1 00:00:00,000 --> 00:00:06,095 *RC3 2021-Vorspannmusik* 2 00:00:07,126 --> 00:00:12,190 Herald: Hello and welcome back to the xHain stage. The following talk will be 3 00:00:12,190 --> 00:00:16,180 held in German but there will be a live translation which you can switch to now. 4 00:00:16,180 --> 00:00:20,590 So, jetzt also weiter auf Deutsch: Willkommen zurück auf der Lichtung der 5 00:00:20,590 --> 00:00:25,570 Stage hier vom xHain. Ich bin euer Herald Karl. Aber ich habe heute eine etwas 6 00:00:25,570 --> 00:00:30,836 komische Doppelrolle, denn der folgende Talk, da bin ich auch Speaker. Deswegen 7 00:00:30,836 --> 00:00:34,595 mache ich jetzt erstmal vor allem den organisatorischen Teil. Ihr könnt Fragen 8 00:00:34,595 --> 00:00:39,640 zu dem folgenden Talk stellen auf Twitter und Mastodon unter dem Hashtag #rc3xhain 9 00:00:39,640 --> 00:00:46,730 oder auf hackint im IRC im Channel #rc3-xhain. Ja, jetzt switche 10 00:00:46,730 --> 00:00:49,903 ich in meiner Rolle als Karl von zerforschung und Lilith, was ist 11 00:00:49,903 --> 00:00:51,218 eigentlich zerforschung? 12 00:00:51,218 --> 00:00:55,350 Lilith: Genau, also zerforschung, wir sind ein Kollektiv von einer Menge jungen 13 00:00:55,350 --> 00:00:59,899 Menschen. Weniger als 10 momentan. So genau ist das nunmal schwer zu definieren. 14 00:00:59,899 --> 00:01:04,970 Und wir haben uns im letzten Jahr irgendwie so zusammengefunden, verteilt 15 00:01:04,970 --> 00:01:09,380 über ganz Deutschland. Miteinander kommunizierend über Signal und 16 00:01:09,380 --> 00:01:13,305 BigBlueButton und ja, wir haben irgendwann angefangen aus Interesse uns Technik 17 00:01:13,305 --> 00:01:17,403 anzuschauen. Und seit wir damit angefangen haben oder innerhalb des letzten Jahres 18 00:01:17,403 --> 00:01:20,609 vor allem, sind wir dann von Sicherheitslücke zu Sicherheitslücke 19 00:01:20,609 --> 00:01:24,660 gestolpert und heute in dem Talk wollen wir uns damit beschäftigen, was wir gerne 20 00:01:24,660 --> 00:01:28,080 vor einem Jahr gewusst hätten, bevor uns das alles passiert ist. 21 00:01:28,080 --> 00:01:34,229 Linus: *lacht* Das habe ich euch vor einem Jahr schon gesagt. - Achso, soll ich was 22 00:01:34,229 --> 00:01:39,150 sagen? Ja, ich bin Linus vom Chaos Computer Club. Der Chaos Computer Club ist 23 00:01:39,150 --> 00:01:44,729 eine Vereinigung von Hackerinnen und Hackern, eine der größten Vereinigungen, 24 00:01:44,729 --> 00:01:49,710 wenn nicht die größte Europas. Potenziell haben einige von euch auch schon mal davon 25 00:01:49,710 --> 00:01:57,500 gehört. Wir machen Schwachstellensuche und Schwachstellenmeldung schon etwas länger 26 00:01:57,500 --> 00:02:05,130 als ein Jahr und ich habe der zerforschung anfangs ein bisschen mit Rat und Tat zur 27 00:02:05,130 --> 00:02:11,580 Seite gestanden. Und in diesem Vortrag wollen wir nicht nur das besprechen, was 28 00:02:11,580 --> 00:02:15,680 die zerforschung euch mitteilen möchte, darüber, wie man meldet, sondern auch so 29 00:02:15,680 --> 00:02:20,190 ein bisschen, wie man auf eine Meldung reagiert. Denn wenn ich eine Sache auf 30 00:02:20,190 --> 00:02:24,690 jeden Fall beobachtet habe, ist es so: Ich hatte zwischenzeitlich den Eindruck, dass 31 00:02:24,690 --> 00:02:28,790 die Unternehmen oder die Betroffenen besser reagieren und in diesem Jahr haben 32 00:02:28,790 --> 00:02:34,360 sie teilweise so besonders ungünstig und doof reagiert und das wollen wir in diesem 33 00:02:34,360 --> 00:02:39,810 Vortrag auch ein bisschen berühren. Karl: In dem gesamten Vortrag werden wir 34 00:02:39,810 --> 00:02:44,590 immer wieder Verweise auf allerlei Paper oder andere interessante Informationen 35 00:02:44,590 --> 00:02:49,630 machen. Dazu haben wir eine Linkliste, eine Shownote zusammengestellt, die findet 36 00:02:49,630 --> 00:02:54,551 ihr unter https://rc3.zerforschung.org und da wird dann nach dem Vortrag auch ein 37 00:02:54,551 --> 00:02:59,820 vollständiges Skript erscheinen, falls ihr das Ganze nochmal nachlesen wollt. So, 38 00:02:59,820 --> 00:03:03,550 dann will ich uns aber nicht länger aufhalten. Eine Warnung noch: Der 39 00:03:03,550 --> 00:03:11,880 nachfolgende Film wird ermöglicht durch Cringe-Platzierung und damit MAZ ab! 40 00:03:11,880 --> 00:03:22,931 *Tastaturgeräusche* *Lachen* 41 00:03:22,931 --> 00:03:33,400 Lilith: Oh wow, das sind einfach alle Daten von der Chaos Cat Community. Oh 42 00:03:33,400 --> 00:03:38,510 Linus ist auch in den Daten. Hey Karl, soll ich das vertwittern? 43 00:03:38,510 --> 00:03:42,780 Karl: Hä? Lilith: Äh, äh, soll ich das vertwittern? 44 00:03:42,780 --> 00:03:49,610 Mit der Chaos Cat Community? Ok, dann mache ich das. 45 00:03:49,610 --> 00:03:56,860 *Lachen* Ich tagge mal noch in den Linuzifer. Hey 46 00:03:56,860 --> 00:04:02,599 Linuzifer, schau mal deine Daten. Hat er doch gesagt, 47 00:04:02,599 --> 00:04:06,352 Sicherheitslücken vertwittern. 48 00:04:10,800 --> 00:04:18,291 *Klopfen* Aufmachen, Polizei! Karl: Stopp, so nicht! Das, was wir jetzt 49 00:04:18,291 --> 00:04:22,033 gesehen haben, das war Full Disclosure. Das bedeutet, dass jemand eine 50 00:04:22,033 --> 00:04:25,716 Sicherheitslücke findet und diese dann einfach vollständig veröffentlicht. Das 51 00:04:25,716 --> 00:04:28,955 kann euch in richtig krasse Schwierigkeiten bringen und ist vor allem 52 00:04:28,955 --> 00:04:32,740 gefährlich für die Menschen, deren Daten dadurch öffentlich werden. Und das ist 53 00:04:32,740 --> 00:04:36,032 auch einfach nicht cool. Es hat schon einen Grund, warum es in der 54 00:04:36,032 --> 00:04:39,979 Hacker*innenethik heißt: Öffentliche Daten nützen, private Daten schützen. Und um 55 00:04:39,979 --> 00:04:44,010 diesen zweiten Punkt geht es uns heute, denn wir beschäftigen uns mit Responsible 56 00:04:44,010 --> 00:04:47,740 Disclosure. Also das ist ein Prozess, wie ihr einem Softwarehersteller Bescheid 57 00:04:47,740 --> 00:04:52,140 sagt, dass ihr dort eine Sicherheitslücke gefunden hat. Es spricht nichts dagegen, 58 00:04:52,140 --> 00:04:56,650 die Lücke hinterher trotzdem zu veröffentlichen, aber halt erst hinterher, 59 00:04:56,650 --> 00:05:00,846 wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind. Und wie man 60 00:05:00,846 --> 00:05:04,538 das richtig macht, das schauen wir jetzt. Lilith: Nicht alles, was im Internet 61 00:05:04,538 --> 00:05:09,090 kaputt ist, ist auch direkt ein Datenleck. Trotzdem wollen wir uns heute wirklich nur 62 00:05:09,090 --> 00:05:13,310 um die kümmern. Also genau diese eine Art von Sicherheitslücke, wo es Datenabflüsse 63 00:05:13,310 --> 00:05:18,100 in Onlinediensten gibt. Wir fokussieren uns heute auf Dienste, Apps und Webseiten, 64 00:05:18,100 --> 00:05:21,578 die auch nur von einem Hersteller betrieben werden. Also wir meinen damit 65 00:05:21,578 --> 00:05:25,341 keine Standardsoftware wie etwa ein WordPress oder ein Moodle, die jeder auf 66 00:05:25,341 --> 00:05:29,310 seinen eigenen Servern installieren kann. Wenn wir z. B. bei einer Lernkarten-App 67 00:05:29,310 --> 00:05:33,270 herausfindet, wie ihr die Namen aller Nutzer*innen abrufen könnt, dann ist der 68 00:05:33,270 --> 00:05:37,645 Talk hier genau richtig für euch. Wenn ihr das nächste log4shell oder Heartbleed 69 00:05:37,645 --> 00:05:41,459 findet, dann müsst ihr ein paar Sachen komplett anders machen, als wir das hier 70 00:05:41,459 --> 00:05:45,270 heute erklären. Das wäre aber für diesen Talk auch einfach ein bisschen zu viel. 71 00:05:45,270 --> 00:05:48,672 Aber da könnt ihr euch dann an Linus wenden, der kann euch da bestimmt 72 00:05:48,672 --> 00:05:51,695 weiterhelfen. Linus: Ja, das kann ich machen. Schreibt 73 00:05:51,695 --> 00:05:55,230 ihr einfach an disclosure@ccc.de. Lilith: Super, da kann euch Linus 74 00:05:55,230 --> 00:05:58,271 weiterhelfen! Linus: Dat habe ich doch gerade gesagt! 75 00:05:58,271 --> 00:06:04,040 Lilith: Ganz genau. Also, wieder zurück zu unserem Thema, die Datenlücken. Bevor ihr 76 00:06:04,040 --> 00:06:07,860 in irgendeine Richtung losrennt, wäre es gut, wenn ihr euch zu aller, aller erst 77 00:06:07,860 --> 00:06:12,630 überlegt, wie schlimm ist diese Lücke eigentlich? Davon hängt dann nämlich ab, 78 00:06:12,630 --> 00:06:17,830 was ihr tun solltet und wie schnell. Es ist total klar, jede Sicherheitslücke muss 79 00:06:17,830 --> 00:06:22,244 gemeldet werden. Aber genauso ist auch klar: Nicht jede Sicherheitslücke ist 80 00:06:22,244 --> 00:06:26,093 gleich schlimm. Wir schauen uns das mal an, wie man eine Sicherheitslücke ein 81 00:06:26,093 --> 00:06:30,107 bisschen besser einschätzen kann. Dabei geht es vor allem darum, was für eine Art 82 00:06:30,107 --> 00:06:33,669 von Lücke das ist, wie viele Menschen betroffen sind und um welche Daten es 83 00:06:33,669 --> 00:06:39,330 genau geht. Zuerst: Was für eine Art von Lücke ist es? Könnt ihr die Daten lesen, 84 00:06:39,330 --> 00:06:43,300 verändern oder sogar löschen? In unserem Beispiel vom Anfang, da ging nur das 85 00:06:43,300 --> 00:06:47,380 erste. Das ist aber auch schon schlimm genug, denn wir können eine Liste aller 86 00:06:47,380 --> 00:06:51,300 Namen, Adressen und keine Ahnung, was das noch für Daten waren, 'runterladen. Wir 87 00:06:51,300 --> 00:06:55,870 können die Liste aber nicht verändern und z. B. nicht allen den Vornamen Karl geben. 88 00:06:55,870 --> 00:06:59,720 Außerdem können wir die Liste nicht löschen. Auch das ist wichtig, denn zur 89 00:06:59,720 --> 00:07:03,870 Sicherheit gehört eben auch, dass Daten nicht einfach verschwinden können. Wenn es 90 00:07:03,870 --> 00:07:08,360 um persönliche Daten geht, dann sind die letzten beiden Punkte Verändern und 91 00:07:08,360 --> 00:07:12,920 Löschen der Daten auch echt ungünstig. Aber es ist eigentlich schon schlimm 92 00:07:12,920 --> 00:07:16,940 genug, wenn die Vertraulichkeit von Daten verloren geht. Wenn also Menschen 93 00:07:16,940 --> 00:07:20,771 Einblicke in Daten haben, die da absolut nichts verloren haben. Oder anders 94 00:07:20,771 --> 00:07:25,370 formuliert Datenlecks. Davon gab es in diesem Jahr echt schon genug Fälle. Wir 95 00:07:25,370 --> 00:07:29,370 haben z. B. bei vielen Corona- Testszentren, in einigen Audio- 96 00:07:29,370 --> 00:07:33,830 Chatdiensten und sogar in einigen Schul- Apps Sicherheitslücken gefunden. Und 97 00:07:33,830 --> 00:07:37,669 überall konnten wir auch die Daten von vielen, vielen tausend Leuten zugreifen. 98 00:07:37,669 --> 00:07:42,500 Karl: Mal ein Beispiel: Vor einiger Zeit haben wir eine Sicherheitslücke bei einem 99 00:07:42,500 --> 00:07:46,431 Testzentren-Anbieter namens Schnelltest Berlin veröffentlicht. Die hatten sich so 100 00:07:46,431 --> 00:07:50,335 ein tolles System gebaut, bei dem man sich online für sein Schnelltest registrieren 101 00:07:50,335 --> 00:07:54,191 konnte und dort dann auch das Testergebnis bekam. Wir haben uns dort testen lassen 102 00:07:54,191 --> 00:07:57,979 und danach mal genauer geschaut, wie das System eigentlich funktioniert. Dabei 103 00:07:57,979 --> 00:08:01,663 haben wir eine Schnittstelle gefunden, über die eine Liste aller im System 104 00:08:01,663 --> 00:08:05,520 registrierten Personen abgerufen werden konnte und über eine weitere Schnittstelle 105 00:08:05,520 --> 00:08:11,490 sogar deren Testergebnis. Das waren insgesamt fast 700.000 Tests mit allen 106 00:08:11,490 --> 00:08:16,000 Daten: Name, Adresse, Email-Adresse, Telefonnummer, Perso-Nummer und sogar das 107 00:08:16,000 --> 00:08:21,289 Testergebnis. 