WEBVTT 00:00:00.017 --> 00:00:05.277 Hallo und herzlich Willkommen zum Chaos Radio 285, ein klassisches Chaos Radio. 00:00:05.277 --> 00:00:09.697 Heißt, wir nehmen uns ein schwieriges Thema, das irgendwie mit digitalen Krams zu tun hat, 00:00:10.397 --> 00:00:14.237 vor, nehmen es auseinander und versuchen es dann so zusammenzusetzen, 00:00:14.337 --> 00:00:19.237 dass man es verstehen kann, auch weil man am Anfang noch gar keine Ahnung gehabt hat. 00:00:19.337 --> 00:00:23.657 Mein Name ist Markus Richter, ich bin hier in der Position des Fragestellers. 00:00:23.797 --> 00:00:27.737 Das wird mir heute, glaube ich, sehr gut gelungen, weil Hä? einer der häufigsten Fragen sein wird, 00:00:28.037 --> 00:00:34.017 denn wir sprechen über europäische Digitalgesetzgebung und wenn man die letzten 00:00:34.017 --> 00:00:37.877 Jahre und oder Sendungen verfolgt hat, weiß man, da gibt es immer sehr viele 00:00:37.877 --> 00:00:41.557 lustige, bedrückende und seltsame Dinge, die man besprechen kann. 00:00:41.977 --> 00:00:47.557 Es geht heute um, kleiner Spoiler, Eidas und Kuwaks und was das ist und worüber 00:00:47.557 --> 00:00:51.337 man da sprechen kann und warum man, also meine Vermutung zumindest ist, 00:00:51.417 --> 00:00:53.417 dass vielleicht am Ende alles anzünden möchte. 00:00:53.837 --> 00:00:56.897 Besprechen wir heute mit Anja Lehmann. Hallo und herzlich willkommen. 00:00:57.217 --> 00:01:01.677 Anja Lehmann-Hallo. Du bist Professorin am Hasso-Platner-Institut für Kryptographie. 00:01:02.017 --> 00:01:04.157 Anja Lehmann-Genau. Und hast einen offenen Brief unterschrieben, 00:01:04.217 --> 00:01:07.257 was heute noch eine Rolle spielen wird. Anja Lehmann-Ja. Okay, gut. 00:01:08.097 --> 00:01:10.337 Jiska Klaassen. Hallo und herzlich willkommen. Jiska Klaassen-Hallo. 00:01:12.517 --> 00:01:15.317 Nachwuchsgruppenforscherin am Hasso-Platner-Institut. Was das genau ist, 00:01:15.357 --> 00:01:16.657 werden wir an dieser Stelle nicht erklären. 00:01:16.757 --> 00:01:20.977 Man kann aber lustige Diskussionen über das Wissenschaftszeitförderungsgesetz oder umgedreht. 00:01:21.837 --> 00:01:25.597 Du beschäftigst dich mit Cyber Security. Hat man noch Schmerzen, 00:01:25.637 --> 00:01:27.677 wenn man diesen Begriff im Titel führen muss? 00:01:28.317 --> 00:01:32.497 Oder ist Cyber mittlerweile in der Mitte der Gesellschaft angekommen? Ja, vielleicht. 00:01:33.977 --> 00:01:37.337 Auf jeden Fall mache ich Mobile und Wireless. Also so irgendwie, 00:01:37.897 --> 00:01:41.097 wenn ihr euer Handy habt und ein Update kriegt, dann bin ich vielleicht schuld. 00:01:42.317 --> 00:01:46.197 Aha, jetzt wisst ihr, wen ihr schreiben könnt. Du hast auch einen offenen Brief unterschrieben. 00:01:47.957 --> 00:01:53.297 Und Konstanze Kurz, Sprecherin des Chaos Computer Clubs und Netzpolitik.org-Redakteurin, 00:01:53.317 --> 00:01:54.017 hallo und herzlich willkommen. 00:01:54.797 --> 00:02:00.517 Hallo Markus. Möchten Sie noch etwas dazu sagen? Nein, ich freue mich nur auf die Sendung. Okay. 00:02:03.163 --> 00:02:05.263 Das gibt mir zu denken, weil du dich auf eine Sendung freust, 00:02:05.403 --> 00:02:08.983 heißt das entweder, es gibt etwas Positives zu berichten, oder es gibt etwas 00:02:08.983 --> 00:02:14.383 auseinanderzunehmen, bei EU-Gesetzgebung würde ich eher Letzteres vermuten. 