Live vom 39C3 - Tag 2

Volker: Moin Moin und herzlich willkommen zur Sicherheitslücke live vom 39C3, also dem 39.

Volker: Chaos Communication Kongress aus Hamburg. Wir sind heute am zweiten Tag hier

Volker: und im Gegensatz zu gestern, wo wir im Raum des Sendezentrums saßen und auf

Volker: der Bühne, sitzen wir jetzt hier quasi mitten auf der Bühne.

Volker: Das ist nämlich der Flur mit dem Rücken, Setze ich zum Flur,

Volker: dem offenen Gang und die Hintergrundgeräusche, die ihr hört,

Volker: ist hier echte Atmosphäre von tausenden von Leuten, die uns umringen.

Volker: Ja, leider nicht stehen bleiben, aber vielleicht kriegen wir das auch noch hin.

Volker: Zu Gast haben wir heute die Wissenschaft und zwar habe ich zwei Professoren bei mir.

Volker: Das eine ist Christoph Satjohen von der FH Münster und Gerd Beuster von der FH Wedel.

Volker: Erstmal herzlich willkommen und hallo.

Christoph: Hallo, hi.

Gerd: Ja, vielen Dank für die Einladung.

Volker: Ja, sehr, sehr gerne und wir haben jetzt auch noch das Glück,

Volker: dass Christoph sogar noch selbst präsentiert hat, aber da kommen wir später drauf.

Volker: Erstmal möchte ich ganz gerne mal mehr von euch wissen. Christoph,

Volker: wer bist du, was bist du, was machst du, was ist die FH Münster?

Christoph: Ja, hi, mein Name ist Christoph Seidtjörn, ich bin Professor für IT-Sicherheit,

Christoph: im Besonderen für Embedded Security und medizinische IT in Münster,

Christoph: in der FH Münster und ich bin seit einem guten Jahr jetzt hier dabei als Professor

Christoph: und meine Forschungsgebiete sind ja zum einen die medizinische IT-Sicherheit,

Christoph: darüber geht ja auch mein Talk und auch die letzten Talks auf den letzten C3-Kongressen.

Christoph: Das heißt, ich schaue mir gerne medizinische Systeme an, sowas wie Herzschrittmacher

Christoph: oder halt auch E-Mail-Systeme wie dieses Jahr.

Christoph: Diese Sache interessiert mich halt sehr. Und zum zweiten Teil ist es diese eingebettete Sicherheit.

Christoph: Da interessieren mich also kleine Geräte, was eigentlich gar keine Computer

Christoph: sind, aber wo wir trotzdem irgendwie IT-Sicherheit drin haben,

Christoph: wo irgendwie trotzdem immer ein Stück Kryptografie drin ist.

Christoph: Und da ist die Frage, wie sicher ist diese Kryptografie drin?

Volker: Ich finde das super spannend, weil ich mag auch diese Embedded Systems,

Volker: weil ich komme auch aus dem Bereich.

Volker: Allerdings bei mir wäre es ein anderer Teil. Das sind nämlich so die niedrigen

Volker: ISO-Ebenen, wo ich immer sage, Mensch, euer Computer, das Betriebssystem hat

Volker: noch nicht gestartet und der gehört schon mir.

Volker: Über die Netzwerkkarte und wie auch immer. Aber da haben wir durchaus verschiedene

Volker: Bereiche sogar von Embedded Systems.

Volker: Hat die FH Münster da einen Schwerpunkt drin oder ist das Teil vom allgemeinen Informatikstudium?

Christoph: Wir haben ein Informatikstudium, also allgemein. Wir haben keinen dedizierten

Christoph: IT-Sicherheitsstudiengang. Allerdings ist es schon so, dass wir jetzt aktuell

Christoph: gerade die dritte IT-Sicherheitsprofessur berufen.

Christoph: Das heißt, mit drei IT-Sicherheitsprofessorstellen, die wirklich nur IT-Sicherheit

Christoph: machen, sind wir da, glaube ich, schon ganz gut aufgestellt und das ist schon

Christoph: ein Schwerpunkt IT-Sicherheit an der Elfer Münster, ja.

Volker: Ja, cool. Und Gerd, jetzt zu dir. Du bist ja irgendwie Chef von,

Volker: ach so, nee, ich habe noch eine Frage, Mensch.

Volker: Ich habe dich irgendwo beim Recherchieren auf ein Bild auf einer Slackline gesehen.

Volker: Ist das ein Hobby oder war das versehen?

Christoph: Nee, das ist ein Hobby, was ich mal probiert habe. Da ich aber nicht so ganz

Christoph: erfolgreich war, habe ich es dann auch irgendwann wieder aufgegeben.

Christoph: Ich mache jetzt lieber Laufen ohne Slackline. Das klappt irgendwie mal besser.

Christoph: Da falle ich nicht so schnell hin.

Volker: Also ich habe festgestellt, wenn man schnell über die Slackline rüberläuft,

Volker: dann fällt man weniger schnell, als wenn man langsam drauf stehen bleibt.

Christoph: Ich werde es nochmal probieren. Meine Kinder können es auch schon besser als

Christoph: ich. Vielleicht überlasse ich denen, aber auch einfach.

Volker: Alles klar. Gerd, jetzt zu dir, Eva Wedel.

Gerd: Genau, ich bin auch Professor für IT-Sicherheit tatsächlich an der Eva Wedel

Gerd: und ich leite da auch den gleichnamigen Studiengang.

Gerd: Unser Schwerpunkt ist eher Software-Sicherheit, weil der Studiengang ist so

Gerd: aus unserem Informatik-Studiengang erwachsen.

Gerd: Allerdings, das Thema eingebettete Sicherheit, Hardware-Sicherheit liegt mir auch sehr nahe.

Gerd: Und ich habe da auch Vorträge hierzu gehört. Ich freue mich auf jeden Fall sehr,

Gerd: mit euch gleich darüber zu reden.

Gerd: Und ja, jenseits von dem, du hast es ja schon erwähnt, hier die Hintergrundgeräusche.