400.000 Personen waren betroffen. Doch in diesem Fall kam es noch 108 00:08:21,289 --> 00:08:26,710 schlimmer. Wir konnten nicht nur alle Tests aus dem System lesen, sondern selber 109 00:08:26,710 --> 00:08:31,070 auch neue anlegen und deren Ergebnis speichern. Wir konnten also für beliebige 110 00:08:31,070 --> 00:08:35,310 Personen eintragen, sie hätten einen negativen PCR-Test gemacht, ohne dass sie 111 00:08:35,310 --> 00:08:39,240 je ein Testzentrum von innen gesehen hätten. Wir haben das mal versucht. Für 112 00:08:39,240 --> 00:08:45,709 Robert Koch, geboren 1843. Gut, dass der Test negativ war. Mit 178 Jahren wäre so 113 00:08:45,709 --> 00:08:49,579 eine Corona-Infektion sicher voll gefährlich. Damit konnten wir also fremde 114 00:08:49,579 --> 00:08:53,490 Daten lesen und neue Daten ins System schreiben. Und ihr ahnt es schon. Wir 115 00:08:53,490 --> 00:08:57,808 konnten auch Daten aus dem System löschen. Eine Katastrophe aus Sicht der IT- 116 00:08:57,808 --> 00:09:02,023 Sicherheit und der Gesundheit. Wenn ihr nun wisst, was ihr mit den Daten machen 117 00:09:02,023 --> 00:09:05,543 könnt, geht es weiter mit der Einschätzung, wie viele Personen betroffen 118 00:09:05,543 --> 00:09:09,300 sind und welche Daten dieser Person mehr oder weniger frei rumfliegen. Denn 119 00:09:09,300 --> 00:09:13,093 offensichtlich ist eine Lücke mit vielen Betroffenen schlimmer, als eine mit 120 00:09:13,093 --> 00:09:17,163 wenigen. Wenn also eine große Anzahl Menschen betroffen ist, sind wir schon bei 121 00:09:17,163 --> 00:09:20,860 Alarmstufe Dunkelrot. Aber so ganz pauschal kann man das auch nicht sagen. 122 00:09:20,860 --> 00:09:25,040 Denn wenn es um höchst private Daten geht, dann sind auch wenige Betroffene schon 123 00:09:25,040 --> 00:09:30,189 eine sehr große Sicherheitslücke. Ein paar Beispiele für solche Daten stehen schon in 124 00:09:30,189 --> 00:09:35,279 der Datenschutzgrundverordnung in Artikel 9, also z. B. Gesundheitsdaten wie Corona- 125 00:09:35,279 --> 00:09:39,370 Testergebnisse, Daten zur sexuellen Orientierung, zur weltanschaulichen 126 00:09:39,370 --> 00:09:42,360 Überzeugung, zur Gewerkschaftszugehörigkeit und noch ein 127 00:09:42,360 --> 00:09:46,709 paar mehr. Wenn es also auch noch besonders sensible Daten sind, dann sind 128 00:09:46,709 --> 00:09:50,730 wir bei Alarmstufe dunkel-dunkel- dunkelrot. Und das ist der Punkt, wo wir 129 00:09:50,730 --> 00:09:54,781 allerspätestens anfangen sollen, alles was wir herausgefunden haben, aufzuschreiben. 130 00:09:54,781 --> 00:10:01,410 So: Es war einmal in einer Software vor langer Zeit ... 131 00:10:01,410 --> 00:10:06,069 Lilith: Moment Karl. Ein Report, das ist doch kein Roman. Also noch mal einen 132 00:10:06,069 --> 00:10:09,998 Schritt zurück. Nehmen wir an, wir haben eine relevante Sicherheitslücke gefunden 133 00:10:09,998 --> 00:10:13,879 und wissen durch die Kriterien von eben, wie schlimm sie ist. Und jetzt wollen wir 134 00:10:13,879 --> 00:10:17,910 uns an das Responsible Disclosure- Verfahren wagen und die Sicherheitslücke 135 00:10:17,910 --> 00:10:22,579 melden. Um ehrlich zu sein: Das ist uns jetzt schon sehr oft passiert. Aber eine 136 00:10:22,579 --> 00:10:26,809 ordentliche Portion Adrenalin, die haben wir dabei immer noch im Blut. Ist ja auch 137 00:10:26,809 --> 00:10:30,470 völlig normal. Da hat man höchstwahrscheinlich gerade Daten anderer 138 00:10:30,470 --> 00:10:34,464 Leute gesehen, die man nicht hätte sehen sollen. Da geht der Puls halt schon mal 139 00:10:34,464 --> 00:10:39,079 hoch. Deshalb ist das Allerwichtigste in so einer Situation: Erstmal Ruhe bewahren, 140 00:10:39,079 --> 00:10:42,999 noch mal nachschauen, habe ich da gerade wirklich diese Sicherheitslücke gefunden 141 00:10:42,999 --> 00:10:46,978 und habe da wirklich diese Daten anderer Leute gesehen, die ich nicht hätte sehen 142 00:10:46,978 --> 00:10:51,499 sollen? Ich weiß. Guckt einfach noch mal nach. Das klingt immer einfacher als es 143 00:10:51,499 --> 00:10:55,990 ist. Ganz wichtig ist dabei immer: Müllt nie in den Daten anderer Leute. Ich meine, 144 00:10:55,990 --> 00:11:00,139 das steht schon in der Hacker*innenethik. Legt euch also, wenn immer es geht, einen 145 00:11:00,139 --> 00:11:04,550 zweiten Account an oder fragt Freundinnen, ob ihr deren Account benutzen könnt. Wenn 146 00:11:04,550 --> 00:11:08,439 ihr glaubt, dass ihr Daten verändern oder löschen könnt, bei denen es gar nicht 147 00:11:08,439 --> 00:11:12,600 hätte möglich sein sollen, dann versucht es logischerweise auf gar keinen Fall an 148 00:11:12,600 --> 00:11:16,809 den Daten anderer Leute. Wenn dann wirklich alles so ist, wie ihr es vermutet 149 00:11:16,809 --> 00:11:21,329 habt, dann geht es ans Schreiben. Ihr dokumentiert die Lücke und das gleich für 150 00:11:21,329 --> 00:11:25,550 mehrere Zielgruppen. So ein Dokument, das geht nämlich üblicherweise durch mehrere 151 00:11:25,550 --> 00:11:30,029 Hände. Zuallererst kommt das zu Leuten, die nur die ersten paar Sätze lesen 152 00:11:30,029 --> 00:11:33,949 werden, die dann aber dafür verantwortlich sind, dass das Dokument bei denjenigen 153 00:11:33,949 --> 00:11:38,309 ankommt, die auch den Rest eures Geschreibsels verstehen können. Deswegen 154 00:11:38,309 --> 00:11:42,259 sollten die ersten Sätze für alle Menschen verständlich sein und die wichtigsten 155 00:11:42,259 --> 00:11:47,290 Fakten sollten da direkt rein. Dazu gehören z. B. wie viele Leute sind von der 156 00:11:47,290 --> 00:11:50,989 Sicherheitslücke betroffen und welche Daten von diesen Leuten sind betroffen? 157 00:11:50,989 --> 00:11:55,569 Verzichtet dabei möglichst komplett auf die technischen Details. Dafür habt ihr im 158 00:11:55,569 --> 00:12:00,360 Report später noch genug Platz. Wenn ihr die Lücke auch an offizielle Stellen wie 159 00:12:00,360 --> 00:12:04,829 das CERT-Bund oder die Datenschutzbehörden meldet, ist es super super super sinnvoll 160 00:12:04,829 --> 00:12:08,720 direkt auch zu beschreiben, um was für einen Dienst oder Produkt es geht. Weil 161 00:12:08,720 --> 00:12:12,309 das hilft diesen Stellen dann nämlich dabei, die Lücke schneller und besser 162 00:12:12,309 --> 00:12:15,839 einzuschätzen. Karl: Stellen wir uns z. B. rein fiktiv 163 00:12:15,839 --> 00:12:19,946 vor, die Chaos Cat Community hat eine App veröffentlicht, über die die Mitglieder 164 00:12:19,946 --> 00:12:23,579 ihre Daten verwalten können. Die hat eine Sicherheitslücke und ihr habt die 165 00:12:23,579 --> 00:12:27,779 gefunden. Dann könntet ihr z. B. sowas schreiben. "In der Mitglieds-App der Chaos 166 00:12:27,779 --> 00:12:31,160 Cat Community können durch eine Sicherheitslücke die Daten aller 167 00:12:31,160 --> 00:12:35,839 Mitglieder abgerufen werden. Dazu gehören Name, Adresse, Bezahlstatus und 168 00:12:35,839 --> 00:12:40,529 Impfstatus" und den Rest, den schreibt ihr dann für eine technisch halbwegs fitte 169 00:12:40,529 --> 00:12:44,560 Zielgruppe, die wissen, was eine API ist und wie man die benutzt. Schreibt also 170 00:12:44,560 --> 00:12:48,019 technisch präzise, aber kurz und verständlich. Schreibt keine 171 00:12:48,019 --> 00:12:53,079 Bachelorarbeit, keinen Roman, sondern eine gute Dokumentation. Da können Screenshots 172 00:12:53,079 --> 00:12:56,769 helfen, um das Problem besser zu beschreiben und nachvollziehbarer zu 173 00:12:56,769 --> 00:13:02,819 machen. Dabei beschreibt ihr 1., was genau die Sicherheitslücke ist und in unserem 174 00:13:02,819 --> 00:13:07,910 Beispiel könntet ihr dann z. B. sowas schreiben wie: "Ich habe die API der Chaos 175 00:13:07,910 --> 00:13:13,249 Cat Community Mitglieder-App aufgerufen und herausgefunden, dass ich über den API- 176 00:13:13,249 --> 00:13:19,429 Endpunkt /Members/{id} durch das Hochzählen der Mitgliedsnummer (id) 177 00:13:19,429 --> 00:13:25,244 persönliche Daten aller Mitglieder abrufen kann. Ein Profil sieht dabei z. B. so aus 178 00:13:25,244 --> 00:13:31,639 [...]" 2. Die Auswirkung: Auch relativ kurz. Für diesen Fall z. B. "Durch diese 179 00:13:31,639 --> 00:13:35,649 Sicherheitslücke habe ich Zugriff auf die gesamte Mitgliedsdatenbank der Chaos Cat 180 00:13:35,649 --> 00:13:40,809 Community, kann also von allen Mitgliedern Name, Adresse, Geburtsdatum, Bezahlstatus 181 00:13:40,809 --> 00:13:46,089 und natürlich, dass sie Mitglieder sind, erfahren." Das ist zum einen wichtig, 182 00:13:46,089 --> 00:13:50,170 damit die Gegenseite schnell verstehen kann, wie schlimm diese Lücke ist. Und zum 183 00:13:50,170 --> 00:13:54,350 anderen hilft es den Aufsichtsbehörden dabei, besser einzuschätzen, ob sie gegen 184 00:13:54,350 --> 00:13:58,209 das Unternehmen vorgehen müssen. Als 3. geht es darum, wie man die Lücke 185 00:13:58,209 --> 00:14:02,399 nachvollziehen kann. Beschreibt das in ein paar Sätzen. Wenn ihr ein kurzes Skript 186 00:14:02,399 --> 00:14:06,205 habt, das das tut, könnt ihr auch das dort direkt einfügen. Sonst beschreibt in 187 00:14:06,205 --> 00:14:11,050 klaren Schritten, was man tun muss. Z. B. 1. Mitglied der Chaos Cat Community 188 00:14:11,050 --> 00:14:13,559 werden. Linus: Katzen sind immer gut! 189 00:14:13,559 --> 00:14:19,990 Karl: 2. In der App anmelden, danach den Login-Code merken. 3. Diese URL aufrufen. 190 00:14:19,990 --> 00:14:24,540 4. Das Profil von Katzi McCatface ist zu sehen. 191 00:14:24,540 --> 00:14:28,850 Lilith: Und manchmal kann man auch noch ganz gute Tipps geben, wie die Lücke 192 00:14:28,850 --> 00:14:32,820 geschlossen werden kann. Wenn ihr da was habt, dann schreibt auch das in den Report 193 00:14:32,820 --> 00:14:36,841 'rein. Aber das muss auch nicht sein. Das ist schließlich Aufgabe des Unternehmens 194 00:14:36,841 --> 00:14:40,989 und nicht eure, das herauszufinden. Nachdem ihr alle Infos für euren Report 195 00:14:40,989 --> 00:14:44,990 zusammen habt, dann muss das Unternehmen davon erfahren und dafür gibt es auch 196 00:14:44,990 --> 00:14:50,610 wieder mehrere Möglichkeiten. *Telefonklingel* 197 00:14:50,610 --> 00:14:56,309 CEO: Hack, Hack, Hack, guten Hack Hase, wir machen die Bänke für die Daten, wie 198 00:14:56,309 --> 00:14:58,988 kann ich Ihnen helfen? Karl: Ja, hier ist Karl von der 199 00:14:58,988 --> 00:15:01,232 zerforschung. Wissen Sie, warum ich anrufe? 200 00:15:01,232 --> 00:15:04,769 CEO: Möchten Sie eine Bestellung aufgeben oder haben Sie eine Reklamation? 201 00:15:04,769 --> 00:15:09,009 Karl: Weder noch. In Ihrem CRM ist durch eine CSRF mit missing authentication full 202 00:15:09,009 --> 00:15:12,779 access auf die PPI Ihrer Customers möglich. 203 00:15:12,779 --> 00:15:18,299 CEO: Wir haben MDF, HDF, Multiplex, Vollholz. Was Anderes haben wir nicht. 