WEBVTT NOTE Podcast: Chaosradio Episode: Angriffspfade bei Zwei-Faktor-Authentifizierung mittels SMS Publishing Date: 2024-08-28T13:52:00+02:00 Podcast URL: https://chaosradio.de Episode URL: https://chaosradio.de/cr293-angriffspfade-bei-zwei-faktor-authentifizierung-mittels-sms 00:00:00.017 --> 00:00:06.057 Willkommen zum Chaosradio 293 und wir haben heute eine schwierige Situation, 00:00:06.217 --> 00:00:11.357 denn unser Moderator, Markus Richter, ist tatsächlich in seinen natürlich wohlverdienten 00:00:11.357 --> 00:00:14.277 Urlaub abgeschwört und hat uns hier ganz alleine gelassen. 00:00:14.297 --> 00:00:16.457 Wir haben aber beschlossen, dass wir keine Sommerpause machen, 00:00:16.637 --> 00:00:21.277 denn wir haben wichtige Themen, da müssen wir drüber sprechen und müssen wir 00:00:21.277 --> 00:00:22.537 ohne Markus irgendwie hinkriegen. 00:00:22.537 --> 00:00:27.397 Aber ich habe zwei unfassbar gute Gäste, die auch eloquent sind, 00:00:27.577 --> 00:00:33.317 technische Ahnung haben und diese Chaosradio trotzdem ohne Markus rocken werden. 00:00:33.517 --> 00:00:38.317 Wir haben zum einen, zu meiner Linken, kein Torkel. Na? Hallo. 00:00:38.317 --> 00:00:40.337 Der extra für uns angereist ist. 00:00:41.177 --> 00:00:45.137 Aus Berlin. Naja, war nicht so weit. Und dann haben wir Erdgeist. 00:00:45.517 --> 00:00:47.857 Ein häufiger Gast im Chaosradio. 00:00:48.837 --> 00:00:52.317 Hallo Erdgeist. Hallo Konz. Das bin ich. 00:00:53.297 --> 00:00:56.457 Wir haben heute eigentlich so ein bisschen klassische Folge vom Chaosradio, 00:00:56.537 --> 00:00:59.577 würde ich sagen, weil wir ein bisschen über Technik reden wollen, 00:00:59.757 --> 00:01:01.297 auch ein bisschen erklär werden. 00:01:01.457 --> 00:01:05.857 Aber wir haben auch einen Hack, den wir als konkreten Anlass haben. 00:01:06.077 --> 00:01:07.797 Also eigentlich ist das eine gute Mischung letztlich. 00:01:08.477 --> 00:01:12.397 Denn wir haben als CCC kürzlich eine Pressemitteilung rausgegeben, 00:01:12.457 --> 00:01:17.517 die betraf die Zwei-Faktor-Authentifizierung mit SMS. Und da wollen wir ein 00:01:17.517 --> 00:01:18.157 bisschen drüber sprechen. 00:01:18.757 --> 00:01:21.477 Was ist eigentlich dieser Hack gewesen? Was wurde da technisch gemacht? 00:01:21.657 --> 00:01:25.017 Aber wir wollen vor allen Dingen auch darüber sprechen, warum wir Zwei-Faktor-Authentifizierung 00:01:25.017 --> 00:01:27.177 haben, wo wir da Kritik haben. 00:01:27.919 --> 00:01:34.639 Wo sich was ändern müsste, vielleicht sogar ein bisschen, was wir raten würden, 00:01:34.739 --> 00:01:36.599 dem geneigten Computerbenutzer. 00:01:37.119 --> 00:01:40.259 Und deswegen wollen wir, glaube ich, ein bisschen einsteigen mit der Geschichte. 00:01:40.379 --> 00:01:44.159 Also warum brauchen wir die sogenannten Trust Anchors? 00:01:44.439 --> 00:01:48.539 Warum müssen wir irgendwie ein bisschen mehr Mühe haben als früher? 00:01:48.679 --> 00:01:52.419 Wir können nicht immer nur einfach nur eine E-Mail-Adresse und ein Passwort eingeben. 00:01:52.619 --> 00:01:55.779 Und da wollen wir so ein bisschen mit anfangen und dann zu dem eigentlichen 00:01:55.779 --> 00:01:59.639 Hack kommen und ein bisschen darüber sprechen, was wir da technisch eigentlich 00:01:59.639 --> 00:02:01.519 vorliegen haben. Okay, Erdgeist wird zum Anfang. 00:02:02.099 --> 00:02:06.239 Wozu haben wir diese Trust Anchors? Warum ist die Situation heute anders als vor 15 Jahren? 00:02:06.819 --> 00:02:12.199 Wozu wir die Trust Anchors haben? Wir haben Passwörter. Und Passwörter schon eine Weile. 00:02:12.259 --> 00:02:19.019 Und die haben wir dazu, um uns einer Maschine gegenüber auszuweisen als ich 00:02:19.019 --> 00:02:22.819 bin ich, ich weiß was und ich kann belegen, dass ich ich bin und kann mich damit einloggen. 00:02:23.519 --> 00:02:27.039 So, ganz einfach. Menschen sind aber notorisch schlechteren, 00:02:27.039 --> 00:02:29.859 sich Passwörter auszudenken oder zu merken, die irgendwas traugen. 00:02:31.799 --> 00:02:35.379 Und zugedessen gab es natürlich immer wieder Katz-und-Maus-Spiele zwischen Leuten, 00:02:35.539 --> 00:02:39.859 die diese mit Passwörtern geschutzten Ressourcen auch benutzen wollten, 00:02:39.919 --> 00:02:44.119 aber nicht die Personen waren, die dieses Passwort sich ausgedacht oder dem 00:02:44.119 --> 00:02:45.779 dieses Passwort zugewiesen wurden. 00:02:46.679 --> 00:02:51.059 Über die Zeit gab es so einige zusätzliche Schutzmechanismen. 00:02:51.059 --> 00:02:55.379 Ganz am Anfang war überhaupt schon prohibitiv, dass man einen eigenen Computer 00:02:55.379 --> 00:02:57.559 haben musste, um an diesem Datenverkehr überhaupt teilzunehmen, 00:02:57.619 --> 00:03:00.859 was schon mal einen Großteil der Menschen da draußen ausgeschlossen hat, 00:03:00.999 --> 00:03:04.919 so dieses Passwort zu raten, missbrauchen, weil selbst wenn man es gewusst hat, 00:03:04.999 --> 00:03:06.159 hätte man kein Endgerät gehabt, 00:03:06.339 --> 00:03:09.399 um daran teilzunehmen oder keinen Anschluss gehabt, um daran zu gehen. 00:03:09.399 --> 00:03:10.299 Das war eine schöne Zeit. 00:03:12.819 --> 00:03:14.799 Leider sind dann irgendwann die ganzen anderen Menschen, die Rechner wurden 00:03:14.799 --> 00:03:18.719 einfach viel zu billig und die AOL-CDs wurden zu reichlich. 00:03:19.059 --> 00:03:24.599 Und damit hatte man dann plötzlich das Problem, dass es keine wirkliche Hürde mehr war. 00:03:26.699 --> 00:03:33.919 In dem Zuge wurden dann diverse Angriffe auf diese Passworte gefahren, 00:03:33.979 --> 00:03:37.399 die wurden während sie im Klartext durch die Gegend geschwirrt sind abgefangen, 00:03:37.419 --> 00:03:39.219 um sie dann wieder zu benutzen, 00:03:39.759 --> 00:03:41.899 von Personen, die das eigentlich nicht haben sollten. 00:03:42.159 --> 00:03:47.019 Die Administratoren dieser Computer, auf denen das Passwort hinterlegt wurde, 00:03:47.139 --> 00:03:49.939 konnten nachgucken, was dieses Passwort ist und konnten dann schauen, 00:03:50.019 --> 00:03:51.659 ob es eventuell woanders auch benutzt wurde. 00:03:52.792 --> 00:04:00.432 Und das Problem ist immer wieder, dass solche Passwörter verloren gehen. 00:04:00.572 --> 00:04:04.012 Sie werden entweder von irgendjemand anders mitgeschnitten und dann verwendet 00:04:04.012 --> 00:04:09.432 oder der Nutzer vergisst diese Passwörter und dann muss ein neues ausgestellt 00:04:09.432 --> 00:04:14.252 werden. Und das war damals, als es so etwas wie 50 Nutzer weltweit gab von Computern, 00:04:14.272 --> 00:04:15.112 alles noch gar kein Problem. 00:04:15.232 --> 00:04:17.592 Da ist man hingegangen, hat dann zu seinem Administrator gesagt, 00:04:17.732 --> 00:04:20.472 kannst du mir ein neues Passwort in der Datenbank hinterlegen und dann war das gut. 00:04:20.912 --> 00:04:23.752 Aber als es ganz viele wurden, wurde das plötzlich so ein Skalenproblem, 00:04:24.032 --> 00:04:25.812 was man irgendwie ein bisschen automatisieren musste. 00:04:26.252 --> 00:04:28.932 Und bei der Gelegenheit hatte man das Problem, wem vertraut man denn, 00:04:28.992 --> 00:04:32.612 wenn der Administrator des Computers das nicht mehr direkt ist. 00:04:33.372 --> 00:04:38.092 Und dann gab es diverse Entwicklungen, was man alles machen kann, 00:04:38.212 --> 00:04:41.912 weil man dem Administrator nicht zwingend vertraut, haben wir dann angefangen, 00:04:41.912 --> 00:04:44.492 die Passwörter nicht mehr im Klartext in der Datenbank zu hinterlassen, 00:04:44.592 --> 00:04:50.272 sondern haben eine Prüfsumme genommen und die in der Datenbank hinterlegt. 00:04:50.272 --> 00:04:52.712 Das wurde dann auch ein Katz-und-Maus-Spiel. 00:04:52.752 --> 00:04:57.212 Dann wurden die, weil die Prüfsummen ja Replay-Attacken erlauben, 00:04:57.232 --> 00:05:00.332 das heißt, dass man mit demselben verschlüsselten Passwort wieder vorbeikommen 00:05:00.332 --> 00:05:03.512 kann, wurden die dann noch gesalzen. 00:05:05.132 --> 00:05:10.932 Es gab andere Versuche, gerade als es dann spannend wurde, dass mit diesen Passwörtern 00:05:10.932 --> 00:05:13.372 auch Bankkonten geschützt werden, 00:05:13.572 --> 00:05:16.552 haben dann die Banken angefangen, einem nach Hause Briefe zu schicken, 00:05:16.592 --> 00:05:20.692 in denen dann lauter Einmalpasswörter für besonders wertvolle Transaktionen drinstehen. 00:05:20.692 --> 00:05:23.492 Das war auch schon zehn Jahre her, dass sie wieder abgeschafft wurden. 00:05:23.632 --> 00:05:27.492 Sie wurden dann mit der PSD 2 verboten, diese Tannenlisten. 00:05:27.692 --> 00:05:33.232 Das war auch eine Tragödie. Es war einfach sehr schön, immer noch zu Hause nach 00:05:33.232 --> 00:05:36.632 diesen Papierchen suchen zu müssen, was dann auch noch so schlecht zu lesen 00:05:36.632 --> 00:05:37.872 war, wenn man nicht genau aufgepasst hat. 00:05:38.492 --> 00:05:42.032 Das heißt, da haben wir aber auch schon einen der ersten neueren Trust Anchors, 00:05:42.032 --> 00:05:46.492 also der Vertrauensanker, ist deine postalische Adresse zu Hause. 00:05:46.492 --> 00:05:50.492 Du bist du, wenn du Post entgegennehmen kannst an deiner... 00:05:51.379 --> 00:05:55.379 Postalischen Adresse. Papierpost. Papierpost. Hat Vor- und Nachteile. 00:05:55.459 --> 00:05:59.939 Der Vorteil ist, dass es schon irgendwie, so dieses Postsystem ist einigermaßen 00:05:59.939 --> 00:06:01.319 abgehangen, gibt es schon eine Weile. 00:06:01.919 --> 00:06:06.399 Man kann einigermaßen darauf vertrauen, dass das Passwort ankommt und dass es 00:06:06.399 --> 00:06:08.179 genau die richtige Person erreicht. 00:06:08.419 --> 00:06:12.659 Aber auf der anderen Seite, bei der Post in letzter Zeit werden ja auch Menschen 00:06:12.659 --> 00:06:21.419 beschäftigt, die vielleicht nicht die Zeit haben, so ganz gründlich die Listen zuzustellen. 00:06:21.479 --> 00:06:23.499 Es gibt Mitbewohner, die diese Briefe aufmachen können. 00:06:23.759 --> 00:06:26.839 Und das ist, ja ... Das dauert vor allen Dingen tierisch lange. 00:06:27.079 --> 00:06:30.139 Und es ist nicht convenient, genau. Das heißt, wenn man einmal so eine Liste 00:06:30.139 --> 00:06:33.839 verbummelt hat und nachbestellen muss, dann muss die erst gedruckt werden von 00:06:33.839 --> 00:06:35.519 spezialisierten Firmen, bis die zu Hause sind. 00:06:37.679 --> 00:06:43.599 So, das heißt, dass es dann über die Zeit, als das so ein bisschen inconvenient 00:06:43.599 --> 00:06:48.119 wurde, immer wieder auf die Papierpost zu warten Und Postident auch nicht, 00:06:48.259 --> 00:06:49.819 muss man erst zur Post latschen. 00:06:49.919 --> 00:06:52.239 Ich habe gesagt, pass auf, ihr habt doch irgendwie alle E-Mail-Adressen, 00:06:52.239 --> 00:06:56.799 lasst uns doch einfach zum Account recoveren, also zum Passwort zurücksetzen, 00:06:56.879 --> 00:06:58.139 eure E-Mail-Adresse benutzen. 00:06:58.359 --> 00:07:01.859 Mit der habt ihr euch ja am Anfang eh eingeloggt, damit habt ihr bewiesen, 00:07:01.879 --> 00:07:03.419 dass ihr Zugriff auf diese E-Mail-Adresse habt. 00:07:03.419 --> 00:07:09.679 Dann können wir das ja einfach als Vertrauensanker benutzen und sagen mit dem 00:07:09.679 --> 00:07:13.079 Account, das zu deiner E-Mail-Adresse zugewiesen oder zugeordnet ist, 00:07:13.119 --> 00:07:17.359 kannst du einfach dein Passwort resetten, indem du dort wieder eine Mail hinschicken lässt. 00:07:17.359 --> 00:07:21.899 Das heißt, das ist dann ein weiterer Vertrauensanker, dass deine, 00:07:22.019 --> 00:07:26.019 sagen wir, Yahoo-Adresse schon auch nur unter deiner Kontrolle ist, 00:07:26.039 --> 00:07:32.639 nur von dir gelesen wird mit all den Blicken, die wir als technikaffine Menschen 00:07:32.639 --> 00:07:36.359 ja auf die Vertraulichkeit von E-Mails so haben. 00:07:37.279 --> 00:07:40.839 Die ist also, um es mal deutlich zu sagen, einfach mitlesbar sozusagen. 00:07:41.359 --> 00:07:45.099 Die wird in der Regel nicht verschüttelt, verschickt und hat damit natürlich 00:07:45.099 --> 00:07:48.399 auch ein Sicherheitsproblem. Und man kann sich dafür Dutzende oder Hunderte 00:07:48.399 --> 00:07:52.719 automatisiert bei größeren Firmen anlegen und damit keine Eins-zu-Eins-Beziehung 00:07:52.719 --> 00:07:55.919 mehr, was ja einige Anbieter auch total gerne hätten für so einen Account. 