Gerd: Also für mich ist so der Kongress immer eines meiner Jahreshighlights und ich

Gerd: hoffe, wir können auch noch ein bisschen darüber reden, dass es hier ja gar

Gerd: nicht nur um die Vorträge geht, sondern der Kongress schon auch eine ganz besondere Atmosphäre hat.

Gerd: Und ja, ich finde es immer super schön, hier zu sein.

Volker: Okay, ja, da kommen wir nachher auf jeden Fall noch zu. Ähm...

Volker: Erst mal noch die Frage an dich, Christoph. Du hattest ja die Ehre,

Volker: jetzt nicht nur vor einem vollen Hörsaal, sondern vor einem vollen Konferenzsaal

Volker: zu stehen, einen eigenen Vortrag zu halten und dann sogar noch mit auf einer der Main Stages.

Volker: Wie hat sich das angefühlt? Worum ging es da?

Christoph: Ja, es ist immer ein ganz spannendes Gefühl, wenn man da vor so vielen Leuten steht.

Christoph: Und es ist immer auch eine Ehre, da oben zu stehen und sein Thema entsprechend darzustellen.

Christoph: Was ich dieses Jahr gezeigt habe, war Lücken, also Sicherheitsschwachstellen

Christoph: im medizinischen E-Mail-Dienst.

Christoph: Also in Deutschland gibt es die Telematik-Infrastruktur. Das ist eine deutschlandweite

Christoph: Vernetzung aller Institutionen im Gesundheitswesen, also Apotheken, Krankenhäuser, Ärzte.

Christoph: Und dort gibt es seit einigen Jahren eine sichere E-Mail-Verschlüsselung.

Christoph: Darüber sollen halt Diagnosen, Patientendaten, aber auch andere Dienste,

Christoph: wie zum Beispiel die elektronische Arbeitsunfähigkeitsbescheinigung,

Christoph: damals der gelbe Schein, das ist heute alles digital und das wird über diesen

Christoph: sicheren E-Mail-Dienst verschickt und dort habe ich ja entsprechende Schwachstellen gefunden,

Christoph: die jetzt inzwischen auch zum größten Teil gefixt wurden.

Volker: Also teilweise, also zum Teil.

Christoph: Ja, teilweise zum Teil, genau. Das meiste wurde gelöst. Allerdings habe ich

Christoph: ja im Talk auch gesagt, es gibt ein, zwei strukturelle Dinge,

Christoph: die wir in der aktuellen KIM-Architektur nicht gut lösen können.

Christoph: Da müsste man vielleicht nochmal größer ran und vielleicht nochmal ein,

Christoph: zwei Architekturentscheidungen überdenken.

Volker: Aber da nochmal die Frage E-Mail-Dienst. Also ich sehe jetzt E-Mail irgendwie

Volker: mit, keine Ahnung, POP, IMAP, TLS, also quasi Public Infrastruktur,

Volker: vielleicht über VPN oder sowas durch Tunnel geschützt.

Volker: Aber ist das wirklich eine eigene Struktur oder ist das nur eigene Software,

Volker: die über eigene Krypto ein geschlossenes System bildet?

Christoph: Ja, die Gematik hat dort relativ viele Standards eingebracht,

Christoph: um das nochmal so ein bisschen zu abstrahieren.

Christoph: Normalerweise kennen vielleicht einige Leute sichere E-Mails über PGP oder S-MIME.

Christoph: Das heißt, da gibt es italierte Standards und im Kern wird hier S-MIME verwendet.

Christoph: Allerdings gibt es da noch eine weitere Abstraktionslage von der Gematik oben drüber.

Christoph: Vielleicht zur Einordnung, Gematik

Christoph: ist die Organisation, die diese Telematik-Infrastruktur standardisiert.

Volker: Die Gesundheitskarte auch, ne?

Christoph: Genau, die Gesundheitskarte, die EPA auch, also diese ganzen IT-Themen,

Christoph: die wir kennen, kommt das meiste von der Gematik in Deutschland.

Christoph: Und diese Abstraktionsschicht, die hier eingeführt wurde, das ist das Neue.

Christoph: Da gibt es einen extra Software-Stack, der dort in den Praxen,

Christoph: in den Institutionen läuft.

Christoph: Und dort dadurch, durch diese extra Abstraktion, die halt auch einfach proprietär ist.

Christoph: Da gibt es kein EFC, da gibt es keinen Standard für, da gibt es also nur die

Christoph: Gematik-Standards für.

Christoph: Das ist weltweit eigentlich einzigartig, was wir da machen. Und dadurch sind

Christoph: halt ein, zwei Schwachstellen da reingekommen, die wir hier haben.

Volker: Hast du im Übrigen gerade den Jahresrückblick gehört?

Christoph: Den habe ich gehört, ja.

Volker: Der war cool. Da kam ja die Gematik auch ein paar Mal drin vor,

Volker: dass man ja gewisse Daten, die man braucht, um geschützte Kommunikation mit

Volker: den Gesundheitsservern durchzuführen, direkt von der Gematik quasi abfragen kann.

Christoph: Ganz genau. Das waren ja letztes Jahr Martin Schiersig und Bianca Kastelheimer

Christoph: gezeigt, dass es da so Lücken gibt in der EPA.

Christoph: Daraufhin wurden ja Sachen geändert. Linus Neumann hat es ja gesagt,

Christoph: der HCV-Wert, das ist ja Straße, Adresse und das Startdatum der Versicherung.

Christoph: Und das war im April, dieses Jahr im April,

Christoph: da kamen Martin und Bianca auf mich zu und fragten hier, wir haben hier nochmal

Christoph: eine Sache gefunden, wir können diese Sachen eventuell automatisiert abrufen,

Christoph: aber die haben keinen Zugang zu der TI und kannten sich mit dem KIM-Dienst nicht

Christoph: so aus und da kam ich ins Spiel und dann

Christoph: habe ich halt die entsprechende KIM-Schnittstelle selber programmiert.

