"Signal-Hack" und Europol-Schatten-IT

Shownotes

Tätigkeitsbericht 2025 der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

Begründung zum Bußgeld der spanischen AEPD gegen die Fondsgesellschaft GESCONSULT (spanisch)

heise online: Bundestagspräsidentin empfiehlt Wechsel zu Wire

Falk Steiner auf heise online: Politische Realität beißt den IT-Admin

heise online: "Pressure Cooker": Europols geheime Datenverarbeitung ohne Aufsicht

Transkript anzeigen

00:00:03: Auslegungssache, der CT-Datenschutz

00:00:07: Podcast.

00:00:14: Hallo und herzlich willkommen in der Auslegungssache heute mit Episode onehundertneunfünfzig!

00:00:20: Wir zeichnen auf am zwölfen, fünften, zweitausend sechstenzwanzig.

00:00:23: mein Name ist Horger Bleich.

00:00:25: ich bin Redakteur bei CT dem Magazin für Computertechnik das auch diesen Podcast hier ermöglicht und an meiner Seite ist heute nicht Jörg denn Jörgg hat sich entschieden relativ kurzfristig für einen wohlverdienen Urlaub und deswegen habe ich mir erlaubt mir meine Gäste mal selbst zusammenzustellen, ohne das mit Jörg abzusprechen.

00:00:44: Und ich freue mich sehr, dass es kurzfristig geklappt hat, dass Sylvester Tremmel auch aus der CT-Redaktion heute meinen Co-host als Co-Host einspringt... Oh

00:00:55: ja!

00:00:55: Hallo freut mich, ich dachte, ich bin Gast aber auch gut.

00:00:59: Ja, Gast und Co-Host.

00:01:01: Nimm's als Kombiaufgabe heute an.

00:01:04: Syvester betreibt mittlerweile einen sehr erfolgreichen Podcast zum Security-Themen.

00:01:10: Den Podcast Passwort und Syveste erscheint vierzehntäglich, ne?

00:01:15: Genau!

00:01:15: Also zusammen mit Christopher Kunz mache ich das.

00:01:18: Allerdings haben wir in letzter Zeit so viele Bonusepisoden eingebaut, dass man glaube ich schon sagen kann, wir erscheinen eineinhalb Rüchig oder

00:01:23: so.

00:01:23: Ja, das ist mir auch schon aufgefallen und ihr werdet immer länger irgendwie die zwei Stunden reißen regelmäßig.

00:01:29: Kommt da mal diese vier, fünf Stunden Dimension.

00:01:31: Da müsst ihr langsam aufpassen, dass wir nicht von Podgy gekappt werden.

00:01:34: Wir kämpfen mit Zähnen und Klauen nicht in die vier, vier Stunden Dimention zu kommen.

00:01:38: Dann müsst ihr halt täglich senden.

00:01:40: Ja genau!

00:01:41: Gut aber wir haben noch einen weiteren... Ich betrachte euch beide jetzt als Co-hosts.

00:01:46: Wir haben noch ein weiterer Gast oder Co-Host das ist mal wieder der sehr verehrte Falk Steiner aus Berlin zugeschaltet.

00:01:52: Moin Falk ist unser ständiger Autor von uns.

00:01:57: Er heißt online und auch für CT Und hat das Ohr für uns in Berlin an der Bundespressekonferenz, an den Türen der Ministerien und ist auch in Brüssel öfter unterwegs.

00:02:09: Sie war noch schon zusammen mit Brüssel unterwegs, Falk.

00:02:11: Und steckt uns immer und schreibt für uns was in der Politik wieder ausgehekt

00:02:18: wird.".

00:02:19: Ja, Palk.

00:02:21: Du hast mir letzte Woche geschrieben, hast du es auch auf Glusgeil geschrieben glaube ich dass du ein bisschen enttäuscht warst von der Resonanz in der Bundespressekonferenz als die Bundesdatenschutzbeauftragte ihren neuen Tätigkeitsbericht vorgestellt hat.

00:02:33: wie viele Leute waren denn da?

00:02:34: Wie viele Journalisten bei diesem spannenden Thema?

00:02:37: Naja also wenn ich jetzt mal die Kamerakollegen abziehe das sind jetzt einige gewesen durchaus noch.

00:02:42: Also ich sag mal so zehn vielleicht mit irgendwie allen Varianten von Kameras Video und Foto Und dann noch die Abziehe, die sonst so in so einem Raum sitzen.

00:02:51: Vielleicht hat sich der eine oder andere auch selber mitverfolgt, wo die aber für nichts auch live übertragen.

00:02:56: Ja, dann waren wir am Ende doch sechs Kollegen, die wirklich im Raum saßen um möglicherweise Fragen zu stellen.

00:03:01: Jetzt muss man der Fernsehen dazu sagen es sind aufgeregte Zeiten im politischen Berlin.

00:03:05: das ist alles ein bisschen wackelig Mit der schwarz-roten Koalition und gleichzeitig ist es natürlich trotzdem so.

00:03:11: Wir haben sehr viele Gesetze, die momentan auch Datenschutzespekte eigentlich haben.

00:03:16: Ich habe sehr viele Themen, die Datenschutzaspekte haben von Vorratsdatenspeicherung über Gesichtserkennung für das Bundeskriminalamt und ähnliches richtig viel Zeugs wo eben der Datenschuss eigentlich eine Rolle spielen würde aber momentan offensichtlich keine Konjunktur hat.

00:03:32: Das war schon etwas erschreckend fand ich denn Die waren über viele Jahre eigentlich immer relativ gut besucht diese Pressekonferenz.

00:03:38: Und habt ihr denn irgendwas Neues in dem Tätigkeitsbericht?

00:03:41: Hat sie dann irgendetwas erzählt, was du noch nicht kanntest.

00:03:43: Also ich habe ihn überflogen und hab halt gelesen dass wie auch mit den ganzen Landesdatenschutzbeauftragten berichten die Beschwerdezahl massiv gestiegen ist um über dreißig Prozent glaube ich.

00:03:56: Dass sie halt sehr gefeiert hat das sie ein großes Bußgeld gegen Vodafone zum vierzig Millionen ausgesprochen hatten, wo davon es auch akzeptiert hat.

00:04:02: aber sonst habe ich eigentlich nichts.

00:04:04: Wiesen sich Neues gelesen.

00:04:06: war für dich nur etwas Neues dabei?

00:04:08: So richtig was Neues, in dem Sinne nicht.

00:04:10: Also ich weiß nicht so.

00:04:10: wester ist vielleicht am wenigsten von uns rein direkt an der BFTI dran.

00:04:13: Vielleicht ist ihm etwas nochmal aufgefallen dabei also dieses Wodafone-Busgeld zum Beispiel.

00:04:17: das ist ein klassischer Fall.

00:04:19: Die Bundesdatenschutzbeauftragte ist ja bislang eben nur für Post- und Telekommunikation als Unternehmen zuständig.

00:04:25: Ansonsten ist sie raus, so eine Besonderheit.

00:04:28: Sonst sind die Landesdatenschutztagten eben zuständig.

00:04:30: das soll sich irgendwann vielleicht ändern aber momentan ist es noch so und deswegen spricht sie sehr selten Bußgelder aus.

00:04:36: hat sie in dem Fall halt auch einmal gemacht?

00:04:38: Das war allerdings auch ein Ding was ich schon über den Weichen zog wenn wir ehrlich sind.

00:04:41: das war jetzt nur dass der Vorzug vergangen ist ja aber also insofern... ...das wäre jetzt aus meiner Sicht alles nicht so schrecklich überraschend, du weißt da was nicht?

00:04:47: Ist dir etwas aufgefallen?

00:04:49: Nee, aber ich wollte dich noch was fragen.

00:04:52: Weil ich da überhaupt keinen Vergleich oder kein Gefühl dafür habe wie viel sind denn sozusagen zu guten Zeiten anwesend gewesen?

00:04:58: Also war das jetzt die Hälfte oder war es ein Zehntel?

00:05:01: oder also was für Dimensionen waren da schon mal vertreten?

00:05:05: Man muss es natürlich ein bisschen in Relationsehene zu Zeiten, als gerade AdWords Snowden möglicherweise irgendwelche Dinge veröffentlichten ließ.

00:05:12: War so das dort dann auch mal fünfzig Journalisten im Raum waren umfragen zu stellen?

00:05:16: Das ist jetzt nicht mehr der Fall!

00:05:18: Das war auch die letzten Jahre nicht mehr den Fall aber ich sag mal dass wir irgendwo zwischen zehn und fünfzehn Fragestellern waren, war schon das Minimum in der Vergangenheit.