00:07:56.179 --> 00:07:58.899 Deswegen kam dann irgendwann Mode zu sagen, ach, da draußen, 00:07:58.939 --> 00:08:01.179 die Menschen haben doch eh alle nur Mobiltelefonen. 00:08:01.651 --> 00:08:06.511 Und damit auch zwingend einen Mobiltelefonvertrag. Und dieser Mobiltelefonvertrag, 00:08:06.531 --> 00:08:11.631 der hat die schöne Eigenschaft, dass er auf jeden Fall irgendjemand seinen Ausweis 00:08:11.631 --> 00:08:15.931 gezeigt hat, um so einen Mobiltelefonvertrag zu bekommen. 00:08:15.931 --> 00:08:21.811 Und damit können wir schon ziemlich sicher sein, dass wir, damit kriegen wir 00:08:21.811 --> 00:08:25.291 auch Abstimmung beim Eurovision Song Contest hin. 00:08:25.391 --> 00:08:29.651 Wir können damit einfach fest und sicherstellen, dass es eine Person ist, 00:08:29.791 --> 00:08:33.511 die da ihren einen Mobilfunkvertrag hat und dann auch nicht mehrfach abstimmen kann. 00:08:33.511 --> 00:08:38.771 Also wissen wir eigentlich auch, dass alles was für E-Mails gilt in der Zustellung 00:08:38.771 --> 00:08:42.311 von solchen Nachrichten auch übertragen wird. 00:08:43.071 --> 00:08:46.591 Diese Kurznachrichten, die über den SMS versendet werden. 00:08:47.011 --> 00:08:51.651 Ich weiß es gar nicht genau. Haben mehr Leute eine Mail als einen Mobiltelefonvertrag? 00:08:51.831 --> 00:08:55.851 Ich würde mal vermuten, die Anzahl dürfte so ungefähr gleich sein. 00:08:57.951 --> 00:09:01.551 Ich würde jetzt da einfach kurz im Wikipedia nachgucken, aber das ist unhöflich, 00:09:01.571 --> 00:09:03.531 während die Zuhörer warten, dass wir was Schlaues sagen. 00:09:03.831 --> 00:09:06.831 Nein, nein, das kam ja nur gerade vom Statistischen Bundesamt die Nachricht, 00:09:06.831 --> 00:09:11.651 dass so 10 Millionen Menschen in Deutschland keinen Internetzugang haben, 00:09:11.811 --> 00:09:16.391 also nie das Internet benutzen und auch kein Mobiltelefon haben und ich warte doch relativ viel. 00:09:16.711 --> 00:09:19.971 Und ich vermute mal, wenn du keine Mailadresse hast und kein Mobilfunkvertrag, 00:09:20.031 --> 00:09:21.911 dann sollst du so ungefähr der selbe Anteil der Bevölkerung sein. 00:09:21.951 --> 00:09:24.111 Ich würde es vermuten einfach nur. Aber mir geht es nur darum, 00:09:24.171 --> 00:09:25.811 dass man natürlich bestimmte Leute damit ausschließt. 00:09:26.371 --> 00:09:28.551 Einfach nur, um mal so ein bisschen die Relation herzustellen, 00:09:28.671 --> 00:09:31.551 weil die meisten denken, jeder hat es, aber jeder hat es halt nicht statistisch. 00:09:31.671 --> 00:09:33.891 Das kommt schon immer auf den Dienst an, von dem wir gerade sprechen. 00:09:34.031 --> 00:09:37.371 Das heißt, die Wahrscheinlichkeit, dass jemand keine E-Mail-Adresse und keine 00:09:37.371 --> 00:09:44.311 Mobiltelefonnummer hat, geht damit einher, dass sie auch keinen Wikipedia-Account 00:09:44.311 --> 00:09:46.531 sich klicken wollen oder etwas Ähnliches. 00:09:47.091 --> 00:09:50.211 Die werden auch beim Online-Banking dann nicht teilnehmen, sondern eher noch 00:09:50.211 --> 00:09:54.411 zu ihrer Bank oder ihrer Versicherung in persona hinlaufen müssen müssen. 00:09:56.241 --> 00:10:01.421 Aber es ist auch immer schwieriger, weil auch die natürlich Filialen dieser 00:10:01.421 --> 00:10:05.401 Institute so weit ausgedünnt werden, weil es ist ja klar, da kann ja inzwischen 00:10:05.401 --> 00:10:06.861 jeder sein Mobiltelefon benutzen. 00:10:06.861 --> 00:10:10.221 Und ja, da werden Menschen ausgeschlossen und diese Menschen, 00:10:10.301 --> 00:10:11.601 das wird sich jetzt beschleunigen, 00:10:11.761 --> 00:10:16.301 diese Menschen werden weiter ausgeschlossen werden, weil sie plötzlich nur noch 00:10:16.301 --> 00:10:25.601 einen kleineren Teil ausmachen von den Kundinnen der Bankenversicherung und anderer Seiten, 00:10:25.721 --> 00:10:28.461 die solche Passwörter anbieten müssen. 00:10:33.861 --> 00:10:38.781 Und eigentlich sind wir mit dem Abriss gleich fertig, dass es ja inzwischen 00:10:38.781 --> 00:10:42.321 so weit dann ging, dass dem Passwort selber gar nicht mehr vertraut wurde. 00:10:42.321 --> 00:10:46.841 Passwörter werden ja so häufig von Nutzern, die sich die selber ausdenken dürfen, 00:10:46.941 --> 00:10:50.541 auf diversen Diensten die gleichen Passwörter benutzt, 00:10:50.601 --> 00:10:56.961 sodass regelmäßig Passwort-Leaks durch die Dark-Webs dieser Welt schwappen, 00:10:56.981 --> 00:11:03.321 in denen dann ein Passwort eigentlich nicht mehr als vertrauenswürdig betrachtet 00:11:03.321 --> 00:11:05.401 werden kann von einem Dienst, der was auf sich hält. 00:11:05.401 --> 00:11:11.561 Und damit hat sich dann eine neue Technologie oder eine neue Prozedur entwickelt, 00:11:11.801 --> 00:11:16.461 die sich Zwei-Faktor-Authentifizierung nennt, mehrere Faktoren, 00:11:16.521 --> 00:11:19.081 wo dann neben deinem Passwort, was du erst mal wissen musst, 00:11:19.221 --> 00:11:23.841 danach nochmal eine Bestätigungsnachricht versendet wird, entweder wieder per 00:11:23.841 --> 00:11:28.661 E-Mail oder per Kurznachricht auf deinem Mobiltelefon, mit dem du dann nachweisen musst, 00:11:28.801 --> 00:11:31.381 dass dein Vertrauensanker, den du da ganz am Anfang dabei hattest, 00:11:31.401 --> 00:11:37.721 in deinem Besitz ist und musst dann das entweder den dir zugesendeten Zahlencode 00:11:37.721 --> 00:11:39.941 nochmal eingeben oder auf den Link draufklicken, 00:11:40.001 --> 00:11:44.881 der in dieser E-Mail oder Kurznachricht drin war, um zu bestätigen, dass du immer noch. 00:11:46.176 --> 00:11:51.236 Herr oder Frau über dieselbe Hardware bist, die du beim ursprünglichen Abschließen 00:11:51.236 --> 00:11:52.176 dieses Vertrags hattest. 00:11:52.556 --> 00:11:55.136 Und damit sind wir so ein bisschen beim Kern, worüber wir heute eigentlich reden 00:11:55.136 --> 00:11:57.216 wollen, wo da so ein bisschen die Kritiken sind. 00:11:57.396 --> 00:12:00.476 Ich glaube auch, jemand, der sich mit Computern nicht so gut auskennt, 00:12:00.516 --> 00:12:03.516 wird sich was vorstellen können unter Zwei-Faktor-Authentifizierung, 00:12:03.596 --> 00:12:04.916 schlicht weil er eine Bankkarte haben wird. 00:12:05.236 --> 00:12:07.976 Und das ist ja eigentlich der Klassiker der Zwei-Faktor-Authentifizierung. 00:12:08.096 --> 00:12:10.956 Du hast sozusagen ein, oder Authentifizierung ist es im Deutschen, 00:12:11.076 --> 00:12:15.256 du hast eine Karte und du musst zusätzlich, also quasi Hardware. 00:12:15.356 --> 00:12:17.836 Du musst zusätzlich aber ein Wissen haben, nämlich die PIN-Nummer, 00:12:17.956 --> 00:12:21.756 um das zu benutzen. Ja, PIN, nicht PIN-Nummer, hast ja recht. 00:12:23.196 --> 00:12:27.016 Und ich glaube, das ist so etabliert, dass fast jeder kennen wird, 00:12:27.076 --> 00:12:30.436 zumindest jeder, der ein Konto hat und auch schon seit, ich würde sogar sagen, 00:12:30.536 --> 00:12:32.136 zwei Jahrzehnten, vielleicht sogar schon länger. 00:12:32.356 --> 00:12:37.256 Wobei das ja ein historisches Beispiel ist. Ich würde nicht mehr von zwei Faktoren sprechen. 00:12:37.416 --> 00:12:40.876 Wenn ich auf einem Handy erst die Banking-App habe, dann gehe ich in die andere 00:12:40.876 --> 00:12:45.236 App, hole mir den Code, gehe wieder in die erste App, ist irgendwie immer noch das gleiche Gerät. 00:12:45.476 --> 00:12:50.256 Da ist ja sozusagen eigentlich dann die SMS und E-Mail und du beschreibst es 00:12:50.256 --> 00:12:55.176 mit der App schon deutlich schlechter als zwei Faktor, was ich jetzt beschrieben 00:12:55.176 --> 00:12:56.056 habe aus dem Bankensektor. 00:12:56.936 --> 00:13:01.156 Ich glaube, die Ausrede an der Stelle ist, dass Zugang zu diesem Telefon erst 00:13:01.156 --> 00:13:04.656 mal nur dir gelingt, wenn du beweisen kannst, dass du bist. 00:13:04.916 --> 00:13:09.356 Also, dass das weitere Faktor ich bin dazu kommt, neben dem ich besitze und 00:13:09.356 --> 00:13:14.436 ich weiß, sondern dass du inzwischen irgendwelche Biometrie-Features in deinem 00:13:14.436 --> 00:13:16.136 Telefon angemacht haben musst, 00:13:16.216 --> 00:13:19.216 um nachweisen zu können, dass du als Person vor deinem Telefon stehst. 00:13:19.736 --> 00:13:22.176 In der Biometrie haben wir jetzt noch nicht angesprochen, könnte natürlich auch 00:13:22.176 --> 00:13:26.896 immer ein zweiter Faktor sein, dass man eine Form von, also zum Beispiel Stimme 00:13:26.896 --> 00:13:31.376 oder gebräuchlicher sind sicherlich die Fingerabdrücke oder Gesichtsscan benutzt 00:13:31.376 --> 00:13:33.256 als zweiten Faktor, das wäre ja auch noch eine Variante. 00:13:33.436 --> 00:13:37.536 Also wir müssen vielleicht mal sagen, was sind denn typische zweite Faktoren, 00:13:37.596 --> 00:13:39.656 die heute verwendet werden? Wir haben jetzt ein paar so angesprochen, 00:13:39.676 --> 00:13:42.596 aber welche sind so die meistbenutzten? Was würdet ihr sagen? 00:13:45.046 --> 00:13:50.306 Ich habe etwas. Also einmal, klar, das Passwort, das nehmen wir mal als erstes. Also ich weiß was. 00:13:50.586 --> 00:13:54.486 Genau. Und als zweiten Faktor dann, aber ich habe meine Mobilfunknummer und 00:13:54.486 --> 00:13:55.466 die habe ich auch morgen noch. 00:13:56.526 --> 00:14:02.126 Also ich habe die SIM-Karte oder die eSIM auf meinem Telefon mit dieser Mobilfunknummer konfiguriert. 00:14:02.346 --> 00:14:05.726 Und das ist ja auch, glaube ich, der Grund, warum, also wir kommen ja nachher 00:14:05.726 --> 00:14:08.646 noch ein bisschen näher auf SMS zu sprechen, Aber das ist natürlich auch der 00:14:08.646 --> 00:14:11.766 Grund, warum es interessant ist für das, was wir veröffentlicht haben, 00:14:11.906 --> 00:14:13.846 weil ja da direkt SMS betroffen sind. 00:14:14.186 --> 00:14:19.886 Also ein Anbieter, der für andere diese Authentifizierungsverfahren durchführt und zwar via SMS. 00:14:20.066 --> 00:14:23.066 Also man bekam dann zum Beispiel in einem Mal Passwort per SMS. 00:14:23.066 --> 00:14:26.406 Und wer das nicht mehr kennt, es gibt ja unter den jüngeren Leuten einige, 00:14:26.606 --> 00:14:29.666 die irgendwie nur noch Messenger und WhatsApp kennen. 00:14:29.746 --> 00:14:34.546 SMS ist natürlich ein Nachrichtenformat, aber auch schon seit vielen, 00:14:34.726 --> 00:14:39.506 vielen Jahren kritisiert dafür, dass es verschiedene Möglichkeiten gibt, 00:14:39.746 --> 00:14:44.326 SMS-Inhalte für solche, die das nicht lesen sollen, mitzulesen. 00:14:44.426 --> 00:14:47.906 Ich glaube, das bekannteste, da kommen wir vielleicht noch ein bisschen genauer drauf. 00:14:48.086 --> 00:14:51.426 Aber neben der SMS, was ist heute noch typischerweise verbreitet? 00:14:52.446 --> 00:14:56.746 Na eben die E-Mail. Ja, würde ich auch sagen, wahrscheinlich genauso oft, 00:14:56.786 --> 00:15:00.046 könnte ich mir durchaus vorstellen. Also ich habe keine statistischen Zahlen dazu gefunden. 00:15:00.766 --> 00:15:05.726 Ansonsten gibt es noch so FIDO2-kompatible Tokens, also so YubiKeys und Konsorten, 00:15:05.726 --> 00:15:10.546 in denen dann zeitbasiert einmal Passwörter angezeigt werden, 00:15:10.706 --> 00:15:15.926 was dann schon wieder sowas ist wie TAN-Listen, aber eben automatisch generiert 00:15:15.926 --> 00:15:18.206 über die Zeit, die dann immer nur für einen bestimmten Zeitraum gelten. 00:15:18.886 --> 00:15:24.006 Was ist denn mit diesen Geräten, die vermutlich viele kennen von ihren Banken, 00:15:24.006 --> 00:15:25.726 so Hardware-Token, die sie mitnehmen müssen? 00:15:26.926 --> 00:15:31.626 Würden die dazuzählen oder ist es oft eher noch ein dritter Faktor? 00:15:31.766 --> 00:15:37.106 Ja, die gab es da in diversen sehr bunten Ausprägungen. Teilweise wo man blinkende 00:15:37.106 --> 00:15:42.106 Muster auf seinem Bildschirm fotografieren musste, wo die Bank dann im JavaScript 00:15:42.106 --> 00:15:46.346 Dinge erzeugt hat, die mit diesem blinkenden Muster wieder übereinstimmen mussten. 