204 00:15:18,299 --> 00:15:22,611 Karl: Achso, ne. Da haben Sie mich falsch verstanden. Ich habe da eine 205 00:15:22,611 --> 00:15:26,641 Sicherheitslücke bei Ihnen gefunden, durch die ich die Daten all Ihrer Kund*innen 206 00:15:26,641 --> 00:15:29,174 abrufen könnte. Hätten Sie 5 Minuten Zeit für mich? 207 00:15:29,174 --> 00:15:32,049 CEO: Ja, das ist schlecht. Karl: Ja, genau. 208 00:15:32,049 --> 00:15:35,519 CEO: Und was machen wir jetzt? Karl: Und da wollte ich jetzt mit Ihnen 209 00:15:35,519 --> 00:15:38,910 sprechen, wie ich mich am besten an Sie wende, damit das möglichst 210 00:15:38,910 --> 00:15:44,519 schnell behoben wird. CEO: Das hat, das hat, das hat jemand für 211 00:15:44,519 --> 00:15:48,499 uns gemacht. Ich kann Ihnen, wenn Sie dran bleiben, kann ich Ihnen Kontakt 212 00:15:48,499 --> 00:15:51,949 'raussuchen, den Sie anrufen können. Karl: Ja, das ist perfekt. 213 00:15:51,949 --> 00:15:57,350 CEO: Super, danke. Bis gleich! Karl: In vielen Situationen ist es 214 00:15:57,350 --> 00:16:01,569 wahrscheinlich am einfachsten, über das Schwachstellenformular des BSIs zu gehen. 215 00:16:01,569 --> 00:16:07,860 Das geht auch anonym. Das findet ihr unter dieser URL. Wenn ihr das ausfüllt, schickt 216 00:16:07,860 --> 00:16:12,129 ihr die Schwachstellenmeldung direkt an, das CERT-Bund, also das Computer Emergency 217 00:16:12,129 --> 00:16:15,910 Response Team des Bundes. Das ist ein Team beim Bundesamt für Sicherheit in der 218 00:16:15,910 --> 00:16:20,449 Informationstechnik. Deren Hauptjob ist dafür zu sorgen, dass die Infrastruktur 219 00:16:20,449 --> 00:16:24,680 der Bundesverwaltung sicher ist. Also z. B., dass niemand den Bundestag hackt. 220 00:16:24,680 --> 00:16:29,179 Daher sind die auch Ansprechpartner:in für Leute wie euch, wenn ihr Schwachstellen in 221 00:16:29,179 --> 00:16:33,926 der Infrastruktur des Bundes findet. Aber nebenbei kümmern die sich auch darum, 222 00:16:33,926 --> 00:16:37,750 zwischen Sicherheitsforscher*innen und Unternehmen zu vermitteln. Also euren 223 00:16:37,750 --> 00:16:41,669 Report entgegenzunehmen, in der Regel innerhalb weniger Stunden zu prüfen, und 224 00:16:41,669 --> 00:16:46,479 dann den betroffenen Unternehmen Bescheid zu sagen. Das macht es für euch jetzt ein 225 00:16:46,479 --> 00:16:50,379 bisschen einfacher, denn ihr müsst keinen direkten Kontakt zum Unternehmen haben. 226 00:16:50,379 --> 00:16:54,264 Außer natürlich, ihr wollt das. Und wenn das BSI einem Unternehmen schreibt, dann 227 00:16:54,264 --> 00:16:58,097 kümmern die sich oft sehr sehr schnell darum, die Sicherheitslücken zu schließen. 228 00:16:58,097 --> 00:17:01,981 Denn so ein Bundesadler auf dem Briefkopf macht einigen Eindruck. Ansonsten haben 229 00:17:01,981 --> 00:17:05,373 die auch rechtliche Möglichkeiten und können z. B. eine Produktwarnung 230 00:17:05,373 --> 00:17:08,694 aussprechen. Dabei warnen sie dann öffentlich vor der Software eines 231 00:17:08,694 --> 00:17:13,030 Herstellers. Und das wollen die Hersteller auf keinen Fall. Das kam aber erst 3 mal 232 00:17:13,030 --> 00:17:17,120 vor. Damals wurden Android-Handys verkauft, die bereits mit Schadsoftware 233 00:17:17,120 --> 00:17:22,640 ausgeliefert wurden. Doch eins solltet ihr immer im Hinterkopf haben: Das BSI ist 234 00:17:22,640 --> 00:17:27,420 eine Sicherheitsbehörde wie Polizei und Geheimdienste und ist dem Innenministerium 235 00:17:27,420 --> 00:17:33,050 nachgeordnet. Das CERT-Bund arbeitet zwar anders als Polizei und Geheimdienste und 236 00:17:33,050 --> 00:17:37,610 aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was 237 00:17:37,610 --> 00:17:42,540 ihr denen erzählt und meldet. Eine Lücke, die sich z. B. für einen Staatstrojaner 238 00:17:42,540 --> 00:17:46,730 eignet, wie das nächste Heartbleed oder log4shell, würden wir denen eher nicht 239 00:17:46,730 --> 00:17:51,940 melden. Damit das in Zukunft nicht mehr nötig ist, fordern wir: Das BSI muss eine 240 00:17:51,940 --> 00:17:55,740 unabhängige Behörde werden. Der Hacker*innen-Paragraf muss abgeschafft 241 00:17:55,740 --> 00:17:59,017 werden und genauso Frontex. Linus: Ja, das fordern wir schon lange. 242 00:17:59,017 --> 00:18:02,949 Soweit so gut. Es gibt aber auch ein paar Sachen, die ihr beachten müsst bei eurem 243 00:18:02,949 --> 00:18:08,140 Bericht. Erstmal: Von vorne herein alles erzählen, was ihr wisst. Kein Wissen 244 00:18:08,140 --> 00:18:13,382 zurückhalten und dann keine Forderungen stellen. Keine Frage nach Geld, nicht nach 245 00:18:13,382 --> 00:18:17,368 einem T-Shirt, nicht nach Schokolade, nicht nach irgendwelchen Geschenken. Gar 246 00:18:17,368 --> 00:18:21,428 nichts. Ihr verlangt überhaupt nichts und ihr legt alles Wissen sofort mit allen 247 00:18:21,428 --> 00:18:25,530 Empfehlungen auf den Tisch. Im Umkehrschluss müsst ihr aber auch 248 00:18:25,530 --> 00:18:29,732 aufpassen, dass ihr keine Forderungen an euch stellen lasst. Also irgendwelche 249 00:18:29,732 --> 00:18:34,740 Geheimhaltungsvereinbarung, irgendetwas, was ihr unterschreiben sollt, was häufig 250 00:18:34,740 --> 00:18:38,620 übrigens auch Bedingungen sind bei Bug Bounties, da muss man sehr vorsichtig 251 00:18:38,620 --> 00:18:42,740 sein, weil ihr da gerne mal ungewollt oder unbedacht oder unvorsichtig einen 252 00:18:42,740 --> 00:18:47,631 Knebelvertrag eingeht, der euch nachher daran hindern soll, über die 253 00:18:47,631 --> 00:18:52,520 Sicherheitslücke zu sprechen oder noch einmal dieses Thema von den betroffenen 254 00:18:52,520 --> 00:18:58,450 Unternehmen anzuschauen. Also keine Forderungen stellen und keinen 255 00:18:58,450 --> 00:19:02,870 Forderungen entsprechen, erst recht keinen Geheimhaltungvereinbarungen, sogenannten 256 00:19:02,870 --> 00:19:06,260 NDAs. Lilith: Wir haben diesen Fehler auch mal 257 00:19:06,260 --> 00:19:10,253 gemacht und darüber ärgern wir uns echt bis heute. Damals hatten wir noch nicht so 258 00:19:10,253 --> 00:19:14,217 viel Erfahrung und haben Sicherheitslücken über das offizielle Bug Bounty Programm 259 00:19:14,217 --> 00:19:17,930 eines Softwareherstellers gemeldet. Was wir dabei überhaupt nicht bedacht haben 260 00:19:17,930 --> 00:19:21,343 ist, dass das Programm eine Verschwiegenheitklausel hatte, so dass wir 261 00:19:21,343 --> 00:19:25,271 bis heute nichts darüber erzählen oder schreiben dürfen, was der Hersteller uns 262 00:19:25,271 --> 00:19:28,937 nicht vorher freigegeben hat. Genau das ist, was die Hersteller mit solchen 263 00:19:28,937 --> 00:19:32,692 Abmachungen erreichen wollen. Das Narrativ zu kontrollieren und euch daran zu 264 00:19:32,692 --> 00:19:36,701 hindern, frei über diese Schwachstellen zu sprechen. Und das ist ein Problem, weil 265 00:19:36,701 --> 00:19:40,480 auch wir als gesamte Gesellschaft, wir müssen über Sicherheitsprobleme in 266 00:19:40,480 --> 00:19:44,120 Software reden können. Denn nur so können wir auch darüber sprechen, wie 267 00:19:44,120 --> 00:19:47,820 möglicherweise neue gesellschaftliche Maßnahmen aussehen, damit wir solche 268 00:19:47,820 --> 00:19:51,689 Lücken in Zukunft nicht mehr so viel haben. Versucht auch nicht, den 269 00:19:51,689 --> 00:19:55,449 Unternehmen, denen ihr da gerade eine Sicherheitslücke gemeldet habt, irgendwie 270 00:19:55,449 --> 00:19:58,976 eure Beratungsdienstleistung oder irgendwas anderes zu verkaufen. Geht auch 271 00:19:58,976 --> 00:20:02,544 nicht darauf ein, wenn die euch danach fragen. Sagt einfach: "Ne, machen wir 272 00:20:02,544 --> 00:20:06,304 nicht. Ich habe euch jetzt was gemeldet und damit muss gut sein." Das Risiko ist 273 00:20:06,304 --> 00:20:10,210 einfach zu groß, dass sie das dann später sonst gegen euch verwenden. Wenn ihr euch 274 00:20:10,210 --> 00:20:13,923 irgendwie unsicher seid, ob euer Report, so wie er gerade ist, gut ist oder ihr 275 00:20:13,923 --> 00:20:17,492 euch sonst in irgendeiner Situation irgendwie auch nur ein bisschen unsicher 276 00:20:17,492 --> 00:20:21,206 seid, dann frag lieber nochmal jemanden, der damit mehr Erfahrung hat. Das kann 277 00:20:21,206 --> 00:20:24,007 z. B. der Linus machen. Linus: Ja, das kann ich machen, 278 00:20:24,007 --> 00:20:27,934 schreibt ihr einfach an disclosure@ccc.de Lilith: Genau, das kann der Linus machen. 279 00:20:27,934 --> 00:20:31,943 Und das ist auch nichts, wofür man sich irgendwie schämen sollte. Wir haben das 280 00:20:31,943 --> 00:20:36,161 auch schon ganz oft gemacht, andere Leute zu fragen. Und statt Linus könnt ihr auch 281 00:20:36,161 --> 00:20:40,360 einfach uns, zerforschung, fragen. Ihr erreicht uns unter hallo@zerforschung.org 282 00:20:40,360 --> 00:20:43,940 und wir machen das super super gerne. Linus: Ja zerforschung kann das auch 283 00:20:43,940 --> 00:20:46,087 machen, dann muss ich das nicht alles machen. 284 00:20:46,087 --> 00:20:48,028 Die machen das bestimmt auch sehr gerne. 285 00:20:48,028 --> 00:20:51,946 Lilith: Ey Linus, das habe ich doch gerade schon gesagt. Ihr solltet außerdem eine 286 00:20:51,946 --> 00:20:55,970 Sicherheitslücke immer zügig reporten. D. h. jetzt nicht, dass ihr es überstürzen 287 00:20:55,970 --> 00:21:00,350 müsst, aber ihr solltet z. B. nicht eine Lücke finden, sie testweise mal ausnutzen 288 00:21:00,350 --> 00:21:04,293 und dann wert ihr das erstmal in die Ecke und schreibt wochenlang keinen Report. 289 00:21:04,293 --> 00:21:08,284 Denn wenn das Unternehmen die Lücke von sich aus in der Zeit findet und die dann 290 00:21:08,284 --> 00:21:12,122 über ihre Logs z. B. rausfinden, dass ihr die ausgenutzt habt und nicht Bescheid 291 00:21:12,122 --> 00:21:15,997 gesagt habt, dann wirkt das auf die Unternehmen vielleicht erstmal böswillig, 292 00:21:15,997 --> 00:21:19,986 weil die wissen ja nicht, dass ihr gute Absichten habt und da wieder rauszukommen 293 00:21:19,986 --> 00:21:23,626 und seine guten Absichten zu beweisen, das ist dann manchmal wirklich sehr 294 00:21:23,626 --> 00:21:28,480 kompliziert und deswegen meldet Lücken von euch aus, sobald ihr das einmal gut 295 00:21:28,480 --> 00:21:33,210 durchdacht habt und den Report formuliert habt, schickt ihn zeitnah raus. D. h. 296 00:21:33,210 --> 00:21:37,520 übrigens auch, schreibt alles in den Report, was ihr wisst. Wenn ihr dabei 297 00:21:37,520 --> 00:21:41,523 nämlich einfach Infos zurückhaltet, dann kann es auch schnell so aussehen, als 298 00:21:41,523 --> 00:21:45,440 würdet ihr das vielleicht absichtlich machen. Und was eine echt beschissene Idee 299 00:21:45,440 --> 00:21:49,450 ist, ist dann Geld zu verlangen, um irgendwie alles zu erzählen, was ihr 300 00:21:49,450 --> 00:21:53,760 wisst, weil ihr wisst ja: Erpresserisch wirken, das kann ganz schnell böse enden. 301 00:21:53,760 --> 00:21:59,330 Also macht das auf keinen Fall. Was auch, sowohl bei den Unternehmen, als auch bei 302 00:21:59,330 --> 00:22:02,761 den Behörden, wirklich nicht gut ankommt ist, wenn ihr einfach einen 303 00:22:02,761 --> 00:22:06,850 automatisierten Report mit eurem Schwachstellenscanner generiert und den 304 00:22:06,850 --> 00:22:11,010 dann einfach direkt verschickt. Also nicht falsch verstehen, auch so Scanner können 305 00:22:11,010 --> 00:22:15,460 total wichtige Hinweise liefern. Aber wenn ihr so einen Hinweis habt, dann steht ihr 306 00:22:15,460 --> 00:22:19,770 halt immer erst total am Anfang. Also springt ihr jetzt einmal zurück zum Beginn 307 00:22:19,770 --> 00:22:22,370 unseres Vortrags und fangt an, diese Lücke zu bewerten. 