00:05:26: Und das ist jetzt schon echt ein bisschen arg bitter vor allem auch deshalb weil sehr viele von den großen Medien eben nicht da waren.

00:05:32: Dass das sowas mir besonders aufgestoßen ist Das ist natürlich gleichzeitig auch ein Spiegelbild dessen, wie Journalismus sich gerade entwickelt.

00:05:38: Dass sehr viele Menschen eben nicht mehr zu Pressekonferenzen hingehen können einfach wegen Arbeitsverdichtung und Ähnlichem.

00:05:44: Vielleicht ist es aber auch manchmal bisschen so einfach nicht hinzugehen und keine Fragen zu stellen.

00:05:48: kann man auch darüber diskutieren ob das vielleicht auch Teil des Problems ist?

00:05:52: gut dann

00:05:54: So weiß sie nicht gut.

00:05:57: Nein, also vielleicht tatsächlich noch ein kleiner Aspekt von der ganzen Geschichte denn das was ich ja eben so angerissen habe mit wir haben natürlich eine Bundesregierung die gerade wahnsinnig viel auf den Weg gibt bringt Wir haben einen europäisches Regime woviel passiert.

00:06:10: Es ist halt schon schade wenn es so eine Institution wie eben Bundesdatenschutz beauftragt Eben als Behörde als unabhängige Behörder und damit auch mit China-Sonderstellung gegenüber anderen Behörden dann eben so wenig Aufmerksamkeit erfährt und sich ja auch selber darüber beschwert, dass sie so wenig Offmerksamkeiten bekommt beziehungsweise das eigentlich so wenig auf Sie gehört wird.

00:06:31: Das ist ja auch so ein faszinierendes Ding!

00:06:33: Und da muss ich sagen... Ich weiß gar nicht ganz genau was da gerade nicht richtig läuft, abgesehen davon, dass es mit schwarz-rot und im Datenschutz schon immer ein bisschen schwierig war.

00:06:41: Das is' so bischen was wo ich so sage... So richtig gefällt mir das nicht, wo die Reise dorthin geht auch deshalb weil's ja eben auf anderen Ebenen wie bei den Landesdatenschutzbeauftragten jetzt auch nicht zwingend besser ausschaut.

00:06:53: Ja, aber findest du nicht dass sich da so ein Trend fortsetzt?

00:06:57: Also Datenschutz ist im Moment, weißt Du ja wird gerade von Seiten der Wirtschaft hochgradig angegriffen und wir sind halt gerade in so einer allgemeinen Lage.

00:07:07: also auch was die Wirtschaft angeht.

00:07:09: Datenschütz hat keinen großen Stellenwert und angesichts der anderen Probleme es wird halt immer priorisiert und deswegen fällt der Datenschutzen momentan auch ein bisschen hinten runter denke ich.

00:07:19: Wir beobachten das ja auch im Land, dass wir haben das hier Niedersachsen gerade gehabt dass die Datenschutzbehörden gar nicht mehr angehört werden, weder in einem Gesetzgebungsverfahren noch ein Verwaltungsakten und das sich dann hinterher beschwert wird.

00:07:29: Dass es das Vorhaben gar nicht realisiert werden können weil man einfach schlicht vergessen hat den Landesdatenschutz im Vorfeld schon mit einzubeziehen.

00:07:37: Na ja.

00:07:37: Ja ist der Schmunzer schon aber ganz ehrlich eigentlich sehr traurig.

00:07:40: Ja

00:07:40: also es ist Galgenhumor.

00:07:44: Das ist genau der Zustand der es hier eigentlich nicht sein soll.

00:07:46: Aber gut okay also auch mit diesem total optimistischen Start in dieser

00:07:49: Ausgabe...

00:07:51: Und der großen Freude darüber, wie gut der Zustand doch ist und dass das alles systematisch so super funktioniert, wie man es mal gebaut hat.

00:07:58: Also ich sage mal, da haben wir unseren Hörern jetzt schon wirklich gleich mal was geboten oder?

00:08:02: Ich kündige hiermit schon einmal an, dass wir drei Blautaschen echt ein Problem kriegen werden weil wir uns fest vorgenommen haben und auch müssen unter einer Stunde zu bleiben und haben uns jetzt schon angefangen zu verblauern.

00:08:12: deswegen mein großes Stopp!

00:08:14: Wir kommen jetzt zur unsere Zwei-wöchentlichen Rubrik

00:08:19: das

00:08:20: Bußgeld

00:08:21: der Woche.

00:08:23: Das Buß Geld der Woche würde ich diesmal nur in aller Kürze vorstellen, Jörg kann es sehr viel ausufern da und schöner erzählen als ich.

00:08:30: Ich mache das mal eben schnell!

00:08:32: Es geht um ein Buß geld ausgesprochen am dreißigsten, vierten, zweitausendsechsundzwanzig von der spanischen Datenschutzbehörde IEPD gegen eine Vorgesellschaft gegen GE oder G-Konsult NEGS Konzult, die eine Teamsitzung mitgeschnitten hat.

00:08:49: Da ging es um einen internen Mitarbeiter-Call da wurden Entscheidungen vorab besprochen.

00:08:58: das Ganze sollte veraktet werden.

00:09:02: so wurde es wohl auch angekündigt und wir kennen das alle.

00:09:05: zu Beginn der Aufzeichnung kam dann die Einblendung, sind sie mit der Aufzeichnung dieses Calls einverstanden?

00:09:12: Dann haben alle auf Ja gedrückt in Teams.

00:09:15: Dann wurde aufgezeichnet was den Leuten aber offensichtlich nicht so klar war.

00:09:19: Die teilgenommen haben ist dass diese Sitzung dann wie sie aufgezeichnete wurde als Akte definiert wurde und dann auch teilweise an Investoren rausgegangen ist.

00:09:30: also die Video- und Tonaufzeichnung.

00:09:32: Und damit haben sich wohl einzelne Mitarbeiter überhaupt nicht einverstanden, erklärten und gesagt, Moment dem haben wir aber nichts zugestimmt.

00:09:37: Und haben sich beschwert bei der Datenschutzbehörde.

00:09:40: Die Datenschutzbehörder hat tatsächlich gesagt diese Einwilligung die dort gegeben wird, die hat nicht umfasst dass das als offizielles Protokoll genutzt werden kann und vor allem dass die Aufzeichnung an externe vorn beteiligte weitergegeben werden kann.

00:09:57: auch andere Verwendungswecke waren eigentlich ausgeschlossen.

00:10:00: also dieser Einwilligen war viel zu eng gefasst.

00:10:03: Und da geht es auch um die Zweckbindung, das ist eine eindeutige Zweckentfremdung dieser Aufnahme und deswegen gab es dann ein Bußgeld von schlussendlich dreitausend Euro.

00:10:13: Ursprünglich wollte ich die Behörde fünftausend euro.

00:10:14: Das ist jetzt auch kein üppiges Bußgelt aber es ist halt eher so symbolisch um zu zeigen Moment mal wenn ihr da Videoaufnahmen macht auch wenn in Teams gesagt wird Ja, ich bin mit der Aufzeichnung einverstanden.

00:10:26: Muss schon sehr klar definiert sein was hinterher mit der aufzeichnung passiert.

00:10:29: also es war wohl irgendwie auch so dass zuerst gesagt wurde ja wir machen Microsoft macht einen Transkript und das transcript wird dann eventuell in Auszügen an die an die externen geschickt aber nicht dass es original an die externe geschickt wird.

00:10:41: Das war wohl nicht vereinbart.

00:10:43: wie seht ihr das?

00:10:43: Also ich finde das genauso.

00:10:45: Ich finde sowieso immer ich habe das auch schon öfter erlebt in irgendwelchen Veranstaltungen Dann kommt da eben irgendwie dieses kleine Fenster, so von wegen sind sie mit der Aufzeichnung einfach standen ja nein.

00:10:56: Also mir ist da nicht klar wozu ich eigentlich zustimme und was hinterher mit der aufnahme passiert und offensichtlich muss das sehr klar definiert sein oder zumindest klarer als die es hier gemacht haben würde dir auch zu sehen oder?

00:11:07: Grundsätzlich ja.

00:11:09: also diese Höhe dieses Bußgelds finde ich halt bemerkenswert.

00:11:13: Das ist eine Fondsgesellschaft.

00:11:15: Ich nehme an die rechnet jetzt gerade durch eigentlich hier jemanden offiziell das Protokoll anfertigen zu lassen oder einfach jedes Mal dreitausend Euro hinzulegen.