00:15:48.292 --> 00:15:53.452 Da gab es echt viel. Auch die HBCI-Lesegeräte, das heißt diese ganze Smartcard-Technologie, 00:15:53.492 --> 00:15:57.972 wo am Ende dein Vertrauensanker wieder der Hersteller und am Ende dann du als 00:15:57.972 --> 00:16:04.932 Inhaber dieser Smartcard mit diesem kleinen lustigen Hardware-Security-Token da drin eben bist. 00:16:05.352 --> 00:16:09.592 Okay, mein Eindruck ist, dass diese Token verbreiteter sind im Bereich Business 00:16:09.592 --> 00:16:12.792 und Unternehmen und weniger bei diesen Endverbraucherdiensten. 00:16:13.272 --> 00:16:16.132 Also bei Banken vielleicht noch schon. Also ich kenne eine ganze Menge Leute, 00:16:16.132 --> 00:16:21.012 Leute, die so Sachen tatsächlich haben, auch mehrere, wenn man bei mehreren Banken Kunde ist. 00:16:21.072 --> 00:16:25.672 Aber auch da, ich vermute mal im Vergleich zu E-Mail oder SMS, 00:16:25.972 --> 00:16:29.232 ist das noch sehr viel seltener benutzt, würde ich denken. 00:16:29.512 --> 00:16:35.152 Naja, was jetzt aber richtig Schwung gerade aufnimmt, ist, dass jede Bank oder 00:16:35.152 --> 00:16:37.852 jede Versicherungsdienstleister oder eigentlich jeder möchte, 00:16:37.952 --> 00:16:41.152 die ihre eigene App reindrücken, sowieso um mehr Kundenbindung zu machen. 00:16:41.152 --> 00:16:46.392 Aber diese Apps haben dann, je nachdem auf welchen der beiden Flavors von Mobiltelefonen 00:16:46.392 --> 00:16:48.472 man da gerade unterwegs ist, die Möglichkeit, 00:16:48.732 --> 00:16:55.552 Push-Benachrichtigungen in diese App zuzustellen, sodass du als weiteren Vertrauensanker 00:16:55.552 --> 00:16:57.952 dann den Hersteller des Telefons hast, 00:16:58.052 --> 00:17:05.652 der über sein oder ihren Push-Service erlaubt, direkt in die App dir den Code zuzustellen. 00:17:05.652 --> 00:17:11.392 Den Einmalkode, den du danach brauchst, um zu beweisen, dass du das Telefon 00:17:11.392 --> 00:17:15.132 in der Hand hast und eventuell dich gegenüber deinem Telefon, 00:17:15.132 --> 00:17:25.612 als du selber nachweisen kannst und die Kommunikation zwischen deinem, dem Anbieter, 00:17:25.652 --> 00:17:29.552 dem Diensteanbieter und der App, den dieser Diensteanbieter auf dein Telefon 00:17:29.552 --> 00:17:32.032 drauf installiert hat über dich. 00:17:32.845 --> 00:17:38.785 Das ist mindestens einmal verschlüsselt vom Anbieter dieses Betriebssystems, 00:17:38.785 --> 00:17:41.065 sei es jetzt Android oder sei es iOS. 00:17:41.585 --> 00:17:45.145 Und natürlich hält einen als Hersteller so in einer App nichts davon ab, 00:17:45.185 --> 00:17:46.645 selber nochmal nachzuverschlüsseln. 00:17:48.105 --> 00:17:54.045 Wobei ich weiß nicht, wie viel Sicherheit man dann noch gewinnen kann, 00:17:54.125 --> 00:17:58.025 weil man ja eh dem Hersteller das Betriebssystem vertrauen muss an der Stelle. 00:17:58.025 --> 00:18:00.345 Damit ist schon eher, glaube ich, auch bei Banken verbreitet. 00:18:00.705 --> 00:18:05.425 Also, dass andere Dienste so ein bisschen diese, ja, du musst jetzt hier diese 00:18:05.425 --> 00:18:08.025 App runterladen, ist, glaube ich, noch nicht so weit verbreitet. 00:18:08.085 --> 00:18:11.445 Ihr kennt das von Diensten, also die jetzt nicht zum Beispiel Banken sind, 00:18:11.525 --> 00:18:12.585 wo das ja schon länger so gemacht wird. 00:18:12.765 --> 00:18:16.985 Aber damit schließt man natürlich wiederum eine Anzahl von Menschen aus, 00:18:17.105 --> 00:18:21.565 die SMS empfangen können, weil sie ein Telefon haben, aber die vielleicht kein Smartphone haben. 00:18:21.565 --> 00:18:25.605 Und ein Smartphone, wie wir alle wissen, ist natürlich auch ein teurerer Device 00:18:25.605 --> 00:18:29.005 als zum Beispiel ein 25-Euro-Feature-Phone. 00:18:29.945 --> 00:18:33.065 Und du musst natürlich auch damit umgehen können. Das ist ja immer noch so eine Sache. 00:18:33.745 --> 00:18:37.805 Traust du dir zu, mit den ganzen E-Mails umzugehen oder traust du dir zu, 00:18:37.925 --> 00:18:42.405 die lauter Apps zu installieren oder einzuschätzen, wie du darüber welche Passwörter 00:18:42.405 --> 00:18:44.365 empfängst? Also ich glaube, da gibt es nochmal eine gewisse Hürde, 00:18:44.385 --> 00:18:45.505 man schließt da wieder Leute aus. 00:18:45.585 --> 00:18:49.525 Aber ich glaube dennoch, oder zumindest glaube ich zu beobachten, 00:18:49.645 --> 00:18:51.285 dass das mit den Apps eher zunimmt. 00:18:51.465 --> 00:18:54.245 Ich weiß nicht, ob ihr das auch so seht. Ja. Würdest du auch sagen? 00:18:54.965 --> 00:18:59.905 Definitiv. Also ein gutes Beispiel sind Menschen mit Google-Account und Android-Handy, 00:19:00.025 --> 00:19:03.425 die sich dann im Browser in ihr Mail-Konto einloggen wollen. 00:19:03.865 --> 00:19:07.245 Und dann geht auf dem Handy, obwohl gar keine App installiert ist, 00:19:07.365 --> 00:19:10.905 eine Nachricht auf, weil das so tief ins Betriebssystem integriert ist. 00:19:10.905 --> 00:19:13.065 Ich wusste gar nicht. Ich bin ja Google-Fan. 00:19:13.245 --> 00:19:16.385 Ach echt, ja? Ich glaube, das passiert unter iOS. 00:19:18.063 --> 00:19:24.983 Funktioniert das so ähnlich? Alle möglichen Dienste, die da grob von Apple bereitgestellt 00:19:24.983 --> 00:19:27.683 werden, machen dann großes Trari-Trara. 00:19:27.983 --> 00:19:32.183 Ich war beim Kumpel zu Besuch, der sein gesamtes Heim mit Apple-Devices geflastert 00:19:32.183 --> 00:19:35.363 hat und als der dann einmal sich von einem neuen Gerät eingeloggt hat, 00:19:35.443 --> 00:19:39.883 klingelten plötzlich 20 Telefone und Tablets und Computer im ganzen Haus, 00:19:39.923 --> 00:19:43.983 alle mit der Aufforderung, ganz dringend mal nachzugucken, ob die neue Anmeldung 00:19:43.983 --> 00:19:45.743 dort korrekt ist oder nicht. 00:19:45.743 --> 00:19:48.563 Das war auch bedrückend. 00:19:49.603 --> 00:19:55.063 Also wir halten jedenfalls mal fest, die Macht der beiden großen Mobilbetriebssystemhersteller 00:19:55.063 --> 00:20:02.603 Apple und Google, die wächst eher in Bezug auf die Sicherheit von Zugangsdaten und Passwörtern. 00:20:02.743 --> 00:20:05.743 Das muss man wahrscheinlich einfach konstatieren. Also klar, 00:20:05.803 --> 00:20:09.703 die SMS ist ein Dienst, der so gut wie auf jedem Phone möglich ist, 00:20:09.763 --> 00:20:14.203 aber er hat schwierige Sicherheitsparameter, die auch lange bekannt sind, 00:20:14.263 --> 00:20:15.383 die auch ausgenutzt werden aktiv. 00:20:16.123 --> 00:20:22.123 Aber natürlich die Tatsache, dass man wechselt zu Apps ist nicht nur vorteilhaft, 00:20:22.243 --> 00:20:25.403 denn ein paar Leute können da nicht mitgehen oder wollen vielleicht auch nicht mitgehen. 00:20:25.763 --> 00:20:30.623 Und es gibt ja übrigens auch noch andere Mobilbetriebssysteme als Android und 00:20:30.623 --> 00:20:32.983 Google und Apple meine ich. 00:20:34.103 --> 00:20:38.783 Naja, aber okay. Wollen wir mal ein bisschen reden über den aktuellen Vorfall, 00:20:38.843 --> 00:20:39.903 über den wir berichtet haben, 00:20:40.083 --> 00:20:45.123 weil da ja nicht so ein bisschen der Klassiker, wie man auf Inhalte von SMS 00:20:45.123 --> 00:20:50.443 zugreifen kann, sondern eher so ein, also in der Pressemeldung war die Formulierung 00:20:50.443 --> 00:20:53.623 vernachlässigter Angriffsweg. Weg. 00:20:54.943 --> 00:20:57.183 Wollen wir ein bisschen darüber sprechen? Erstmal wollen wir vielleicht mal 00:20:57.183 --> 00:21:02.303 sagen, der Hack ist von einer dritten Person gemacht worden, 00:21:02.363 --> 00:21:03.783 über die wir aber nicht näher sprechen. 00:21:03.923 --> 00:21:06.863 Die möchte anonym bleiben. 00:21:07.143 --> 00:21:11.303 Also wir haben sozusagen nur veröffentlicht und nachvollzogen, 00:21:11.363 --> 00:21:12.983 was jemand anders technisch durchgeführt hat. 00:21:13.443 --> 00:21:17.903 Denn es gibt ja immer noch so Hacker-Paragraphen und nicht jede Firma mag es, 00:21:18.023 --> 00:21:21.363 wenn man sie auf Datenlecks hinweist. Insofern sind wir eingesprungen. 00:21:22.520 --> 00:21:27.200 Dann sag mal ungefähr, wenn du willst, ein bisschen was dazu sagen, 00:21:27.320 --> 00:21:29.760 wie das zustande kam, bevor diese Pressemitteilung rauskam. 00:21:29.800 --> 00:21:32.780 Aber du kannst es natürlich auch weglassen, wenn du sagst, da rede ich lieber nicht drüber. 00:21:34.000 --> 00:21:37.680 Ich glaube, da gibt es später nochmal eine Möglichkeit. Ich rede da noch nicht drüber. 00:21:39.260 --> 00:21:44.200 Aber die Person und ich haben schon eine Weile miteinander zu tun und ich berate 00:21:44.200 --> 00:21:47.560 die Person beim Melden von Sicherheitslücken gelegentlich. 00:21:48.240 --> 00:21:52.780 Und diese Person ist dann hier auf ein ganz bestimmtes Datennetz gestoßen, 00:21:52.800 --> 00:21:55.120 was technisch völlig langweilig ist. 00:21:55.120 --> 00:22:02.300 Denn man musste einfach nur eine Subdomain raten von einem Amazon S3 Bucket, 00:22:02.360 --> 00:22:08.280 also so eine Dateiablage von Amazon, wo man Dateien hinwerfen kann und Dateien wieder abrufen kann. 00:22:08.940 --> 00:22:13.880 Und dieses Bucket war schlecht, gar nicht geschützt. 00:22:13.960 --> 00:22:19.860 Das heißt, es reichte, die Subdomain zu raten, die Seite aufzurufen und dann 00:22:19.860 --> 00:22:22.160 hat die Seite einem gesagt, welche Dateien da alle liegen. 00:22:22.280 --> 00:22:25.420 Und diese Dateien konnten dann auch heruntergeladen werden. Es waren ein paar 00:22:25.420 --> 00:22:27.980 mehr, nicht nur so drei, sondern mehr so Millionen. 00:22:29.520 --> 00:22:34.100 Ich weiß gar nicht, wie viele Dateien es waren, aber wir wissen, 00:22:34.160 --> 00:22:37.400 dass da etwa 200 Millionen SMS auch lagen. 00:22:38.382 --> 00:22:43.922 Mhm. Und wie viele davon waren tatsächlich Einmalpasswörter? 00:22:43.942 --> 00:22:46.182 Also kannst du ein bisschen was zur statistischen Verteilung? 00:22:46.842 --> 00:22:51.402 Also wir haben aus Gründen natürlich nicht alle SMS angeschaut. 00:22:52.182 --> 00:22:58.342 Aber das, was wir gesehen haben, waren ganz überwiegend so zwei Faktor Codes. 00:22:58.542 --> 00:23:01.662 Einfach so sechs Ziffern häufig, die man eingeben darf. 00:23:02.642 --> 00:23:07.642 Selten Hinweise auf eine zum Beispiel Kreditkartentransaktion, 00:23:07.642 --> 00:23:10.442 wo dann auch noch vier Ziffern der Kreditkartennummer auftauchen. 00:23:11.042 --> 00:23:15.022 Auftrafen. Möglicherweise noch eine Summe oder so, die transferiert wird? Genau, die auch. 00:23:16.162 --> 00:23:23.182 Und in wenigen Fällen, zum Beispiel bei Amazon, war dann auch so ein Ein-Klick-Login-Link zu sehen. 00:23:23.382 --> 00:23:26.162 Den man eigentlich nicht mehr haben will, aber der offenbar noch verschickt wird. 00:23:26.502 --> 00:23:32.082 Das war dann ein Einfaktor Authentifizierung. Kannst du das nochmal deutlich herausstellen? 00:23:32.362 --> 00:23:37.122 Der Punkt ist nämlich, dass diese Zwei-Faktor-Authentifizierung in letzter Zeit 00:23:37.122 --> 00:23:41.602 wegen der Bequemlichkeit zu einer Einfaktor-Authentifizierung wird, 00:23:41.742 --> 00:23:46.522 weil du hast ja eh Zugriff auf das Telefon und könntest dir damit also das Passwort 00:23:46.522 --> 00:23:48.502 eh zusenden und erneuern lassen. 00:23:48.802 --> 00:23:53.322 Das heißt dort an der Stelle verliert der Begriff Zwei-Faktor-Authentifizierung 00:23:53.322 --> 00:23:54.382 plötzlich wieder seinen Sinn. 00:23:54.802 --> 00:23:58.962 Genau, es gibt Seiten, wo man dummerweise nur noch seine Mobiltelefonnummer 00:23:58.962 --> 00:24:02.822 eingibt, dann kriegt man eine SMS, gibt den Code ein und ist eingeloggt. 00:24:02.862 --> 00:24:07.282 Und das ist dann keine Zwei-Faktor-Authentifizierung. Also und man hat ihnen 00:24:07.282 --> 00:24:12.222 zusätzlich seine Mobiltelefonnummer geschenkt, die ja auch unter Privatsphäre-Aspekten 00:24:12.222 --> 00:24:13.802 sicherlich auch ein Datum ist. 00:24:14.462 --> 00:24:20.082 Was ja aus Sicht der Unternehmen schön ist, denn damit hast du wahrscheinlich 00:24:20.082 --> 00:24:23.662 nur einen Account auf dieser Seite und nicht mehrere zum Beispiel. 