird angeordnet. Und dann sind wir alle, nach ziemlich viel Schriftwechsel.
17:42
Also dann, man denkt so, ja, Verhandlung, da geht man hin und schaut mal, was passiert. In Wirklichkeit war da mit unseren Anwälten wirklich ein Schuss. Also es gab Zeitenweise von der Gegenseite von uns irgendwelche Schreiben, die das Recht interpretiert haben und im Gericht versuchen, im Vorfeld schon mal klar zu machen, dass die jeweilige Gegenseite Quatsch redet.
18:01
Jedenfalls nach diesem gesamten Hin und Her haben wir uns dann auch getroffen im Gerichtssaal und war alles überfüllt. Die Richter haben gemeint, naja, so eine volle Zivilverhandlung hatten sie noch nie. Also wir waren acht Leute, der komplette Lehrstuhl ist noch mit angereist aus Interesse.
18:27
War sehr interessant. Also es war eine recht lange Verhandlung. Unser Anwalt hat mit zwei Stunden gerechnet maximal und es waren dann sieben. Genau, und da waren natürlich interessante Stielblüten mit dabei, die ich jetzt hier nicht zeitlich alle vorbringen will.
18:46
Aber solche Sachen wie die Rechtsanwälte der Antragstellerin haben so Sachen losgelassen, wie es kann der Sicherheit der Software unserer Klientin ja nicht dienlich sein, wenn die Sicherheit in der Öffentlichkeit diskutiert wird.
19:03
Genau, also es war interessant. Die Richter haben ihren Job tatsächlich, wir hatten Glück, dass sie sich wirklich drauf eingelassen haben auf das Thema. Nicht nur Schreibtischtäter, sondern wirklich sich damit auseinandergesetzt haben. Die Schriftführerin ist irgendwann nach Hause gegangen, weil sie die Feierabend machen musste.
19:23
Sieben Stunden später hat dann die dritte Richterin das nieder tippen dürfen, die Schriftführung war weg. Wir haben einen Vergleich geschlossen mit der Gegenseite. Wir haben uns quasi darauf geeinigt, dass die Gegenseite erstmal alles zahlt.
19:40
Das war uns sehr wichtig. Aber dafür haben wir zugestanden, dass wir in Zukunft Responsive Disclosure Ihnen gegenüber einhalten. Also wenn wir jemals wieder deren App anschauen, dann sagen wir erstmal Bescheid. Wir haben eine neue Sicherheitslücke, wir geben Ihnen x Tage Zeit, die wir für angemessen halten. Daraufhin darf die Gegenseite dann sagen, ja, ist uns nicht genug oder wir brauchen mehr Infos oder ja, passt, wir fixen das im Idealfall.
20:06
Und wir dürfen dann die Kommentare der Gegenseite prüfen und dürfen entsprechend agieren. Und was uns besonders wichtig war, wir dürfen weiterhin veröffentlichen trotzdem. Und genau, Sie tragen komplett die Verhandlungskosten. Also sagen wir mal ein okayes Ergebnis.
20:23
Nach dem Vergleich waren wir alle super durch. Und es gab auch ein heißes Artikel dazu, der regelkommentiert wurde. Also eigentlich, puh, gerade nochmal alles gut gegangen, oder? Also es war natürlich, es klingt jetzt so mittelgut, ne? Also es sind acht Forscher, es ist echt Stress, wie gesagt Papierkrieg bis zum Umkippen.
20:42
Lauter Sachen, die man noch nie sich hätte träumen lassen wollen können. Wir haben keinerlei Unklarheiten beantwortet, nur dadurch, dass wir gesagt haben, ja, wir nehmen den Vergleich an. Wenn wir gewonnen hätten, dann wäre Dekompilieren trotzdem nicht legal gewesen, hätten wir nur gesagt, wir haben nicht dekompiliert oder sowas. Und das Paper von der TU ist weiterhin nicht veröffentlicht.