00:11:24: Ja gut, Sie haben... Das Bußgeld wurde ja auch deshalb reduziert weil sie die Schuld eingestanden haben und weil sie versprochen haben machen wir nie wieder sowas.

00:11:32: Also Sie haben sich kooperativ gezeigt.

00:11:34: Also ab

00:11:35: fünftausend euro orientiert es sich dann wahrscheinlich doch einfach ein normales Protokollen anfertigend zu lassen.

00:11:40: Das

00:11:40: ist nicht effektistisch!

00:11:42: Ich fand es ganz interessant, weil so zwei Sachen eben ist.

00:11:44: Das eine ist wir kennen das alle auf dem Alltag dieses irgendwo einwilligen Sollen und dann überhaupt keine Kontrolle darüber haben was damit real passiert.

00:11:52: in dem Fall ist es dann halt ausgekommen was mit passiert ist.

00:11:55: Und zum zweiten ganz typisch spanische Aufsichtsbehörde Mit ihrer Vorliebe für kleine Bußgelder und kleine Fälle die ich sage mal europaweit schon dafür berühmt und berüchtigt ist dass sie einfach sehr viele kleine Verfahren führt um eben ja ich sag Mal sowas ähnliches wie Entscheidungen herbeizuführen, die dann auch möglicherweise vor Gericht Bestand haben oder zumindest teilweise bestand haben.

00:12:15: Das finde ich eigentlich jetzt verdienstvoll, ehrlich gesagt auch weil wir wissen ja an vielen Stellen alle nicht was denn eigentlich die Buchstaben des Gesetzes so bedeuten und wenn es da mal ein bisschen Richterrecht dazu gibt, ist das auch nicht ganz schlecht um Orientierung zu haben.

00:12:27: Ja, dazu vielleicht noch ganz kurz.

00:12:29: Ich habe mir auch die Originalentscheidungen und ich kann kein Spanisch also nicht ausreichend um dich zu lesen.

00:12:34: Ich hab sie mir übersetzen lassen aber man muss dazusagen das finde ich sehr erstaunlich.

00:12:38: der Bus die Bußgeldentschaltung sind vierundzwanzig Engbettdruckgeseiten.

00:12:42: Also die haben sich sehr ausführlich mit der Rechtslage auseinandergesetzt und haben sehr auswürdig begründet was sie genau als rechtswidrig im Sinne der DSGVO achten.

00:12:50: Sie haben es sich da auch nicht einfach gemacht.

00:12:54: Die sprechen ja auch ganz anders als in Deutschland.

00:12:57: Viele Bußgelder gehen private aus, zum Beispiel Kameraüberwachung am Garagentor und so was.

00:13:01: Da gibt es dann immer diese dreihundert Euro Bußgälder.

00:13:05: Aber das ist sehr großlöchig wie du sagst da platzen immer die Bußgeldschwecker und die Buusgelddatenbanken.

00:13:09: wenn die spanische Behörde wieder ihre BußGelder veröffentlicht finde ich aber auch gut weil das hat natürlich auch in dem Sinne eine abstreckende Wirkung diesen Deutschland für kleine Delikte wahrscheinlich eher nicht geben.

00:13:21: Nee

00:13:22: also mann gibts einfach hier nicht so.

00:13:24: Ich habe eine Verständnisfrage, weil du gemeint hast, sich der Recht herbeiführen.

00:13:29: Aber die haben hier ja sozusagen das einfach zugegeben und halt gezahlt und anerkannt dass es falsch war.

00:13:36: da kam's ja gar nicht so ne richterlichen Entscheidung oder?

00:13:38: Da hast du im konkreten Fall recht.

00:13:39: wo die Spanier also die machen das dann häufig, dass sie das eigentlich einfach durchziehen?

00:13:42: auch und wenn da halt jemand vor Gericht geht wirds vor Gerich geklärt und einfach nur dadurch dass so viele kleine Fälle dann auch behandelt werden Hast du überhaupt mal ein bisschen Klarheit, was denn eigentlich die Buchstaben des Gesetzes bedeuten?

00:13:53: Also das finde ich halt tatsächlich das Interessante an dem Case sozusagen stellvertretend für die das Vorgehen der spanischen Aufsichtsbehörde.

00:13:59: Dass sie einfach ist nicht scheut einen Bußgeld auszusprechen mit der Gefahr dass sie danach vor Gericht vielleicht sogar verlieren könnte.

00:14:06: Da gibt es deutsche Behörden die sich da etwas anders verhalten.

00:14:08: auch in anderen europäischen Staaten ist das etwas anders wird dann immer ins Feld geführt.

00:14:13: Oh, was wäre denn wenn wir vor Gericht verlieren würden?

00:14:16: Dann würde unsere Interpretation der DSGVO möglicherweise gar nicht tragen.

00:14:20: So das finde ich mal ein bisschen

00:14:22: schräg.

00:14:22: Ja und dazu haben wir hier noch die Besonderheit in Deutschland.

00:14:25: Darüber haben wir neulich mit dem niedersächsischen Landestaunchausbau auf Tocken Herr Lehmkämper gesprochen dass sie behörden ja gar nicht mehr des Verfahrens sind wenn es ins in den Busker widerspruch geht.

00:14:35: Das liegt an deutschen Ordnungswidrigkeiten recht.

00:14:37: Die müssen sich dann nach Staatsanwaltschaften abgeben oftmals keine Lust und auch keine Kompetenz haben, diese Fälle zu bearbeiten.

00:14:43: Und dann werden die Bußgelder halt reduziert.

00:14:46: Wir hatten einen konkreten Fall Notbux-Beläger von zehn Komma vier Millionen auf neun nach tausend in fünf Jahren durch zwei Instanzen.

00:14:52: Das ist natürlich dann auch bitter.

00:14:53: Solche Fälle hatten wir schon öfters auch im Bund.

00:14:56: Also er wäre nur noch eines eines Bußgeldes, was auch auf den Zehntel reduziert wurde damals vom Bundesdatenschutzbeauftragten ausgesprochen Na ja, gut.

00:15:06: Wir haben noch einiges vor, deswegen würde ich sagen gehen wir mal weiter und kommen zu dem Thema... ...wir sind nicht der erste Podcast der darüber spricht aber wir sind der Podcast, der auch darüber sprechen muss!

00:15:16: Nämlich das Thema Signal-Hack.

00:15:19: Silvester bringen uns mal auf den Stand.

00:15:20: also du hast meine Anführungszeichen die Gedachten gesehen.

00:15:25: was das Thema, was in dem Begriff Hack angeht viele Medien haben das als Signal-hack bezeichnet.

00:15:31: Du sagst es ist kein Hack.

00:15:32: warum ist es kein Hack?

00:15:33: Und was ist passiert?

00:15:34: Also ich find's halt irre für das Hack zu nennen.

00:15:38: Es ging da um Social Engineering und Hack klingt halt immer so nach, die haben irgendwie technisch das System gebrochen oder umgangen...

00:15:47: Was war denn los?

00:15:49: Konkret lief und läuft auch immer noch eine relativ groß angelegte Kampagne gegen prominentes Signal Nutzer, also jetzt nicht prominent im Sinne von der Gala sondern in dem Sinne von politiker-diplomaten nötig militärs.

00:16:02: Also Leute vom Einfluss die halt auf das Signal kontaktiert werden.

00:16:08: und die Hacker geben sich dann als Signalsupport aus... Jetzt habe ich selber Hacker gesagt!

00:16:13: Die Fischer geben sich da als Signalsupport aus und versuchen einen von zwei Tricks soweit man weiß.

00:16:20: Der eine ist sie versuchen die Person dazu zu bringen ihre Signal pinn Preis zu geben in diesem Chat und dann können sie den Account damit übernehmen.

00:16:30: Die PIN dient genau dazu, sozusagen versuchen Übernahme zu schützen.

00:16:33: oder Sie bringen die Person dazu ein Gerät des Angreifers zu verknüpfen.

00:16:40: man kann ja ins Signal so ich glaube bis zu fünf Geräte mit seinem Account verknüpfen Und dann können die halt auch Zugriff auf diese Nachrichten nehmen und es geht offensichtlich darum an interessante politische oder diplomatische Chats zu kommen damit zu lesen und vielleicht da auch Einfluss zu nehmen, indem man halt sozusagen dann schreibt und sich als diese Person ausgibt.

00:17:01: Und in Deutschland sind eben einige hochrangige Politikerinnen bis zur Bundestagspräsidentin Glöckner davon betroffen gewesen.

00:17:09: Das ist sozusagen soweit die technische Darstellung oder die Sachlage.

00:17:12: Die Frage ist es, was man damit macht?