00:24:23.982 --> 00:24:26.542 Gleich einen X-Keyscore-Selektor mit übergeben. 00:24:27.482 --> 00:24:31.202 Exactly, genau. Okay, aber wie viel würdest du sagen, wie viel waren jetzt wirklich 00:24:31.202 --> 00:24:35.242 so, wo es eigentlich One-Factor-Authentification war? 00:24:35.302 --> 00:24:38.022 Würdest du sagen, schon 10% oder 1% oder 50%? 00:24:39.102 --> 00:24:42.922 Ungefähr. Ich sag mal 10% oder weniger. Also vergleichsweise wenig, 00:24:42.962 --> 00:24:45.542 wenn du jetzt an die großen Mengen denkst. Die meisten waren halt schlicht, 00:24:45.602 --> 00:24:49.102 also entweder sechsstellige Transaktionsnummern, die man für Banking braucht 00:24:49.102 --> 00:24:50.522 oder für WhatsApp oder so. 00:24:52.202 --> 00:24:55.642 Oder 180 andere Unternehmen. Ja, richtig. 00:24:57.202 --> 00:25:01.882 Spannend. Da kommen wir überhaupt zu der Frage, was macht diese Firma eigentlich? 00:25:02.002 --> 00:25:07.942 Warum kann nicht die Bank einfach selber, wenn sie dort eh schon ein Rechenzentrum 00:25:07.942 --> 00:25:11.662 betreibt mit Computern, Und warum schicken die nicht einfach diese Codes per SMS raus? 00:25:12.022 --> 00:25:16.902 Was ist die Nische, die dort diese Firmen eigentlich füllen? 00:25:18.962 --> 00:25:22.502 Diese Firma ist Dienstleister für Dienstleister. 00:25:23.382 --> 00:25:28.242 Und diese Firma hat sich einfach nur darauf spezialisiert, SMS zu verschicken. 00:25:28.342 --> 00:25:31.522 Also die Firma hat noch ein kleines zweites Standbein. Aber das erste Standbein 00:25:31.522 --> 00:25:36.702 ist, du sagst ihr, was du verschicken möchtest, an wen. Und die Firma macht das für dich. 00:25:37.162 --> 00:25:40.382 Also man kann sich vorstellen, dass da nicht bei irgendeiner Bank so ein Mitarbeiter 00:25:40.382 --> 00:25:43.222 oder Mitarbeiterin rumsitzt und jedes Mal, wenn ein Benutzer was klickt, 00:25:43.242 --> 00:25:47.082 schnell mit ihrem Mobiltelefon dort einen Zahlencode sich ausdenkt und dem Kunden zuschickt. 00:25:47.442 --> 00:25:53.982 Sondern da gibt es standardisierte Interfaces, also Schnittstellen mit Firmen, die das dann anbieten. 00:25:54.002 --> 00:25:59.602 Die nehmen dann wahrscheinlich was entgegen, so Zielrufnummer und Inhalt oder... 00:26:00.753 --> 00:26:07.613 Entweder das oder da ist eine Schnittstelle, wo einfach nur noch die Rufnummer angegeben wird. 00:26:07.673 --> 00:26:13.653 Die Firma generiert dann für dich als Dienstleistung die sechs Ziffern und teilt 00:26:13.653 --> 00:26:17.053 diese sechs Ziffern dem Kunden, der Kundin mit und dem Unternehmen. 00:26:17.553 --> 00:26:21.293 Wir haben die auch benannt. In dem konkreten Fall heißt die Firma Identify Mobile 00:26:21.293 --> 00:26:23.473 und ist aus Großbritannien. 00:26:23.473 --> 00:26:29.053 Ja, im Moment der erste Schritt war ja, dass diese Firmen sind ja nicht direkt 00:26:29.053 --> 00:26:33.473 zu Identify Mobile gegangen, sondern sind zu einer Firma namens Twilio gegangen 00:26:33.473 --> 00:26:36.213 und haben bei denen diese Dienstleistungen eingekauft. 00:26:36.213 --> 00:26:39.113 Twilio kennen glaube ich in Deutschland mittlerweile relativ viele, 00:26:39.193 --> 00:26:44.813 weil die sich bei ganz vielen Online-Shops mittlerweile, 00:26:45.253 --> 00:26:50.273 also zumindest glaube ich, dass viele eher denen ein Begriff ist und Identify 00:26:50.273 --> 00:26:54.713 Mobile wahrscheinlich hier niemand kennt, weil das ja eben so ein unsichtbarer Subunternehmer ist. 00:26:55.233 --> 00:26:59.073 Genau, das ist eine britische Firma, die diese Dienste anbietet. 00:27:00.393 --> 00:27:06.153 Ich glaube, der größte oder einzige Konkurrent in Deutschland von Twilio ist Verimi. 00:27:07.233 --> 00:27:09.553 Die aber mittlerweile, glaube ich, auch viele kennen, wegen der Bahn, 00:27:09.713 --> 00:27:13.713 oder? Also es ist ja schlicht so, dass immer dann, wenn ein ganz großer Anbieter, 00:27:13.713 --> 00:27:17.713 die viele Menschen benutzen, sich mit diesen Dienstlästern schmücken, 00:27:17.773 --> 00:27:18.893 dann kennt man plötzlich deren Namen. 00:27:19.253 --> 00:27:21.733 Das ist ja vorher, glaube ich, nicht so bekannt gewesen. 00:27:23.313 --> 00:27:26.673 Da möchte ich dann den Kreis auch gleich wieder schließen. Wir haben ja angefangen 00:27:26.673 --> 00:27:27.653 mit den Vertrauensankern. 00:27:28.453 --> 00:27:35.433 Hurra, was ist das für eine großartige Monokultur oder ein Duopol gar, 00:27:35.533 --> 00:27:41.333 was wir uns da angelegt haben, den wir jetzt mit unserer Accountsicherheit komplett 00:27:41.333 --> 00:27:44.253 alle Eier in den Korb oder die beiden Körbe reinlegen. 00:27:44.793 --> 00:27:48.673 Aber warte mal, wenn das die Briten sind, dann sind die für die die DSGVO nicht, 00:27:48.753 --> 00:27:51.253 die Datenschutzgrundverordnung der Europäischen Union, sehe ich das richtig? 00:27:51.733 --> 00:27:56.433 Nein, klar. Die verarbeiten Daten von Leuten, die sich in der EU aufhalten. 00:27:57.493 --> 00:28:03.693 Gut, und damit würde auch sozusagen der berühmte Artikel, der auch die IT-Sicherheit betrifft, 00:28:04.453 --> 00:28:09.213 Natürlich gelten denn auch, also man betrachtet die ja als Datenschutzgrundverordnung, 00:28:09.313 --> 00:28:12.993 aber die hat ja durchaus auch Bezüge zur IT-Sicherheit, denn auch da steht ja 00:28:12.993 --> 00:28:15.113 einige drin. Das würde dann ja hier voll greifen. 00:28:15.853 --> 00:28:19.953 Stand der Technik war der Schutz jedenfalls nicht, nein. Das kann man wohl sagen. 00:28:20.253 --> 00:28:22.533 Das heißt, Sie hätten auch eine Meldepflicht? 00:28:23.313 --> 00:28:27.693 Nein, Sie sind ja nur vermutlich Auftragsdatenverarbeiter. Das heißt, 00:28:27.993 --> 00:28:33.193 Twilio selbst zum Beispiel oder vielmehr die Bank sogar hätte ihre Kundinnen 00:28:33.193 --> 00:28:36.293 und Kunden informieren müssen. Das sind dann aber doch relativ viele. 00:28:36.993 --> 00:28:41.393 Wir hatten die eine oder andere irritierte Nachfrage von noch größeren Firmen, 00:28:41.453 --> 00:28:45.373 die von Twilio informiert wurden über diesen Vorfall. 00:28:45.553 --> 00:28:50.453 Und Twilio und auch schon vorher Identify Mobile haben sich das ja nicht nehmen 00:28:50.453 --> 00:28:54.973 lassen, nochmal den Chaos Computer Club schön in ihrer Information an ihre jeweiligen 00:28:54.973 --> 00:28:59.353 Kundinnen mit reinzunehmen in zwei mittellangen Absätzen. 00:29:00.773 --> 00:29:03.213 Okay, das muss man ein bisschen genauer erklären, wer das jetzt vielleicht in 00:29:03.213 --> 00:29:08.253 der Pressemitteilung nicht gelesen hat. Also erstmal, die haben sich überhaupt 00:29:08.253 --> 00:29:10.033 an den TTC gewandt, richtig? 00:29:10.493 --> 00:29:14.153 Weil sie wissen wollten, ob ihr die Inhalte der SMS noch habt? 00:29:15.193 --> 00:29:18.973 Also Schritt 1, wir haben diese Lücke gemeldet. 00:29:19.133 --> 00:29:22.893 Wir haben diese Lücke nicht direkt an Identify Mobile gemeldet, 00:29:22.893 --> 00:29:26.033 weil wir noch gar nicht wussten, wem gehört dieses Bucket. 00:29:26.053 --> 00:29:29.873 Das steht da nicht dran und das ist ein Riesenproblem. Wir haben also gesehen, 00:29:30.053 --> 00:29:35.173 welche Firmen da betroffen sind und haben mehrere davon angeschrieben, unter anderem Amazon. 00:29:35.393 --> 00:29:39.873 Und irgendeine dieser Firmen hat reagiert und das Lack wurde geschlossen. 00:29:39.993 --> 00:29:44.573 Wir wussten dann aber noch nicht, ist das Identify Mobile, ist das wer anders? 00:29:44.573 --> 00:29:49.973 Haben nochmal überlegt und manches sprach für Identify Mobile. 00:29:50.313 --> 00:29:57.273 Ich wollte jetzt aber nicht auf Identify Mobile zugehen und sagen, hier euer Datenleck. 00:29:59.214 --> 00:30:03.274 Wie sieht das denn jetzt damit aus? Also ich wollte denen nicht direkt vorwerfen, 00:30:03.294 --> 00:30:06.834 dass sie ein Datenleck hatten, sondern die Möglichkeit offenhalten, dass sie es nicht waren. 00:30:07.574 --> 00:30:12.274 Also habe ich ihnen geschrieben, dass das Leck jetzt ja geschlossen worden sei 00:30:12.274 --> 00:30:14.234 und ob sie noch Fragen haben. 00:30:14.374 --> 00:30:17.114 Und da sind sie voll drauf eingestiegen. Okay, dann ist ja wohl alles klar. 00:30:17.654 --> 00:30:22.214 Okay, jetzt sozusagen war aber auch ein bisschen eine Rechtssicherheit, die du damit hast. 00:30:22.314 --> 00:30:26.414 Du hast ihnen ja dann, ja, sie haben ja letztlich gesagt, dass es ihrs war. 00:30:27.574 --> 00:30:31.634 Sehr lange nicht. Also wir haben über sehr konkrete Dinge gesprochen und wir 00:30:31.634 --> 00:30:35.034 haben von dem Bucket gesprochen, aber es ist nie konkret benannt. 00:30:36.894 --> 00:30:40.314 Ich habe noch ein Verständnisproblem, bei dem du mir vielleicht helfen kannst. 00:30:41.434 --> 00:30:46.914 Warum müssen denn für so Nachrichten, die eigentlich nur ganz kurz sind und 00:30:46.914 --> 00:30:53.334 von einer Firma per SMS versendet werden, warum müssen die sich in so einem 00:30:53.334 --> 00:30:54.614 großen Bucket da akkumulieren? 00:30:56.934 --> 00:30:59.834 Vielleicht gibt es irgendwelche dienste die 00:30:59.834 --> 00:31:04.514 da gesteigertes interesse haben aber also 00:31:04.514 --> 00:31:07.454 so ein bucket kostet ja geld und da lagen terabyte an 00:31:07.454 --> 00:31:10.314 daten so dass das kostet richtig 00:31:10.314 --> 00:31:15.074 das kann nicht sein dass da irgendjemand durch zufall mal also das ist fällt 00:31:15.074 --> 00:31:21.494 auf der nächsten abrechnung auf sagst du dass dort so so ein bucket mit daten 00:31:21.494 --> 00:31:25.014 die du sagst du muss man bezahlen und der chef von der Firma sieht es auf seiner 00:31:25.014 --> 00:31:27.814 Kreditkarte und würde sich spätestens dann die Frage stellen, oh, 00:31:27.994 --> 00:31:31.554 warum liegen denn da mehrere Terabyte Daten von etwas, wo wir eigentlich nur 00:31:31.554 --> 00:31:32.934 Kurznachrichten durchreichen? 00:31:33.714 --> 00:31:37.854 Würde ich stark von ausgehen, auch vor dem Hintergrund, dass Identify Mobile 00:31:37.854 --> 00:31:42.694 ansonsten relativ sparsam ist und eine sehr alte Webseite zum Beispiel hat, 00:31:42.814 --> 00:31:45.014 sogar ohne TLS-Zertifikat. 00:31:45.514 --> 00:31:46.394 Upsi, schnupsi. 00:31:48.154 --> 00:31:52.574 Aber das kann auch sein, dass es dann günstiger war. Also das ist ja tatsächlich, 00:31:52.574 --> 00:31:54.774 Den Aspekt haben wir ja noch nicht gesprochen. Geld. 00:31:55.674 --> 00:32:00.954 Das ist ja eine Dienstleistung, das wird zu Zehntausenden pro Sekunde gemacht. 00:32:01.154 --> 00:32:05.114 Da kommen sehr schnell Millionen SMS zusammen. Da geht es ja sicherlich darum, 00:32:05.274 --> 00:32:07.234 dass man Geld spart pro Transaktion. 00:32:08.174 --> 00:32:12.474 Ich glaube, Twiglio warbt damit, dass es irgendwie mehrere Milliarden am Tag 00:32:12.474 --> 00:32:16.894 sind, Nachrichten, die sie dort verschicken. 00:32:17.014 --> 00:32:19.154 Ich habe irgendwo den Tab noch offen, finde den gerade nicht. 00:32:19.374 --> 00:32:23.434 Aber ja, die Größenordnung ist schon so, dass etwas, was, ne, 00:32:23.474 --> 00:32:28.214 früher haben ja diese SMS-Kurznachrichten noch wirklich ernsthaft Geld gekostet. 00:32:28.314 --> 00:32:31.794 Wir erinnern uns, dass wir früher 20 Cent, oder nur noch 50. 00:32:31.974 --> 00:32:33.834 Oh, das war aber, glaube ich, schon über 20 Jahre her, oder? 00:32:33.934 --> 00:32:39.034 Oh je. Aber das liegt daran, dass diese Kurznachrichten tatsächlich auf den 00:32:39.034 --> 00:32:43.414 Kanälen, mit denen dein Telefon mit der Basisstation spricht, 00:32:43.694 --> 00:32:45.334 tatsächlich Zeitslots wegnehmen. 00:32:45.474 --> 00:32:50.374 Das ist wirklich eine begrenzte Ressource im Gegensatz zu anderen Dingen wie 00:32:50.374 --> 00:32:54.254 vielleicht Push-Nachrichten, die durch paketvermittelten Kram durchgehen, 00:32:54.334 --> 00:32:56.054 sodass da am Ende noch wirklich ... 