21:02
Das wird aber, Sie sind auf dem Weg, also das kommt dann schon noch irgendwann, das ist halt jetzt ein halbes Jahr später. Was nehmen wir aus dem Gesamten mit? Erstmal keine Panik, aber, das ist so ein Standardding, ne? Don't panic. Aber ich hab natürlich zu wenig gepanikt, ich hab am Freitag gedacht, ja, ist eh Wochenende. Montag wird es meine Uni schon richten.
21:21
Ne. Nicht blind Sachen unterschreiben natürlich, ich glaub das ist auch obvious. Also wenn wir den ersten Wisch unterschrieben hätten, dann hätten wir halt einfach unseren Jobs in den Nagel hängen können. Kompletter Käse. Die Uni-Juristen sind keine IT-Experten, also selbst da an den Unis, wo sie was gemacht haben, also war es nicht so leicht, das denen zu vermitteln.
21:46
Die FAU zum Beispiel, da die Juristen haben sich hervorgetan, die waren positiv zu erwähnen, die, ja, wie auch immer. Nicht übertreiben in Publikationen, das ist so immer so ein bisschen gegen uns selbst. Wir tendieren dazu in der Wissenschaft immer so, alles voll gut, was sie gemacht haben und so weiter.
22:03
Wenn wir Sachen reinschreiben, die im Schluss vielleicht rechtlich verwerflich sind, dann problematisch. Und auch warum den Firmennamen groß den Titel packen, wenn man es nicht muss oder sowas, könnte man sich dann für die Zukunft überlegen, ob man das wirklich will. Und das Wichtigste natürlich, never decompile.
22:21
Also niemals, jemals, und decompile, aber wenn keine fünf mehr, Taste gleich rausreißen aus der Tastatur. Glücklicherweise, die Beweislastung liegt beim Gegner. Also falls doch jemand mal ausrutscht auf der Maus oder der Tastatur, die Beweislastung liegt beim Gegner. Nicht reinschreiben, also wenn man wirklich ein Papier oder sowas veröffentlicht, man hat nicht decompiliert, hat man einfach nicht.
22:44
Problem ist, es gibt irgendwie dann auch wieder Ansprüche, also wenn ein Verdacht besteht, dann könnten da auch wieder, das geht jetzt auch zu tief ins Detail, never decompile. So, dann haben wir uns einige Fragen gestellt, die wir jetzt mit dem laufenden Fabian noch ein bisschen beantworten möchten.
23:00
Also, bevor wir jetzt zum Ende des Talks um den Symposium mehr kommen, wir haben natürlich uns selber während des Prozesses schon einige Fragen gestellt, und auch von außerhalb welche bekommen, und das Best-of möchte ich euch jetzt nicht vorenthalten. Natürlich, naja, wenn die Richter, also das muss man klar sagen, während des Gerichtsprozesses haben sich die Richter sehr tief in die Karten schauen lassen.
23:22
Wir haben der Gegenseite quasi wortwörtlich gesagt, also Leute, vor dieser Kammer habt ihr mit euren Forderungen keine Chance. Das könnt ihr vergessen. Da kann man sich natürlich jetzt fragen, warum haben wir das dann nicht einfach durchgezogen, sondern uns verglichen? Na ja, ich habe euch das hier mal so ein bisschen aufgemalt.
23:41
Was wir ja gekriegt haben, ist, es ist der Instanzweg, wir haben jetzt ein 1-2-Dies-Verfügungsverfahren gehabt, das ist das, worum es bei uns ging. Die Abmahnung haben wir gekriegt, wir haben alle unabhängig voneinander zurückgewiesen, und dann geht der Weg, weil es ein 1-2-Dies-Verfügungsverfahren ist, erstmal zum Landgericht, dann zum Oberlandesgericht, wenn die Gegenseite in Berufung oder Revision geht, und danach gibt es auf jeden Fall erstmal bei dem 1-Dies-Verfahren eine Entscheidung.
24:05
Davon unberührt ist aber noch ein eigentliches Verfügungsverfahren, das ist quasi, also einstweilig ist das EIL-Verfahren. Ich habe mir gehört, ich hoffe, es stimmt. In Bayern muss man das zum Beispiel auch einen Monat nach Kenntnis als Firma des Vorfalls einreichen, sonst ist es offensichtlich nicht mehr eilig, wenn man einen Monat damit wartet, bis man zu Gericht geht.