00:17:14: Aber jetzt musst du noch mal sagen... Du sagst erst, das ist kein Heck!

00:17:18: Was ist denn ein

00:17:18: Heck?!

00:17:19: Also was wäre denn dann ein Hack?

00:17:21: Ich würde nicht mal sagen, dass es kein Hack der App Signal ist.

00:17:25: Ein Hack kann man ja sehr breit auffassen.

00:17:29: Es gibt auch das Wort Live-Hack, dass man einen gewieften Weg findet zu tun.

00:17:34: In dem Sinne ist Fishing natürlich auch ein Hack.

00:17:36: Da finden wir den gewiechten Weg Leute dazu zu bringen zum Beispiel eine Pinnenpreis zu geben.

00:17:41: Aber wenn man halt vom Signal-Hack spricht, dann ist glaube ich die erste Assoziation die Verschlüsselung von diesem Messenger es gebrochen oder so und darum geht sie halt nicht.

00:17:49: Also

00:17:49: das war kein Security-Problem, kein Security Issue bei Signal,

00:17:52: ne?

00:17:53: Darüber können wir reden!

00:17:54: Also könnte Signal vielleicht mehr machen um solche Angriffe zu erschweren, na?

00:17:59: Das möchte ich jetzt nicht offen sagen, nö... Die können da nichts dazu, aber es geht halt nicht darum dass sozusagen Sie einen irgendwie kryptografischen Fehler in Ihrem System haben oder dass irgendwie die Leute, die Geräte infiltriert haben mit einer Schadsoftware und dann da halt mitgelesen haben.

00:18:16: Sondern die haben einfach... Die Leute ganz regulär kontaktiert und haben halt nicht gesagt ich bin der Dimitri sondern die haben gesagt Ich bin der Signalhacker.

00:18:26: Es wird sehr stark attribuiert das diese Kampagne wohl von Russland ausgeht.

00:18:30: Deswegen hab' ich jetzt grad Dimitrie gesagt Und es kann im Prinzip jeder so machen Das sind psychologische Tricks die zum Einsatz kommen eher als technische Trics.

00:18:40: Genau, also wenn ich jetzt sage Holger.

00:18:41: Also ich bin der Jörg so gib mir deine Daten vertrauen wir du kennst mich doch wo ist das Problem oder?

00:18:47: Das ist eigentlich der Mechanismus und dass es ja eigentlich das worum es hier eigentlich primär geht und was eigentlich auch ein Teil des Problems ist.

00:18:54: Es ist nämlich einfach das ganz großer Teil der wohl betroffenen und Ich bin mir sehr sicher dass wir längst noch nicht alle Namen kennen Und ich bin mir auch sehr sicher das der Kreis der Betroffenen noch sehr viel größer als wir so öffentlich wissen.

00:19:10: Das ist einfach schwierig, weil die haben sich übertöpeln lassen und zwar mit einer richtig stumpfen Masche, die wir alle eigentlich kennen.

00:19:18: Wir alle kennen die Fishingmails in denen steht hier, ich bin deine Bank, trage deinen Daten ein!

00:19:22: So was anderes war das auch nicht?

00:19:24: Mit der Angabe Signal Support und du brauchst halt nur ein einziges Adressbuch und dass es ja eigentlich die fiese Masche da drin, Du brauchst einen Adressebuch um danach den Rest des Adresses Buchs anschreiben zu können.

00:19:34: Also das ist ja wirklich wie so ein Wurmfortsatz, ganz klassisch.

00:19:38: Ich weiß nicht wie viel Jahre I love you her ist aber im Prinzip ist es genau das.

00:19:43: Es frisst sich dann halt einfach durch beziehungsweise der Angreifer nutzt dann eben genau das Adressbuch des Betroffener Nutzers um den nächsten anzuschreiben und demnächst zu sagen ich bin dein Signalssupport!

00:19:54: Und wenn sich sowas natürlich in politischen Berlin durchfräst?

00:19:58: Ja ich habe auch ein paar von diesen Nachrichten bekommen.

00:20:01: Sie mir sozusagen, von dem meine Telefonnummer dorthin kredenzt wurde respektive mein signal account.

00:20:07: So kompliziert ist das auch nicht weil das politische berlin einfach vernetzt ist so und natürlich auch signale nutzt.

00:20:13: klar was sind denn die alternativen?

00:20:15: ehrlich gesagt da ist das ein Problem wo ich denke ja leute also ganz ehrlich Da dann irgendwie zu sagen vor wegen, wir brauchen andere Technologie.

00:20:26: Wir brauchen eine andere Lösung?

00:20:28: Naja also fand ich jetzt tatsächlich auch ein bisschen schnellschussig an vielen Stellen was dann so alles in den Raum geworfen wurde weil ich dachte so naja das Problem vor dem Endgerät kriegst du auf die Art ja nicht gelöst.

00:20:39: Das ist einfach unmöglich weil solange jemand eben auf wirklich den klassischsten Fall von Fishing reinfällt hast Du einfach keine Chance dagegen etwas zu tun außer ihm mehr oder weniger noch dreißig Sperren einzubauen Bevor dann wirklich was passieren kann.

00:20:53: Aber dann ist natürlich auch die Usability dahin, ehrlich gesagt.

00:20:55: Wie in Silvester sitzt denn das Problem ausschließlich im Vormonitor?

00:20:58: oder hat Signal da ein bisschen mit Verantwortung und könnte mehr tun um die Leute vor solchen Fishing-Attacken auf der Plattform zu schützen?

00:21:06: Sie könnten mehr tun.

00:21:07: sie haben jetzt auch schon.

00:21:09: Sie haben angekündigt dass sie mehr tun und gestern oder so kamen erste Screenshots wie es dann aussehen soll.

00:21:15: Es läuft darauf raus Wenn man einen neuen Kontakt hinzufügt oder eine erste Nachricht mit einem neuen Kontaktaustausch, der sehr deutlich davor gewarnt wird.

00:21:23: Dass der Name, der da drüber steht, irgendwas sein kann.

00:21:27: Signal kann den nicht verifizieren und so.

00:21:30: Und dass sie halt allgemein mehr Warnungen in die App einbauen, das eben auch der Signal selber niemals um ne Pinnen bitten wird.

00:21:42: Ich finde... Sie könnten finde ich sogar noch ein bisschen mehr tun, ne?

00:21:46: Sie haben in so einem Spiegelinterview gesagt.

00:21:48: Naja wir kennen die... ...die Namen nicht, die die Kontakte sich geben.

00:21:54: Wir wollen sie auch nicht kennen!

00:21:55: Wir sind im Ende zu Ende verschlüsselnder Messenger.

00:21:58: Das ist richtig und gut.

00:22:00: Ich sehe aber nicht so ganz warum die App also klientzeitig jenseits des Endes da nicht einen Filter haben kann.

00:22:07: Und zumindest in so nem Fall von ner bekannten Kampagne wo ich weiß Die treten das Signalsupport auf könnt ihr die App einfach sagen, du der Kontakt hier, da steht Signalsupport.

00:22:16: Das ist sicher fake weil den Kontakt also den echten Signalssupport heißt nicht so.

00:22:21: Den gibt's auch nicht auf Signal.

00:22:24: Ich bin der Meinungssignal könnte dann mehr tun.

00:22:28: Ja aber jetzt ganz im Ernst als nächstes kommt dann als Absender Claudia Plattner.

00:22:34: Dann kommt als absender Parler kommen, dann kommt das nächstes Absender Helpdes Bundestag Ähm, oder ähnliche.

00:22:41: Ja klar!

00:22:42: Also das ist ein Katzenmausspiel.

00:22:45: Aber man kann dieses Katzen-Maus-Spiel schon spielen und ich mein es liegt befährend jetzt zu behaupten dass so eine Blacklist irgendwie das Problem löst aber es macht's halt ein bisschen aufwendiger.

00:22:57: Genau.

00:22:57: also ich möchte auch... Es

00:22:58: ist ja schwerness ne?

00:22:59: Genau alles daran ist ein Erschwernis was ich halt einziehen kann.

00:23:04: Ich tue mich auch.

00:23:06: Es ist natürlich ein bisschen pein, na ja, wieder sage ich das jetzt.

00:23:10: Also es ist ein bisschen erschreckend für mich dass scheinbar massenweise hochrangige Politiker auf diese Masche reinfallen weil das einfach eine Menge von Betroffenen ist.

00:23:20: also es geht hier angeblich um mehrere hundert Betroffene von denen man weiß die auf einen relativ systemische Naivität schließen lässt bei den Leuten.