00:32:59.691 --> 00:33:02.891 Mindestens an der Stelle, aber auch wenn du es über Grenzen hinweg versendest, 00:33:02.931 --> 00:33:05.591 fallen dort immer noch reale Gebühren an. 00:33:05.911 --> 00:33:11.011 Und diese Gebühren können in der letzten Zeit auch hart eingebrochen sein, aber es läppert sich. 00:33:11.091 --> 00:33:15.171 Wenn du mehrere Milliarden Nachrichten am Tag schickst, dann kommt dort auch 00:33:15.171 --> 00:33:16.051 ordentlich Geld zusammen. 00:33:16.571 --> 00:33:19.351 Also wir gehen ja jetzt davon aus, in dem konkreten Fall haben wir es ja auch gesehen, 00:33:19.631 --> 00:33:23.411 Twilio nimmt sich dann halt einen Subunternehmer, der wahrscheinlich eine größere 00:33:23.411 --> 00:33:29.451 Menge abnimmt und den Preis, den Twilio macht, unterbietet und damit, 00:33:29.631 --> 00:33:32.791 also sonst würden sie sich ja, würden sie ja Kinderschaft machen. 00:33:32.791 --> 00:33:35.151 Ja, oder sie haben irgendwo technische Probleme. 00:33:35.631 --> 00:33:39.911 Twilio selbst nannte den ersten Subunternehmer Backup-Carrier. 00:33:40.471 --> 00:33:44.931 Da gibt es also noch jemanden zwischen und dieser Backup-Carrier hat dann selbst 00:33:44.931 --> 00:33:48.071 als weiteren Backup-Carrier Identify Mobile. 00:33:48.351 --> 00:33:53.571 Das heißt, wir haben eine schöne SMS-Lieferkette und das letzte Glied in dieser 00:33:53.571 --> 00:33:55.911 Lieferkette hat ein Problem. Ja, okay. 00:33:56.951 --> 00:33:59.871 Wir wissen nicht, da könnte sogar noch jemand dazwischen sein, 00:33:59.891 --> 00:34:01.711 würden wir gar nicht wissen. Ah, okay. 00:34:01.851 --> 00:34:04.911 Aber das ist spannend, wenn du da irgendeinen Dienst machen möchtest. 00:34:06.111 --> 00:34:10.671 Der vielleicht gerade so 10% günstiger ist als alle anderen und du damit dann 00:34:10.671 --> 00:34:14.931 ein größeres Volumen abnimmst, könntest du vielleicht auch den einen oder anderen 00:34:14.931 --> 00:34:17.471 Dienst aus einem anderen Land fragen, ob sie dir nicht nochmal einen Pfennig 00:34:17.471 --> 00:34:20.251 oder so zustecken wollen, das ausgleichen. 00:34:20.291 --> 00:34:22.411 Und du musst es dann nicht mal selber ausliefern, sondern kannst dir wieder 00:34:22.411 --> 00:34:25.991 einen Subunternehmer suchen, der das dann für dich verteilt. 00:34:25.991 --> 00:34:31.571 Und du hast nochmal einen schönen Einblick in spannenden Verkehr. 00:34:31.711 --> 00:34:36.131 Du weißt dann, welche Mobiltelefonnummer bei welcher Bank meinetwegen ist oder 00:34:36.131 --> 00:34:37.911 welche Dienste man nutzt. Ja, keine Frage. 00:34:39.231 --> 00:34:43.071 Also ich muss aber nochmal eben auf eine Frage... Also das... 00:34:45.504 --> 00:34:52.084 Ich habe den Faden verloren. Genau, also dadurch, dass Identify Mobile SMS verschickt, 00:34:52.124 --> 00:34:53.204 sehen die bestimmte Dinge. 00:34:53.264 --> 00:34:59.844 Wer zum Beispiel da SMS bekommt und das ist ein wunderbares zweites Standbein von denen. Oh no. 00:35:00.764 --> 00:35:06.044 Denn du kannst denen eine Mobilfunknummer geben und Identify Mobile sagt dir 00:35:06.044 --> 00:35:10.364 dann, wer ist denn da der Anbieter, der dazu gehört, in welchem Land ist diese 00:35:10.364 --> 00:35:13.504 Nummer gerade, ist die Nummer gültig, ist sie gerade erreichbar, 00:35:13.824 --> 00:35:20.024 roamt die Person dahinter gerade in irgendeinem anderen Land und welche IMSI 00:35:20.024 --> 00:35:21.304 gehört denn zu diesem Gerät? 00:35:21.304 --> 00:35:28.344 Das sind ja alles sehr personenbezogene Daten, die finde ich sehr stark eingreifend 00:35:28.344 --> 00:35:30.204 in die Privatheit der Telefonbesitzer. 00:35:30.464 --> 00:35:33.924 Da lassen wir die Kirche am besten im Dorf, weil das ist ein klassisches Feature 00:35:33.924 --> 00:35:41.144 von diesem SS7, von diesem Protokoll, was die großen Mobiltelefon- oder Mobilfunkanbieter 00:35:41.144 --> 00:35:41.824 untereinander sprechen. 00:35:42.364 --> 00:35:46.624 Das heißt, dort zu fragen, was ist denn das SMSC von einer bestimmten Mobiltelefonnummer 00:35:46.624 --> 00:35:48.284 gerade, das kann jeder machen. 00:35:50.104 --> 00:35:55.004 Das kann jeder, der groß genug ist. Jeder machen. Identify Mobile bietet das 00:35:55.004 --> 00:35:57.204 aber halt auch als Dienstleistung dann nicht. Ich will nicht sagen, 00:35:57.204 --> 00:36:00.624 dass es die Guten sind, aber das hat jetzt direkt mit dem Zustellen von den 00:36:00.624 --> 00:36:03.824 zwei Faktor auf SMS nichts zu tun. Nein. 00:36:04.304 --> 00:36:06.464 Nee, schon, aber das hat damit zu tun, dass einem... 00:36:07.004 --> 00:36:11.044 Ja, aber der Punkt ist korrekt. Ja, aber das hat natürlich schon damit zu tun, 00:36:11.064 --> 00:36:15.024 zu wissen, dass diese Firma, die in dieser Kette drin sitzt, 00:36:15.184 --> 00:36:18.804 sozusagen dieser SMS-Verschick-Kette, nur da noch ein zweites Schildkriterium. mit draus macht. 00:36:18.864 --> 00:36:21.844 Auch noch ihre Daten anreichert. Ja, natürlich. Also noch mehr Wissen hat. 00:36:22.444 --> 00:36:25.264 Aber das unterstreicht ja nochmal den Punkt, den ich vorhin machen sollte. 00:36:26.784 --> 00:36:31.124 Die Zwei-Faktor-Authentisierung, wie sie heute typisch ist, ist damit verbunden, 00:36:31.204 --> 00:36:36.484 dass du deine mobil, die Daten, die über deinen Mobilfunkvertrag bekannt sind, 00:36:36.664 --> 00:36:37.964 dass du die einfach weggibst. 00:36:38.004 --> 00:36:41.904 Das ist natürlich irgendwie, das ist ein Nachteil, den ich nochmal klar so benennen will. 00:36:42.744 --> 00:36:47.324 Und nicht jeder kann sich bei seinem befreundeten einen Shop an der Ecke, 00:36:47.344 --> 00:36:51.964 dann auch mal eine neue Burner-SIM-Karte, also eine zweite SIM-Karte besorgen. 00:36:52.044 --> 00:36:54.924 Faktisch gibt es keine Burner-SIM-Karten mehr, jedenfalls nicht nach der Rechtslage. 00:36:55.044 --> 00:36:59.404 Die in der EU wollten ja sozusagen die Gesetzgeber der EU sagen, 00:36:59.664 --> 00:37:04.204 wir wollen keine Burner-Telefone mehr, sondern jeder muss sich identifizieren, 00:37:04.244 --> 00:37:07.304 wenn er einen mobilen Vertrag macht. Das ist ja sozusagen politisch so vorgesehen. 00:37:07.564 --> 00:37:09.444 Ich habe einen Flohmarkt bei mir um die Ecke, da gehe ich hin, 00:37:09.524 --> 00:37:12.504 da gebe ich einen Zehner hin und kriege ein Mobiltelefon und da ist eine SIM-Karte drin. 00:37:12.564 --> 00:37:15.744 Das ist schön, aber ich rede ja von der Rechtslage. 00:37:16.684 --> 00:37:20.124 Und nicht in allen EU-Ländern ist das schon umgesetzt. Also das ist richtig. 00:37:20.244 --> 00:37:24.164 Und wir haben ja jetzt auch noch verbreitet eSIMs, würde ich vielleicht mal kurz erwähnen. 00:37:24.924 --> 00:37:26.524 Da sieht die Sache ja ein bisschen anders aus. 00:37:27.959 --> 00:37:33.419 Und Spoiler-Alarm, es gibt auch anderswo Sicherheitslücken, wo man dann Zugriff 00:37:33.419 --> 00:37:36.359 auf diese Systeme hat zum Verifizieren der Identitäten. 00:37:36.619 --> 00:37:40.939 Da könnte man ja vielleicht demnächst mal ccc.de reloaden oder so. Genau. 00:37:41.319 --> 00:37:48.239 Genau, aber das ist ja Zukunftsmusik und wir sind, ich habe es noch nicht erwähnt, wir sind Ende Juli 2024, 00:37:48.399 --> 00:37:53.439 nur weil ich immer sehr gerne irgendwann sage, Falls wir uns irgendwie 2030 00:37:53.439 --> 00:37:56.579 in irgendeinem Player befinden. 00:37:56.739 --> 00:37:58.579 Donald Trump ist gerade ins Ohr geschossen worden. 00:37:59.259 --> 00:38:02.699 Der Bundeskanzler heißt Olaf Scholz. Das ist unsere Zeit jetzt, 00:38:02.779 --> 00:38:03.919 nur weil ihr das später mal hört. 00:38:04.779 --> 00:38:09.079 Dann könnt ihr auf die Archive des ccc.de klicken. Da steht dann die Meldung 00:38:09.079 --> 00:38:10.539 von der Kartocke. Gerade redet schon. 00:38:11.759 --> 00:38:17.359 Okay, gut. Also dann reden wir nochmal ganz konkret über diese 200, 00:38:17.579 --> 00:38:18.859 nee, erstmal noch über die Unternehmen. 00:38:19.319 --> 00:38:24.719 Also ihr habt eine Liste in der Pressemitteilung sozusagen nur eine kurze Übersicht 00:38:24.719 --> 00:38:29.379 gemacht, da war halt so DHL drin und Amazon, also schon große Dienstleister. 00:38:29.959 --> 00:38:38.579 Ja, wir haben da relativ willkürlich rausgegriffen. Aber fast alle von GAFAM sind da. 00:38:38.639 --> 00:38:41.679 Also Google, Amazon, Facebook, Microsoft, Apple fehlt. 00:38:42.859 --> 00:38:46.659 Telegram, Airbnb, FedEx und DHL haben wir als Beispiel. 00:38:46.839 --> 00:38:50.999 Aber ihr hättet sicherlich auch noch mehrere hundert andere nehmen können bei der Menge, oder? 00:38:51.219 --> 00:38:53.479 Ich will jetzt ganz willkürlich Tinder. 00:38:55.179 --> 00:38:58.879 Wie viele davon haben sich denn tatsächlich auf MCTC gemeldet? 00:38:59.379 --> 00:39:02.459 Also die sind ja sozusagen jetzt am Ende dieser ganzen Kette. 00:39:03.599 --> 00:39:10.179 Einige. Einige, ja. Also so richtig, es ist jetzt auch nicht sinnvoll, 00:39:10.239 --> 00:39:15.679 die einzeln anzuzählen, weil die haben dort ein wirkliches Problem gehabt, 00:39:15.859 --> 00:39:19.659 wo sie sich darauf verlassen haben, dass ihr Anbieter dort schon nach Stand 00:39:19.659 --> 00:39:25.719 der Datenschutzgesetze und nach dem Stand der Technik diese Aufgabe umsetzen. 00:39:25.719 --> 00:39:29.139 Aber ja, einige waren auch sehr jovial, haben gemeint, naja, 00:39:29.159 --> 00:39:31.979 wir kennen euch ja, wir gehen mal davon aus, dass wir jetzt nichts mehr davon 00:39:31.979 --> 00:39:34.379 hören, dass ihr die Daten wieder gelöscht habt. 00:39:34.499 --> 00:39:37.059 Und einige waren aber auch schon so, kriegen wir von euch nochmal schriftlich, 00:39:37.139 --> 00:39:41.099 das müssen wir ganz dringend unseren Kunden schreiben und wir wollen jetzt wie 00:39:41.099 --> 00:39:46.059 eine rechtssichere und ich schwöre mit beiden Fingern oben, 00:39:46.219 --> 00:39:51.599 dass diese Daten für nichts Böses verwendet werden, gelöscht wurden. 00:39:51.599 --> 00:39:54.339 Denn was man ja nicht mit Sicherheit sagen kann, ist, 00:39:54.439 --> 00:39:57.759 dass nicht vielleicht auch jemand anders, den wir nicht kennen und jemand Drittes 00:39:57.759 --> 00:40:04.679 natürlich auf ebenfalls dieselbe Idee gekommen ist und bei Identify Mobile oder 00:40:04.679 --> 00:40:08.499 anderen solchen Anbietern, aber jedenfalls könnten natürlich auch andere diese Daten haben. 00:40:09.054 --> 00:40:13.534 Und wir können uns ziemlich sicher sein, dass Identify Mobile das nicht gründlich 00:40:13.534 --> 00:40:18.534 geprüft hat, denn die haben sich an uns gewandt und auch so drei IP-Adressen 00:40:18.534 --> 00:40:21.674 mitgeteilt und einen bestimmten Zeitraum gefragt, wart ihr das? 00:40:22.574 --> 00:40:26.434 Und im weiteren Sinne waren wir das, haben das bestätigt. 00:40:27.314 --> 00:40:31.114 Allerdings fehlten da Zugriffe, von denen wir wissen und die, 00:40:31.194 --> 00:40:32.894 die eigentlich hätten finden müssen. 00:40:34.014 --> 00:40:39.794 Das sind also ganz genaue, naja, so gut wie ihre IT-Sicherheit war, 00:40:39.834 --> 00:40:40.774 so gut war dann ihre Prüfung. 00:40:41.914 --> 00:40:48.614 Ich glaube, es gibt da noch einen Punkt, der wirklich interessant und schwer nachvollziehbar ist. 00:40:48.734 --> 00:40:57.594 Grant Hockel, wenn du dir so einen AWS-Account machst und dort darin Daten speicherst, 00:40:57.654 --> 00:41:00.954 ist es denn für mich möglich, wenn ich von dem Bucket weiß, mir so eine Liste 00:41:00.954 --> 00:41:02.174 der Dateien darin abzuholen? 00:41:03.334 --> 00:41:06.694 Standardmäßig nicht, das muss man so konfigurieren. Was? Nein! 00:41:07.054 --> 00:41:11.734 Das heißt, weißt du, wie leicht es ist, sowas umzukonfigurieren? 00:41:11.894 --> 00:41:14.834 Kann man da per Maus rutschen? 00:41:15.734 --> 00:41:18.994 Man muss schon zweimal Maus rutschen. Es sind zwei Dinge. 00:41:19.094 --> 00:41:23.874 Man muss einmal das Auflisten der Dateien erlauben. Das waren jetzt hier Dateinamen, 00:41:23.974 --> 00:41:25.394 die man nicht raten kann. 00:41:25.614 --> 00:41:29.474 Und im zweiten Schritt muss man das Herunterladen der Dateien erlauben. 