308 00:22:22,370 --> 00:22:27,630 Karl: Das klingt jetzt vielleicht nach viel Spaß und das ist es auch. Aber es ist 309 00:22:27,630 --> 00:22:31,224 wichtig, dass ihr vor jedem Schritt gründlich nachdenkt. Denn es kann auch 310 00:22:31,224 --> 00:22:35,177 viel schiefgehen. Wenn ihr so eine Lücke gefunden habt und sie meldet, dann sagt 311 00:22:35,177 --> 00:22:40,100 ihr damit implizit auch: Hey, ich habe die Lücke ausgenutzt. Das geht natürlich kaum 312 00:22:40,100 --> 00:22:44,160 anders. Aber in Deutschland könnte das eine Straftat sein. Nach dem sogenannten 313 00:22:44,160 --> 00:22:48,860 Hacker*innen-Paragrafen 202 Strafgesetzbuch. Der verbietet es sich 314 00:22:48,860 --> 00:22:53,780 Zugriff auf besonders geschützte Daten zu verschaffen. Das klingt erstmal sinnvoll, 315 00:22:53,780 --> 00:22:58,000 aber der Paragraf ist super unklar und wird dadurch auch gefährlich für Menschen, 316 00:22:58,000 --> 00:23:02,480 die eigentlich nichts Böses im Schilde führen. Selbst die CDU, die sich dieses 317 00:23:02,480 --> 00:23:06,190 Gesetz ausgedacht hat, versteht die Paragrafen nicht richtig und hat Lilith 318 00:23:06,190 --> 00:23:09,820 neulich angezeigt, nachdem sie eine Sicherheitslücke in der CDU-App gefunden 319 00:23:09,820 --> 00:23:13,950 hat. Die hat sie natürlich richtig gemeldet, aber das war der CDU egal. Die 320 00:23:13,950 --> 00:23:17,540 Staatsanwaltschaft hat am Ende gesagt: "Hey, die Daten waren so schlecht 321 00:23:17,540 --> 00:23:21,340 geschützt, das war nicht strafbar, darauf zuzugreifen." Aber 322 00:23:21,340 --> 00:23:25,510 Sicherheitsforscher*innen sind da natürlich trotzdem in Gefahr. Und liebe 323 00:23:25,510 --> 00:23:29,900 CDU und alle betroffenen Unternehmen, es ist eine richtig schlechte Idee, 324 00:23:29,950 --> 00:23:35,080 Sicherheitsforscher*innen anzuzeigen. Und nur wirklich sehr sehr schwierige Menschen 325 00:23:35,080 --> 00:23:39,680 versuchen das. Von denen haben wir zum Glück bisher wenige kennengelernt, aber es 326 00:23:39,680 --> 00:23:44,260 gibt sie. Daher hoffen wir sehr, dass dieser Paragraf bald abgeschafft wird. 327 00:23:44,260 --> 00:23:47,780 Damit sind wir übrigens nicht die Einzigen. Das haben neulich auch ganz 328 00:23:47,780 --> 00:23:52,870 viele IT-Sicherheitsforscher*innen in einem offenen Brief gefordert. Überlegt 329 00:23:52,870 --> 00:23:57,900 euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ja auch 330 00:23:57,900 --> 00:24:02,430 ohne euren richtigen Namen. Und denkt dran: Im Internet seid in der Regel nicht 331 00:24:02,430 --> 00:24:07,100 anonym unterwegs. Schützt euch am besten von Anfang an. Denn wenn ihr etwas 332 00:24:07,100 --> 00:24:11,330 gefunden habt, dann wurde eure IP-Adresse schon irgendwo mitgeloggt und es ist zu 333 00:24:11,330 --> 00:24:17,020 spät, sich noch um Anonymität zu kümmern. Dazu haben Linus und ths neulich schon 334 00:24:17,020 --> 00:24:20,749 einen sehr guten Talk mit dem Titel "Du kannst alles hacken, du darfst dich nur 335 00:24:20,749 --> 00:24:24,151 nicht erwischen lassen" gehalten. Linus: Oh, da habe ich zusammen mit 336 00:24:24,151 --> 00:24:26,938 Thorsten mal einen Vortrag drüber gehalten unter dem Titel: 337 00:24:26,938 --> 00:24:30,838 "Du kannst alles hacken, du darfst dich nur nicht erwischen lassen" 338 00:24:30,838 --> 00:24:33,310 Karl: Ja genau. Dazu hat Linus und ths 339 00:24:33,310 --> 00:24:36,288 neulich zusammen schon einen sehr guten Talk mit dem Titel ... 340 00:24:36,288 --> 00:24:39,377 Linus: Habe ich doch gerade gesagt. Karl: Und wenn ihr mit dem Unternehmen 341 00:24:39,377 --> 00:24:43,933 kommuniziert, solltet ihr ebenfalls sehr vorsichtig sein. Haltet keine relevanten 342 00:24:43,933 --> 00:24:48,110 Informationen zurück, aber passt auch auf, euch nicht unnötig zu belasten. Und 343 00:24:48,110 --> 00:24:52,190 erwartet auch nicht, dass das Unternehmen euch von Anfang an super dankbar ist. 344 00:24:52,190 --> 00:24:56,160 Gerade zu Beginn sind die oft erstmal im Schock und wissen nicht so recht, was da 345 00:24:56,160 --> 00:25:00,640 eigentlich gerade passiert. Dabei dürfen sie euch natürlich nicht drohen, anzeigen 346 00:25:00,640 --> 00:25:05,400 oder ähnliches. Aber vielleicht sind sie am Anfang ein bisschen pampig. Und wie 347 00:25:05,400 --> 00:25:10,290 bereits gesagt, seid extrem vorsichtig, auf keinen Fall irgendwas zu tun, was euch 348 00:25:10,290 --> 00:25:16,100 als Drohung oder Erpressung ausgelegt werden könnte. Generell empfehlen wir eure 349 00:25:16,100 --> 00:25:19,620 Wohnung einfach immer in einem durchsuchungsbereiten Zustand zu halten. 350 00:25:19,620 --> 00:25:24,740 Es ist super scheiße, dass das gerade nötig ist, aber aktuell ist es so und 351 00:25:24,740 --> 00:25:29,340 manchmal kommen die Bullen ja auch aus einem ganz anderen Grund vorbei. Hier 352 00:25:29,340 --> 00:25:33,400 würden wir den Talk "Sie haben das Recht zu schweigen" von Udo Vetter empfehlen. 353 00:25:33,400 --> 00:25:36,227 Den findet ihr z. B. auf https://media.ccc.de und dort wird 354 00:25:36,227 --> 00:25:38,894 ausführlich erklärt, wie ihr euch am besten schützt. 355 00:25:38,894 --> 00:25:42,390 Lilith: Aber wo wir gerade darüber sprechen, sich selbst zu schützen, das 356 00:25:42,390 --> 00:25:46,285 gilt natürlich nicht nur für eure Technik. Karl: Passt auf euch auf. Und ich weiß, 357 00:25:46,285 --> 00:25:50,075 das ist leichter gesagt als getan. Lilith: Denn wenn man tatsächlich so eine 358 00:25:50,075 --> 00:25:53,330 Sicherheitslücke gefunden hat und all die Schritte anstehen, dann kann das ganz 359 00:25:53,330 --> 00:25:56,490 schön stressig werden. Karl: So eine Meldung kann viel Zeit, 360 00:25:56,490 --> 00:26:01,810 Nerven und auch eine Menge Schlaf kosten. Lilith: Deshalb kümmert euch auch um eure 361 00:26:01,810 --> 00:26:06,480 Gesundheit, körperlich und auch geistig. Karl: Am besten sucht ihr euch Verbündete. 362 00:26:06,480 --> 00:26:10,150 Gute Freund:Innen, Menschen, mit denen ihr reden könnt, denen ihr vertraut und die 363 00:26:10,150 --> 00:26:13,880 euch auch mal sagen, dass jetzt mal Schluss ist mit der Hackerei. Und 364 00:26:13,880 --> 00:26:17,460 stattdessen Zeit für einen Ausflug. Z. B. zu einem hübschen Zug. 365 00:26:17,460 --> 00:26:22,230 L: Gegenseitig aufeinander aufpassen geht nämlich viel besser zusammen als jeder für 366 00:26:22,230 --> 00:26:24,580 sich alleine. K: Und es tut einfach gut. 367 00:26:24,580 --> 00:26:27,630 L: Denn zerforschung, das ist genau das. Eine krasse Herde. 368 00:26:27,630 --> 00:26:31,670 K: Und zusammen haben wir es geschafft, dieses Jahr viel mehr zu erreichen, als 369 00:26:31,670 --> 00:26:34,891 jede von uns einzeln geschafft hätte. L: Und wir hatten auch noch richtig, 370 00:26:34,891 --> 00:26:38,980 richtig viel Spaß dabei. K: Außerdem haben wir so die Pandemie, bis 371 00:26:38,980 --> 00:26:43,370 jetzt, ein bisschen besser ausgehalten. L: Für uns ist total klar: Ohne dieses 372 00:26:43,370 --> 00:26:45,770 Kollektiv hätten wir das alles überhaupt gar nicht hinbekommen. 373 00:26:45,770 --> 00:26:50,380 K: Schon alleine zeitlich. Es ist einfach unglaublich entlastend, wenn man Aufgaben 374 00:26:50,380 --> 00:26:53,850 auch mal abgeben kann. L: Und mehrere Köpfe denken immer besser 375 00:26:53,850 --> 00:26:58,160 als nur einer. Durch das Kollektiv haben wir unterschiedlichste Perspektiven und 376 00:26:58,160 --> 00:27:02,500 total unterschiedliche Skills. K: Und das ist einfach mega praktisch und 377 00:27:02,500 --> 00:27:05,790 schön. L: Natürlich kommt es vor, dass wir 378 00:27:05,790 --> 00:27:09,370 überhaupt keine Lust haben manchmal. K: Wenn wir uns bspw. an einem 379 00:27:09,370 --> 00:27:13,460 Dienstagabend um 23 Uhr 42 zusammensetzen und feststellen: 380 00:27:13,460 --> 00:27:16,030 L: Ey, bis morgen um 6 Uhr muss der Text fertig sein! 381 00:27:16,030 --> 00:27:19,030 K: Und die Threads für Social Media. L: Und irgendwer muss uns noch so ein 382 00:27:19,030 --> 00:27:22,430 Titelbild für den Blogpost basteln. K: Das ist wirklich nicht immer spaßig. 383 00:27:22,430 --> 00:27:26,760 L: Aber gemeinsam geht das dann doch immer irgendwie. Und am Ende macht es uns immer 384 00:27:26,760 --> 00:27:29,530 wieder sehr, sehr glücklich, wenn wir das Ergebnis sehen. 385 00:27:29,530 --> 00:27:33,660 K: Also, sucht euch Freund:Innen, bildet Banden und meldet eure Sicherheitslücken 386 00:27:33,660 --> 00:27:37,390 gemeinsam. L: Gut. Angenommen, ihr habt jetzt alles 387 00:27:37,390 --> 00:27:41,030 richtig gemacht und ihr sagt jetzt im Unternehmen Bescheid. Wir schauen uns 388 00:27:41,030 --> 00:27:44,340 jetzt an, was danach passiert. *Musik* 389 00:27:44,340 --> 00:27:47,080 CEO: 24? *Telefonklingel* 390 00:27:47,080 --> 00:27:59,901 CEO: Hack, Hack, Hack, guten Hack, wir bauen die Bänke für Ihre Daten, wie kann 391 00:27:59,901 --> 00:28:02,230 ich Ihnen helfen? Datenabfluss haben wir keinen, wir haben ganz normalen, wir haben 392 00:28:02,230 --> 00:28:07,720 einen Industrieausguss einfach und dann Spülausguss. Datenabfluss? Ist das eine 393 00:28:07,720 --> 00:28:21,700 Krankheit oder was? Wie Kunden? Was, was soll d. h. Kundendaten? Sind sie na, ne, 394 00:28:21,700 --> 00:28:30,590 also. Da rufe ich, nein, da, da rufe ich die Polizei. Das geht so nicht! Ja ich 395 00:28:30,590 --> 00:28:36,157 habe einen Notruf. Also ich habe, haben Sie eine Cyber Polizei irgendwas? Ich habe 396 00:28:36,157 --> 00:28:38,870 einen Anruf gerade gehabt, der wollte mich erpressen oder sonst irgendwas. Der hat 397 00:28:38,870 --> 00:28:42,890 was mit Daten gesagt, Daten Abfluss, wir hätten, der hätte alle meine Kundendaten. 