00:23:31: Ich möchte aber andererseits schon los werden weil das ist halt auch so ein Problem.

00:23:35: Wenn einem sowas passiert, dann ist einem das peinlich und dann möchte man vielleicht nicht darüber reden und sagt vielleicht auch nicht irgendwie der IT Bescheid die noch helfen könnte und das Gerät irgendwie isolieren könnte oder so, weil man sich halt schämt und wenn man es ignoriert geht's vielleicht weg sozusagen.

00:23:51: Fishing kann wirklich jeden passieren und das ist kein dummer Spruch sondern das ist de facto so.

00:23:55: also mein...

00:23:57: aktuell

00:23:57: liebstes Beispiel dafür ist treuhand.

00:23:59: das is ein ausgewiesener sicherheitsexperte der sich tag einen tag ausspricht nichts anderem als mehrware und phishing angriffen beschäftigt.

00:24:07: Und er wurde gefischt mit genau so einer blöden masche.

00:24:10: der wurde halt per mail kontaktiert.

00:24:12: es ist ja geht eigentlich um sein ich glaube seinen e-mail provider war das oder so und er hat halt geklickt bevor er gedacht hat.

00:24:18: und es ist halt.

00:24:19: Es sind die zwei Sachen, das eine ist es nicht besser zu wissen und das andere ist einen schlechten Tag zu haben.

00:24:25: Und letzteres hat halt jeder Mal und jeder Mal ist mal völlig übermüdet und völlig durch und klickt.

00:24:31: dann und da ist es wirklich wichtig dass man dann wenn man's vielleicht sogar noch ein schlechtes Gefühl kriegt oder so was jetzt gerade falsch war sich nicht dafür schämt sondern weiß es ist schon ausgewiesen in Curryfan passiert und sich halt meldet bei der IT oder bei anderen im privaten Umfeld, bei irgendwelchen Verwandten die sich damit auskennen.

00:24:52: Und sagen so ich habe hier möglicherweise Mist gebaut.

00:24:54: was mache ich jetzt?

00:24:57: Also eine Ich glaube ein Punkt ist du sagst es sind ziemlich viele darauf reingefallen.

00:25:02: also man könnte natürlich mal überlegen um an die Awareness irgendwie erhöhte Schulungen usw.

00:25:08: und sofort.

00:25:08: das wäre vielleicht die eine Maßnahme an diese Personen, die betroffen sind, die ein bisschen zu schützen.

00:25:16: Die andere Sache ist, die scheinbar höher im Kurs steht.

00:25:19: Naja, Signal scheint ja dann wohl doch nicht so sicher zu sein.

00:25:24: Hört man dann?

00:25:25: Dann steigen wir doch um auf ein anderes System.

00:25:27: und deswegen wurde jetzt schon beschlossen Falk dann auf die Messenger-Plattform Weyer umzusteigen und zu sagen, ab jetzt benutzen wir nur noch Weyer!

00:25:38: Wie ist denn da der Standfall?

00:25:40: Ja, das kann ich dir ehrlich gesagt gar nicht in jedem Detail und jeder Hinsicht sagen.

00:25:43: Ich kann dir sagen dass es im Digitalkonzept des Bundestages vorgesehen ist, dass Wirebund genutzt werden soll ein VHS-NFD zugelassener also vom BSI VHS NFD... Soll

00:25:54: oder muss?

00:25:55: Äh

00:25:56: was

00:25:56: hin?!

00:25:57: Soll benutzt werden oder muss?

00:25:58: Das ist ein bisschen die Frage von welchem Kontext wir regen.

00:26:01: Und das ist ja das eigentliche Problem da dran, also Danielia Klöckner ist zum einen Bundestagspräsidentin dieses Chefin der Verwaltung des Deutschen Bundestages.

00:26:08: Schritt eins Sie ist Abgeordneter des deutschen Bundestages.

00:26:12: schritt zwei sie ist CDU-Mitglied Im Landesverband Rheinland-Pfalz.

00:26:17: Sie ist, ich weiß gar nicht ob sie gerade Mitglied im Präsidium ist oder im Vorstand der CDU.

00:26:21: auf jeden Fall ist sie dort eine relevante Akteurin.

00:26:24: Das heißt, sie ist Mitglied in diversersten CDU Chatgruppen, jedweder Art auf jedweden Messenger – das muss nicht unbedingt Signal sein, es kann genauso gut WhatsApp sein oder sonst was – je nachdem wie sich die lokale Verband organisiert hat.

00:26:34: Es gibt einen IT des Bundestages, die ist als solches definiert Die dafür gibt es natürlich diesen ganzen klassischen Sicherheitsmaßnahmen.

00:26:41: Was darf ich darauf installieren?

00:26:42: Und was darf ich damit tun, was und so weiter und so fort.

00:26:45: So das sind die Geräte des Bundestages als Bundestagsinstitutionen.

00:26:49: dann habe ich dort innerhalb des Bundestag ist die Abgeordnetenbüros.

00:26:52: Die dürfen IT auch selber beschaffen.

00:26:54: Die muss nicht zwingend nach den gleichen Sicherheitsstandards laufen wie eben die IT des Bundestages als Institution, denn jeder Abgeordnete ist frei und frei in seine Mandat und frei hinter Ausübung seines Mandates.

00:27:05: Dann habe ich die Zusammenschlüsse der Abgeordneten.

00:27:08: sogenannte Fraktionen – auch die betreiben eigene IT sind alle schon mal mehrfach von Hackerangriffen getroffen gewesen in der Vergangenheit also von Echten, nicht von Fishing unbedingt vielleicht auch von Fashing Da entsprechend Kram kriegen die natürlich dauernd.

00:27:23: Manche richten sich nach den IT-Konzepten des Bundestages, andere etwas weniger, manche lassen das BSI mit hineingucken, andere vertrauen dem BSI weniger, einige lassen das Bundesamt für Verfassungsschutz mit reingucken und andere weniger aus naheliegenden Gründen.

00:27:37: Das heißt wir reden über einen richtigen großen Zoo von unterschiedlichen IT-Systemen.

00:27:41: Meistens gibt es dann irgendeiner Form von Bridging zwischen den verschiedenen fröhlichen Anwendungsumgebungen, die wir so kennen.

00:27:47: So und jetzt ganz blöd gesprochen Julia Klöckner hat mindestens zwei Telefone davon darfst du ausgehen.

00:27:51: das eine ist das Diensttelefon des Deutschen Bundestages und das zweites ein privates Telefon.

00:27:55: Für die Parteikommunikation hat sie das Bundestagstelefon nicht zu nutzen Denn dass ist etwas was nicht sein soll.

00:28:01: der Staat sollen nicht die Parteien finanzieren als solches jenseits der staatlichen Parteienfinanzierung Die geregelt ist.

00:28:05: das heißt auch die inhorstruktur die dem die frau klöckler zur verfügung gestellt wird Ist nicht für die parteiarbeit gedacht.

00:28:12: so Das heißt sie benutzt das andere telefon.

00:28:14: Hm, wenn sie sich jetzt mit Friedrich-Merz abstimmen möchte um beispielsweise die Tagesordnung für den Bundestag abzustimmen.

00:28:20: Wann kommt Friedrich Merz?

00:28:21: Spricht macht eine Regierungserklärung von mir aus zur IT-Sicherheit.

00:28:24: Macht dann natürlich nicht.

00:28:26: Dann ja muss ich mit ihnen kommunizieren aber mit was kommuniziert Sie denn dann?

00:28:30: Kommuniziert Sie mit dem CDU-Vorsitzenden?

00:28:32: Kommunisiert Sie mit der Bundeskanzler an dieser Stelle?

00:28:35: Mit dem Abgeordneten Friedrich Merts in der Rolle als Abgeordneter?

00:28:38: Friedrich März okay in welcher IT Umgebung befinden wir uns denn hier?

00:28:42: nach welchen Standards ist sie gesichert?

00:28:44: Das ist ein riesen Chaos, was rollend bedingt.

00:28:47: Und ganz ehrlich... Jeder der kommt und sagt ja da schreibe ich einfach mal eine fröhliche Mobile Device Management Richtlinie und sage hier Ende darfst du nicht mehr installieren oder kannst du nicht?

00:28:55: Dann sag' ich in welcher Umgebung denn von was redest du denn jetzt genau?

00:28:59: Am Ende ist Politik ganz viel Kommunikation die möglich sein muss.

00:29:02: Krieg ich das also gesichert?

00:29:04: Naja!

00:29:05: Also ehrlicherweise muss man sagen nö Die Frage ist aber kann ich die Hürden höher machen?