00:41:29.474 --> 00:41:32.974 Aber da klickt man einfach ein Häkchen und dann geht das? 00:41:33.054 --> 00:41:35.474 Oder muss man ein Häkchen klicken und kriegt eine Monster-Terror-Warnung, 00:41:36.074 --> 00:41:40.654 ob man das wirklich möchte, mit etwas Rotem drin und muss dann da noch mal bestätigend draufklicken? 00:41:40.894 --> 00:41:44.614 Da hören meine AWS-Kenntnisse leider auf. Schade. Da kommt nämlich eine große 00:41:44.614 --> 00:41:50.494 Monster-Terror-Warnung, wo man noch mal draufklicken muss, dass man das wirklich möchte. 00:41:50.694 --> 00:41:53.674 Das heißt, da hat sich jemand echt hingesetzt und hat Sicherheitsfeatures, 00:41:53.814 --> 00:41:58.674 die in diesen Buckets standardmäßig dabei sind, absichtlich weggeklickt. 00:41:58.674 --> 00:42:01.014 Und noch die Warnung ordentlich auch weggeklickt. 00:42:01.154 --> 00:42:04.854 Und dabei, um das zu tun, die Warnung ordentlich weggeklickt. Ja. 00:42:05.494 --> 00:42:09.734 Jetzt, also klar ist, nur für den Fall, den wir jetzt erstmal betrachten, 00:42:09.874 --> 00:42:15.094 da sind definitiv eine große Menge personenbezogener Daten betroffen, gar keine Frage. 00:42:15.494 --> 00:42:21.654 Ist denn hier jemand ein Schaden entstanden und wer könnte gegebenenfalls dafür haftbar sein? 00:42:22.054 --> 00:42:26.314 Das ist ja immer eine interessante Frage. Also ist hier jemand ein Schaden entstanden? 00:42:26.314 --> 00:42:29.234 Hm, auszuschließen ist es wohl nicht. 00:42:30.354 --> 00:42:35.814 Genau, also ausschließen können wir es nicht. Ich könnte deine WhatsApp-Nummer 00:42:35.814 --> 00:42:38.814 vielleicht geklaut haben, vorausgesetzt du hast WhatsApp. 00:42:39.074 --> 00:42:41.294 Tut mir leid, Kantorke, no WhatsApp. 00:42:42.514 --> 00:42:46.394 Vielleicht habe ich Finanztransaktionen in deinem Namen durchgeführt, 00:42:46.394 --> 00:42:50.314 weil ich zufällig dein Passwort schon hatte und nur noch die TAN brauchte. 00:42:51.923 --> 00:42:58.183 Aber wer, naja, jetzt aber mal, also gut, man muss nicht unbedingt einen konkreten 00:42:58.183 --> 00:43:01.203 Schaden hier zeigen, trotzdem kann man ja die Frage beantworten, 00:43:01.243 --> 00:43:02.743 wer wäre denn dafür haftbar? 00:43:02.823 --> 00:43:05.363 Also wer muss sich dafür zur Verantwortung ziehen? Wir haben ja gesehen, 00:43:05.403 --> 00:43:10.203 das ist so eine Kette von Unternehmen, aber wer ist denn da eigentlich rechtlich verantwortlich? 00:43:11.063 --> 00:43:14.843 Ich würde schon sagen, dass Schaden entstanden ist. Würde ich auch sagen, aber... 00:43:14.843 --> 00:43:19.023 Jetzt nicht unbedingt Dritten gegenüber, aber im Binnenverhältnis von Identify 00:43:19.023 --> 00:43:24.563 Mobile hoch Twilio hoch zu den Nutzern von Twilio ist erstmal Reputationsschaden 00:43:24.563 --> 00:43:27.603 und generell Vertrauensschaden in dieses System entstanden. 00:43:27.923 --> 00:43:33.423 Es gab Bergeweise von Nachrichtenverkehr zwischen diesen Playern. 00:43:33.423 --> 00:43:40.343 Das heißt, allein die Tatsache dieser, ich würde sagen, rücksichtslosen Fehlkonfiguration 00:43:40.343 --> 00:43:44.863 hat drin viel Arbeit erzeugt, die entstanden ist. 00:43:45.223 --> 00:43:49.123 Und haftbar an der Stelle ist natürlich erstmal das Unternehmen, 00:43:49.223 --> 00:43:51.763 was dort nicht nach dem Stand der Technik gearbeitet hat. 00:43:51.763 --> 00:43:56.363 Auf der anderen Seite wäre die Frage, ob sowas durch Prüfprozesse verhindert 00:43:56.363 --> 00:44:02.283 werden muss, ob dieses ewige Subcontracten, dieses Outsourcen, 00:44:02.303 --> 00:44:02.963 wie sagt man auf Deutsch? 00:44:03.883 --> 00:44:05.483 Outsourcen, das ist mittlerweile verbreitet. 00:44:06.903 --> 00:44:10.183 Auslagern. Outsourcen von irgendwie noch einem und noch einem und noch einem 00:44:10.183 --> 00:44:15.083 Zwischenhändler, ob das nicht schon inhärent eine so schlechte Idee ist, 00:44:15.103 --> 00:44:16.063 dass es verboten gehörte? 00:44:19.103 --> 00:44:22.183 Okay, jetzt hast du angesprochen, was zwischen den Unternehmen ist. 00:44:22.323 --> 00:44:25.443 Die können sich auf dem Zivilrechtswege ja behaken, wie sie wollen. 00:44:25.583 --> 00:44:28.323 Aber was ich gemeint habe, sind die sozusagen Letztbetroffenen, 00:44:28.323 --> 00:44:32.863 die personenbezogene Daten, die am Ende sozusagen mit den Mobilfunkleuten zusammenhängen, 00:44:32.903 --> 00:44:36.643 also mit natürlichen Menschen. Und die sind ja von dieser Fehlleistung in enormem 00:44:36.643 --> 00:44:38.023 Maße vielleicht betroffen. 00:44:38.203 --> 00:44:43.823 Also die Frage ist, ob da jetzt ein Schaden auch im Sinne der Datenschutzgrundverordnung besteht. 00:44:44.183 --> 00:44:45.883 Wir haben ja auch Rechte, wir sind 00:44:45.883 --> 00:44:49.963 ja in Europa und zwar auch unmittelbar gegenüber dem Datenverarbeiter. 00:44:51.195 --> 00:44:55.835 Was würdet ihr sagen? Ich bin kein Jurist. I'm not a lawyer. 00:44:56.055 --> 00:45:02.455 Aber auf jeden Fall, die müssen das BIN 72 Stunden nach Kenntnis melden. 00:45:02.975 --> 00:45:08.575 Beim besonderen Risiko auch ihre VerbraucherInnen informieren. So sieht es aus. 00:45:08.695 --> 00:45:13.195 Ich habe nicht davon gehört, dass sowas passiert ist. Hätte es aber schon erwartet. 00:45:13.475 --> 00:45:16.875 Und dann wollen wir vielleicht auch mal erwähnen, es gibt ja Bußgelder. 00:45:16.875 --> 00:45:22.635 Auch übrigens, wenn man die Meldung den Aufsichtsbehörden unterlässt, 00:45:22.655 --> 00:45:27.315 die ist ja genauso hoch, die Geldbuße, wie die eigentliche Strafe nach der DSGVO, nicht wahr? 00:45:27.755 --> 00:45:33.515 Und das sind 10 Millionen Euro beziehungsweise 2 Prozent des gesamten weltweiten Jahresumsatzes. 00:45:33.555 --> 00:45:39.255 Also es sind ja durchaus hohe Geldbußen oder dieselbe auch für Nichtmelden und 00:45:39.255 --> 00:45:42.055 da könnte man sich ja schon mal fragen, ob die vielleicht doch lieber melden 00:45:42.055 --> 00:45:43.975 sollten. Aber die Frist ist ja schon abgelaufen. 00:45:44.715 --> 00:45:48.715 Nicht nur das. Und ich glaube, das Risiko ist man zumindest in Deutschland in 00:45:48.715 --> 00:45:50.715 manchen Bundesländern zu klein. 00:45:51.055 --> 00:45:54.975 Du meinst, weil die zuständigen Behörden sich darauf nicht weiter kümmern? 00:45:55.515 --> 00:46:00.495 Ich glaube, in Baden-Württemberg sind innerhalb eines Jahres 15.000 Euro zusammengekommen 00:46:00.495 --> 00:46:01.995 an Bußgeldern. Das ist ja lächerlich. 00:46:02.195 --> 00:46:06.015 Aber wir wissen natürlich auf der anderen Seite auch, dass er durchaus im letzten 00:46:06.015 --> 00:46:09.615 Jahr den Trend gab, relativ hohe Bußgelder zu verhängen, wo es möglich ist. 00:46:09.615 --> 00:46:13.095 Also es gibt ja auch sehr aktive Datenschutzbehörden, nicht unbedingt in, 00:46:13.175 --> 00:46:16.375 also nicht hier so unbedingt, aber immerhin gibt es die ja. 00:46:18.354 --> 00:46:22.394 Genau, aber wie sollen wir dahin kommen, wenn jetzt hier die betroffenen Unternehmen 00:46:22.394 --> 00:46:26.254 niemanden informieren, weder die Aufsichtsbehörden noch ihre Nutzerin, 00:46:26.294 --> 00:46:30.274 dann wird ja nichts passieren. Ihr könntet ja, aber ihr habt sie ja nicht mehr. 00:46:31.034 --> 00:46:37.174 Na gut, eventuell wird am Ende niemand fette Geldbußen zahlen müssen, 00:46:37.234 --> 00:46:40.374 weil der wiederum schade ist. Das wäre ja eigentlich schön. Potenziell waren 00:46:40.374 --> 00:46:41.434 es aber eigentlich alle. 00:46:41.534 --> 00:46:46.734 Die Unternehmen wurden jetzt informiert, in welchem Zeitraum auch diese Daten einsehbar waren. 00:46:46.774 --> 00:46:50.694 Die könnten ja nachgucken, welche von ihren Kundinnen sie in der Zeit über ihre 00:46:50.694 --> 00:46:55.654 Zwei-Faktor-Auslösungen informiert haben, über neue Passwörter, 00:46:55.694 --> 00:46:56.814 einmal links und ähnliches. 00:46:56.854 --> 00:47:00.054 Und könnten da jetzt eigentlich auch alle anschreiben. 00:47:01.354 --> 00:47:05.194 Könnten, aber auch zu viele Datenschutzbehörden, glaube ich, 00:47:05.194 --> 00:47:07.614 vertrauen einem Unternehmen, wenn das Unternehmen sagt, Sagt, 00:47:07.714 --> 00:47:10.814 ja, ja, wir haben die Logdaten geprüft, da ist nichts abgeflossen. 00:47:10.854 --> 00:47:13.474 Oder sie formulieren es andersrum. Es deutet nichts darauf hin, 00:47:13.514 --> 00:47:15.794 dass Daten abgeflossen sind. Ja, genau. Also, klar. 00:47:16.254 --> 00:47:18.734 Aber, also, ich will nochmal, nur falls das nicht ganz klar war. 00:47:18.874 --> 00:47:21.034 Also, das Interessante ist ja, dass ihr Live-Zugriff hattet. 00:47:21.354 --> 00:47:25.134 Denn in der Regel sind diese Einmalpasswörter ja für einen bestimmten Zeitraum. 00:47:25.174 --> 00:47:26.114 Das haben wir vielleicht noch nicht erwähnt. 00:47:26.374 --> 00:47:29.894 Das Interessante ist ja, dass ihr sozusagen in dem Moment, wo die abgeschickt 00:47:29.894 --> 00:47:31.614 werden, die schon sehen konntet, nicht wahr? 00:47:32.274 --> 00:47:38.054 Fast. Also, die Daten wurden in Intervallen geschrieben. Aber das war ein festes Intervall. 00:47:38.094 --> 00:47:41.614 Das heißt, ich glaube sogar 30 Minuten. 00:47:42.114 --> 00:47:47.414 Aber wenn wir dann zwei Minuten vor diesen 30 Minuten unseren zweiten Faktor 00:47:47.414 --> 00:47:50.774 anfragen, dann haben wir danach noch drei Minuten Zeit, den auch einzugeben. 00:47:51.214 --> 00:47:58.554 Okay, das haben wir vielleicht auch noch nicht erwähnt. Also der Großteil hat halt schon noch... 00:48:00.094 --> 00:48:03.914 Passworts bedürft. Also ihr hättet oder böswilliget ihr sowieso nicht, 00:48:03.994 --> 00:48:08.034 aber jemand anders böswilliget, hätte ja nicht mit allen diesen Inhalten der 00:48:08.034 --> 00:48:10.534 SMS-Wart konkret anfangen können, ohne nicht die Passworte zu haben. 00:48:10.634 --> 00:48:13.094 Korrekt? Nee, das nicht. Aber es gibt ja sehr viele Daten, Lex. 00:48:13.134 --> 00:48:15.914 Es waren hier sehr viele SMS. Ich glaube, das skaliert gut. 00:48:16.214 --> 00:48:20.734 Ja, für jemanden, der Böses möchte. 00:48:21.174 --> 00:48:24.594 Ja, auf der einen Seite, wenn dann in so einer Kurznachricht drinsteht, 00:48:25.134 --> 00:48:32.154 möchten Sie Ihre Überweisung an den Erwachsenen-Spielzeug-Versand über 500 Euro 00:48:32.154 --> 00:48:33.874 bestätigen, dann nehmen Sie die sechsstellige Nummer. 00:48:33.934 --> 00:48:37.214 Ist schon auch vom Inhalt her... 00:48:38.314 --> 00:48:41.654 Kann jemandem zum Schaden gereichen, allerdings auch nur jemand mit einer sehr 00:48:41.654 --> 00:48:43.894 prüden Erhaltung. Naja, natürlich. 00:48:44.074 --> 00:48:49.014 Also klar, die Inhalte sind auf jeden Fall auch für die Privatsphäre von Menschen relevant, klar. 00:48:50.294 --> 00:48:54.194 Also ist ja, glaube ich, unbestritten. Okay, gibt es da jetzt noch ein Kapitel 00:48:54.194 --> 00:49:00.414 2 für die Beschreibung dieses Sicherheits... 00:49:01.154 --> 00:49:06.574 Also, kommt da noch mehr? Ich würde hier erstmal einen Haken dran machen. 00:49:06.794 --> 00:49:11.674 Also mal gucken, ob Identify Mobile sein Geschäftsmodell irgendwie anfasst, 00:49:11.834 --> 00:49:15.034 ob vielleicht doch irgendwelche Unternehmen nochmal Leute informieren, 00:49:15.094 --> 00:49:16.954 aber erstmal würde ich hier nichts Großes erwarten. 00:49:17.174 --> 00:49:21.594 Naja, dann müssen wir ja natürlich in medias res gehen, wie ihr euch gedacht habt schon. 00:49:21.814 --> 00:49:25.594 Dann jetzt müssen wir darüber reden, was... Also, das ist ja spezielle Kritik 00:49:25.594 --> 00:49:29.054 auch, die er sich daran auch festmacht. Jetzt müssen wir darüber reden, wie wäre es denn besser? 00:49:29.354 --> 00:49:33.014 Was gehört total, sollte überhaupt nicht mehr gemacht werden? 00:49:33.194 --> 00:49:36.574 Und wohin sollte es gehen? Ich denke mal, das sind wir jetzt den Hörern auch schuldig, oder? 00:49:36.994 --> 00:49:42.414 Vielleicht bevor wir dorthin gehen, nochmal hervorheben, auch zwei Faktor über 00:49:42.414 --> 00:49:48.014 SMS ist sehr viel besser, ein sehr viel besserer Schutz gegen Accountdiebstahl 00:49:48.014 --> 00:49:51.454 als nur das Passwort. Aber das würdest du ja für E-Mail auch sagen. 