24:23
Unabhängig davon kann man nochmal versuchen, die gleichen Ansprüche in dem normalen Verfügungsverfahren durchsetzen. Einstweilig ist einfach nur die Eilig-Geschichte, dass es eben der Zustand eingefroren wird. So, wo waren wir denn jetzt? Wir haben die erste Stufe dieser 5-stüfigen Pyramide, die haben wir quasi gezündet.
24:42
Wir waren bei Landgericht und haben es auch auf dem Urteil, also waren da, hätten es auf dem Urteil Anlass ankommen lassen können. Das wäre wahrscheinlich in unserem Sinne ausgegangen. Die meisten Fälle, von denen wir wissen und die von den, was auch die Turmanwälte wussten, oder uns von unserem Team die Anwälte wussten, die enden schon bei der Abmahnung. Die meisten Firmen haben null Interesse daran, in einem öffentlichen Rechtsstreit die Sicherheit ihrer Software zu diskutieren.
25:09
Das war bei uns nicht so. Mit dem Vergleich, da drin enthalten ist eine Abgeltungsklausel. Das bedeutet, alle Ansprüche sind erledigt, völlig egal, ob sie berechnet sind oder nicht.
25:20
Und damit kann man nicht in Berufung oder Revision gehen. Das heißt, wir haben dem Gegner die 4 Stufen, die noch hätten gezündet werden können, alle erspart. Oder haben wir uns erspart. Die Gegner auch. Wobei wir vermuten, dass wir am Ende die gewesen wären, die vielleicht etwas kürzeren Arten gehabt hätten.
25:43
Und wie gesagt, dieses Vergleich für uns ist in unserem Sinne. Wir wollen, ist sowieso eigentlich Responsible Disclosure, dass uns im Laufe dieses Verfahrens vorgeworfen wurde, naja, die Kommunikation war nicht so gut. Das tut uns leid, aber war halt ein Missgeschick.
26:01
Man könnte auch noch Gutachter bestellen, das Verfügungsverfahren ist viel länger. Das kann sich über Jahre hinziehen, man muss es auch nicht gleich machen, da gibt es Verjährungsfristen und so weiter. Wir wollten da nicht auf einer tickenden Zeitbombe sitzen bleiben. Jetzt gibt es natürlich das nächste Problem. Kann man IT-Sicherheitsforscher jetzt durch rechtliche Schritte zum Schweigen bringen?
26:22
Schwierig. Unsere Meinung? Ja. Also bei uns hat es irgendwie nicht funktioniert. Also wir haben uns das rechter Kämpf, unsere Forschung, jetzt gerade auf Seiten der TUM, dass wir es immer noch veröffentlichen können, wenn wir das wollen. Wir haben kein NDA unterzeichnet, wir können hier mit euch heute über den Vorfall sprechen
26:42
und tun das auch, um die Awareness für dieses Problem zu steigern, damit euch hoffentlich nicht so etwas ähnliches passiert wie uns. Auf der anderen Seite hatten wir schon das Gefühl, da das alles so ungeklärt ist, besonders diese verschiedenen Nuancen der Analysen, dass man eigentlich ja irgendwie immer einen Grund konstruieren kann,
27:00
der rechtlich für einen Juristen scheinbar ja auch plausibel zu klingen scheint, sodass man sagen kann, naja, der Anspruch ist vielleicht gerechnet und dann ist der Forscher, wenn er keinen Bock hat, durch einen wahnsinnig langen Instanzweg zu gehen, eigentlich immer Mundtot machen. Und der psychische Druck ist enorm, das sage ich euch. Also das war einer der stressigsten, vielleicht der stressigste Sommer in meinem Leben.
27:24
Wer vertritt denn Unisicherheitsforscher eigentlich? Haben mir viele Leute gefragt, naja, Leute, ihr seid doch Arbeitnehmer. Ihr seid ja alle abhängige Forscher, ihr habt ja eine Uni, also wieso kümmert sich eigentlich nicht die Uni da drum und warum müsst ihr das machen?