Christoph: Und dann konnte ich ja zeigen, dass für diese Werte, diese drei Werte,

Christoph: also die Straße, Hausnummer und Startakt und Versicherung, konnte ich dann automatisiert abrufen.

Christoph: Und dadurch konnten wir es im Ende April, ein, zwei Tage vor dem offiziellen

Christoph: Start, ja nochmal zeigen, dass auch dieser neue Schutz eben nicht ausreichend war.

Volker: Cool. Da bist du tatsächlich so ein aktiver Whitehead-Hacker,

Volker: Aktivist, der sogar die Welt besser macht durch seine Aktivitäten. Finde ich gut.

Christoph: Ich hoffe, dass sich dadurch die Welt immer ein kleines bisschen besser macht.

Christoph: Das ist meine Motivation. Genau. Auf jeden Fall...

Christoph: Einer der guten Hacker, so würde ich mich sagen.

Volker: Ja, sehr gut, sehr gut. Gerd, im Gegensatz zu mir, weil ich einen Parallelvortrag

Volker: hatte, hast du den Vortrag sogar gehört. Wie fandst du ihn?

Gerd: Also, auch wenn Christoph jetzt hier nicht sitzen würde, würde ich es trotzdem

Gerd: sagen, es war eines meiner absoluten Konferenz-Highlights.

Gerd: Was mir an dem Vortrag besonders gut gefallen hat, ist, dass er so schön charakterisiert

Gerd: hat, warum dieser Kongress hier eigentlich so wichtig ist.

Gerd: Also, weil er nämlich so eine Wirkung hat, sowohl nach innen als auch nach außen.

Gerd: Nach innen, insofern, als er sich an ein Fachpublikum richtet und ich denke,

Gerd: die Menschen, die jetzt hier waren, hoffentlich auch was damit rausgenommen haben.

Gerd: Und ja, genau, man muss eben auch dann Header checken und Integrität sichern und so weiter.

Gerd: Also eher etwas, was uns zu besseren Sicherheitsarchitekten macht,

Gerd: dass diese Wirkung nach innen, aber natürlich auch die Wirkung nach außen.

Gerd: Also dein Vortrag war ja auch einer derjenigen, die dann jetzt so in der nicht

Gerd: nur Fachpresse rezipiert wurden,

Gerd: weil die Frage, wie wir ja etwa mit unserer medizinischen Infrastruktur umgehen

Gerd: wollen, ist ja letztlich eine gesellschaftliche Frage,

Gerd: wo es dann eben auch unsere Aufgabe sowohl hier als Hackerinnen und Hacker als

Gerd: auch als Professoren ist, eben auch gesellschaftliche Aufklärung zu betreiben,

Gerd: damit dann eben informierte Entscheidungen getroffen werden können.

Gerd: Genau, also insofern hat mir das sehr gut gefallen und ich werde natürlich auch

Gerd: meinen Studierenden sagen, dass sie sich deinen Vortrag anschauen sollen und

Gerd: dass es alles klausurrelevant ist.

Volker: Ja genau, Leute, hört zu.

Gerd: Klausurrelevant.

Volker: An der Podcast auch.

Gerd: Genau, ja, ja, wichtiges Stichwort.

Christoph: Machst du bei meinen Studis auch, genau.

Gerd: Ja, ja, sehr gut. Nein, also auch eine meiner Botschaften allgemein zum Thema

Gerd: IT-Sicherheit, und auch ich finde, das hat dein Vortrag eigentlich schön gezeigt,

Gerd: ist, dass IT-Sicherheit, man muss da ja nicht der Überhacker für sein.

Gerd: Es gibt gewisse Standards, es gibt ein State of the Art, wie man Dinge tut oder

Gerd: wie man Dinge auch nicht tut.

Gerd: Und meine Hoffnung ist, dass wenn meine Studierenden sich deinen Vortrag...

Gerd: Dass sie dann eben zum Schluss kommen werden, ja, die Fehler,

Gerd: von denen du berichtest, die hätte ich nicht gemacht, weil das habe ich ja besser gelernt.

Volker: Genau.

Gerd: Und genau.

Volker: Finde ich auch immer toll. Also so Beispiel jetzt, ein bisschen abgedriftet,

Volker: aber meinen Jungs und Mädels sage ich immer,

Volker: guckt euch einfach die OWASP Top Ten an, die Top Ten Sicherheitslücken und testet

Volker: mal jegliche Internetsoftware, die ihr so durch die Finger kriegt. Einfach nur dagegen.

Volker: Und nehmt einfach die Testprozeduren und die automatischen, die schon längst

Volker: dokumentierten Tests und fahrt ihr dagegen?

Volker: Die Kreativität reicht aus, um schon mal 80% der Software auf dem Markt sicherer zu machen?

Volker: Also von daher, es ist schön, wenn man so der super Meta-Mega-Hacker ist,

Volker: aber ich glaube, einfach nur saubere Arbeit ist heute auch schon ganz gut.

Volker: Also ist auch ein Vortrag, ich glaube, den haben wir gemeinsam gehört,

Volker: Gerd, Breaking Crypto in Popular Chinese Apps. Da kommen wir jetzt mal so auf

Volker: diese heutigen Vorträge.

Volker: Die haben sich eigene Kryptos ausgedacht und das waren auch die schwierigen, die zu hacken waren.

Volker: Die leichten, die zu hacken waren, waren die sich gar keine Krypto ausgedacht

Volker: haben und Passworte einfach im HTTP, im Klartext übertragen haben.

Volker: Genau, also konntest du im Wireshark direkt auslesen, die eingetippten Passworte.

Volker: Also okay, Gerd, erzähl einfach mal weiter.

Gerd: Genau, also dieser Vortrag, von dem du gerade berichtest, wo wir ja für die

Gerd: Hörerinnen und Hörer leider sagen müssen, dass der Vortrag gerade nicht aufgezeichnet wurde.

Gerd: Deswegen kann der dann leider nicht ohne weiteres nochmal nachgesehen werden.