00:49:51.634 --> 00:49:54.654 Also da geht es ja nicht um die eigentliche SMS, da würdest du sagen, 00:49:54.734 --> 00:49:58.614 dass zwei Faktor besser ist und nicht nur die SMS meinen. Korrekt? Genau. 00:49:59.334 --> 00:50:03.154 Ja, was muss denn nun geschehen, meine Herren? Was muss geschehen? 00:50:04.662 --> 00:50:08.462 Es ist immer so einfach, Dinge einfach zu sagen. 00:50:08.502 --> 00:50:12.862 Was ich ja vorhin schon andeutete, war, dass dieses ewige Subunternehmertum 00:50:12.862 --> 00:50:14.842 eigentlich eine Fehlentwicklung ist. 00:50:15.042 --> 00:50:19.722 Wir haben über Vertrauensanker geredet und diese Vertrauensanker kann man und 00:50:19.722 --> 00:50:23.462 darf man eigentlich nicht so beliebig weiterreichen und vor allem nicht dem 00:50:23.462 --> 00:50:27.542 günstigsten Anbieter die Krone als zumindest 00:50:27.542 --> 00:50:30.382 Reinguckendürfer für so einen Vertrauensanker mit in die Hand drücken. 00:50:30.982 --> 00:50:34.162 Warum hat er dann vielleicht so günstige Preise? Woran spart er denn nicht wahr? 00:50:34.202 --> 00:50:38.282 Die alte Leier, die wir kennen an der IT-Sicherheit, wird ja nicht immer zuletzt 00:50:38.282 --> 00:50:39.502 gespart, sondern oft zuerst. 00:50:40.602 --> 00:50:50.122 Ja, dann wenn die Teilhabe von einfach einem so großen Teil der Menschen in 00:50:50.122 --> 00:50:56.062 Europa am digitalen Datenverkehr dann endlich so weit ist, 00:50:56.062 --> 00:51:01.282 sind diese mehrfach verschlüsselten Push-Notifications schon ein Weg, den man gehen kann. 00:51:01.642 --> 00:51:05.762 Aber mit der App-Zwang verbunden, meinst du? Oder meinst du auch Hardware? Das geht. 00:51:07.842 --> 00:51:12.382 Über Hardware. Man könnte sich vorstellen, mobile Tokens mit einem. 00:51:14.002 --> 00:51:20.622 Betriebssystem, was geordert ist, anzubieten, indem sich Konglomerate zusammenfinden, 00:51:20.722 --> 00:51:25.622 sich darauf einigen, wie so ein einheitliches Format aussieht, um solche 00:51:25.722 --> 00:51:30.822 Push-Nachrichten dann auch entgegennehmen zu können auf günstigen Geräten, 00:51:30.882 --> 00:51:36.362 die vielleicht bezuschusst werden können, um dort eine Sicherheit zu erzeugen, die es so nicht gibt. 00:51:37.026 --> 00:51:40.726 Okay, das ist aber jetzt schon eine relativ ferne Zukunft, wenn sich da wir 00:51:40.726 --> 00:51:42.946 hier zusammenfinden müssen. Lass mich doch spinnen dürfen. 00:51:43.166 --> 00:51:46.866 Nein, nein, ja, aber okay. Aber die Idee kommt ja daher, was wir vorhin ansprachen, 00:51:46.906 --> 00:51:50.686 ist, wenn jede Firma ihre eigene Lösung daraus bringt, alle Push-Notifications 00:51:50.686 --> 00:51:53.266 unterschiedlich aussehen, wenn das nicht standardisiert ist, 00:51:53.346 --> 00:51:56.426 ist es natürlich auch hart verwirrend und wird auf jeden Fall dazu führen, 00:51:56.566 --> 00:52:02.026 dass es Copycat-Apps gibt, die sich da versuchen reinzudrängeln, 00:52:02.146 --> 00:52:08.946 um dann solche Zwei-Faktor-Push-Tokens abzugreifen, wenn dieses Interface nicht brauchbar ist. 00:52:08.946 --> 00:52:13.706 Zweitens werden sie schauen, dass sie dann gleichzeitig, wenn anzunehmen ist, 00:52:13.786 --> 00:52:20.806 dass ein Zwei-Faktor-Code von einer Bank kommt, dass sie dann selber in der 00:52:20.806 --> 00:52:23.026 Transaktion nochmal sagen, 00:52:23.226 --> 00:52:26.686 oh wir schicken auch einen, gib mal den Code ein, den du gerade bekommst und 00:52:26.686 --> 00:52:30.586 dann darauf spekulieren, dass die Nutzerin an der Stelle sich vertippt und den 00:52:30.586 --> 00:52:32.186 falschen Code an die falsche Stelle reinkopiert. 00:52:32.186 --> 00:52:36.766 Das heißt, wenn das weiter so ein Wildwuchs gibt, dass alle ihre eigenen Apps 00:52:36.766 --> 00:52:39.686 mit allen ihren eigenen Mechanismen und mit unübersichtlichen, 00:52:39.726 --> 00:52:43.026 was an welcher Stelle reinkommt und dir vielleicht auch noch bequem angeboten 00:52:43.026 --> 00:52:46.286 wird, möchtest du aus deinen Nachrichten gerade mal diesen Zwei-Faktor-Code reinkopieren? 00:52:47.486 --> 00:52:50.046 Wir haben vorhin das schon angesprochen. Es sieht schon so aus, 00:52:50.086 --> 00:52:51.286 als wenn es genau dahin geht. 00:52:51.526 --> 00:52:56.826 Also das ist so ein bisschen meine Alltagserfahrung. Also mir scheint, 00:52:56.886 --> 00:52:57.686 das ist der Trend. Interessant. 00:52:58.566 --> 00:53:03.406 Also was würde man denn, also jetzt hast du es so ein bisschen aus der Anbieterperspektive 00:53:03.406 --> 00:53:05.946 auch beschrieben, aber was würde man denn jemandem empfehlen, 00:53:06.126 --> 00:53:09.326 der zu dieser digitalen Welt dazugehören will? 00:53:09.386 --> 00:53:16.366 Also weißt du, was sollte man besser lassen und was ist zumindest empfehlenswert, 00:53:16.426 --> 00:53:17.786 vielleicht nicht perfekt? 00:53:19.186 --> 00:53:23.166 Das ist echt schwierig gerade zu sagen, weil wie gesagt, dort erst mal dieses 00:53:23.166 --> 00:53:27.506 Problem beinhaltet ja schon mal, dass es meistens um digitale Dienste geht, 00:53:27.566 --> 00:53:33.526 für die man sich dort nachweisen muss, dass man man selber ist. 00:53:35.415 --> 00:53:39.635 Damit hängt ja schon einmal genau diese digitale Teilhabe, hängt dort schon 00:53:39.635 --> 00:53:41.575 dran, dass es eine direkte Folge ist. 00:53:41.635 --> 00:53:45.235 Du möchtest Online-Banking machen, also musst du auch irgendwie noch mit Online umgehen. 00:53:45.315 --> 00:53:54.615 Aber überall, wo es Geld zu klauen gibt, sind natürlich auch die Cyberkriminellen unterwegs, 00:53:54.795 --> 00:53:59.615 um genau diese Patterns zu ergründen, um zu schauen, wie dort die einfachen 00:53:59.615 --> 00:54:01.655 Ziele am einfachsten abzugrasen sind. 00:54:02.235 --> 00:54:06.375 Okay, das ist dann aber auch genau kein Tipp, oder? Also das bedeutet, 00:54:06.495 --> 00:54:09.995 dass letztlich die Welt, wie wir sie jetzt erstmal haben, müssen wir so akzeptieren. 00:54:10.495 --> 00:54:15.515 Es wird weiterhin noch eine ganze Reihe SMS geben. Das ist dann letztlich für 00:54:15.515 --> 00:54:19.315 den normalen Klicker kein Tipp. 00:54:20.795 --> 00:54:25.295 Ja, bloß der normale Klicker, der was tut. Also das ist ja ein weites Feld von 00:54:25.295 --> 00:54:29.655 deiner App, mit der du deinen Tretroller draußen ausleihen kannst bis hin zu 00:54:29.655 --> 00:54:33.475 deiner, keine Ahnung, bist du in einer Bank oder in einer Krankenversicherung. 00:54:34.535 --> 00:54:38.455 Also wenn man zum Beispiel Anbieter hat, die mehrere Varianten anbieten, 00:54:38.495 --> 00:54:40.155 was ja bei Banken relativ häufig ist. 00:54:40.215 --> 00:54:43.215 Die haben ja, wenn sie zwei Faktor Authentifizierung haben, dann bieten sie 00:54:43.215 --> 00:54:44.715 ja zumindest immer eine Alternative noch an. 00:54:44.835 --> 00:54:48.515 Also gibt es da was, wo du sagen würdest, da würde ich hinraten? 00:54:48.515 --> 00:54:51.395 Ich würde erstmal sagen, auch wenn es ganz doll bequem ist, 00:54:51.595 --> 00:54:56.075 sein Online-Banking zu Hause zu machen, sein Banking per App zu machen, 00:54:56.175 --> 00:54:59.735 wenn man sich damit nicht wohl fühlt, wenn man sich darin nicht sicher fühlt, 00:54:59.735 --> 00:55:02.115 ist vielleicht der Besuch bei der nächsten Filiale doch erstmal noch für die 00:55:02.115 --> 00:55:04.035 nächsten zwei, drei Jahre angezeigt. 00:55:04.075 --> 00:55:06.295 Ich glaube, da gibt es was dazwischen. 00:55:06.375 --> 00:55:12.055 Wir können ein bisschen Geld ausgeben, damit schließen wir dann viele aus und 00:55:12.055 --> 00:55:16.035 mehr auf Hardware-Token setzen, über die wir am Anfang gesprochen haben. 00:55:16.115 --> 00:55:17.835 Oh, da müssen wir aber auch über Nachhaltigkeit reden, nicht wahr? 00:55:18.515 --> 00:55:21.755 Die muss man ja auch alle produzieren und haben und da sind ja viele Millionen. 00:55:22.075 --> 00:55:25.335 Und nicht verlieren. Und wenn man einen verliert, sollte man den zweiten schon 00:55:25.335 --> 00:55:27.335 zu Hause haben. Ja, aber Smartphone kannst du auch verlieren. 00:55:28.627 --> 00:55:35.267 Und das andere wären App-basierte Codes. Aber da hast du ja wieder genau dasselbe Problem. Ah, okay. 00:55:35.627 --> 00:55:38.607 Aber wo würdest du denn hingehen? Also AdGast hat ja so ein bisschen gesagt, 00:55:38.767 --> 00:55:41.167 naja, so richtig die perfekte Lösung ist natürlich nicht da, 00:55:41.227 --> 00:55:44.327 aufgrund der Unterschiedlichkeit. Was würdest du denn empfehlen? 00:55:45.307 --> 00:55:50.567 Kommt drauf an. Also wenn ich bei irgendeinem beliebigen Webshop was kaufe, 00:55:50.667 --> 00:55:52.767 dann kann ich da auch ein Passwort nutzen, 00:55:53.007 --> 00:55:58.827 was auch du kennen darfst, weil der Account im besten Fall gar nicht angelegt 00:55:58.827 --> 00:56:01.487 wird, hinterher direkt gelöscht wird. Ich möchte nur was bestellen. 00:56:01.647 --> 00:56:06.407 Wenn es um einen Server geht, wo ich mich einloggen möchte, dann nehme ich gerne ein Hardware-Token. 00:56:06.847 --> 00:56:12.867 Die Abstufung wäre sozusagen auch die Wichtigkeit des Dienstes und wie sie von 00:56:12.867 --> 00:56:15.627 der IT-Sicherheit zu betrachten ist. Also würde ich es wahrscheinlich auch beantworten. 00:56:15.807 --> 00:56:19.047 Bei einigen Banken kriegt man ja wirklich noch sein HBCI-Terminal, 00:56:19.247 --> 00:56:24.307 wo teilweise noch draufsteht, um welchen Betrag, in welche Richtung das da gerade 00:56:24.307 --> 00:56:25.987 geht. Und dann muss man seine Karte reinstecken. 00:56:26.687 --> 00:56:34.807 Die kann man eventuell auch für seine Krankenkasse und für das BEA und für den EPA noch mitbenutzen. 00:56:35.027 --> 00:56:39.327 ELEKTRONISCHEN PERSONALAUSWEIS und mit anderen ist das ANWALS. S. 00:56:40.027 --> 00:56:43.827 Besonders elektronische Anwaltspostfachleute. D. Und immer, wenn ich dieses 00:56:43.827 --> 00:56:46.627 Zeug brauche, dann sind Gerät und ich nicht am gleichen Ort. 00:56:46.927 --> 00:56:51.407 S. Und Karten auch nicht, ja. Ja, das sind halt auch so, das sind oft Lösungen, 00:56:51.427 --> 00:56:54.827 wo ich immer den Eindruck habe, die Leute denken, man ist nur bei einer Bank 00:56:54.827 --> 00:56:59.467 Kunde, man reist nie, das nervt halt tierisch, dass sie sich nicht einigen können. 00:56:59.787 --> 00:57:04.947 Diese Lesegeräte allein schon sind ja clunky, sind alle mit USB-A noch. 00:57:07.227 --> 00:57:08.647 Naja, nicht alle, okay. 00:57:09.795 --> 00:57:15.955 Ah, also wie die dann irgendwie alle Standards können und in dem man dann auch 00:57:15.955 --> 00:57:17.915 alle Karten drauflegen und reinstecken kann. 00:57:18.115 --> 00:57:21.735 Ja, aber jetzt sind wir in diesem, jetzt meckern wir darüber, wie ist Modus. 00:57:21.995 --> 00:57:26.335 Dann hol dir keine alten Leute in die Sendung, wenn du mich gerahnt hören möchtest. 00:57:26.855 --> 00:57:30.135 Naja, nee, also so ein bisschen finde ich sollten wir, okay, 00:57:30.195 --> 00:57:33.635 dann muss ich nochmal zurück auf das, was Kantorke vor ein paar Minuten sagte. 00:57:33.635 --> 00:57:37.715 Also immer noch ist es wegen meiner, seinen Mobiltelefon zu registrieren und 00:57:37.715 --> 00:57:40.975 SMS als zweiten Faktor zu haben, immer noch besser als gar keinen. 00:57:41.395 --> 00:57:45.035 Aber für viele Dienste gibt es ja gar keinen, gar keinen mehr, 00:57:45.135 --> 00:57:47.675 weil die ja einfach, die haben ja Vorschriften, die sie erfüllen müssen, 00:57:47.755 --> 00:57:49.395 die müssen zwei Faktor authentifizieren. 00:57:50.215 --> 00:57:54.615 Und das sind zwar nicht alle, aber ich glaube auch die, die nicht müssen machen, 00:57:54.755 --> 00:57:56.195 das sind zum großen Teil mittlerweile. 00:57:57.075 --> 00:58:02.375 In der PSD2 ist ja alles für Banken und die, die Banken, ähnliche, 00:58:02.495 --> 00:58:06.475 oh Gott, jetzt fehlt mir der Henrik, so als Telefonjoker, aber für alle die 00:58:06.475 --> 00:58:09.975 Größere, wo es um Geldgeschäfte geht, 00:58:10.155 --> 00:58:12.715 können Versicherungen sein. 00:58:14.015 --> 00:58:17.875 Es ist inzwischen zwingend, dass du diese PSD2-Anforderungen da erfüllst. 