27:43
Warum das geht, das kann ich euch rechtlich leider nicht komplett auseinandernehmen. Es gibt da zwei im Bayerischen Beamtenrecht. Oh Gott, ich glaube, Abschnitt 8. Absatz 2.3 in Verbindung mit 2.1, lasst mich lügen. Ihr seht schon, wie sehr ich mich mit diesem Scheiß beschäftigen musste,
28:00
obwohl ich kein Jurist bin. Aber beantragt haben wir das, eine Antwort haben wir da zu heute noch nicht. Im schlimmsten Fall muss das ins Bayerische Wissenschaftsministerium rauf, um eine Aussage zu kriegen, ob das geht oder nicht, aber das ist tatsächlich aus TUM-Seite bis heute ungeklärt. Wie geht man als Forscher mit Nebentätigkeiten um?
28:22
Mehrere von uns haben ein kleines Gewerbe nebenbei, indem sie zum Beispiel Pentesting oder allgemeine IT-Tätigkeiten, die man halt so macht, dass man das irgendwie abrechnen kann oder ordentlich abrechnen kann. Wenn jetzt, es ist tatsächlich ja in der Abmahlung aktiv passiert, von Seiten einer Firma konstruiert werden kann, naja, denn eine Firma,
28:42
das ist ein Konkurrent, der steht ja in Wettbewerb mit mir und unterliegt dann viel strengeren Regeln. Das ist, finde ich, sehr kritisch. Also zum Glück haben die Richter tatsächlich gesagt, naja, also stellen die jetzt ein Konkurrenzprodukt her? Nein. Aber trotzdem, der Vorwurf steht natürlich erstmal im Raum.
29:02
Was wäre schön zu haben? Was hätten wir gewünscht zu haben? Es wäre natürlich in kurzfristig erstmal cool, wenn man das ganze Risiko von einem Unternehmen verklagt zu werden irgendwie versichern könnte, sodass man, wenn der Worst Case eintritt, dass man da wirklich jemanden hat, der will sich nicht einigen und der will dich durch die vollen fünf Instanzen durchschicken,
29:24
dass man das irgendwie abfangen kann und dass man das nicht auf private Rechnungen machen muss. Man kriegt das, also da kriegt man vielleicht mal Geld wieder beigerichtet, wenn man ein Recht kriegt, aber die Anwälte, jedenfalls unsere, von denen wir engagiert haben, die wollen natürlich monatlich bezahlt werden.
29:42
Und man kann ja auch eine Instanz verlieren. Da wäre natürlich cool, man hätte irgendeine Art Rechtsschutzversicherung. Keiner von uns hatte eine. Nächstes Problem, das sind Sachen aus dem Urheberrecht. Das ist ja ein Copyright-Verfahren. Das ist wohl, haben uns unsere Anwälte jetzt gesagt, selbst wenn sie eine gehabt hätten, Urheberrecht ist meistens ausgeschlossen. Das liegt an den ganzen Filesharing-Geschichten.
30:02
Normalerweise fallen nämlich die alle da rein. Und wenn man wegen unlauterem Wettbewerb verklagt wird, wenn man nebenbei eine Firma hat, dann braucht man ja eigentlich, Gewerbe ist dann auch irgendwie gerne ausgeschlossen bei Rechtsschutzversicherung. Also tatsächlich haben sie genau die beiden Punkte getroffen, wo es wehtut. Okay, es wäre cool, wenn es da eine Versicherung gäbe,
30:21
die genau für sich als Forschungsvorsitzender so ein Risiko versichern würde. Unterstützung durch Forschungsinstitute. Also auch vor allen Dingen für, wir hätten natürlich die Uni Unterstützung gebraucht. Also ich hatte schon den Eindruck tatsächlich, dass da durchaus viele Leute waren, die bemüht waren, uns zu helfen und die das auch versucht haben.
30:40
Aber die dann irgendwie über den Paragrafen gestolpert sind, sodass sie es nicht machen konnten. Und es hat an einigen Stellen tatsächlich auch leider das Gefühl gehabt, es gibt so einen Unwillen im System, der halt sagt, das fassen wir lieber nicht an. Da bräuchte man eine klare Bekenntung zu Forschern, halt auch externen Forschern, weil nur den Mitarbeitern, das hätte jetzt Dominik zum Beispiel, nichts gebracht.