Volker: Aber da soll noch was veröffentlicht werden. Sie hat gesagt,

Volker: die Slides, die Presentation-Slide, sie wollte nur, dass sie nicht aufgenommen

Volker: wird. Es ging nicht um den Vortrag.

Volker: Also da werden wir noch hoffentlich in den Shownotes ausliefern.

Gerd: Also ein unbedingt sehenswerter Vortrag, der eben das zeigt,

Gerd: was vermutlich wir alle auch unseren Studierenden sagen, wenn wir ihnen Kryptografie beibringen.

Gerd: Leute, wir hoffen, ihr habt hier Spaß an dem, was wir machen.

Gerd: Wir versprechen euch, ihr werdet auch was fürs Leben daraus lernen,

Gerd: aber ihr werdet eben nicht daraus lernen, jetzt Kryptografie selber zu implementieren,

Gerd: denn das sollte man in der Regel nicht machen. Und da war der Vortrag wieder

Gerd: ein sehr schönes Beispiel dafür.

Gerd: Nichtsdestotrotz, es gibt heute Abend noch einen Vortrag mit dem schönen Titel,

Gerd: weniger schlechten kryptografischen Code zu schreiben.

Gerd: Da freue ich mich auch schon sehr drauf, denn das ist ein Vortrag,

Gerd: wo es dann gehen wird über die Verifikation von Software.

Gerd: Also wir alle kennen ja das Problem, dass Software notorisch fehleranfällig

Gerd: ist und man versucht durch Tests Fehler zu eliminieren, aber man wird natürlich nie alle finden.

Gerd: Und dieser alternative Ansatz ist, Beweise zu führen, dass die Software bestimmte

Gerd: Eigenschaften erfüllt.

Gerd: In der Akademie beschäftigt man sich schon sehr, sehr lange damit und alle warten

Gerd: darauf, dass der große Durchbruch kommt und wir werden dann bestimmt heute Abend

Gerd: in dem Vortrag hören, dass der große Durchbruch für diese Methoden jetzt endlich da ist.

Volker: Perfekt. Erinnert mich so ein bisschen, hier diese quasi Blockchain,

Volker: nennen sich nicht so Tangle,

Volker: Yota, die hatten auch mal ein eigenes Hashing-Verfahren entwickelt,

Volker: vielleicht haben die es sogar noch und das wurde dann nachgewiesen als unsicher

Volker: und Backdoors, weil du die Hashes erraten konntest aus bestimmten Randbedingungen und manipulieren.

Volker: Und deren Argumentation war, die ganz kurz mal ein bisschen viral ging, naja,

Volker: was intentionally left in, also wurde bewusst eingebaut, damit man eventuell

Volker: falsch assoziierte Jotas wieder den Leuten wegnehmen kann.

Volker: Ja, genau. Also so gerade wie du zuckst. Schön. Also haben wir nachher gegenseitiges Yota-Stealing.

Volker: Naja, okay. Ich glaube, die ist aber schon seit Jahren durch eine andere Sicherheitslücke behoben.

Volker: Nein, keine Ahnung. Sie ist behoben, aber das ist immer der beste Nachweis.

Volker: Nie eigene Kryptoverfahren. Ich habe so am Rande mal mitgekriegt,

Volker: da gab es bei dem Schar-3-Wettbewerb zum Beispiel, als also Schar-1 und Hash-Verfahren

Volker: gegen Schar-3 ausgetauscht wurden,

Volker: Konkurrenten aus Russland und USA.

Volker: Beim einen hat man halt gesagt, der eine Geheimdienst hat sie eingebaut,

Volker: beim anderen hat der andere Geheimdienst Sicherheitslücken drin und durchgesetzt

Volker: hat sich deswegen jemand in der Krypto-Community,

Volker: also nicht das russische Verfahren, weil bestimmte S-Boxen, also Substitutionsboxen

Volker: in diesem Verfahren nicht transparent genug waren.

Volker: Da wurde einfach nur gesagt, randomly generated.

Volker: Und das haben die Kryptomathematiker nicht abgenommen, dass das randomly generated war.

Volker: Und die NSA konnte darstellen, wie sie generated wurde und dass es deswegen randomly sein muss.

Volker: Ob da keine Sicherheitslücke ist, weiß man ja heute immer noch nicht.

Volker: Aber das ist halt der beste Beweis dafür.

Volker: Denkt ihr bloß keine eigenen Verfahren aus, die können nur schlechter sein.

Volker: Ja, was hast du noch für Verfahren, für Vorträge, für coole gehört?

Gerd: Also tatsächlich, ich hatte mich wie jedes Jahr schon aus Gründen der Vorfreude,

Gerd: hatte ich mir ein detailliertes Programm erarbeitet, was ich mir alles wann anschauen will.

Gerd: Und natürlich auch wie jedes Jahr mich dann gerne ablenken lassen und bin in

Gerd: ganz anderen Vorträgen gelandet. und etwas, woran ich gar nicht gedacht hatte,

Gerd: aber was ich wirklich toll fand.

Gerd: Ich kam gestern am Nachmittag ins Gespräch mit jemandem über hier so digitale

Gerd: Kunst, die an der Wand hing und der wies mich darauf hin,

Gerd: du, da ist heute Abend auch ein Vortrag, 60 Jahre digitale Kunst mit einem der

Gerd: absoluten Pioniere aus diesem Gebiet. Und so war es dann auch.

Gerd: Also Frieda Nake, der Name hat mir vorher überhaupt nichts gesagt,

Gerd: aber ich habe dann da erfahren, also, dass er wirklich Anfang der 1960er Jahre

Gerd: Einer der ersten war, der Computerkunst gemacht hat, weil er als Ingenieur...

Gerd: Entsprechend Zugang zu Computern hatte und gleichzeitig in der künstlichen Szene verkehrt hat.

Gerd: Und es war also ein sensationeller Vortrag, der einen zurückgeführt hat in die

Gerd: Bundesrepublik der 60er und 70er Jahre und eben in die Anfänge der Computerkunst.