00:58:17.875 --> 00:58:22.595 Und dann ist eine SMS halt trotzdem, was jetzt hier an diesem konkreten Beispiel 00:58:22.595 --> 00:58:27.055 gezeigt wurde, wahrscheinlich für viele der gängige Weg einfach schlicht. 00:58:27.055 --> 00:58:28.795 Als dass sie verschiedene Hardware-Token haben. 00:58:29.075 --> 00:58:32.795 Ist schon auch immer noch mal besser als nicht und ist schon mal noch besser 00:58:32.795 --> 00:58:35.695 als vielleicht irgendein E-Mail-Dienst, wenn du damit nicht umgehen kannst. 00:58:35.855 --> 00:58:39.635 Aber wenn du das so diversifizierst und nicht zwingend alles am selben Endgerät 00:58:39.635 --> 00:58:44.415 ankommt, was dann das Problem ist, wenn du Online-Banking über deinen Browser 00:58:44.415 --> 00:58:47.355 auf deinem Telefon machst und dann auf demselben Telefon die SMS reinkommt und 00:58:47.355 --> 00:58:49.475 auf demselben Telefon die E-Mail landet, 00:58:49.555 --> 00:58:54.895 dann ist der so ein einmal von irgendjemandem hopsgedommenes Telefon, 00:58:54.975 --> 00:58:56.555 wenn du dir so ein ganz... 00:58:56.555 --> 00:59:00.075 Ja gut, aber das ist schon ein relativ großer Angriff, wenn jemand das gesamte Telefon einsehen kann. 00:59:00.155 --> 00:59:03.375 Das ist ja jetzt auch nicht... Das kommt auf den Hersteller an. Also wie... 00:59:03.975 --> 00:59:06.835 Ja, okay, wenn du jetzt ein uraltes Android... Okay, aber also... 00:59:06.835 --> 00:59:08.315 Wir reden ja gerade... Zumindest ist es ja auch eine Hürde, ja. 00:59:08.575 --> 00:59:12.795 Es ist schon eine Hürde, aber dann hast du deine gesamte digitale Identität 00:59:12.795 --> 00:59:15.155 dort gerade über dieses eine Gerät. 00:59:15.875 --> 00:59:19.035 Gebündelt und musst dann damit auch klarkommen, dass diese Mehrfaktor-Authentifizierung 00:59:19.475 --> 00:59:22.995 auch wieder an genau der gleichen Stelle unterhöhlt werden können. 00:59:23.075 --> 00:59:26.115 Du vertraust einfach nur noch einem einzelnen Gerät, wo du nicht weißt, 00:59:26.135 --> 00:59:27.595 ob du es unter Kontrolle hast, vollständig. 00:59:27.755 --> 00:59:31.075 Ich bin gar nicht sicher, ob Banken E-Mails überhaupt anbieten, noch. 00:59:31.755 --> 00:59:34.255 Weiß ich nicht, wir reden aber nicht nur von Banken, oder? Nee, 00:59:34.295 --> 00:59:37.415 nee, nicht, also es ist verbreitet, aber ich glaube, Banken dürfen es nicht 00:59:37.415 --> 00:59:38.455 mehr oder machen es nicht mehr. 00:59:39.275 --> 00:59:42.075 Also das, was wir da diskutieren, ist sicherlich ein Problem. 00:59:42.335 --> 00:59:46.715 Das Problem, Was, ich will nicht sagen größer, aber häufiger vorkommt, 00:59:46.735 --> 00:59:50.055 ist wahrscheinlich das Problem, dass auch das Handy manchmal verloren geht, 00:59:50.155 --> 00:59:52.575 gesperrt ist, was auch immer, gerade nicht verfügbar ist. 00:59:52.915 --> 00:59:57.895 Oder kein Netz hat. Was mache ich dann? Das heißt, kein Netz ist nicht unbedingt ein Problem. 00:59:58.035 --> 01:00:02.615 Bei den App-basierten Lösungen, die hängen teilweise einfach nur von einem gemeinsamen 01:00:02.615 --> 01:00:04.575 Seed-App oder von der Zeit. 01:00:04.755 --> 01:00:06.875 Das funktioniert auch in Deutschland in der Bahn. 01:00:09.300 --> 01:00:12.620 Aber man muss sich, wenn man solche App-basierten Lösungen nutzt, 01:00:12.640 --> 01:00:15.540 Gedanken darüber machen, was mache ich denn, wenn ich dieses Handy verliere 01:00:15.540 --> 01:00:17.020 und darauf vorbereitet sein. 01:00:17.160 --> 01:00:20.320 Das heißt, ich muss zum Beispiel zu Hause irgendwo, wo ich auch meine anderen 01:00:20.320 --> 01:00:25.140 Backups vielleicht pflege, Backup-Token für meine Accounts speichern. 01:00:25.240 --> 01:00:27.360 Ja, man wird schon viele, glaube ich, auch technisch überfordert. 01:00:27.500 --> 01:00:32.140 Also generell, glaube ich, das Backupen vom Mobiltelefon ist weniger verbreitet 01:00:32.140 --> 01:00:36.940 als bei Computern, die so auf dem Schreibtisch stehen, ist mein Eindruck. 01:00:37.480 --> 01:00:40.460 Einige Dienste verbieten dir auch schlicht, das von deinem Telefon woanders 01:00:40.460 --> 01:00:41.300 nochmal hinzuspeichern. 01:00:41.960 --> 01:00:45.120 Oh, ja, tatsächlich. Apple, ja. Ich habe den Apple. 01:00:45.520 --> 01:00:48.540 Nein, nicht nur Apple. Auch er? Echt? Da wusste ich gar nicht. 01:00:48.660 --> 01:00:53.540 Also einige Dinge, die in der Secure Enclave oder dann im TNT vom Android drin 01:00:53.540 --> 01:00:55.640 sind, kannst du nicht rausholen. 01:00:55.900 --> 01:00:58.120 Das heißt, Backup ist auch nicht trivial. 01:00:58.660 --> 01:01:02.360 Also ich nutze so eine Zwei-Faktor-App unter Android. 01:01:02.540 --> 01:01:05.380 Da kann ich was exportieren. Das kann ich irgendwann wegspeichern. 01:01:05.380 --> 01:01:08.440 Und wenn mein Handy flöten geht, kann ich das woanders hin. 01:01:08.540 --> 01:01:10.720 Ja, aber ist das eine allgemeinkompatible Lösung? 01:01:11.480 --> 01:01:13.220 Schwerlich, oder? Ja, okay. 01:01:14.206 --> 01:01:17.226 Ja, zumal man ja auch davon ausgehen muss, dass die Lösungen, 01:01:17.286 --> 01:01:20.606 die man in der Praxis jeden Tag benutzt für die verschiedenen Dienstleistungen, 01:01:20.626 --> 01:01:21.586 eben nicht alle gleich sind. 01:01:21.986 --> 01:01:25.406 Und man unterschiedliche technische Wege gehen muss, nicht wahr? Das auf jeden Fall. 01:01:25.546 --> 01:01:30.386 Also ist es manchmal auch nervig, schon wieder so einen zweiten Token eingeben zu müssen. 01:01:30.386 --> 01:01:35.506 Ja, ja, ja. Dann auch noch die ganzen, wir haben ja von dieses Aus-Nachrichten-Kopieren, 01:01:36.266 --> 01:01:39.546 wo dann gleich du in der einen App bist und dich dann im Betriebssystem fragt, 01:01:39.566 --> 01:01:43.846 ob du nicht gleich aus der jüngst angegangenen SMS den Sechsziffern-Code da 01:01:43.846 --> 01:01:44.626 reinkopieren möchtest. 01:01:44.746 --> 01:01:48.766 Ist total convenient, aber kann auch nach hinten losgehen. 01:01:48.846 --> 01:01:51.346 Auf der anderen Seite, wenn auf deinem Sperrbildschirm, ohne dass du dich gegenüber 01:01:51.346 --> 01:01:54.466 deinem Telefon überhaupt authentifizieren musst, 01:01:54.546 --> 01:01:57.986 wenn dort gleich der Inhalt der SMS angezeigt wird oder wenn andere Nachrichten 01:01:57.986 --> 01:02:00.906 angezeigt werden, hast du auch quasi keinen Schubzettel, Schutzniveau, 01:02:00.906 --> 01:02:04.726 dann jeder, der ein Telefon mitnimmt, kann sich dann diese SMS zustellen und 01:02:04.726 --> 01:02:05.446 gleich anzeigen lassen. 01:02:05.646 --> 01:02:09.846 Das heißt, dort könnte man vielleicht nochmal in seinen Einstellungen nachschauen, 01:02:09.866 --> 01:02:14.446 ob man die Vorschau von den eingehenden Nachrichten nicht vielleicht für SMS 01:02:14.446 --> 01:02:18.606 zumindest, also die meisten Menschen benutzen ja ernsthaft SMS nicht mehr als Messenger. 01:02:19.066 --> 01:02:23.506 Das ist ja so, die ganzen jungen Leute nehmen ja, was nehmen die alle? 01:02:23.626 --> 01:02:25.986 Signal, Freema, WhatsApp. 01:02:26.846 --> 01:02:29.726 Und damit verschieben wir 01:02:29.726 --> 01:02:32.586 das Problem wieder zu nutzerinnen und schöner wäre es wenn 01:02:32.586 --> 01:02:35.686 betriebssystemhersteller das dann so bauen würden 01:02:35.686 --> 01:02:38.466 genau das zwei faktor auf sms vielleicht gar nicht 01:02:38.466 --> 01:02:41.706 erst angezeigt werden auf dem sperrbildschirm naja bloß aber dann hast du wieder 01:02:41.706 --> 01:02:45.546 also ich möchte diese diese komische duopol auch nicht in der zukunft weiter 01:02:45.546 --> 01:02:49.586 haben also dann damit stärkst du ja diese beiden platze schon weiter ja das 01:02:49.586 --> 01:02:54.146 ist ja eigentlich auch nicht was wir wünschen also vielleicht nicht aber wenn 01:02:54.146 --> 01:02:57.886 die erst mal dinge noch für ihre Kundschaft, die sie da gerade haben, 01:02:57.926 --> 01:03:00.726 nicht schlimmer macht, ist auch schon mal was gewonnen. 01:03:01.266 --> 01:03:08.206 Ja, das stimmt. Aber also sich zu verlassen auf diese beiden großen Konzerne, 01:03:08.206 --> 01:03:11.306 dass sie die Betriebssysteme dahingegen anfassen, das finde ich als Empfehlung. 01:03:11.506 --> 01:03:13.186 Damit bin ich auch nicht happy. Einfach. 01:03:14.146 --> 01:03:15.546 Nein, nein, nein. 01:03:17.294 --> 01:03:23.134 Und nochmal, wer sind deine Vertrauensanker? Wenn dein Telefon ist, 01:03:23.194 --> 01:03:28.934 mit dem du dich da draußen ausweist, musst du es auch pflegen. 01:03:29.154 --> 01:03:33.074 Damit meinst du den Betriebssystemhersteller, der bei dir identisch mit dem 01:03:33.074 --> 01:03:35.194 Hersteller ist. Ich meine jetzt unsere Hörerinnen da draußen. 01:03:35.294 --> 01:03:38.854 Wenn eure Mobiltelefone eure Vertrauensanker sind, mit denen ihr euch da draußen 01:03:38.854 --> 01:03:44.394 in der Welt guckt, ob vielleicht noch ein einziger zusätzlicher Vertrauensanker, 01:03:44.454 --> 01:03:46.574 mit dem ihr später wieder bootstrappen könnt, 01:03:47.394 --> 01:03:53.994 noch irgendwo im Kästchen liegt, dass ihr dann nicht total aufgeschmissen seid, 01:03:54.094 --> 01:03:58.714 weil jeder kennt das, Telefon ist, keine Ahnung, irgendwo rausgefallen, verloren gegangen, 01:03:59.874 --> 01:04:01.414 kaputt gegangen, man kommt nicht mehr dran. 01:04:02.234 --> 01:04:06.694 Das sind so diese Schwarzstartfähigkeiten, einmal in sich zu gehen, 01:04:06.734 --> 01:04:08.214 zu üben, was würde wohl passieren. 01:04:08.614 --> 01:04:12.014 Klar, ich mache Backups, aber habt ihr mal Restore gemacht? Habt ihr mal geguckt, 01:04:12.094 --> 01:04:16.514 wie ihr euch dann wieder an den Harn aus dem Sumpf ziehen könnt, 01:04:16.634 --> 01:04:19.354 wenn euer Endgerät hops gegangen ist? 01:04:19.954 --> 01:04:26.154 Ja, wir können da keine gute Lösung präsentieren, aber zumindest ein paar dieser 01:04:26.154 --> 01:04:27.414 Hinweise, ja, das stimmt. 01:04:27.894 --> 01:04:30.054 Das lässt mich natürlich auch ein bisschen unzufrieden zurück. 01:04:31.814 --> 01:04:37.474 Wollen wir nicht doch nochmal beim positiven Ende haben über die gute Utopie, 01:04:37.474 --> 01:04:38.794 wie es denn sein sollte, reden? 01:04:39.494 --> 01:04:45.314 Naja. Alle Menschen sind nett zueinander und wir brauchen keine Passwörter. Ja, ja, ja. 01:04:45.774 --> 01:04:50.894 Also, okay, das ist auch nicht... Also das Problem wird uns ganz sicherlich 01:04:50.894 --> 01:04:53.374 viele Jahre begleiten, da habe ich glaube ich keine Zweifel dran. 01:04:56.894 --> 01:05:00.034 Dann muss ich dieses Chaos Radio leider auf dieser Note beenden. 01:05:00.174 --> 01:05:03.834 Wir müssen Markus Richter hier an dieser Stelle grüßen, von dem wir gehofft 01:05:03.834 --> 01:05:05.534 hätten, dass er ein anderes Ende findet. 01:05:06.434 --> 01:05:10.214 Markus Richter ist sonst der Moderator des Chaos Radio, den wir hier aufgrund 01:05:10.214 --> 01:05:13.874 seiner Urlaubstätigkeit heute vermissen. 01:05:14.074 --> 01:05:17.754 Aber ich glaube, so richtig werden wir keinen technischen Weg gefunden, 01:05:19.734 --> 01:05:21.734 da ein positives Ende zu finden. 01:05:22.694 --> 01:05:28.074 Ja, da können wir nur sagen. Dann danken wir an der Stelle mal Konstanze Kurz für die Moderation. 01:05:29.014 --> 01:05:32.094 Dem Kantorkel, dass er es aus dem weiten Berlin hierher geschafft hat. 01:05:33.714 --> 01:05:37.054 Und dem Danimo, der heute für uns die Regler geschubst hat. 01:05:37.214 --> 01:05:43.154 Und der ganzen Chaos Radio Crew, die sich hoffentlich in den nächsten Wochen sogar noch erweitert. 01:05:43.294 --> 01:05:45.494 Wir werden vielleicht ein paar mehr. Mal gucken. 01:05:46.414 --> 01:05:50.014 Und das nächste Mal erwartet euch, weil wir im Wechsel vom Chaosradio immer 01:05:50.014 --> 01:05:54.354 die dicken Bretter haben, eine Folge von Dicke Bretter und damit beenden wir 01:05:54.354 --> 01:05:57.334 mit lieben Grüßen das Chaosradio 293. 01:05:58.000 --> 01:09:27.773 Music.