398 00:28:42,890 --> 00:28:48,650 Nein, ich weiß nicht, der hat, Namen hat er gesagt, ich weiß nicht, ich habe es mir 399 00:28:48,650 --> 00:28:52,180 nicht gemerkt, irgendwas, was adelig es, von zerforschung oder so was in der 400 00:28:52,180 --> 00:28:58,610 Richtung. Ja ich bleibe dran. Lil: Tja, liebe Unternehmen, jetzt kommen 401 00:28:58,610 --> 00:29:03,820 wir mal zu euch. Eigentlich sind eure Aufgaben relativ einfach erklärt. Seid 402 00:29:03,820 --> 00:29:08,220 freundlich und offen gegenüber der Meldenden, schließt die Lücken und kommt 403 00:29:08,220 --> 00:29:16,990 gar nicht erst auf die Idee, uns zu verklagen. Naja, ein bisschen was haben 404 00:29:16,990 --> 00:29:20,380 wir dann vielleicht doch noch zu erzählen. Vorweg: Ihr kommuniziert in einem 405 00:29:20,380 --> 00:29:24,769 Responsible-Disclosure-Prozess oft mit einer Person oder einem Team, die das in 406 00:29:24,769 --> 00:29:29,440 ihrer Freizeit machen. Das bedeutet: Geht wirklich ordentlich mit den Leuten um. 407 00:29:29,440 --> 00:29:33,440 K: Aber eigentlich fängt eure Aufgabe schon weit vorher an. Lange bevor ihr die 408 00:29:33,440 --> 00:29:37,620 Hacker:Innen am Hörer habt. Der allererste Schritt für euch als Unternehmen ist es, 409 00:29:37,620 --> 00:29:41,200 erreichbar zu sein. Denn Fehler können passieren. Aber wenn jemand diese 410 00:29:41,200 --> 00:29:44,960 außerhalb eurer Organisation findet, dann sollten die euch möglichst einfach 411 00:29:44,960 --> 00:29:49,080 mitgeteilt werden können. Die wichtigste Frage, die sich Sicherheitsforscher:Innen 412 00:29:49,080 --> 00:29:53,390 da oft erstmal stellen, ist: Wie erreicht man euch? Da hat es sich bewährt, dass ihr 413 00:29:53,390 --> 00:29:56,720 auf eurer Website eine spezielle E-Mail- Adresse für Sicherheitsangelegenheiten 414 00:29:56,720 --> 00:30:02,223 stehen habt, wie z. B. security@ Es ist außerdem sehr ratsam, dass diese E-Mail- 415 00:30:02,223 --> 00:30:06,720 Adresse dann auch von mehreren Personen gelesen und regelmäßig abgerufen wird. 416 00:30:06,720 --> 00:30:09,360 Denn es bringt nichts, wenn ihr eine wichtige Sicherheitslücke gemeldet 417 00:30:09,360 --> 00:30:13,210 bekommt, aber die verantwortliche Person gerade im Sommerurlaub ist oder eh nur 418 00:30:13,210 --> 00:30:17,200 einmal im Monat nachschaut. Die ankommenden Mails sollten am besten direkt 419 00:30:17,200 --> 00:30:20,830 von technisch kompetenten Personal gelesen werden, damit alles möglichst schnell 420 00:30:20,830 --> 00:30:25,500 gehen kann. Ihr solltet auch regelmäßig in den Spam-Ordner schauen, denn Hacker:Innen 421 00:30:25,500 --> 00:30:28,860 nutzen manchmal ihre eigenen Mailserver und die schaffen es nicht immer in den 422 00:30:28,860 --> 00:30:33,360 Posteingang, gerade bei Google und Outlook. Das mit der Erreichbarkeit klingt 423 00:30:33,360 --> 00:30:37,080 erstmal trivial, aber wir erleben es regelmäßig, dass wir erstmal keine 424 00:30:37,080 --> 00:30:41,180 expliziten Ansprechpartner:In für solche Sicherheitsprobleme finden. Das bedeutet 425 00:30:41,180 --> 00:30:45,480 dann: Wir schreiben an alle E-Mail- Adressen, die wir finden. Aus dem 426 00:30:45,480 --> 00:30:49,041 Impressum, der Datenschutzerklärung oder der Kontaktseite. Und das ist natürlich 427 00:30:49,041 --> 00:30:53,230 auch für euch als Unternehmen suboptimal, denn dann landet die Meldung direkt bei 428 00:30:53,230 --> 00:30:56,570 einer Menge verschiedener Leute. Die sind meist gar nicht auf Sicherheitsmeldungen 429 00:30:56,570 --> 00:31:00,590 spezialisiert und können diese nicht richtig einschätzen. Dann herrscht erstmal 430 00:31:00,590 --> 00:31:04,730 Panik. Niemand weiß, was zu tun ist und dann kann alles Mögliche passieren. Die 431 00:31:04,730 --> 00:31:07,940 Nachricht wird ignoriert oder im schlimmsten Fall wird sie von den falschen 432 00:31:07,940 --> 00:31:11,929 Leuten in der Chefetage gelesen und dann erstmal direkt zu den Anwälten eskaliert. 433 00:31:11,929 --> 00:31:16,820 Daher ist eine separate Adresse sinnvoll. Und wenn dort eine Meldung eingeht, 434 00:31:16,820 --> 00:31:19,850 solltet ihr schnell reagieren und zeitnah eine Eingangsbestätigung versenden. Dann 435 00:31:19,850 --> 00:31:24,179 wissen wir, dass ihr die Meldung gelesen habt und wir nicht weiter probieren 436 00:31:24,179 --> 00:31:28,270 müssen, euch zu erreichen. Denn wenn wir bei zerforschung euch auf dem E-Mail Weg 437 00:31:28,270 --> 00:31:32,560 nicht erreichen, dann versuchen wir es auf immer neuen Wegen. Dann schreiben wir euch 438 00:31:32,560 --> 00:31:36,950 vielleicht auf WhatsApp, sliden euch in die Twitter DMs, schicken euch ein Fax, 439 00:31:36,950 --> 00:31:40,830 suchen euch auf LinkedIn, rufen eure Investoren an oder sogar eure Eltern. Wenn 440 00:31:40,830 --> 00:31:44,800 das nicht gerade das gleiche ist. Das klingt erstmal komisch, aber all das haben 441 00:31:44,800 --> 00:31:48,020 wir schon gemacht. Denn wir wollen ganz sichergehen, dass ihr über das Problem 442 00:31:48,020 --> 00:31:53,290 Bescheid wisst und es möglichst schnell behebt. Genau daher sollte Security 443 00:31:53,290 --> 00:31:57,580 Mailadresse einfach auffindbar sein, z. B. im Impressum stehen oder noch cooler: 444 00:31:57,580 --> 00:32:02,270 zusätzlich in einer security.txt Das ist ein offener Standard, wie ihr alle 445 00:32:02,270 --> 00:32:05,290 relevanten Informationen für Sicherheitsforschende auf eurer Website 446 00:32:05,290 --> 00:32:09,800 hinterlegt. Darin können dann sowohl die konkreten Ansprechwege, als auch eure 447 00:32:09,800 --> 00:32:14,130 bevorzugten Sprachen für die Meldung, Cryptokeys und vieles mehr stehen. Damit 448 00:32:14,130 --> 00:32:17,120 macht ihr uns und auch euch die Arbeit einfacher. 449 00:32:17,120 --> 00:32:21,309 Lil: So, ihr habt nun eine Meldung erhalten und der nächste Schritt ist jetzt 450 00:32:21,309 --> 00:32:24,800 zu prüfen, ob ihr die Beschreibung der Lücke auch tatsächlich nachvollziehen 451 00:32:24,800 --> 00:32:28,200 könnt. Denn wenn das so ist, dann solltet ihr das direkt gegenüber der 452 00:32:28,200 --> 00:32:33,300 Sicherheitsforscher:Innen bestätigen. Das ist wirklich wichtig, denn sonst werden 453 00:32:33,300 --> 00:32:38,480 wir euch einfach immer weiter nerven und das kostet uns und auch euch Zeit. Am 454 00:32:38,480 --> 00:32:43,240 besten erklärt ihr dann auch direkt, wie es weiter geht, bis die Lücke behoben ist. 455 00:32:43,240 --> 00:32:48,290 Hierbei ist es sowohl interessant, welche Sofortmaßnahmen ihr trefft, als auch, 456 00:32:48,290 --> 00:32:53,410 welche langfristigen Konsequenzen ihr daraus zieht. Z. B.: "Sehr geehrtes 457 00:32:53,410 --> 00:32:57,510 Hackerkollektiv zerforschung, wir haben die von Ihnen beschriebene Lücke 458 00:32:57,510 --> 00:33:01,010 nachvollziehen können und gestern Abend direkt den betroffenen Dienst 459 00:33:01,010 --> 00:33:04,820 vorübergehend offline genommen. Wir haben die Lücke geschlossen und überprüfen nun 460 00:33:04,820 --> 00:33:09,300 den Dienst noch einmal gründlich. Vielen Dank für Ihr Responsible-Disclosure- 461 00:33:09,300 --> 00:33:13,220 Verfahren." L: Und wenn ihr die Lücke aus der Beschreibung nicht direkt nachvollziehen 462 00:33:13,220 --> 00:33:17,660 könnt, dann fragt lieber erstmal nach, ob ihr das alles richtig verstanden habt und 463 00:33:17,660 --> 00:33:23,210 behauptet auf gar keinen Fall vorschnell, dass eine Lücke nicht existiert. Ihr wollt 464 00:33:23,210 --> 00:33:27,151 den Menschen, der euch da gerade geholfen hat, auch wirklich auf dem Laufenden 465 00:33:27,151 --> 00:33:31,570 halten und keinerlei Missverständnisse in der Kommunikation aufkommen lassen. 466 00:33:31,570 --> 00:33:35,950 Deswegen schickt lieber ein Update zu viel, als eines zu wenig. Am besten ist 467 00:33:35,950 --> 00:33:40,050 natürlich: Haltet die Menschen regelmäßig und unaufgefordert auf dem Laufenden. 468 00:33:40,050 --> 00:33:44,320 Schreibt z. B. jede Woche einmal den aktuellen Stand darüber, wie weit ihr mit 469 00:33:44,320 --> 00:33:48,900 der Problembehebung seid. Kommuniziert dabei sehr, sehr deutlich. Wenn es z. B. 470 00:33:48,900 --> 00:33:53,020 eine Verschiebung in der Timeline zur Behebung gibt, dann solltet ihr das 471 00:33:53,020 --> 00:33:56,850 explizit so benennen und begründen. Ihr wollt ja, dass die Sicherheitsforscherin 472 00:33:56,850 --> 00:34:02,070 ehrlich sind und vollständig transparent. Also seid es auch. Packt alle Karten auf 473 00:34:02,070 --> 00:34:07,970 den Tisch und haltet nichts zurück. Außerdem ist das wichtig, da 474 00:34:07,970 --> 00:34:11,179 Sicherheitsforschernde manchmal auch selber etwas über diese Lücke schreiben 475 00:34:11,179 --> 00:34:15,309 wollen. Wir z. B. versuchen danach immer einen Blogpost zu schreiben. Dort 476 00:34:15,309 --> 00:34:18,269 beschreiben wir, wie wir die Lücke gefunden haben und was die Auswirkungen 477 00:34:18,269 --> 00:34:22,549 davon waren. Dadurch können alle etwas aus diesem Fehler lernen und solche Lücken 478 00:34:22,549 --> 00:34:24,649 werden dadurch in Zukunft hoffentlich seltener. 479 00:34:24,649 --> 00:34:29,669 K: Wenn ihr mit Sicherheitsforschenden redet oder schreibt, gilt eigentlich das 480 00:34:29,669 --> 00:34:32,849 Gleiche wie für alle anderen Menschen. Benehmt euch nicht daneben, seid 481 00:34:32,849 --> 00:34:37,100 freundlich, ehrlich und dankbar gegenüber den Melder:Innen. Bedenkt immer: Da helfen 482 00:34:37,100 --> 00:34:41,069 euch Leute in ihrer Freizeit eure Software sicherer zu machen. Das wäre eigentlich 483 00:34:41,069 --> 00:34:45,359 eurer Job. Und ja, es ist keine schöne Situation, wenn da ein großes 484 00:34:45,359 --> 00:34:48,690 Sicherheitsproblem in eurer Software gefunden wird. Aber daran sind nicht die 485 00:34:48,690 --> 00:34:51,809 Sicherheitsforscher:Innen schuld. Die haben die Lücke nur gefunden, nicht 486 00:34:51,809 --> 00:34:56,559 eingebaut. Don't shoot the messenger! Also überlegt mal, wie beschissen sich das für 487 00:34:56,559 --> 00:35:00,770 eure Gegenseite anfühlt. Da hat sich jemand in ihrer Freizeit hingesetzt, eure 488 00:35:00,770 --> 00:35:04,039 Software angeschaut und ein Problem gefunden. Und dann hat die Person euch 489 00:35:04,039 --> 00:35:08,081 sogar Bescheid gesagt und von euch kommt nur Gepöbel, Drohung oder gar eine 490 00:35:08,081 --> 00:35:12,319 Strafanzeige. Damit verschreckt ihr ehrliche Sicherheitsforscher:Innen. Das 491 00:35:12,319 --> 00:35:15,819 ist der worst case für eure Sicherheit. Denn die Lücken sind ja nicht weg, nur 492 00:35:15,819 --> 00:35:19,650 weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, 493 00:35:19,650 --> 00:35:22,859 als Full-Disclosure direkt im ganzen Internet bekannt gemacht oder an 494 00:35:22,859 --> 00:35:29,109 Kriminelle verkauft. Das musste auch die CDU auf die harte Tour lernen. Nachdem sie 495 00:35:29,109 --> 00:35:33,170 Lilith angezeigt hat, gab es einen großen Aufschrei und sogar der CCC hat gesagt, 496 00:35:33,170 --> 00:35:36,060 dass sie der CDU keine Sicherheitslücken mehr vertraulich melden werden. 497 00:35:36,060 --> 00:35:43,470 Lin: Das ist natürlich ein dramatischer Fall. Wir können niemandem mehr reinen 498 00:35:43,470 --> 00:35:47,670 Gewissens dazu raten, der CDU Sicherheitslücken zu melden. Wir werden 499 00:35:47,670 --> 00:35:53,630 das auf jeden Fall auch nicht mehr tun. Wir wünschen der CDU viel Glück oder dass 500 00:35:53,630 --> 00:35:59,430 sie die Sicherheitslücken vielleicht selber findet oder hofft, dass niemand 501 00:35:59,430 --> 00:36:04,599 anderes sie findet. K: Stattdessen wurden dann in den nächsten 502 00:36:04,599 --> 00:36:08,140 Tagen einige weitere Sicherheitslücken bei der CDU gefunden und direkt öffentlich 503 00:36:08,140 --> 00:36:14,220 gemacht. Also passt sehr auf, dass ihr gut mit den Meldenden umgeht und wirklich 504 00:36:14,220 --> 00:36:18,070 nichts macht, was in irgendeiner Form als eine Bedrohung ausgelegt werden könnte. Es 505 00:36:18,070 --> 00:36:21,540 ist selbstverständlich, dass ihr die Leute nicht dazu zwingt, irgendwas zu 506 00:36:21,540 --> 00:36:24,340 unterschreiben. Keine Verschwiegenheitserklärung, kein 507 00:36:24,340 --> 00:36:28,630 Beratervertrag, nichts. Versucht es nicht mal. Natürlich freuen sich 508 00:36:28,630 --> 00:36:31,950 Sicherheitsforscher:Innen oft, wenn ihr euch in irgendeiner Form erkenntlich 509 00:36:31,950 --> 00:36:36,430 zeigt. Aber auch das spreche immer vorher ab, versendet nicht unaufgefordert 510 00:36:36,430 --> 00:36:40,380 Geschenke und überweist auch nicht einfach ein Bug Bounty. Fragt immer nach, ob das 511 00:36:40,380 --> 00:36:46,139 wirklich gewünscht ist. Und ganz wichtig: Macht es, um euch ehrlich erkenntlich zu 512 00:36:46,139 --> 00:36:50,950 zeigen. Das ist keine Gelegenheit für eine coole Pressemitteilung und bindet es auch 513 00:36:50,950 --> 00:36:56,029 nicht an Bedingungen. Dazu zählt auch: Bedankt euch nicht einfach öffentlich. 