00:02:14.983 --> 00:02:21.343 So, es gibt also gerade ein Gesetz, wenn ich es richtig in Erinnerung habe, 00:02:21.463 --> 00:02:25.823 oder ein Gesetzesvorhaben, das das Kürzel EIDAS trägt und im Trilog angekommen 00:02:25.823 --> 00:02:30.263 ist, was schon relativ weit hinten bei EU-Gesetzgebung ist, Weil danach, 00:02:30.483 --> 00:02:31.683 wenn der Trilog sich einig ist, 00:02:31.943 --> 00:02:34.383 also Kommission, Rat und Parlament, 00:02:34.763 --> 00:02:37.183 dann passiert nicht mehr so richtig viel. 00:02:38.023 --> 00:02:40.683 Und wie es manchmal so ist bei EU-Gesetzen, ist auch der Moment, 00:02:40.763 --> 00:02:43.883 wo die größte Aufregung am Start ist, wenn Dinge schieflaufen. 00:02:44.623 --> 00:02:49.083 Bevor wir darüber reden, ob und was da schiefgelaufen ist, könnte einer von 00:02:49.083 --> 00:02:51.843 euch kurz erklären, was der Plan hinter dem Gesetz ist. 00:02:51.923 --> 00:02:55.403 Also warum gibt es dieses Gesetz? Was ist die Motivation des Gesetzgebers? 00:02:55.403 --> 00:02:58.863 Ein EIDAS-Gesetz, es geht da irgendwie um digitale Identitäten, 00:02:59.083 --> 00:03:02.323 um Wallets, also digitale Brieftaschen. 00:03:02.443 --> 00:03:04.823 Was genau wird da versucht? Warum soll es dieses Gesetz geben? 00:03:05.843 --> 00:03:10.343 Also der Kern ist sicherlich die sogenannte EID auf europäischer Ebene. 00:03:11.263 --> 00:03:18.783 Die hat sehr prominent damals die Kommissions-, also davon allein die EU-Kommissionspräsidentin 00:03:18.783 --> 00:03:22.923 vorgestellt. Ja, schon im Jahr 2020. 00:03:23.243 --> 00:03:27.143 Der hat gesagt, sie will den Europäern eine europäische Identität, 00:03:27.303 --> 00:03:29.223 eine digitale anbieten, wo 00:03:29.223 --> 00:03:33.983 sie also alles machen können, vom Führerschein beantragen bis zum Shoppen. 00:03:35.103 --> 00:03:39.463 Und dieser Verordnungsvorschlag, der dann tatsächlich auch 2021 kam, 00:03:39.883 --> 00:03:47.243 ist sozusagen die gesetzliche Festschreibung dieser Idee. Also der Kern davon 00:03:47.243 --> 00:03:48.863 ist sicherlich die sogenannte ID-Wallet. 00:03:49.823 --> 00:03:54.443 Es gibt aber bereits einen Vorläufer, das ist eine Verordnung von 2014, 00:03:54.623 --> 00:03:56.343 die damit auch ein gewisses Update erfährt. 00:03:58.063 --> 00:04:02.723 Aber wie das mit Gesetzgebungsverfahren so ist, da ist oft ein bisschen mehr 00:04:02.723 --> 00:04:04.663 drin als nur dieser Kern. 00:04:05.103 --> 00:04:07.983 Der bezieht sich vor allen Dingen auf eine Vereinheitlichung, 00:04:08.123 --> 00:04:11.563 denn nicht alle europäischen Länder haben die gleiche E-ID. Deutschland hat 00:04:11.563 --> 00:04:14.043 etwa eine andere als Ungarn oder Dänemark. 00:04:14.663 --> 00:04:17.623 Und es soll eben auch ein europäisches Angebot sein, was interoperabel ist. 00:04:18.183 --> 00:04:21.043 Das würde ich so mal als Kern dieser EIDAS-Verordnung sehen. 00:04:22.123 --> 00:04:26.343 Und die Kritik ist auch nicht alt. Denn nicht erst jetzt im Trilog, 00:04:26.503 --> 00:04:33.683 sondern schon 2021 haben verschiedene Institutionen oder aber auch der Datenschutzbeauftragte 00:04:33.683 --> 00:04:35.483 von Europa Kritik daran geübt. 00:04:35.543 --> 00:04:39.103 Wird das aber normal in diesem Gesetzgebungsprozess, dass Veränderungsvorschläge gemacht werden? 00:04:39.103 --> 00:04:42.943 Ich wollte sagen, eine grundlegende Frage noch stellen, weil die Dinge, 00:04:43.103 --> 00:04:46.383 also ich soll ja so sagen, was grundlegend ist, nämlich die Identifikation eines 00:04:46.383 --> 00:04:53.403 Bürgers digitalisiert werden und die ganz grobe Frage oben ist ja bei Digitalisierungsprozessen immer. 