31:02
Und vor allen Dingen auch Studenten, wenn die auf so einer Arbeit mal draufstehen. Sowas wie Rechtsschutz und Mithaftung wäre interessant. Vielleicht gibt es eine Mithaftung tatsächlich, aber ihr wollt ja auch als Arbeitnehmer an der Uni nicht unbedingt gleich eure eigene Uni verklagen, oder? Also das haben wir kurz überlegt, aber wir haben gedacht, okay, mehr Frontenkrieg gegen eine Firma und unseren Arbeitgeber, das ist nicht so cool.
31:28
Dann natürlich wäre auch noch cool, eine rechtliche Basis für Sicherheitsforschung zu haben. Die viele oder am besten alle Analysen, die man natürlich als Forscher so macht, irgendwie erlaubt.
31:40
Also wir sind da ja mit irgendwelchen Copyright, das ist sowieso schon eigentlich ein bisschen wahnsinnig, mit irgendwelchen Copyright-Klagenden überzogen worden. Ich frage mich da bitte nicht genau aus, aber soweit ich weiß, gibt es seit 2016 da im Digital Millennium Copyright Act, das ist das Entsprechung zum Urheberrechtsgesetz in den USA, eine explizite Ausnahmeregelung für Sicherheitsforschung.
32:02
Wenn die da wäre, könnte man vielleicht viele rechtliche Fragen gleich im Keim ersticken und hätte auch mehr Sicherheit, wenn man da mit Juristen drüber redet, die sich jetzt nicht diese ganzen Nuancen der Sicherheitsforschung und der Analysen, die das eigentlich gar nicht so genau beurteilen können. Gut, das war es von unserer Seite.
32:21
Wir stehen euch jetzt für Fragen zur Verfügung. Danke. Danke schön. Vielen Dank erstmal für diese Vorstellung, dieses Leidensweg.
32:44
Das ist ja wirklich erschreckend. Genau, wir kommen zur Q&A. Wer Fragen hat, kommt bitte an eins der Mikros. Meine Lieblingsansage ist immer Fragen. Punkt eins bestehen aus einem Satz mit einem Fragezeichen am Ende. Zweitens, wenn ihr in einem Mikro redet, redet wirklich nah rein.
33:02
Nicht in den Mund stecken, aber kurz davor. Der Nachredner wird es euch danken. Und für alle, die ganz dringend wohin müssen, bitte macht das so leise wie möglich, damit ihr nicht den Rest stört. Und damit kommen wir zu den Fragen und beginnen direkt bei Mikrot Nummer zwei. Danke für die aufregende Story.
33:21
Vergleich mit einseitiger Kostenübernahme ist ja nicht der Standard. Meine Frage wäre, könnt ihr wenigstens beschreiben, wie hoch die Kosten waren, die die Gegenseite übernehmen musste, jetzt die Gerichtskosten und die Kosten eurer Anwälte? Also da gibt es so eine recht anwaltliche Gebühren-Tabelle, die bestimmt nicht recht anwaltliche Gebühren-Tabelle heißt, sondern irgendwie anders.
33:41
Es gibt bestimmt einen coolen juristischen Begriff dafür. Und nach der wird das berechnet. Und nach dem Teil sind auch die Kosten abgerechnet worden. Der Streitwert war 200.000 Euro am Schluss. Das werden auch erstmal Angst vor diesem Streitwert, der ist so wahnsinnig hoch ist tatsächlich. Wenn Sie sich bei 9-Zweck verfügen, wollen Sie eigentlich nur diese Unterlassungserklärung haben, wir dürfen das nicht mehr bei Androhung einer Strafe.
34:03
Und diese Streitwerkgeschichte, da berechnen sich eigentlich nur die Kosten für Gericht und die Anwälte. Zwei, ich weiß. Mikrofon Nummer eins. Eine Frage, die ihr mit Ja oder Nein beantworten könnt, hatte es für einen von euch acht noch berufliche Konsequenzen?