Gerd: Und ich fand auch da, dass wieder so ein Vortrag, der total toll hier auf diesen Kongress passt.

Gerd: Denn klar, es ist ein Hackerinnen- und Hacker-Kongress. Wir haben hier einen

Gerd: Podcast über IT-Sicherheit. Aber wenn man hier nach einer Definition von Hacken

Gerd: fragt, wird ja oft gesagt, kreative Techniknutzung.

Gerd: Und das ist natürlich richtig kreative Techniknutzung, wenn man da eben einen

Gerd: Plotter hat, der eigentlich wissenschaftliche Diagramme zeichnen soll und man

Gerd: dann sagt, aber damit kann ich auch Kunst machen.

Volker: Ich finde das insofern ganz cool. Da kommen wir aber nachher noch drauf auf das Thema.

Volker: Dieser Kongress wird ja gerne von außen stehen als Hacker-Kongress oder Informationssicherheit

Volker: assoziiert, aber im Wesentlichen geht es ja jetzt schon eigentlich um digitale

Volker: Gesellschaft, um digitale Souveränität und alles Selbstbestimmung,

Volker: alles drumherum. Ich gehe mal weiter an Christoph.

Volker: Deine liebsten Vorträge, idealerweise heute, aber auch gerne noch von gestern.

Volker: Was hast du da so zu bieten? Genau.

Christoph: Ich war natürlich gestern ein bisschen mit meinem eigenen Talk beschäftigt in der Vorbereitung.

Christoph: Nichtsdestotrotz konnte ich mir einzelne Vorträge anhören. Und ich mag auch

Christoph: immer diese technischen Vorträge natürlich.

Christoph: Die finde ich auch gut, dass man die meistens dann auch nachher nochmal in Ruhe

Christoph: nochmal zu Hause nachstreamen kann und so ein bisschen scrollen kann,

Christoph: wo vielleicht was unklar war oder vielleicht was schnell vorbei war.

Christoph: Aber was mich gestern interessiert hat, war zum Beispiel der Talk von Marc-Uwe

Christoph: Kling. Ich bin da großer Känguru-Fan.

Christoph: Von daher gefiel mir das sehr gut. Ich war auch schon mal auf ein,

Christoph: zwei Lesungen von Marc Oberkling und dass wir das hier in diesem Rahmen,

Christoph: auf diesem Hacker-Kongress, wie es ja gerade hier hieß,

Christoph: aber auch ganz andere Sachen sehen, zum Beispiel wie eine Lesung aus einem Buch

Christoph: und dann auch noch plastisch von dem Autor mit seiner verstellten Stimme,

Christoph: wie die Hörbücher vorgetragen wurde. Das hat mich einfach fasziniert, das finde ich super.

Christoph: Und ich fand es einfach toll, dass das noch so schön kombiniert wurde.

Christoph: Ich meine, das Känguru ist natürlich immer schon ein wenig politisch angehaucht gewesen.

Volker: Also ein bisschen linksradikal.

Christoph: Ein bisschen linksradikal.

Volker: Vorsicht jetzt.

Christoph: Absolut, natürlich. Aber dass das Thema dann aufgegriffen wird und da auch noch

Christoph: ein richtiger Aktivismus raus wurde am Ende, in den letzten 10,

Christoph: 15 Minuten, wo dann gesagt wurde, wir brauchen hier ein bisschen mehr digitale

Christoph: Souveränität, auch einfach in Deutschland oder generell Europa,

Christoph: dass wir so ein bisschen schauen müssen,

Christoph: wie ist das denn, von wo sind wir überhaupt abhängig heutzutage?

Christoph: Und da wurde natürlich auch gesagt, wir sind absolut abhängig aktuell von den großen,

Christoph: Tech-Unternehmen in den USA und dass wir da vielleicht mal ein bisschen gegensteuern

Christoph: können und schauen, gibt es denn vielleicht gute Alternativen,

Christoph: gerade auch im Bereich Open Source und auch einfach mal Entwicklungen,

Christoph: wo man vielleicht auch leichter rauskommt, Stichwort Locked In,

Christoph: dass wir hier uns nicht so abhängig machen, was wir vielleicht irgendwann,

Christoph: wer weiß, hoffentlich nicht, aber vielleicht irgendwann doch mal bereuen.

Volker: Ich finde das auch sehr interessant. Da ist ja so eine Initiative,

Volker: den Namen habe ich jetzt vergessen, entstanden so erster Montag im Monat irgendwie

Volker: der digitalen Souveränitätstag.

Christoph: Digital Independence Day, glaube ich, genau. Did it, did it.

Volker: Hieß es dann. Wo man, keine Ahnung, an jedem ersten Montag mal überlegen soll,

Volker: welche der großen Plattformen, also Spotify, WhatsApp oder so,

Volker: man einfach mal weglassen kann.

Volker: Also nicht an dem Montag, sondern wo man dann auf eine Plus-Ein-Strategie umschaltet.

Volker: Das heißt, man nimmt sich eine andere und

Volker: zieht sich dann stückweise aus dieser Plattform zurück. Das ist,

Volker: glaube ich, da mit kundgetan worden, aber ist hier auch ein großes Thema auf dem gesamten Kongress.

Christoph: Absolut. Und ich finde auch dieses Plus Eins ganz wichtig. Also niemand möchte

Christoph: ja hier jemanden zwingen, löscht jetzt direkt WhatsApp, löscht jetzt irgendwie Amazon oder sowas.

Christoph: Aber das Wichtige ist ja, probiert doch mal andere Dienste nebenbei erstmal aus.

Christoph: Und vielleicht sind die Dienste ja gleichwertig und vielleicht sind da sogar

Christoph: noch bessere Dienste dabei.

Christoph: Das fand ich so ein wichtiges Mitnahmeding, dass hier keiner irgendwie radikal

Christoph: sagt, wir müssen alles löschen.

Christoph: Nein, ganz im Gegenteil, aber probiert doch einfach mal andere Sachen aus,

Christoph: da gibt es ja auch andere gute Sachen.