00:04:54.512 --> 00:04:57.852 Ist die Kritik dann, wie man das macht, oder ist die Kritik, 00:04:57.992 --> 00:04:59.252 ob man das überhaupt macht? 00:04:59.852 --> 00:05:01.872 Wie ist es hier? Ich würde schon sagen, wie. Ich weiß nicht, 00:05:01.992 --> 00:05:03.852 ob ihr das anders seht, aber das ist eigentlich schon, wie. 00:05:04.232 --> 00:05:10.832 Ich glaube, die Idee, so etwas anzubieten, liegt nahe, denn die meisten Leute bräuchten so etwas. 00:05:11.192 --> 00:05:14.832 Und es ist auch nicht verpflichtend oder so, sondern die Leute können es nutzen. 00:05:15.272 --> 00:05:18.092 Ich denke, wie, da habe ich jetzt zumindest noch keine Kritik gehört. 00:05:18.212 --> 00:05:19.392 Ich weiß nicht, ob ihr welche gehört habt. 00:05:20.292 --> 00:05:23.552 Das ist das Ob, aber halt das wir so, ich meine Ob ist ja schon mal so eine 00:05:23.552 --> 00:05:25.392 Sache, wenn ich jetzt eine Wohnung suche oder sowas, 00:05:25.772 --> 00:05:29.552 dann schicke ich an ganz viele Leute eine Kopie von meinem Personalausweis über 00:05:29.552 --> 00:05:33.472 völlig ungesicherte Kanäle irgendwie per E-Mail, hab keine Ahnung wo das landet 00:05:33.472 --> 00:05:35.292 und am Ende wollen die ja nur wissen, 00:05:35.772 --> 00:05:41.212 dass ich eine echte Person bin und vielleicht irgendwie mir die Wohnung leisten 00:05:41.212 --> 00:05:45.772 kann und dafür muss ich so, so viele Dinge einem potenziellen Vermieter sagen, 00:05:45.892 --> 00:05:47.152 nur in diesem Bewerbungsprozess. 00:05:47.152 --> 00:05:49.552 Das ist halt super unsicher. 00:05:49.712 --> 00:05:54.012 Und wenn man das so digitalisieren könnte, dass es sicher wäre, 00:05:54.212 --> 00:05:59.112 also sicherer für mich und auch für solche Leute, gegenüber denen ich mich ausweise, 00:05:59.232 --> 00:06:00.732 sicher, wäre das ja schon gut. 00:06:01.192 --> 00:06:04.152 Warte mal, aber sozusagen, wenn ich das nehme, was du jetzt gesagt hast, 00:06:04.412 --> 00:06:09.872 Jessica, dann haben wir schon das Zusammenwerfen von Identität und Credits gehabt. 00:06:10.172 --> 00:06:13.292 Ja, auf jeden Fall. Das soll alles rein. Nein, ich glaube, ich weiß nicht, 00:06:13.492 --> 00:06:16.172 ob es jetzt in dem Fall so ist, Aber mehr so als ein Beispiel, 00:06:16.392 --> 00:06:21.632 was man halt vielleicht so kennt und wo schon sehr viele sich digital ausgewiesen haben. 00:06:22.221 --> 00:06:26.281 Naja, vielleicht muss man auch nochmal sehen, Leute die haben ja heute eine 00:06:26.281 --> 00:06:30.241 Form, wie sie sich elektronisch identifizieren und die ist in der Regel auf 00:06:30.241 --> 00:06:33.301 irgendwelche kommerziellen Anbieter zurückgeworfen und hier geht es halt um 00:06:33.301 --> 00:06:36.641 eine Form von staatlicher Hinterlegung quasi. 00:06:37.681 --> 00:06:41.641 Die Infrastruktur soll halt staatlich, in diesem Fall sogar panneuropäisch quasi, 00:06:41.721 --> 00:06:44.201 über alle Staaten hinweg, angeboten werden. 00:06:44.301 --> 00:06:47.761 Wir haben in Deutschland natürlich für den Fall, den Jessica eben beschrieben 00:06:47.761 --> 00:06:50.721 hat, schon lange eine Lösung, schon über ein Jahrzehnt, nämlich einen deutschen 00:06:50.721 --> 00:06:54.481 elektronischen Identitätsnachweis, der mit dem Personalausweis zusammenhängt. 