34:20
Ja, nicht mich, aber ja. Okay, also wir sind einzelne verschiedene Teams, deswegen beteiligen wir uns so ein bisschen. Also auf unserer Seite keine direkten beruflichen Konsequenzen. Also nervlich auf jeden Fall. Also auch schon so, dass man sich überlegt, will man so ein Projekt nochmal anschieben.
34:42
Aber ich persönlich bin froh, dass ich es durchgefordert habe bis zum Schluss. Und ich bin auch mit dem Vergleich zufrieden. Mikrofon Nummer drei. Hi. Haben eure Anwälte mal die Frage beantwortet, ob das, was da im juristischen Text als Dekompilieren steht, auch wirklich das ist, was wir als Techniker darunter verstehen?
35:04
Also ist es wirklich F5 drücken oder ist es mehr so, dass kompilierte Programme in eine andere Form überführen? Irgendwie sowas in die Richtung, deswegen sagen wir Grauzone, Sicherheitsforschung. Dekompilieren ist auf jeden Fall böse. Deswegen hatten wir diese schönen Grafiken.
35:21
Es könnte alles irgendwie mit drunterfallen. Übersetzen in andere Formen. Also wenn du ganz viel Lust hast, 69E tatsächlich aus dem Urheberrechtsgesetz ist tatsächlich der Dekompilierungsparagraf. Der allerdings erst mit der Ausnahmeregel, wo man noch dekompilieren darf. Da steht als Überschrift ganz groß Dekompilieren und es wird nicht mehr bestimmt, was jetzt genau Dekompilieren ist.
35:43
Ich gehe davon aus, das weiß ich tatsächlich nicht. Was genau jetzt für den Juristen Dekompilieren ist, das habe ich im juristischen Fachartikel gelesen. Da war Disassemblieren schon Dekompilieren. Genau diese Frage kann unser Rechtsanwalt nicht beantworten. Das müsste das Gericht entscheiden. Da kam von unserer Seite ganz klar die Ansage,
36:01
wir kennen keine Referenzurteile dazu, wir haben keine Datenbasis, dass wir sagen können, so wird das schon ausgehen. Das müsste man mal klären, juristisch. Alles, was wir Ihnen sagen können, sind nur Meinungen. Das kann jeder Richter anders sehen und entscheiden, wie er möchte.
36:22
Haben wir eine Frage aus dem Internet? Es stellt sich die Frage, es wurde im Vortrag angemerkt, dass die Studenten und Forscher ein Recht auf Versicherung haben sollten. Es ist weniger so eine klare Frage, als hätten nicht alle Recht darauf,
36:41
eine Versicherung zu haben, wenn Sie Ihre eigene Software, die Sie verwenden, auf Sicherheit überprüfen wollen. Es wäre schön, wenn es eine Versicherung gäbe, die es versichern würde. Also kurzfristig. Wir haben uns gefragt, schließen wir eine Rechtsverschutzversicherung ab,
37:01
als das Schreiben reingekommen ist. Die hätte nicht mehr den Schaden bezahlt, der jetzt eingetreten ist. Aber für zukünftige Fälle wäre das sinnvoll gewesen. Wir haben uns informiert und sind auf diese Probleme geschlossen. Hey, selbst wenn wir eine Rechtsversicherung hatten, hätten wir vielleicht das gleiche Problem gehabt. Na ja, ist nicht abgedeckt durch die Polizei,
37:23
könnte selber zahlen. Natürlich stimme ich dem Internet dann auch zu. Man sollte das sich selbst anschauen dürfen. Aber das ist das Recht. Das muss geändert werden, vielleicht. Mikrofon Nummer zwei, bitte. Der CTC macht ja auch so etwas,
37:40
dass dann jemand Daten findet oder wie auch immer rankommt, dass er sich da dann mit einschaltet. Habt ihr den CTC bei euch auch mit angesprochen? Und wenn ja, wie ist das gelaufen und ausgesagt? Da hatten wir wechselnde Erfahrungen. Ich habe recht eng mit dem CTC kommuniziert gehabt
38:00
und war natürlich guter. Wir hatten auch unsere Anwälte über den CTC empfohlen bekommen. Wir hatten auch unsere Anwälte über den CTC empfohlen. Wir hatten auch unsere Anwälte über den CTC empfohlen. JBB war zum Beispiel zwei Daumen hoch, wenn man so etwas hat. Aber das ist halt irgendwie bei acht Leuten verzickt gewesen. Auf unserer Seite ist das so ein bisschen ...