Volker: Ja, genau. Ja, was hast du noch so gehört?

Christoph: Am gleichen Tag, der erste Talk, den ich gesehen habe, als ich gerade ankam,

Christoph: war das Zentrum für politische Schönheit.

Volker: Das hatten wir schon.

Christoph: War ja auch gestern, ja.

Volker: Das, das, genau, da mögen die Hörerinnen und Hörer dann am gestiegen Podcast

Volker: gerne nachlauschen und da haben wir auch Shownotes links.

Volker: Was hast du sonst noch was im Programm?

Christoph: Genau, ich komme jetzt relativ frisch gerade aus dem Talk noch und zwar der

Christoph: alljährliche CCC Jahresrückblick, das fand ich auch eine ganz spannende Sache,

Christoph: da wird ja nochmal so ganz, das ganze Jahr zurückbeleuchtet,

Christoph: was gab es dieses Jahr und was,

Christoph: ist daraus gekommen und natürlich war natürlich auch ein Teil,

Christoph: war natürlich mein Hauptthema medizinischer IT-Sicherheit, da haben wir mehrere

Christoph: Sachen von der Gematik gehört, die EPA, das hatten wir gerade schon,

Christoph: aber da war ja ganz viele spannende Sachen, ich denke, das ist auf jeden Fall

Christoph: noch ein Talk, den kann man sich auf jeden Fall auch zu Hause nochmal streamen,

Christoph: um mal zu schauen, was ist da letztes Jahr so generell noch so passiert,

Christoph: das wäre nochmal so eine Empfehlung von mir.

Volker: Ein spannendes weiteres Thema ist aus meiner Sicht auch wirklich die Bedeutung dieses Kongresses.

Volker: Ich meine, wir drei haben jetzt nur den Vorteil, dass wir hier alles Professoren

Volker: sind und ich sage mal Multiplikatoren zu unseren Studentinnen und Studenten.

Volker: Wie würdet ihr diesen Kongress beschreiben, damit meinetwegen auch ich sage

Volker: mal Sozialwissenschaftler und Wissenschaftlerinnen sagen, Mensch,

Volker: der ist ja interessant für mich oder eure Studierenden.

Volker: Würdet ihr sagen, das ist ein Hacker-Kongress?

Gerd: Also ich denke, wenn man sich die ganze Geschichte des CCCs anschaut und gerade

Gerd: auch im Kontext der internationalen Hackerszene ist eine der großen Sachen,

Gerd: die der CCC hier geschafft hat,

Gerd: ebenso wie auch die holländischen Kolleginnen und Kollegen,

Gerd: dass Hacken immer in einen gesellschaftspolitischen Kontext gesetzt wurde.

Gerd: Also an vielen anderen Orten war Hecken eben tatsächlich eher so,

Gerd: ja früher hätte man gesagt, Boys with their Toys, also so eher Jungs,

Gerd: die mit ihrer Technik rumspielen.

Gerd: Und ich finde, das ist dem TCC wirklich sehr gut gelungen.

Gerd: Relevant zu werden gesellschaftlich. Also dass eben heute keine digitale Entscheidung

Gerd: mehr gefällt wird, ohne dass zumindest ein Statement vom CCC gehört wird.

Gerd: Das ist, glaube ich, eine große Errungenschaft. Und da stelle ich fest,

Gerd: also mein Freundeskreis ist zu großen Teilen nicht besonders technisch.

Gerd: Aber die finden ja auch immer gute Sachen.

Gerd: Also da über unsere Signal-Liste hat jemand direkt hingewiesen,

Gerd: hey, Marc-Uwe Kling, Vortrag gestern, super Sache.

Gerd: Das finde ich total gut, ohne irgendwie die technischen Beiträge hier kleinreden

Gerd: zu wollen. Also ich finde, es hilft hier den Fachpublikumsleuten auf jeden Fall

Gerd: weiter, was sie hier technisch hören. Ich finde es immer sehr horizonterweiternd.

Christoph: Ich sehe es genauso. A, das und B, vielleicht nochmal, um das zu ergänzen.

Christoph: Ich finde es einfach super spannend hier, dass es eben nicht nur der Hacker-Kongress

Christoph: ist, sondern dass hier auch alle anderen Gruppen auch, ja, wie soll ich denn,

Christoph: bespielt werden. Also ich war zum Beispiel vor ein paar Jahren mit meinen beiden

Christoph: Kindern, damals noch zwei und fünf.

Christoph: Und selbst die hatten hier ihren Spaß des Lebens in einem Kidspace.

Christoph: Da konnten die mit den Lego-Bausteinen spielen, da konnten die Experimente machen.

Volker: Löteln lernen. Ich glaube, SMD-Löten für junge Einsteigerinnen und Einsteiger.

Volker: Also ich sehe den Sechsjährigen oder die Sechsjährige vor mir mit dem SMD-Lötkolben

Volker: und dann Dinge drauf produzieren, die du nicht mal mehr angefasst kriegst, ja?

Christoph: Ja, solche Sachen. Das ist wahnsinnig. Mit meiner Fünfjährigen war ich damals

Christoph: auch im Löt-Workshop und dann hat sie auch diese Blinken-Rakete gelötet und

Christoph: das war einfach ein spannendes Ding für die.

Christoph: Und also es ist auch hier gar nicht nur IT, also auch als Nicht-Nerd kann man

Christoph: hier auf jeden Fall gut hingehen und einfach viele tolle Sachen hier erkunden.

Christoph: Macht einfach wunderbar, viel Spaß.

Volker: Was mich auch sehr beeindruckt hat, ich habe gestern ein Interview,

Volker: das haben wir jetzt leider nicht publiziert, aber ein Interview mit jemandem

Volker: gehalten, der kam aus Boston.

Volker: Und ich habe ihn dann gefragt, ist ja cool, dass du aus Boston herkommst. Naja, was sonst?