514 00:36:56,029 --> 00:37:00,230 Nicht jede Person will auf der Unternehmenswebsite genannt werden oder 515 00:37:00,230 --> 00:37:03,779 auf euren Social Media Kanälen. Das kann an der politischen Überzeugungen liegen, 516 00:37:03,779 --> 00:37:07,920 so wie wir z. B. nie bei der Bundeswehr genannt werden wöllten. Oder man möchte 517 00:37:07,920 --> 00:37:11,730 sich nicht mit der Lücke beschäftigen weiter, es könnte Stress auf Arbeit 518 00:37:11,730 --> 00:37:14,730 bedeuten und manchmal wollen die Leute es auch einfach nicht. Das müsst ihr 519 00:37:14,730 --> 00:37:18,310 akzeptieren. Lil: Es hat sich bewährt, nicht nur in der 520 00:37:18,310 --> 00:37:21,809 direkten Kommunikation mit den Sicherheitsforscher:Innen, sondern auch in 521 00:37:21,809 --> 00:37:24,610 der Außenkommunikation immer offen und ehrlich zu sein. Also nichts zu 522 00:37:24,610 --> 00:37:28,690 beschönigen oder sogar zu verschweigen. Seid immer transparent darüber, was 523 00:37:28,690 --> 00:37:33,359 passiert ist und wir das in Zukunft vermeiden wollt. Es kann sein, dass Medien 524 00:37:33,359 --> 00:37:37,130 über den Sicherheitsvorfall bei euch berichten wollen. Versucht wirklich nicht 525 00:37:37,130 --> 00:37:39,690 die anzulügen oder sogar Sicherheitsforscher:Innen gegenüber 526 00:37:39,690 --> 00:37:43,799 Redaktionen zu diskreditieren. Das geht eigentlich immer für euch nach hinten los. 527 00:37:43,799 --> 00:37:47,009 Es gehört auch zum guten Ton, eine Sicherheitslücke nicht einfach als 528 00:37:47,009 --> 00:37:50,110 Pressemitteilung völlig unabgesprochen mit den Sicherheitsforscher:Innen, die die 529 00:37:50,110 --> 00:37:54,630 gefunden haben, zu veröffentlichen. Wir möchten euch außerdem dazu ermutigen, eure 530 00:37:54,630 --> 00:37:58,119 Nutzer:Innen über den Vorfall zu informieren. Auch das gehört zu einem 531 00:37:58,119 --> 00:38:02,410 guten und transparenten Umgang mit der Sicherheitslücke. Selbst wenn ihr nahezu 532 00:38:02,410 --> 00:38:06,349 ausschließen könnt, dass deren Daten abgeflossen sind. Das, was wir in den 533 00:38:06,349 --> 00:38:10,700 letzten Minuten erklärt haben, das sind nur die absoluten Basics. Wenn ihr 534 00:38:10,700 --> 00:38:14,040 wirklich gut mit Sicherheitsmeldungen umgehen und eure Sicherheitsprozesse 535 00:38:14,040 --> 00:38:18,940 verbessern wollt, könnt ihr noch so viel mehr tun. Dazu gibt es viel Literatur. 536 00:38:18,940 --> 00:38:23,339 Viel viel mehr als in diesen Talk passt. Ein Link zu weiterführenden Inhalten und 537 00:38:23,339 --> 00:38:27,470 Dingen, die wir an diesem Talk erwähnt haben, findet ihr in den Shownotes unter 538 00:38:27,470 --> 00:38:34,109 https://rc3.zerforschung.org K: So, mit dieser Handreichung entlassen 539 00:38:34,109 --> 00:38:35,750 wir euch jetzt in die Weiten des Internets. 540 00:38:35,750 --> 00:38:39,069 Lil: Happy Hacking und bis bald! *Musik* 541 00:38:39,069 --> 00:38:50,280 CEO: Das Schlimmste sind die Aufträge von den depperten Berlinern. Läuft die Kamera? 542 00:38:50,280 --> 00:38:58,039 Gut! Die gehen mir dermaßen auf den Sack. Wollen Sonderfarben! Dieses, jenes! Smarte 543 00:38:58,039 --> 00:39:03,269 Bänke – kannst alles die Hasen geben! Gelump! Des Gute ist bloß, du kannst Geld 544 00:39:03,269 --> 00:39:07,700 verlangen! Du nimmst deine alten scheiß Paletten, spaxt die zusammen, die zahlen 545 00:39:07,700 --> 00:39:12,599 dir 500 Euro! So der deppert sind die! Und in ihrer unsanierten Altbauwohnung stellen 546 00:39:12,599 --> 00:39:17,450 sie das rein. Blanke Ziegel, das ist in! Kannst ja gleich zum Fenster raus heizen. 547 00:39:17,450 --> 00:39:21,869 Ich verkaufe denen jeden Müll! 548 00:39:21,869 --> 00:39:25,619 Herald/Karl: So und mit diesen Worten sind wir wieder zurück hier live auf der xHain 549 00:39:25,619 --> 00:39:31,249 Lichtung. Zuerst noch mal etwas Organisatorisches: Jetzt ist ein kurzes 550 00:39:31,249 --> 00:39:33,890 Q&A geplant und falls Ihr noch Fragen habt, dann könnt ihr die Stellen entweder 551 00:39:33,890 --> 00:39:40,730 auf Twitter und Mastodon unter dem Hashtag #rc3xhain oder im hackint IRC im 552 00:39:40,730 --> 00:39:45,680 Channel #rc3-xhain. Auch nochmal der Hinweis auf die Shownotes und das bald zur 553 00:39:45,680 --> 00:39:50,329 Verfügung stehende Script des gesamten Films, den wir gerade geschaut haben unter 554 00:39:50,329 --> 00:39:56,440 https://rc3.zerforschung.org . Und falls ihr mehr Cringe von uns sehen wollt, dann 555 00:39:56,440 --> 00:39:59,339 folgt uns auf Twitter und natürlich auf TikTok und Instagram. 556 00:39:59,339 --> 00:40:03,000 Lil: Da gibt es all die Crintge-Videos, die wir übers Jahr hinweg produzieren. 557 00:40:03,000 --> 00:40:06,079 K: Und jetzt muss ich mich einmal an dir vorbeidrängeln zu unserem schlauen Q&A 558 00:40:06,079 --> 00:40:09,650 Pad. Und da ist auch schon die 1. Frage aufgelaufen: 559 00:40:09,650 --> 00:40:13,599 Frage: Unterscheidet ihr zwischen echter Sicherheitslücke, also z. B. irgendwie 560 00:40:13,599 --> 00:40:17,619 einer fehlerhaften Authentifizierung und einem offenen Scheunentor? Also wenn man 561 00:40:17,619 --> 00:40:20,119 eine API hat, die einfach gar keine Authentifizierung jemals hatte. 562 00:40:20,119 --> 00:40:24,279 Lil: Also, man ärgert sich natürlich mehr über das Scheunentor. Aber so 563 00:40:24,279 --> 00:40:27,420 grundsätzlich ergibt das für uns erstmal einen Prozess und was wir so machen 564 00:40:27,420 --> 00:40:31,029 überhaupt keinen Unterschied. Lin: Ja man müsste vielleicht noch 565 00:40:31,029 --> 00:40:34,890 ergänzen so: Es gibt ja auch teilweise Sachen, so eine Information-Disclosure 566 00:40:34,890 --> 00:40:40,099 oder so, die ist dann, es wird häufiger mal, dass Leute sagen: Ah, da ist aber 567 00:40:40,099 --> 00:40:43,090 jetzt hier Debugging an oder so was. Und da ist ja halt der Unterschied: Findet man 568 00:40:43,090 --> 00:40:46,779 darin etwas, was einen weiteren Angriff ermöglicht oder nicht? Das spielt 569 00:40:46,779 --> 00:40:50,859 natürlich schon teilweise in der Priorisierung eine Rolle und irgendwie so 570 00:40:50,859 --> 00:40:56,002 absolute Kinkerlitzchen meldet man ja dann vielleicht auch nicht unbedingt, wenn sie 571 00:40:56,002 --> 00:40:59,940 jetzt nicht unmittelbar halt sich weiter verwerten lassen. 572 00:40:59,940 --> 00:41:02,559 Lil: Genau und wie man vielleicht auch während des Vortrags selbst jetzt gerade 573 00:41:02,559 --> 00:41:05,599 gemerkt hat, geht es bei uns ja vor allem darum, wenn wir tatsächlich Datenabflüsse 574 00:41:05,599 --> 00:41:08,720 haben. D. h. nicht, dass es nicht ganz viele andere Arten von 575 00:41:08,720 --> 00:41:13,859 Sicherheitsproblemen gibt, aber wir sehen halt relativ viele Datenabflüsse und das 576 00:41:13,859 --> 00:41:16,530 ist das, was wir auch immer ziemlich problematisch finden. Und da bewerten wir 577 00:41:16,530 --> 00:41:21,609 natürlich nach den Daten, die da irgendwie rausfallen und nicht so stark danach, wie 578 00:41:21,609 --> 00:41:26,339 schlimm, wie diese Lücke zustandekommt. Also ob da irgendwie ein Debug Modus an 579 00:41:26,339 --> 00:41:31,170 ist und wir bekommen dann Credentials aus dem Service raus oder ob da eine API ist, 580 00:41:31,170 --> 00:41:34,059 wo wir hochzählen oder was viel komplexeres. 581 00:41:34,059 --> 00:41:37,450 K: Und was damit auch ein bisschen zusammenhängt – was wir jetzt schon öfter 582 00:41:37,450 --> 00:41:41,039 gehört haben – Unternehmen, die sich dann damit verteidigen, dass das ja nur 2 583 00:41:41,039 --> 00:41:44,789 Wochen offen war oder nur einen Monat. Und dann müssen wir auch sagen: Ja, schön, 584 00:41:44,789 --> 00:41:47,999 dass die Lücke nur so kurz war, bis jemand sie gefunden hat und irgendwie ein 585 00:41:47,999 --> 00:41:51,230 Responsible-Disclosure-Verfahren gemacht hat. Aber wenn die Daten einmal 586 00:41:51,230 --> 00:41:54,890 abgeflossen sind, dann ist das relativ egal und das dauert oft nur wenige 587 00:41:54,890 --> 00:42:00,690 Sekunden. Dann wo wir gerade schon über Zeiträume sprechen, ist hier die nächste 588 00:42:00,690 --> 00:42:02,900 Frage: F: Was sind denn vernünftige Zeiträume 589 00:42:02,900 --> 00:42:06,400 zwischen einer Meldung und einer Veröffentlichung? Linus? 590 00:42:06,400 --> 00:42:13,160 Lin: Also die ich glaube, die übliche Regel ist ja so 90 Tage, die sich so als 591 00:42:13,160 --> 00:42:17,499 ein Standard mal entwickelt hat. Aber jetzt in diesem Sonderfall, wenn 592 00:42:17,499 --> 00:42:22,130 Kundendaten, also Personendaten betroffen sind, kann man jetzt nicht sagen: Hier, in 593 00:42:22,130 --> 00:42:29,500 3 Monaten muss das aber weg sein. Ja? Du du du! Also da, ich denke, dass man das so 594 00:42:29,500 --> 00:42:34,809 von Fall zu Fall ein bisschen anhand der Dringlichkeit entscheidet und die Antwort, 595 00:42:34,809 --> 00:42:39,780 die man ja eigentlich haben möchte ist, das es halt schneller gefixt ist, als man 596 00:42:39,780 --> 00:42:44,800 jetzt überhaupt bereit wäre zu veröffentlichen. Wenn das nicht der Fall 597 00:42:44,800 --> 00:42:48,210 ist, dann kann man ja schon sagen: Ok, passt auf, so in ein paar Minuten muss es 598 00:42:48,210 --> 00:42:52,670 und dann und dann muss das weg sein. Aber auf jeden Fall kann man ja eigentlich erst 599 00:42:52,670 --> 00:42:58,960 veröffentlichen, wenn es gefixt ist, weil sonst würde ja die Veröffentlichung quasi 600 00:42:58,960 --> 00:43:03,619 anderen den Zugriff auf diese Daten erklären. Das ist halt besonders dieser 601 00:43:03,619 --> 00:43:07,460 Sonderfall, betroffene Kundendaten, den ihr ja sehr viel behandelt. 602 00:43:07,460 --> 00:43:11,140 Lil: Ganz genau. Also was bei uns immer so der allerwichtigste Zeitmaß ist, dass wir 603 00:43:11,140 --> 00:43:14,890 immer versuchen, nachdem wir den Report fertig haben, innerhalb von 48 Stunden 604 00:43:14,890 --> 00:43:18,109 eine Rückmeldung vom Unternehmen zu haben, in Sonderfällen sogar noch deutlich 605 00:43:18,109 --> 00:43:22,829 schneller. Und dann hängt das halt ein bisschen vom Fall und vom Unternehmen ab. 606 00:43:22,829 --> 00:43:27,329 Aber ja, es sollte sehr, sehr, sehr zügig gehen. Genau. 607 00:43:27,329 --> 00:43:30,690 K: Aber man sollte den Unternehmen natürlich trotzdem auch irgendwie die 608 00:43:30,690 --> 00:43:36,069 Möglichkeit geben, zumindest sinnvoll reagieren zu können. Also irgendwie 12 609 00:43:36,069 --> 00:43:39,660 Stunden ist ein bisschen sehr kurz, von irgendwie einer Meldung bis zu einer 610 00:43:39,660 --> 00:43:44,279 Veröffentlichung. Aber wenn man jetzt mit einem Unternehmen spricht, ist hier die 611 00:43:44,279 --> 00:43:46,940 nächste Frage: F: Was macht man, wenn die Betreiber:Innen 612 00:43:46,940 --> 00:43:51,450 einer Software das Ganze bagatellisieren wollen und z. B. gegenüber der Presse 613 00:43:51,450 --> 00:43:54,180 sowas runter reden? Linus, du hast ja mit Presse viel Erfahrung. 