38:21
Ich will dem CTC das nicht vorwerfen. Es kann vielleicht nur ein Kommunikationsproblem auf unserer Seite gewesen sein. Bei uns ist von der CTC eigentlich ganz so viel angefangen. Der Herr Jäger, die Kanzlei JBB, der die Nürnberger Forschungsgruppe vertreten hat, der wollte uns nicht auch mit vertreten.
38:41
Das war mehr oder weniger Pech, dass der Gegenseiter uns zur Eingericht gezerrt hat, obwohl wir völlig separat voneinander geforscht haben. Der wollte potenzielle Interessenkonflikte vermeiden, weil wir doch sehr heterogen sind. Dann hat er gesagt, ich empfehle euch einen Kollegen. Aber das war halt schon sehr weit weg.
39:05
Vielen Dank für den Talk erst mal. Die Frage bei den ganzen zurückgebliebenen Unklarheiten und einer klagewilligen Antragstellerin, was ja wohl auch nicht selbstverständlich ist, wäre es nicht sinnvoll gewesen, das einmal durchzuklagen, um einen Grundsatzurteil zu bekommen oder im Präzedenzfall
39:20
und die Kosten, die dabei entstehen, nicht eher solidarisch zu tragen? Meiner Meinung nach hätten wir am Schluss nur bewiesen gehabt, dass man uns nicht beweisen kann, dass wir den kompiliert haben. Das wäre das, was am Schluss dabei hätte rauskommen können. Weniger wirksam wäre es sinnvoll gewesen zu verlieren, aber da hat ja absolut niemand Lust drauf.
39:47
Meintest du jetzt tatsächlich, dass die Gegenseite versucht wird, es durchzuklagen, um sich nicht zu einigen? Die Frage bezieht sich darauf, ob die Praktiken, die bei der Sicherheitsforschung angewendet werden,
40:00
nicht dann doch durch die Gerichte eingeordnet werden, ob das legal ist oder nicht. Das Problem ist, das sind acht Forscher, die auch im Leben etwas anderes vorhaben. Einige waren zu dem Zeitpunkt der Klage schon gar nicht mehr bei uns an der TU. Du stehst mit dieser riesigen Autorengruppe davor gerichtet.
40:22
Das musst du über zwei oder drei Jahre. Du hast versucht, alle Entscheidungen im Konsens zu treffen. Ein Sommer lang war ich quasi Telefonzentrale für die Münchnerseite der Autorengruppe. Das war ein Vollzeitjob, weil jeder überall woanders war. Das versuchen, über Jahre hinaus zusammenzuhalten, ist ein Albtraum. Das ist ein wahnsinnig psychologischer Druck.
40:44
Du versuchst erst mal, die niedrig hängenden Früchte zu nehmen. Zum Beispiel in dem Schreiben der gegnerischen Rechtsanwälte. Da waren formale Fehler drin. Da fehlt mal ein Paragraf. Du siehst das Dokument und stellst fest, da fehlen Absätze. Das Dokument ist nicht flüssig, an sich rein formal.
41:03
Natürlich fängst du nicht erst mal an, in dem Grund der Dekompilierung ganz tief hinabzusteigen. Du hast erst mal gesagt, Leute, da fehlen Seiten. Wie viel geht ihr euch denn mit euren Schreiben? Das ziehst du dem als erstes um die Ohren. Ob wir uns am Ende auf das Dekompilierungs-Ding gestürzt hätten,
41:23
das ist völlig offen. Gut, Zeit ist um. Wer noch Fragen hat, ihr seid vielleicht noch einen Moment hier vorne erreichbar. Wer noch eine Frage loswerden will, kommt nach vorne. Ansonsten war es das. Damit wünsche ich mir einen großen Applaus für die beiden.