Volker: Aber ihr habt doch, keine Ahnung, da DEFCON und Black Hat und weiß nicht was,

Volker: USENIX Kongress und alles so ein Kram.

Volker: Nee, der ist berühmt, dieser Kongress. Der ist in die USA hin berühmt,

Volker: sodass die hierher kommen wegen dieser digitalen Gesellschaft.

Volker: Das ist, ich finde es Wahnsinn. Und das finde ich auch so, da hat sich dieses Thema hinentwickelt.

Volker: Und weswegen auch die Politik, ich glaube, auch im Großen und Ganzen ein bisschen

Volker: Angst vor den Kommentaren des CCC hat.

Volker: Weil es ist halt nicht, dass sie das abtun können so als Nerdtum.

Volker: So, ah ja, da sind so ein paar Hacker, die wollen nochmal aus 97 Prozent 103 machen.

Volker: Sondern die Kommentare gehen ja immer in eine gesellschaftliche Integrität,

Volker: gesellschaftliche Souveränität.

Volker: Heute zum Beispiel die Frage, die KI am Hansaplatz, die ja von der Polizei als

Volker: perfekt und alles geschafft und alles gut selbst bewertet wurde.

Volker: Wenn man die Assessments jetzt mal in Zahlen fasst, wie viele Straftaten wurden

Volker: dadurch verhindert? Wahrscheinlich keine.

Volker: Wie viele Vorratsdaten wurden dadurch gespeichert? Wahrscheinlich sehr viele.

Volker: Wie viele unschuldige Personen wurden unnötig überprüft? Wahrscheinlich alle.

Volker: Und wenn man das mal danach beurteilt, es ist ja gar nicht die Frage nach richtig oder falsch.

Volker: Es ist einen validierten Gegenpol zu dem zu bilden. Und ich habe so ein bisschen

Volker: das Gefühl, dass die Politik immer ganz froh ist, wenn vom CCC kein Kommentar kommt.

Christoph: Das ist auch ein Stück weit ein Korrektiv in einigen Sachen,

Christoph: wie du es gerade schon sagtest.

Volker: Genau. Also man muss es jetzt nicht mögen und an mancher Stelle ist es halt

Volker: auch nicht so ganz meine möglicherweise politische Richtung.

Volker: Aber es ist nicht falsch, was sie sagen und es muss auf jeden Fall bedacht werden.

Volker: Das finde ich richtig gut. Und auch so mit Inklusion und digitale Inklusion,

Volker: wenn man sich hier auf dem Kongress ein bisschen umguckt. Ich habe nicht das

Volker: Gefühl, dass das ein Männer-Nerd-Thema ist, sondern es ist hier einfach bunt. Punkt.

Gerd: Und es wird auch sehr aktiv daran gearbeitet, auch Barrieren abzubauen.

Gerd: Also ich finde ja dieses Thema IT-Sicherheit, das wird mit viel zu viel Ehrfurcht behandelt.

Gerd: Und viele Leute denken, glaube ich, schon, na gut, man muss vielleicht nicht

Gerd: Professor sein, um hier zu diesem Kongress fahren zu können,

Gerd: aber Doktor sollte es schon sein.

Gerd: Und dass da so aktiv gegen gearbeitet wird, also dass es bewusst auch einen

Gerd: Azubi-Tag gibt, um zu zeigen, nee, irgendwie, du kannst hier auch mitmachen.

Gerd: Das finde ich sehr positiv.

Volker: Letztes Thema von mir noch, geht mit da rein. Wer hier einen Hacker-Kongress

Volker: erwartet, der würde tatsächlich auch technische Vorträge finden.

Volker: Und da muss ich sagen, da hätte ich möglicherweise mehr erwartet.

Volker: Aber redet ihr mal. Vielleicht sind auch meine Erwartungen selbst ein bisschen

Volker: zu hoch. Wie seht ihr das?

Gerd: Also...

Gerd: Also ich denke, man muss eben sehen, in welchem Spannungsfeld sich der Kongress hier befindet.

Gerd: Wir sind eben jetzt nicht bei einer Fachtagung zu unserer Spezialnische,

Gerd: sondern es ist eben schon ein allgemeiner Kongress für Menschen,

Gerd: die sich für diese Themen interessieren.

Gerd: Deswegen erwarte ich jetzt nicht die super technische Tiefe da.

Gerd: Also weswegen ich gerade die Fachvorträge hier nach wie vor sehr zu schätzen

Gerd: weiß, ist, weil ich da immer wieder mitbekomme, was gerade in dem einen oder

Gerd: anderen Gebiet Stand der Technik ist, woran Leute arbeiten, was vielleicht auch

Gerd: mal ein Tool oder Technik ist, die man sich ruhig anschauen sollte.

Gerd: Solche Fragen. Also ich war heute Nachmittag in einem Vortrag zum Thema Hardware-Sicherheit,

Gerd: wo es darum ging, also offenes Design von Sicherheitschips.

Gerd: Wo eben aus meiner industriellen Praxis, ja, ich die Weisheit mitgenommen habe, das geht nicht.

Gerd: Also im Hardware-Bereich führt an, Security by Obscurity, kein Weg dran vorbei.

Gerd: Und da war es total interessant, dann von dem Vortragenden eine andere Position

Gerd: zu hören und mal zu hören, wo der die Grenzen sieht und wie er ja mit offensichtlichen

Gerd: Problemen, die man da hat, umgeht.

Gerd: Also insofern muss ich sagen, habe ich für mich auch hier bereits inhaltlich

Gerd: gute Sachen rausgeholt. Ja.

Volker: Christoph, du hast doch auch heute irgendwie auf deinen Listen noch GPG-Fail

Volker: oder sowas stehen, oder?

Christoph: Genau, den Talk konnte ich leider noch nicht schauen, aber ist auf jeden Fall

Christoph: auf meiner To-Do-Liste ganz weit oben, dass ich den nochmal anschaue.

Christoph: Vor allen Dingen, weil es ja einfach ein E-Mail-Thema ist und das spielt natürlich

Christoph: direkt zusammen mit meinem Talk über die medizinische E-Mail.