614 00:43:54,180 --> 00:44:00,869 Lin: Das machen die ja immer. Also nicht ein einziges Mal habe ich jetzt irgendwas 615 00:44:00,869 --> 00:44:05,079 erlebt, wo nicht zumindest in irgendeiner Form versucht wird, das noch so ein 616 00:44:05,079 --> 00:44:07,799 bisschen runter zu spielen. Lilith, du sagtest ja gerade schon, das war ja nur 617 00:44:07,799 --> 00:44:15,950 für einen kurzen Moment von 2 Monaten war die API offen oder ein kleiner Teil wurde 618 00:44:15,950 --> 00:44:19,559 zugegriffen. Das ist so die Lieblingsausrede. Ja, wir haben 5 619 00:44:19,559 --> 00:44:25,039 Millionen Kundendaten ins Feuer gestellt, aber zerforschung hat nur 23 abgegriffen 620 00:44:25,039 --> 00:44:28,900 oder so. Und deswegen müssen wir jetzt z. B. auch den Betroffenen das nicht melden. 621 00:44:28,900 --> 00:44:34,779 Also eine Bagatellisierung in irgendeiner Form kommt immer. Und es ist ja auch 622 00:44:34,779 --> 00:44:41,140 gewissermaßen verständlich, dass Sie auch natürlich den Trost, den tröstenden Teil 623 00:44:41,140 --> 00:44:46,339 dazu spenden wollen. Ich finde, es ist schon ok. Schlimm finde ich, wenn es halt 624 00:44:46,339 --> 00:44:51,660 irgendwie so negiert wird oder die, die Meldende halt in irgendeiner Form 625 00:44:51,660 --> 00:44:55,380 angegriffen wird, ja. Also das die sagen: "Das ist alles nicht so schlimm. Wir haben 626 00:44:55,380 --> 00:44:58,819 die Situation unter Kontrolle. Hier gibt es nichts mehr zu sehen", das ist klar und 627 00:44:58,819 --> 00:45:02,229 das, finde ich, sollte man ihnen auch nicht übel nehmen. Was sollen sie sonst 628 00:45:02,229 --> 00:45:06,489 machen? Aber wenn sie jetzt irgendwie persönlich werden oder sagen: "Ja, die 629 00:45:06,489 --> 00:45:11,049 Meldefrist war zu kurz" oder was in diesem Jahr waren wirklich echt viele Vorwürfe, 630 00:45:11,049 --> 00:45:15,249 oder? Lil: Also genau für uns hat es sich halt 631 00:45:15,249 --> 00:45:18,509 auch so bewährt zu schauen, dass man einen professionellen Medienpartner für die 632 00:45:18,509 --> 00:45:22,869 Veröffentlichung der Sicherheitslücke findet, weil wir dann ein bisschen besser 633 00:45:22,869 --> 00:45:27,009 das Narrativ für uns auch kontrollieren können. Das wir halt sagen können: Ja, da 634 00:45:27,009 --> 00:45:30,099 wird auch, da wird auf jeden Fall die unsere Seite der ganzen Story nochmal 635 00:45:30,099 --> 00:45:34,710 erzählt vs das Unternehmen haut eine Pressemitteilung raus und sagt dann euch 636 00:45:34,710 --> 00:45:39,789 lieb Dankeschön. Im besten Fall, im schlimmsten Fall zeigen sie euch 637 00:45:39,789 --> 00:45:45,859 vielleicht an oder so. Genau, aber haben da das Narrativ völlig inne. Also es ist 638 00:45:45,859 --> 00:45:49,000 irgendwie, für uns ist es ganz wichtig, immer einen Weg zu finden, dass wir das so 639 00:45:49,000 --> 00:45:53,690 ein bisschen haben. K: Da du gerade schon von Partner:Innen in 640 00:45:53,690 --> 00:45:58,430 solchen Verfahren sprichst, kommt hier die Frage nach den Datenschutzbehörden und was 641 00:45:58,430 --> 00:46:02,010 unsere Erfahrungen in der Zusammenarbeit mit Datenschutzbehörden sind. 642 00:46:02,010 --> 00:46:08,579 F: Wenn wir denen etwas melden, scheinen die kompetent, tun sie ausreichend viel? 643 00:46:08,579 --> 00:46:13,210 Lil: Die haben halt einen begrenzten Spielraum in Deutschland. Also so eine 644 00:46:13,210 --> 00:46:15,960 Datenschutzbehörde, die kann nicht unbegrenzt viel machen, die kann nicht 645 00:46:15,960 --> 00:46:19,349 einfach beim 1. Verstoß einfach so sagen: "Wir erheben jetzt ein sehr hohes 646 00:46:19,349 --> 00:46:22,490 Bußgeld", da sind die relativ eingeschränkt und da wird relativ viel 647 00:46:22,490 --> 00:46:26,339 Druck auf die auch ausgeübt aus Politik und Wirtschaft usw. und so fort. Deswegen 648 00:46:26,339 --> 00:46:29,319 haben die immer so einen relativ begrenzten Spielraum. Auf dieser 649 00:46:29,319 --> 00:46:33,559 Arbeitsebene mit den Datenschutzbehörden zusammenzuarbeiten, läuft bei uns im 650 00:46:33,559 --> 00:46:38,309 Kollektiv eigentlich immer super gut. Also wir haben da ein sehr gutes Verhältnis und 651 00:46:38,309 --> 00:46:42,230 die sind immer nett, die freuen sich über unsere Meldungen. Manchmal helfen wir 652 00:46:42,230 --> 00:46:45,940 denen, die nachzuvollziehen. Und dann beginnt bei denen halt ein Prozess. Aber 653 00:46:45,940 --> 00:46:49,220 so rein rechtlich kann euch eine Datenschutzbehörde in diesem Prozess nicht 654 00:46:49,220 --> 00:46:53,630 immer informieren. Also ihr gebt da als Forscherin was rein und dann passiert 655 00:46:53,630 --> 00:46:56,700 irgendwas und vielleicht gibt es irgendwann eine Pressemitteilung. Leider 656 00:46:56,700 --> 00:47:00,980 kommt das wirklich, wirklich selten vor, dass ein Unternehmen danach auch eine 657 00:47:00,980 --> 00:47:04,571 Strafe bekommt. Z. B. die also der Datenschutz schaut manchmal ein bisschen 658 00:47:04,571 --> 00:47:07,009 genauer dann hin bei diesem Unternehmen und kümmert sich drum, dass die Lücke 659 00:47:07,009 --> 00:47:10,539 wirklich geschlossen wird. Strafen sind leider relativ selten. 660 00:47:10,539 --> 00:47:16,020 Lin: Ganz kurz, weil, ich höre da so ein leichtes Missverständnis aus der Frage 661 00:47:16,020 --> 00:47:19,759 heraus. Es gibt halt IT-Sicherheit und Datenschutz. Und Datenschutz ist erstmal 662 00:47:19,759 --> 00:47:23,210 ja nur ein rechtliches Gefüge. Also nur weil du eine Sicherheitslücke hast, heißt 663 00:47:23,210 --> 00:47:27,710 es nicht notwendigerweise das du jetzt einen Datenschutzverstoß hast. Du hast den 664 00:47:27,710 --> 00:47:31,599 dann, wenn du die zu spät meldest, wenn du die Leute nicht informiert oder oder oder. 665 00:47:31,599 --> 00:47:35,640 Oder wenn z. B. im Rahmen der Sicherheitslücke klar wird, dass du da 666 00:47:35,640 --> 00:47:39,619 Daten auf dem Server hast, die da nach Löschfristen gar nicht mehr sein dürfen, 667 00:47:39,619 --> 00:47:43,930 ja solche Dinge. Das ist dann das, das berührt dann das juristische Gefüge 668 00:47:43,930 --> 00:47:47,210 Datenschutz und dann können die auch sofort was machen. Aber nur bei einer 669 00:47:47,210 --> 00:47:52,229 Sicherheitslücke ist es halt so na ja, die, also die kommen ja auch häufig vor 670 00:47:52,229 --> 00:47:57,410 und das ist halt ich glaube, es ist auch sinnvoll, dass sie jetzt nicht jedes 671 00:47:57,410 --> 00:48:00,339 Unternehmen, das eine Sicherheitslücke hat, unmittelbar halt 672 00:48:00,339 --> 00:48:03,960 datenschutzrechtliche Probleme hat, aber trotzdem finde ich das genau sinnvoll, das 673 00:48:03,960 --> 00:48:08,799 zu melden, weil dann sind die schon mal aktenkundig ja. Und wenn das nächste Mal 674 00:48:08,799 --> 00:48:13,160 wieder etwas passiert, dann wird da sicherlich auch von Seiten der 675 00:48:13,160 --> 00:48:16,950 datenschutzrechtlichen Perspektive ein bisschen mehr Aufmerksamkeit draufgelegt. 676 00:48:16,950 --> 00:48:21,529 Aber am Ende geht es darum: Die Sicherheitslücke muss weg. Und ja, solange 677 00:48:21,529 --> 00:48:27,130 es keine Hinweise gibt, dass die Daten wirklich gestohlen wurden oder 678 00:48:27,130 --> 00:48:31,269 irgendwelche Fahrlässigkeit in besonderem Maße da war, machen die 679 00:48:31,269 --> 00:48:37,480 Datenschutzbehörden halt verhältnismäßig wenig beim ersten Vorfall und ich würde 680 00:48:37,480 --> 00:48:39,210 sagen das ist wahrscheinlich auch schon richtig so. 681 00:48:39,210 --> 00:48:42,309 K: Naja wir würden uns, also wir als zerforschung, würden uns glaube ich 682 00:48:42,309 --> 00:48:46,029 wünschen, dass die Datenschutzbehörden ein bisschen proaktiver sind. Das hören wir 683 00:48:46,029 --> 00:48:50,010 auch teilweise aus Datenschutzkreisen sozusagen, dass die Datenschutzbehörden 684 00:48:50,010 --> 00:48:52,630 eigentlich viel mehr machen wollen. Die wollen eigentlich auch proaktiv auf 685 00:48:52,630 --> 00:48:56,219 Unternehmen zugehen und ich meine viele der Sachen, die wir gefunden haben, das 686 00:48:56,219 --> 00:48:59,289 ist jetzt nicht die mega krasse Sicherheitslücke so. Das ist nicht hier 687 00:48:59,289 --> 00:49:03,160 irgendwie so eine NSO Lücke, die wahrscheinlich kaum jemand im Raum hier 688 00:49:03,160 --> 00:49:07,700 richtig versteht, sondern es sind oft Sachen, die relativ easy findbar sind, 689 00:49:07,700 --> 00:49:11,150 aber da haben die einfach nicht genug Ressourcen. Also wenn für Gesundheitsdaten 690 00:49:11,150 --> 00:49:14,349 in Berlin irgendwie weniger als eine Handvoll Leute zuständig sind, dann können 691 00:49:14,349 --> 00:49:17,540 die halt nicht alle Corona-Testzentren überprüfen. Und deshalb fordern wir 692 00:49:17,540 --> 00:49:19,839 natürlich auch, dass die irgendwie besser ausgestattet werden und diese 693 00:49:19,839 --> 00:49:22,759 Möglichkeiten auch bekommen, die sie rein rechtlich schon lange haben. 694 00:49:22,759 --> 00:49:25,880 Lin: Im medizinischen Bereich finde ich es absolut, ist es auch. Ich war jetzt auch 695 00:49:25,880 --> 00:49:29,391 bei der CDU connect App. Ja ich meine, da wird jetzt nicht irgendein Datenschutz 696 00:49:29,391 --> 00:49:31,049 großartig rumstehen und sagen: "Du hast da irgendwie eine App..." Wobei ich glaube, 697 00:49:31,049 --> 00:49:32,559 dass die sogar datenschutzrechtlich nicht in Ordnung war, oder? 698 00:49:32,559 --> 00:49:37,130 Lil: Ja die war datenschutzrechtlich tatsächlich nicht in Ordnung, weil da 699 00:49:37,130 --> 00:49:40,739 politische Meinungen von Menschen erfasst wurden. Und das Spannende im Fall von der 700 00:49:40,739 --> 00:49:44,890 CDU war, ist ja, dass implizit darüber politische Meinungen, also Artikel 9 DSGVO 701 00:49:44,890 --> 00:49:48,480 Daten, also besonders schützenswerte Datenpunkte sogar, erfasst waren. 702 00:49:48,480 --> 00:49:52,119 Lin: Ohne das die Erfassten das wussten. Lil: Genau. Und deswegen ist das schon 703 00:49:52,119 --> 00:49:55,229 wieder so ein sehr interessanter Fall für den Datenschutz. Also wo ich neben 704 00:49:55,229 --> 00:49:58,559 Gesundheitsdaten, würde ich halt sagen, für sämtliche Datenarten, die unter 705 00:49:58,559 --> 00:50:02,650 Artikel 9 fallen, sollten halt auch besondere Schutzmaßnahmen und besondere 706 00:50:02,650 --> 00:50:04,680 Prüfmaßnahmen von Datenschutzbehörden gelten. 707 00:50:04,680 --> 00:50:07,489 K: Das gibt die DSGVO ja eigentlich auch her. 708 00:50:07,489 --> 00:50:10,299 Lil: Richtig. K: Aber dann würde ich mal, eh wir jetzt 709 00:50:10,299 --> 00:50:12,990 in so ein Kleinklein mit Datenschutzbehörden abdriften... 710 00:50:12,990 --> 00:50:17,380 Lin: Also immer mit dazunehmen und nicht traurig sein wenn da jetzt nicht eine 711 00:50:17,380 --> 00:50:19,999 Millionenstrafe bei rumkommt, würde ich als Fazit…ja oder? 712 00:50:19,999 --> 00:50:22,240 Lil: Ja. K: Genau, aber super oft werden sie halt 713 00:50:22,240 --> 00:50:24,460 aktiv, das haben wir jetzt auch erlebt, und gehen da zumindest auf die Unternehmen 714 00:50:24,460 --> 00:50:28,180 zu. Und dann lernen die Unternehmen was und verhindern solche Fehler oft. In 715 00:50:28,180 --> 00:50:30,079 Zukunft. Lil: Und gerade wenn es größere Probleme 716 00:50:30,079 --> 00:50:33,779 sind, dann besucht die Datenschutzbehörde auch mal das Unternehmen und dann sind die 717 00:50:33,779 --> 00:50:36,930 da wirklich dahinter, dass die Lücken geschlossen werden. Und deswegen der 718 00:50:36,930 --> 00:50:40,519 Datenschutz ist immer ein guter Partner, aber erwartet nicht, dass ihr das entweder 719 00:50:40,519 --> 00:50:44,109 mitbekommt oder das da sofort irgendwas super krasses passiert. 