00:29:09: Ja klar das kann ich Aber das sollte sich dann auf jeder Ebene gleichzeitig parallel tun um dort irgendwie voranzukommen.

00:29:14: Mit der Meldung, Wirebund wird im Bundestag eingeführt in der Bundestagsverwaltung habe ich ehrlich gesagt einen ganz kleinen Aspekt vielleicht adressiert aber diese Gesamtkomplexität die kriege ich damit natürlich nicht hin.

00:29:25: und ehrlich gesagt das Blödes was am Ende passieren kann ist dass es alles so umständig wird einfach durch die verschiedensten Systeme und Inkompatibilitäten und dann entsprechende Interoperabilitätsprobleme da sich da sitze und sage hey gut dann nehmt doch nur das B-Stick.

00:29:41: Also das wollen wir dann immer geben, glaube ich auch eher nicht.

00:29:43: Weil es führt dann auch nichts zu was Gutes.

00:29:45: Nur einmal ganz kurz und knapp um Rissen komprimierter bekomme ich's nicht hin aber das ist wirklich ein Zoo in dem die uns da bewegen wo ich dann sage okay also wie siehst du das?

00:29:54: Kann man solche Interoperabilitätsprobleme über die Institutionen hinweg auch nur annähernd IT-Security technisch besser optimieren als dass man sagt naja am Ende schicken wir uns halt Nachrichten aus dem einen System mit anderen und hoffen dass nix passiert.

00:30:10: bin ich A, kein Experte für und B weiß ich sozusagen nicht auf welchem Niveau die verschiedenen Beteiligten IT-Lehr das schon machen.

00:30:20: Ich glaube du hast aber den Punkt angesprochen der ganz relevant ist.

00:30:30: diese Leute also Politiker aber auch alle anderen nutzen halt ein Messenger wie Signal weil sie mit ganz verschiedene Leuten kommunizieren wollen.

00:30:39: Und wenn ich jetzt Skaling durchsagen, ich rolle hier.

00:30:42: Also das ist auch etwas was eben zum Beispiel Wire bietet und auch andere Messenger wie Threema dass man sich eine Instanz dieses Messengers bei sich installiert.

00:30:50: Und dann sagt es geht nicht über den Wire Server oder so sondern es geht halt über den Server des Bundestags und da reden halt... Da kriegen ja auch nur Abgeordnete irgendwie einen Account und können mit anderen Abgeordneten reden.

00:31:02: Wenn ich eine Kommunikationssituation habe wo ich sage Ich hab hier eh ne abgeschlossene Gruppe die will nur miteinander reden gute Methode, um solche Fischer draußen zu halten.

00:31:13: Weil die halt gar nicht erst einen Account haben, um Fishing-Nachrichten zu verschicken.

00:31:17: Aber das ist nicht die Kommunikationssituation in der sich Politiker üblicherweise befinden.

00:31:22: Die wollen ein offenes System haben wo sie mit allen möglichen Leuten reden können und dann kann ich das System durch ein anderes System austauschen, wo sich jeder einen Account besorgen kann aber dann habe

00:31:37: Das ist ja auch so, dass wir dieses Problem nicht exklusiv hier haben.

00:31:41: Also die USA.

00:31:42: Wenn ihr eck wisst...

00:31:44: Die haben das selber gemacht!

00:31:45: Sie haben ja selber die Leute in die Signalschätzung.

00:31:49: Aber da sieht man mal wie absurd es ist ne?

00:31:51: Der holt einen Journalisten und so eine interne Signalgruppe rein irgendwie, vergisst das dann und das der mit drin ist und dann besprechen sie da hoch relevante Security-Geschichten.

00:32:02: also unter dem Aspekt Wir sind ja hier in der Anschutzpodcast muss man auch sagen Vielleicht das auch noch mal als Tipp an alle Zuhörenden.

00:32:12: Wir haben natürlich ja auch eine Datenschutzproblematik, also wenn man mit diesen... Kommunikationskanälen und Kommunikationplattformen nicht richtig umgehen kann.

00:32:21: Und sie nicht richtig versteht oder auch pfleglich behandelt, also sie hier zum Beispiel du bist in der Gruppe und kriegst nicht richtig mit wer da noch so drin ist und guckst dich ab und zu mal wer damit liest eigentlich in der gruppe?

00:32:31: Oder du machst das Archiv nicht zu... Also du kannst ja z.B.

00:32:36: auch einstellen dass die Nachrichten nach vier Wochen gelöscht werden soll, deswegen sind es die alten Nachrichten nicht mehr zu lesen sind.

00:32:40: wenn jemand neues dazu kommt Dann kannst du natürlich auch massiv Daten verlieren und Daten liegen.

00:32:48: Und das ist dann in dem Moment auch, finde ich, auf Bundesebene hier ein Datenschutzproblem.

00:32:56: Wobei ich an der Stelle tatsächlich sagen muss, da habe ich selber auch es einfach zeitlich noch nicht geschafft.

00:33:00: Ich wollte gerne mal bei der meistens zuständigen Berliner Datenschutzbeauftragten nochmal nachfragen ob denn irgendwelche Data Breach Notifications bei ihr eingegangen sind.

00:33:08: also Denn ein bisschen das Daten dort geleckt haben ist ja kaum zu übersehen.

00:33:13: Also es müssen ja Daten ausgegangen sein die eigentlich nicht für Dritte bestimmt waren.

00:33:17: Die spannende Frage ist sozusagen wie das zu Werten ist.

00:33:20: Das wollte ich noch einmal irgendwann nachholen aber erst nach den nächsten Feiertagen.

00:33:23: Da hätte ich noch eine Nachfrage, bevor wir gleich zum nächsten Thema kommen.

00:33:26: Ist sie denn da zuständig?

00:33:28: Ist die für das was im Bundestag passiert zuständig ist es nicht?

00:33:30: ja Sie CFTI?

00:33:31: Das kommt immer darauf an was genaues ist.

00:33:33: also sobald es zb um die Parteien geht ist sie zuständig.

00:33:36: wenn's den Bundestag als Bundestag ist wäre die BfDI wohl zuständig aber auch ein sehr eingeschränkt weil die BFDI ja nicht den Bundestags als solches kontrollieren und beaufsichtigen kann der sie ja wählt und dem sie Bericht erstattet.

00:33:51: Also der Bundestag hat auch was da angeht, eine Sonderstellung anders als zum Beispiel dann wieder ein Kanzleramt oder ähnliche.

00:33:57: also das ist ein bisschen auch da wieder die ganze Komplexität einmal voll mitgenommen.

00:34:02: wie gesagt ja Massen Die Massenabfrage an alle möglichen Beteiligten kommt von mir

00:34:06: noch.

00:34:06: Ich wollte einen anderen Aspekt noch kurz ansprechen.

00:34:09: also es eines ja sozusagen ich habe diesen gewisse Datenschutzproblematik.

00:34:12: also jetzt sind hier offensichtlich Daten abgeflossen die nicht hätten abfließen sollen.

00:34:16: grundsätzliches Signal ja so sagen wenn mich auf dieses Problem konzentriert, kein schlechter Messenger der Schützdaten ziemlich gut.

00:34:23: Ich habe aber andersrum oft finde ich ein Datenhaltungsproblem.

00:34:27: also ich will ja nicht wenn Friedrich Merz als Bundeskanzler zum Beispiel Emmanuel Macron als französischen Präsident was schreibt dass das dann auch gut dünken von Friedrich März halt nach zwei Wochen glöscht wird weil geht die Nachwelt eh nix an.

00:34:45: Und wir haben ja so einen Fall zum Beispiel mit Ursula von der Leyen gehabt, deren Signal-Messenges als Kommissionspräsidentin irgendwie Hops gegangen sind.

00:34:52: oder war es SMS?

00:34:53: Weiß ich nicht.

00:34:53: Jedenfalls hat sie ein

00:34:54: SMS... Es gibt beide Fälle.

00:34:56: Es gibt bei uns im Fall der SMS-Kommunikation aus früheren Zeiten und es gibt den Fall der verschwindenden Signalnachrichten aus späteren Zeiten.

00:35:04: Also beides ist mit dem Problem das eigentlich eine Veraktungspflicht existiert.

00:35:09: Die haben wir jetzt noch gar nicht angesprochen, genau.

00:35:11: Das ist natürlich auch eine Problematik.

00:35:13: Genau und also ich meine... Ich habe auch keine Lösung weil ich verstehe natürlich jemand wie Friedrich Merz der halt irgendwie vier bis fünf Rollen in er hat.