Christoph: Und da sieht man, ich habe natürlich schon ein bisschen reingeschaut,

Christoph: was es da so gibt bei dem Talk.

Christoph: Und da sieht man auch, wie schwer es ist, manche Sachen abzusichern,

Christoph: wie zum Beispiel so ein uralter Standard wie E-Mail.

Christoph: Den vernünftig abzusichern, das ist super komplex und da könnte man meinen,

Christoph: wir machen ein bisschen Krypto drauf, ein bisschen AES und dann ist das sicher

Christoph: und dann sieht man plötzlich an ganz vielen Stellen, das ist doch gar nicht mal so leicht.

Christoph: Und zum Thema mit der Tiefe, es ist natürlich immer ein ganz schmaler Grad.

Christoph: Ich sehe es bei meiner Vorbereitung zum Talk ja auch.

Christoph: Was erkläre ich und was lasse ich raus? Was kann ich als, das kennen die Leute

Christoph: voraussetzen und was muss ich nochmal neu erklären?

Christoph: Und auch hier habe ich ja auch einzelne Kommentare gehört. Na,

Christoph: warum hast du es denn so sehr im Detail am Anfang erklärt? Das kennen doch die meisten.

Christoph: Und bei einigen Leuten, ach, das wusste ich noch gar nicht. Also diese Tiefe

Christoph: hier zu finden, ist natürlich ganz besonders schwierig.

Christoph: Und was ich immer gerne mag und ich glaube, so ist es bei GPD,

Christoph: also bei dem GPG.fail-Vortrag, auch vorgesehen oder ist vielleicht auch schon online,

Christoph: die wollten dazu auch einen passenden Blogpost nochmal bereitstellen,

Christoph: dass man auf jeden Fall dann nochmal in die Details nochmal reinschauen kann,

Christoph: wie war es denn jetzt wirklich, weil so eine,

Christoph: Dreiviertelstunde bis Stunde, das reicht manchmal nicht für die Details und

Christoph: wenn da nochmal anschließend nochmal detailliertere,

Christoph: fürs Fachpublikum nochmal mehr Infos dann online gestellt werden,

Christoph: das ist natürlich eine super Lösung, guter Kompromiss, finde ich.

Volker: Ja, das soll hier auch öfter passieren. Gestern war ja noch der mit der Great

Volker: Chinese Firewall die die gehackt wurde, indem man da einen Bug ausgenutzt hat,

Volker: also eigentlich im TCP-IP-Protokoll, der dort implementiert wurde.

Volker: Du hast ihn auch gesehen, oder?

Gerd: Ja, ich habe allerdings die ersten zehn Minuten verpasst, weswegen der Hack

Gerd: an mir vorbeigegangen ist und ich dann erst die Ausnutzung des Hackes dann live gesehen habe.

Volker: Ja, man hat es wohl geschafft mit bestimmten, ich glaube, das war die DNS-Auflösung,

Volker: wenn ich die Länge der DNS-Felder überschreibe, dann plötzlich andere Felder

Volker: zu beschreiben, die ich eigentlich nicht beschreiben dürfte,

Volker: wie Port-Adressen und sowas.

Volker: Und dann haben sie festgestellt, dass sie nicht nur selbst aus der Firewall

Volker: rauskamen, sondern ganz plötzlich sogar den ganzen Traffic der anderen mitsehen

Volker: konnten, weil sie nämlich dann Zugriff auf diese ganzen Ports hatten,

Volker: weil sie das DNS auf sich umgeroutet haben.

Volker: Irgendwie so habe ich das verstanden. Also ich fand das ziemlich cool.

Volker: Und da war auch tatsächlich eine gute Tiefe gegeben.

Volker: Heute habe ich dafür zwei Vorträge technisch gesehen, wo ich bei einem sagte,

Volker: cool, genial, ich will jetzt gar nicht sagen, welcher, aber das hätte auch gut

Volker: gefaktes Video sein können oder sowas. Und da muss ich dann sagen ...

Volker: Das Verständnis, meine Fantasie reicht aus, dass dieser Hack funktionieren könnte,

Volker: aber zwischen könnte und kann.

Volker: Wer selbst mal White-Hack-Tacking gemacht hat oder Pen-Testing,

Volker: weiß, da sind noch etliche Stunden Arbeit zwischen dem, bis es wirklich funktioniert.

Volker: Ja, aber damit würde ich hier auch einfach mal abschließen, damit die Aufmerksamkeit

Volker: unserer Bus- und U-Bahn-fahrenden ZuhörerInnen nicht zu sehr auf die Folge gespannt wird.

Volker: Und auch unser Betreuer hier vom Sendezentrum nochmal vielen Dank an dich.

Volker: Herzlichen Dank, dass du deine Überstunden für uns extra schiebst.

Volker: Und ja, das war es mit dem zweiten Tag vom 39C3.

Volker: Wir danken oder ich danke, also wir als Podcast oder ich danke nochmal unseren

Volker: Gästen, Gerd Beuster und Christoph Saathjohann für ihre Beiträge.

Volker: Danke, dass ihr hier da wart.

Christoph: Danke für die Einladung.

Gerd: Sehr gerne.

Volker: Dem Sendezentrum für die Technik vor allen Dingen, die mir wieder fünf Kilo

Volker: Rückenschmerzen über den ganzen Tag gespart haben. Vielen Dank.

Volker: Christian Friedrich für das spätabendliche Zusammenschneiden,

Volker: damit ihr das noch morgen zum Pendeln zur Frühschicht habt.

Volker: Also fünf Uhr wieder Live stellen des Podcastes.

Volker: Anne Vogt für das Cover und die Titelbilder und der Hamburg Open Online University

Volker: für unsere finanzielle Unterstützung.

Volker: Ich, in diesem Fall Volker Squarek und morgen wahrscheinlich auch zusammen mit

Volker: meiner Kollegin Munina Schwarz, wünsche euch nochmal einen schönen Abend und bis morgen.