720 00:50:44,109 --> 00:50:48,150 K: Die nächste ist eine rechtliche Frage, die wir, glaube ich, auf der rechtlichen 721 00:50:48,150 --> 00:50:52,479 Ebene nicht beantworten können. Aber ich finde die Frage trotzdem spannend. 722 00:50:52,479 --> 00:50:55,519 F: Darf man Probleme, die man jetzt gefunden hat, an kompetentere Person 723 00:50:55,519 --> 00:51:00,219 überhaupt weitergeben? Also ist es ist es ok? Ich würde das mal von der rechtlichen 724 00:51:00,219 --> 00:51:04,380 Ebene nehmen und mehr auf die moralische Ebene schauen. Ist das ok z. B. auf den 725 00:51:04,380 --> 00:51:08,009 CCC zuzugehen und zu sagen: Ok, hier gibt es dieses Problem. Ich habe das jetzt 726 00:51:08,009 --> 00:51:12,240 gefunden. Wie können wir das sauber lösen? Lin: Ich habe da, guck mal, ich vergesse 727 00:51:12,240 --> 00:51:15,590 das immer wieder. Da gibt es doch diesen, vor allem, wenn das jetzt irgendwelche 728 00:51:15,590 --> 00:51:19,859 Daten sind, da gibt es diesen Paragrafen. Wie gesagt, wir sind alle keine 729 00:51:19,859 --> 00:51:26,039 Juristinnen. Wo du jetzt die erste Person, die Kenntnis erlangt, ist quasi straffrei. 730 00:51:26,039 --> 00:51:30,250 Aber wenn sie es dann weitergibt, dann ist diese Weitergabe irgendwie strafbelastet. 731 00:51:30,250 --> 00:51:35,869 Aber wir reden ja hier nicht davon, dass man sich strafbar macht. Und wenn wem man, 732 00:51:35,869 --> 00:51:39,690 welcher anderen Person man das weitergibt, um die Frage vielleicht vorsichtig zu 733 00:51:39,690 --> 00:51:44,641 beantworten, ist ja dabei entscheidend ja. Also man kann nicht sagen, es ist 734 00:51:44,641 --> 00:51:49,460 grundsätzlich falsch, das jemand anderem weiterzugeben, aber wenn jemand anderem 735 00:51:49,460 --> 00:51:54,289 weitergeben in diesem Fall heißt twittern und von vielen tausend Leuten weitergeben, 736 00:51:54,289 --> 00:52:00,170 dann ist das ein Problem. Wenn man jetzt z. B. sagt – das passiert jetzt bei 737 00:52:00,170 --> 00:52:04,960 disclosure@ccc.de sehr häufig – dass Leute irgendwie sagen: Ja, ich habe das und das 738 00:52:04,960 --> 00:52:09,400 gefunden, und ich würde sagen, 50% meiner Fälle ist mal der Fall, ist meine Antwort: 739 00:52:09,400 --> 00:52:12,400 Ok, du musst mir das vollständig beschreiben, damit ich nachvollziehen kann 740 00:52:12,400 --> 00:52:16,519 und beurteilen kann. Wenn du, wenn du einfach nur irgendwas schreibst, kann ich 741 00:52:16,519 --> 00:52:20,349 dir nichts dazu sagen und das melde ich auch so nicht. Dafür muss ich natürlich 742 00:52:20,349 --> 00:52:24,570 dann die komplette Sicherheitslücke mitgeteilt bekommen und werde die dann 743 00:52:24,570 --> 00:52:29,259 auch prüfen. Und würde ich dann jetzt damit Mist machen, wäre das sicherlich für 744 00:52:29,259 --> 00:52:33,549 mich schlecht und für die Person, die mir das mitgeteilt hat schlecht. Insofern 745 00:52:33,549 --> 00:52:36,839 glaube ich, beantwortet sich diese Frage am sinnvollsten, das man halt überlegt: 746 00:52:36,839 --> 00:52:41,170 Ok, vertraut ihr der Person, dass die nach den gleichen ethischen Maßstäben arbeiten 747 00:52:41,170 --> 00:52:46,249 wird, wie ihr? Und dann kann man sich ja, dann seid ihr quasi eine Einheit und dann 748 00:52:46,249 --> 00:52:49,579 würde ich das nicht als juristisch riskant sehen. 749 00:52:49,579 --> 00:52:52,969 Lil: Genau. Vielleicht noch eine kleine Anmerkung dazu: Bei zerforschung haben wir 750 00:52:52,969 --> 00:52:55,031 in der Zusammenarbeit mit Datenschutzbehörden jetzt auch schon 751 00:52:55,031 --> 00:53:00,160 erlebt, dass wir Lücken gemeldet haben und Unternehmen und die Datenschutzbehörden 752 00:53:00,160 --> 00:53:04,419 gesagt haben, es gab keine Datenabfluss, weil wir als zerforschung eine 753 00:53:04,419 --> 00:53:08,720 vertrauenswürdige Instanz sind, was ein bisschen witzig ist, weil wir haben 754 00:53:08,720 --> 00:53:11,139 einerseits diese Kriminalisierung in Deutschland, andererseits haben wir 755 00:53:11,139 --> 00:53:16,190 Sicherheitslücken gefunden und man weiß ja häufig nicht, ob zuvor irgendwie schon 756 00:53:16,190 --> 00:53:19,499 Daten abgeflossen sind, bevor wir diese Lücke gefunden haben usw. und so fort. 757 00:53:19,499 --> 00:53:22,869 Aber zumindest so in der gelebten Datenschutzpraxis, also auch selbst von 758 00:53:22,869 --> 00:53:27,299 dieser Perspektive bemessen, nicht von Hackerparagrafen und Co. kommen, haben wir 759 00:53:27,299 --> 00:53:31,349 jetzt irgendwie schon gesehen, dass zumindest man Sicherheitsforscher:Innen 760 00:53:31,349 --> 00:53:34,930 auf in der gelebten Praxis schon so vertraut, dass die Leute das jetzt da 761 00:53:34,930 --> 00:53:37,749 nicht so super problematisch finden. K: Aber da muss man halt auch super 762 00:53:37,749 --> 00:53:39,059 aufpassen. Lil: Ja. 763 00:53:39,059 --> 00:53:41,880 K: Also ich glaube, diesen Vertrauensvorschuss sozusagen kriegt nicht 764 00:53:41,880 --> 00:53:45,309 jede Person, die jetzt zum 1. Mal da irgendwie in Erscheinung tritt. Deshalb 765 00:53:45,309 --> 00:53:48,589 wie wir schon sagten, lieber irgendwie Hilfe suchen, lieber irgendwie 766 00:53:48,589 --> 00:53:54,740 kompetentere oder erfahrenere, kompetent sind wir ja alle, aber erfahrenere Person 767 00:53:54,740 --> 00:54:00,220 fragen eben, z. B. Linus oder auch uns, wenn ihr das gerne wollt. Und ich glaube, 768 00:54:00,220 --> 00:54:02,779 da das jetzt so die rechtliche Frage ist, können wir da nur unsere übliche 769 00:54:02,779 --> 00:54:06,440 rechtliche Forderung nochmal anschließen, nämlich der Hacker:Innenparagraf muss weg! 770 00:54:06,440 --> 00:54:10,009 Zumindest in der jetzigen Form. Der muss so formuliert werden, dass so IT- 771 00:54:10,009 --> 00:54:14,890 Sicherheitsforschung, wie wir sie alle tun, legal möglich ist und man nicht immer 772 00:54:14,890 --> 00:54:17,660 Angst haben muss, dass plötzlich die Bullen vor der Tür stehen. Oder man eine 773 00:54:17,660 --> 00:54:20,410 Strafanzeige bekommt. Lin: Das muss man ja vielleicht auch 774 00:54:20,410 --> 00:54:25,229 nochmal kurz sagen: So nach meiner Kenntnis – ich muss jetzt wirklich 775 00:54:25,229 --> 00:54:29,539 überlegen – aber mir ist kein Fall bekannt, wo jetzt mal jemand wirklich 776 00:54:29,539 --> 00:54:37,019 verurteilt worden wäre, die man nicht hätte verurteilen sollen, ja. Aber das mit 777 00:54:37,019 --> 00:54:42,069 diesen Strafanzeigen ist halt deswegen so ein Nerv, weil die euch die Computer 778 00:54:42,069 --> 00:54:47,499 wegnehmen, weil ihr dann da jahrelang Ärger mit habt, weil der Anwaltskosten, 779 00:54:47,499 --> 00:54:52,200 also Kosten für die juristische Auseinandersetzung, anfallen. Und das ist 780 00:54:52,200 --> 00:54:56,380 einfach total nervig, wenn die irgendwie in die Wohnung kommen, wenn man die nicht 781 00:54:56,380 --> 00:55:00,760 eingeladen hat ja. Und deswegen ist das jetzt wenn das am Ende nicht zu einer 782 00:55:00,760 --> 00:55:05,880 Verurteilung kommt, ist das halt ein riesiger Nerv einfach und deswegen macht 783 00:55:05,880 --> 00:55:11,700 das halt Sinn teilweise einfach mit dem CCC z. B. gemeinsam das zu machen oder als 784 00:55:11,700 --> 00:55:15,410 CCC, weil irgendwie glaube ich, dass sich inzwischen zumindest so ein bisschen 785 00:55:15,410 --> 00:55:20,539 rumgesprochen hat, dass man eine Hausdurchsuchung beim CCC schwierig, 786 00:55:20,539 --> 00:55:25,509 schwierig. K: Ja, ich glaube, dann haben wir diese 787 00:55:25,509 --> 00:55:30,880 Frage wirklich sehr ausführlich beantwortet. Hier ist noch die Frage, ob 788 00:55:30,880 --> 00:55:35,269 wir, ob wir von Fällen wissen, die wir gemeldet haben und bei denen es, wo die 789 00:55:35,269 --> 00:55:36,989 Datenschutzbehörden an Strafen oder Ähnliches verhangen haben? 790 00:55:36,989 --> 00:55:40,270 A: Ich kann jetzt aus der zerforschungspraxis sagen: Uns ist nichts 791 00:55:40,270 --> 00:55:45,959 bekannt. Aber uns ist auch bei denen, bei vielen Fällen nicht bekannt, wie das 792 00:55:45,959 --> 00:55:49,550 Verfahren bei den Datenschutzbehörden am Ende ausgegangen ist. Denn das ist halt so 793 00:55:49,550 --> 00:55:53,470 ein Problem. Du hast, wenn du eine Beschwerde erstattest, als Einzelperson, 794 00:55:53,470 --> 00:55:56,439 die betroffen ist, dann hast du weitgehende Auskunftsrechte, dann sagt die 795 00:55:56,439 --> 00:55:59,990 Datenschutzbehörde dir auch weiter Bescheid, wenn wir das als Kollektiv tun, 796 00:55:59,990 --> 00:56:02,920 hingegen nicht. D.h., eigentlich müsste dann irgendeine Person die diesen Dienst 797 00:56:02,920 --> 00:56:06,860 nutzt, nochmal gleichzeitig als Privatperson sozusagen da eine Beschwerde 798 00:56:06,860 --> 00:56:11,009 erstatten, wo dann auch unter Umständen wieder Informationen an Unternehmen 799 00:56:11,009 --> 00:56:14,139 weitergegeben werden können usw. Das ist super komplex und schwierig und ich 800 00:56:14,139 --> 00:56:17,759 glaube, am Ende ist der beste Weg, ein Haufen IFG-Anfragen zu stellen. 801 00:56:17,759 --> 00:56:19,480 Lin: Oder ihr macht halt einen öffentlichen Aufruf: "Wir haben da wieder 802 00:56:19,480 --> 00:56:22,829 ein Datenleck. Wir brauchen jemanden, der da drin ist! Könnt ihr da mal schnell 803 00:56:22,829 --> 00:56:25,660 einen Account machen?" K: Das haben wir ja auch schonmal gemacht. 804 00:56:25,660 --> 00:56:30,660 In dem Artikel, wo das Unternehmen nicht richtig reagiert hat. Da haben wir, da war 805 00:56:30,660 --> 00:56:33,001 dann die Telefonnummer bei uns im Blog veröffentlicht und da haben auch Leute 806 00:56:33,001 --> 00:56:37,809 anrufen und erreichten die dann den, was war es, den Geschäftsführer, der gerade in 807 00:56:37,809 --> 00:56:41,719 der Autowaschanlage stand und überhaupt nicht wusste, worum es gerade geht und so 808 00:56:41,719 --> 00:56:44,019 Geschichten. *Lachen* 809 00:56:44,019 --> 00:56:48,079 Ja, aber ich glaube, das sind auch schon alle Fragen, die jetzt in diesem Pad 810 00:56:48,079 --> 00:56:51,920 gelandet sind. Und da ich da keine Veränderung mehr sehe, würde ich sagen: 811 00:56:51,920 --> 00:56:55,459 It's a wrap, so. Vielen Dank Linus, dass du hier warst! 812 00:56:55,459 --> 00:56:56,769 Lin: Ich danke euch! K: Und diesen Quatsch mit uns gemacht 813 00:56:56,769 --> 00:56:58,219 hast. Lin: Ja, war doch ein sehr schöner 814 00:56:58,219 --> 00:57:02,230 Vortrag. Hat mir sehr gefallen. Ich fand es. Ich habe mir immer gewünscht, dass 815 00:57:02,230 --> 00:57:04,529 beim rC3 die Vorträge vorproduziert sind *Lachen* 816 00:57:04,529 --> 00:57:07,880 Lin: Und ich finde das super, wie ihr das gemacht habt! 817 00:57:07,880 --> 00:57:10,920 *rC3 nowhere Abschlussmusik* 818 00:57:10,920 --> 00:57:24,000 Untertitel erstellt von c3subtitles.de im Jahr 2022. Mach mit und hilf uns!