00:35:19: Ich kann dem ja nicht sagen hier sind vier bis fünf Handys mit vier für fünf Apps Und jetzt trennste bitte deine Kommunikation danach auf ob die halt veraktet werden muss oder parteiarbeit ist oder halt irgendwie privat und so.

00:35:31: Also es ist absurd und nicht durchführbar aber Das Problem ist halt trotzdem da.

00:35:37: Und irgendwie dann zu sagen, ja ich nehme für alles Signal oder ich nehme halt für alles Wire ist offensichtlich auch nicht gut.

00:35:45: Da wir nicht mehr so viel Zeit haben, sehe ich jetzt schon... Wir haben uns natürlich wie wir es alle drei befürchtet haben schon wieder ein bisschen verquatscht.

00:35:51: aber Sylvester du hattest noch einen Thema auf dem Herzen.

00:35:53: vielleicht könntest du das noch kurz ansprechen?

00:35:57: Es geht um ein Problem auf der EU-Ebene namens Schnellkochtopf.

00:36:03: Ich wollte euch noch eine Schnellkochtop verkaufen oder Krüschrank.

00:36:10: Also es geht um eine Recherche von Korrektiv, von Computer Weekly also in Kombination mit Computer Weekly und mit der griechischen Redaktion Solomon, von der ich vorher auch noch nie gehört hatte muss ich sagen die haben eben zum sogenannten Pressure Cooker recherchiert und das ist ein Datenhaltungssystem bei Europol, also in der europäischen Polizeibehörde.

00:36:33: Das sich scheinbar als eine Art Schatten-IT zu grotesken Ausmaßen entwickelt hatte über die letzten Jahre und ich finde die Geschichte irgendwie zu wenig Aufmerksamkeit.

00:36:45: und nachdem es hier um massive Datenschutzproblematik geht dachte ich mir also wenn Holger mich schon den Podcast einlädt dann bringe ich das mal mit.

00:36:54: Grundsätzlich ist es so... Ich weiß nicht wie lange ich jetzt drüber reden darf aber Ausgangslage davon war wohl die Anschläge in Frankreich, insbesondere in Paris.

00:37:09: Und da war dann irgendwie Europol sehr unter Druck schnell zu liefern und alle möglichen europäischen Behörden haben denen halt sozusagen Daten von Verdächtigen geschickt und die Erwartungshaltung sei gewesen dass halt Europol diesen großen Haufen analysiert Konkrete Handlungen draus ableiten kann, wer jetzt hier irgendwie festgenommen werden muss oder wer halt irgendwie darauf verdächtig ist und so.

00:37:36: Und sie haben das gemacht indem Sie ein Computerforensignetz-CNF, dass Sie vorher schon hatten.

00:37:42: Das eigentlich dafür gedacht war spezielle Daten die irgendwie zu umfangreich sind, um sich in den normalen Europolsysteme zu füttern oder vielleicht auch zu gefährlich sind weil es potenziell im L wäre

00:37:52: usw.,

00:37:53: na die irgendwie gesonder zu behandeln.

00:37:57: Und dann hat aber letztendlich die Cybercrime-Abteilung von Europol dieses CNF übernommen massiv ausgebaut und es wurde dann nach Aussagen, also diese ganze Recherche stützt sich einerseits auf Angaben von ehemaligen Europolbeamten.

00:38:14: Auf gelegte E-Mails von Europollbeamtern und auf internen Reports, die sich die Redaktionen per Informationsfreiheitsanfrage beschafft haben.

00:38:25: Und nach Aussage von diesen ehemaligen Beamten hat sich dieses CNF dann im Zuge dieses Umbaus zu einer Art schwarzen Loch entwickelt, wo sie letztendlich – jetzt muss ich schon da sich die Zahl auf die Schnelle finde – über zwei Petabyte Daten drin hatten.

00:38:41: Vierhundertzwanzig mal so viel wie in den regulären Datenbanken von Europol.

00:38:46: also die haben, sofern diese Recherche stimmt, Europol bestreitet viel davon scheinbar einfach alles in dieses CRN, diesen Pressure Cooker geworfen und da kann man halt dann wirklich sehr schön schnell arbeiten wenn einfach alle Daten auf einem großen Berg liegen.

00:39:02: Das Problem ist eben so ein bisschen das es für nichts davon Rechtsgrundlage gab dass dieser Pressure-Cooker auch keinerlei Sicherheitsanforderungen genügt hat.

00:39:10: der hat zum Beispiel nicht protokolliert.

00:39:12: wer eigentlich Zugriff nimmt gerade auf die Daten Der hat nicht protokoliert wer diese Daten halt nicht ändern kann

00:39:18: Und wir haben auch keine rechte.

00:39:19: Management

00:39:21: Gab's wohl schon, aber jeder und seine Oma waren irgendwie atmen und durften halt alles.

00:39:27: Also er hat von hinten einfach den Ansprüchen an ein sicheres System des Leuten soweit zugelverschaft wie es für ihre Ausübung ist, was nötig ist überhaupt nicht entsprochen.

00:39:41: Und das, also was sozusagen noch on top kommt ist nicht nur dass es so gewachsen ist sondern angeblich haben sie das auch vor dem europäischen Datenschutzbeauftragten mehr oder weniger geheimen gehalten.

00:39:51: Haben den einfach nicht darüber in Kenntnis gesetzt sehr lange.

00:39:55: Ihr interner Datenschurz Beauftragter hat wohl immer wieder gewarnt, dass dieses System so hoch gerade irregular sei dass sich zwischen... dass sich neunundneunzig Prozent der Europol-Daten im CNF befinden.

00:40:09: Und wenn einem das jetzt verboten würde, weil halt zum Beispiel die europäische Datenschutzbeauftragte herausfindet, dass es existiert, dann würde de fach also ich zitiere mal in Englisch, na ja das ist auch so eine geliebten E-Mail might factually come close to complete shutdown of operational business at Europol.

00:40:26: Also entspräche einem vollständigen Shutdown von den Tätigkeiten von Europol wenn man ihnen dieses cnf irgendwie wegnehmen würde.

00:40:35: und das ist halt also einfach grotesk, ne?

00:40:39: Man dies ist so ein Ding, das kann ja nicht sein.

00:40:42: Sollte ich erwähnen, während es halbe... Also Europol sagt viel davon stimmt nicht.

00:40:47: Europol zeigt auch Pressuregucker sei bloß der internen Name für die Internet-Facing-Operat.. Das Internet Facing Operational Environment EFOE.

00:40:57: Das Problem ist so'n bisschen dass eben auch aus diesen internetemails hervorgeht.

00:41:02: Also, IFOE wird wohl in zweierlei Bedeutung benutzt einmal.

00:41:07: In der Bedeitung wie es formal definiert ist als System das man gerne haben wollte, dass eben mit ordentlichen Rechtemanagement ausgestattet ist und einen Zuggesportekolln usw.

00:41:19: Und das andere ist, dass es diesen Pressurecooker gibt, der ganz gerne als IFOe offiziell betitelt wird aber halt überhaupt nicht diesem... dieser Beschreibung entspricht, also da gibt es hier auch Zitate.

00:41:32: Was ihr IFOE nennt ist eine Umgebung die im Notfallmodus unter der Pressurecooker-Vereinbarung erstellt wurde.

00:41:38: Es gibt ein grobes Missverständnis was unter IFOe zu verstehen ist.

00:41:42: Also möglicherweise weaselt Europol ja auch ein bisschen rum in dem sie sagen naja das ist doch nur diese IFO e. das ist Teil des Problems dass dieser Pressurecocker halt nicht definiert ist und unter einem anderen Namen segelt.

00:41:55: offiziell

00:41:56: Vielleicht nur ergänzend muss man sagen, weil wir noch gar nicht genau gesagt haben was Europolibaub ist.

00:42:01: Also das ist die Polizeibehörde der EU.

00:42:06: allerdings laube ich so wie es verstanden habe also in den Haag ansässig.

00:42:09: aber wenn ich's richtig verstehe vielleicht kannst du da noch mehr zu sagen vor allem als... Service-Einheit zur Unterstützung der nationalen Strafverfolgungsbehörden und Koordinierung der Nationalen Straftatwirkungsbehöden.

00:42:22: Ich weiß nicht, wie weit die selber ermitteln.

00:42:24: Die können ja nicht mit Staatsanwaltschaften zusammenarbeiten.

00:42:27: Falk Wiegels schon den Kopf erzählt man.

00:42:29: Ja es ist tatsächlich inzwischen verdammt kompliziert weil das historisch tatsächlich immer so war dass sie ausschließlich unterstützend für die Polizei oder Sicherheitsbehörde nationalstaaten tätig waren.

00:42:39: Inzwischen ist es tatsächlich ein bisschen anders, seitdem wir auch eine europäische Staatsanwaltschaft haben und ähnliches.

00:42:44: Ja alles ein bisschen auf dem Weg ist zu europäisieren.

00:42:47: jetzt ist Justiz und Polizei natürlich trotzdem immer noch Domäne der Nationalstaat.

00:42:51: das heißt es bleibt kompliziert.

00:42:52: nur ganz so Sorten rein ist es nicht mehr dass man sagen könnte die unterstützen nur die nationalen Behörden Die machen auch schon selber ganz schön viel.

00:42:58: aber was ich so interessant finde an der ganzen Geschichte ist diese Jahre alt eigentlich im Kerl.

00:43:03: Ja, also schon in zwanzig-zweiundzwanzig gab es einen Bericht.

00:43:05: Der basierte damals auf Lighthouse Reports Sachen eben über und daher kam ich da auch darauf dann überhaupt mal wieder rein zu gucken.

00:43:11: diese vier Petter weit Daten die sich bei Europol eingesammelt hatten so ist schon ein paar jährchen her für Jahre trotzdem immer natürlich noch relevant vor allem deshalb wegen dem was danach passiert dass man hat nämlich den ganzen Teil von dem was man damals gefunden hat weiß ehrlich gesagt immer noch nicht ganz genau, was davon jetzt das Gleiche ist.

00:43:28: Was davon etwas anderes ist.

00:43:30: Es hat auch ein bisschen was mit der Berichterstattung zu tun, die dazu beginnen war.

00:43:35: Hat man viel danach legalisiert?

00:43:36: Also man ist wirklich hingegangen und hat gesagt oh, das sieht ja schlecht aus!

00:43:40: Ja dann machen wir im Europaparlament zwar eine hübsche Abstimmung zusammen mit dem Vorschlag der Kommissionen und gucken mal naja also eigentlich das funktioniert ja gar nicht so schlecht.

00:43:48: Also, so war das in dieser Geschichte von vor vier Jahren.

00:43:50: So wie sie da war.

00:43:51: jetzt bei der Pressure Cocker ist es nochmal eine etwas andere Sichtweise darauf.

00:43:55: aber das war der Bereich wo's dann richtig richtig Knatsch gab mit dem europäischen Datenschutzbeauftragten den EDPS dessen Wiederwahl unter anderem deswegen dann infrage stand.

00:44:06: und die ganz spannende Frage naja Wo geht die Reise denn dahin?

00:44:10: Da gabs nämlich richtig bief.

00:44:11: Deswegen worum man hat gesagt hat Na ja, ihr sollt sich mal nicht anstellen hier Da sind wir tatsächlich so richtig in diesen ganz fiesen Tiefen des europäischen Wiesnens da wo keiner so ganz, ganz genau hinschaut weil es einfach für alle weit weg ist egal wo sieben zwanzig Mitgliedsstaaten.

00:44:26: Alle gucken nicht mehr genau hin.

00:44:28: das ist natürlich nicht so richtig, richtig.

00:44:31: Genau.

00:44:31: also ich wollte kurz sagen es ist ja also dass völlig recht der Pressure Cooker selber sogar noch viel älter ne?

00:44:36: Also violent wurde das der Pressurcookers von zu... Also ich habe ja gesagt, es ging von zu fünfzehn los.

00:44:46: Genau als halt zu achtzehnt an dieses GEVO relevant wurde weil sie in Kraft trat und eben plötzlich alle münischen Datenschutzregeln galten.

00:44:55: dieses Ding vielleicht vorher, ich weiß gar nicht wie das vorher eigentlich war.

00:44:59: Da ist es wahrscheinlich einfach zwischen den staatlichen Regelungen irgendwie gesegelt.

00:45:02: Das klingt noch ganz kurz auf.

00:45:03: Das Problem ist so ein bisschen dass die DSGVO die erste Verordnung war.

00:45:07: Vorher war's eine Richtlinie und in der Richtlinien richtet sich jemand an die Mitgliedsdaten.

00:45:10: Europol ist allerdings nicht in einem Mitgliedstaat ansässig sondern ist Teil der EU.

00:45:14: Und damit wars jenseits der Datenschutz-Richtlinie.

00:45:17: Moment!

00:45:18: Allerdings ganze

00:45:19: eigene Regelung

00:45:20: Ja, aber da muss ich noch mal nachfragen.

00:45:22: Das heißt es gab für die europäischen Institutionen damals kein Datenschutzrecht?

00:45:26: Doch doch!

00:45:26: Aber ein eigenes, ein paralleles was auch nicht identisch war mit dem was in der Datenschurz richtigen gestand, respektive in der JDI-Richtlinie.

00:45:33: das heisst es gab in den jeweiligen Errichtungsgesetzen zur Europäischen Instituation dann immer auch Vorgaben zum Datenschurs respektives gab so eine Querschnitts Geschichte dazu.

00:45:41: Ganz genau habe ich es jetzt ehrlich gesagt nicht mehr im Kopf, was da genau drin stand.

00:45:43: aber ich weiß noch dass es damals echt Beef gab weil das eben nicht auf dem gleichen Level war wie eben DSGVO und JDI Richtlinie wie sie so schön heißt also Justiz- und Polizeiarbeit sozusagen.

00:45:55: Das ist so ein bisschen schwierig weil immer noch dieses Problem auch die Justiz und Polizeilinier Die Verarbeitung von Informationen in diesem Bereich richtet sich wieder an die Mitgliedstaaten logischerweise denn Da hat EU keine Verordnungskompetenz, sie darf das nicht zentralisiert regeln.

00:46:11: Also auch nicht für die EU-Institutionen direkt mit regeln weil Richtlinien richten sich eben an die Mitgliedstaaten und dass ist natürlich so ein bisschen einen selbstgelegtes Ei.

00:46:20: Vielleicht um... also du musst ja leider schon weiterfalknern, um diesen das hier noch zuzumachen, weil ich glaube, dass du da auch mit Abstand der Kompetente bist.

00:46:29: Wie volent ist es ganze halt auch?

00:46:31: Weil dieses Jahr ansteht Ein neues Gesetz will die Kommission auf den Weg bringen, um Europol deutlich mehr Personal und Geld zu verschaffen.

00:46:42: Und insbesondere man sich halt schon fragen muss wenn sie hier scheinbar einen Track record haben davon dass Sie einfach Dinge tun weil sie sie für richtig halten und sich nicht drum scheren ob irgendwelche Aufsichtsbehörden da eigentlich zustimmen oder nicht Ob das sozusagen ein guter Schritt ist die Behörde so oft zu munitionieren

00:47:00: umso besser, dass es jetzt diese Recherche gab und die Recherchigergebnisse.

00:47:05: Und ja ich werde das in den Show Notes verlinken und auch nochmal ein paar Geschichten zum Signal hacken.

00:47:13: wir müssen schon stoppen an dieser Stelle.

00:47:15: Ich habe mich sehr gefreut, dass ihr spontan eingesprungen seid und dabei wart Und wir haben jetzt richtig gute Laune gemacht, glaube ich für die nächsten zwei Wochen.

00:47:25: Ganz so schlechte Laune wie ganz zu Beginn unserer Folge hier... Ja mit ganz so schlechter Laune sind die Leute nicht rausgegangen sondern mit noch viel üblerer, weil sie uns richtig bedient sind.

00:47:35: Immerhin

00:47:35: ist es herausgekommen dass es diesen Pressure Cooker gibt?

00:47:38: Das ist doch eine positive Entwicklung!

00:47:40: Genau

00:47:41: und immerhin.

00:47:41: also ist es zumindest auch nicht bekannt das irgendwer auf ein Fishing-Attacke reingefallen wäre, sodass der komplette Pressure-Cooker raus gekommen wird.

00:47:48: Stimmt.

00:47:50: Zweifel Arbeit über Signal raustragen, das wäre so sportlich, dann würde ich einfach mein Hut ziehen.

00:47:56: Gut!

00:47:56: Ich möchte noch kurz auf unsere Kontaktmöglichkeiten hinweisen.

00:47:59: Ihr könnt uns mailen unter auslegungssacheetct.de und diese und alle vorangegangenen Episoden findet ihr wie immer unter ct.de slash auslegungssache unserer Themenseite.

00:48:13: Und dann bleibt mir nur mich nochmal herzlich zu bedanken bei euch beiden.

00:48:18: Und dann sage ich bis in den letzten Tagen.

00:48:22: Tschüss!

00:48:23: Ciao

00:48:24: und sehr gern!

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.