00:06:54.901 --> 00:06:58.461 Aber der zumindest in Deutschland wird ja überhaupt nicht benutzt. 00:06:58.561 --> 00:07:02.241 Wir haben eine Quote von weit unter 10 Prozent, die auch nur jemals mal einen 00:07:02.241 --> 00:07:05.121 Anifast haben, um ihn zu probieren. Und wir haben ganz wenige elektronische 00:07:05.121 --> 00:07:06.361 Anibote. Ich muss da kurz nachvollstehen. 00:07:06.661 --> 00:07:12.321 Ich habe für die deutsche E-ID in Erinnerung, dass die nicht nur mega unkomfortabel 00:07:12.321 --> 00:07:16.081 und komplex zu bedienen ist, sondern auch immer unsicher war. 00:07:17.121 --> 00:07:21.021 Also in der konkreten Umsetzung. Also die Unsicherheit bezieht sich in der Regel 00:07:21.021 --> 00:07:22.721 darauf, wie man es benutzt. 00:07:23.561 --> 00:07:27.021 Also bezog sich vor allem auf die Lesegeräte, die man dafür braucht, 00:07:27.221 --> 00:07:30.281 aber dass man überhaupt ein zusätzliches Lesegerät früher dafür brauchte, 00:07:30.321 --> 00:07:34.081 war natürlich auch nicht gerade förderlich. Aber es gab vor allem auch wenig Angebote. 00:07:34.741 --> 00:07:37.281 Wenn ich so ein Ding habe, dann will ich natürlich auch irgendetwas damit tun. 00:07:37.521 --> 00:07:41.081 Und es gab sehr wenige staatliche und auch privatwirtschaftliche Angebote. 00:07:41.501 --> 00:07:44.521 Das hat sich bis heute leider kaum gewandelt. Okay, das ist für mich sozusagen, 00:07:44.601 --> 00:07:47.941 der sich nur alle Jubeljahre mit dem Thema elektronische Identität beschäftigt, 00:07:48.181 --> 00:07:52.161 eine kleine Überraschung, dass das anscheinend sehr weit fortgeschritten ist in den nächsten Jahren. 00:07:52.461 --> 00:07:56.921 In den letzten Jahren, weil ich eher den Eindruck hatte, das ist vom Konzept her sehr zweifelhaft. 00:07:56.921 --> 00:08:01.641 Aber momentan ist es anscheinend so, dass es, oder dass ich mich als Frage formulieren, 00:08:01.941 --> 00:08:07.701 es gibt also ein Konzept dafür, wie man elektronische Identität gut und sicher machen kann. 00:08:08.041 --> 00:08:11.461 Es existiert der Glaube, man kann das so umsetzen, dass es... 00:08:12.183 --> 00:08:17.263 Also nicht ungefährlich sozusagen, aber so sicher, wie es sein kann und dass 00:08:17.263 --> 00:08:18.403 es dann halt die Vorteile bringt. 00:08:19.103 --> 00:08:21.803 Und die etwaige, ja, nein, doch. Ich würde sagen, klares Jein. 00:08:23.403 --> 00:08:25.123 Das ist ja fast wie ein Jura-Podcast hier. 00:08:26.883 --> 00:08:30.803 Also ich glaube, so die Grundidee, sichere digitale Identitäten zu haben oder 00:08:30.803 --> 00:08:34.983 sicher sich ausweisen zu können, ist relativ weit akzeptiert. 00:08:35.403 --> 00:08:37.903 Die Frage ist nur, wie weit will man das treiben? Und ich glaube, 00:08:38.063 --> 00:08:40.123 da scheiden sich noch die Geister auch in unserer Community. 00:08:40.283 --> 00:08:42.563 Habt ihr jetzt auch in den letzten Tagen mit einigen Kolleginnen darüber gesprochen. 00:08:42.903 --> 00:08:45.203 Und da gehen die Meinungen wirklich noch weit auseinander. Weil wenn wir einmal 00:08:45.203 --> 00:08:48.083 so eine europäische digitale Identität haben, die super bequem ist und die wir 00:08:48.083 --> 00:08:52.523 überall nutzen könnten, könnten auch Dienstanbieter dann auf die Idee kommen, 00:08:52.583 --> 00:08:53.623 sie wirklich überall zu nutzen. 00:08:53.723 --> 00:08:57.243 Und auf einmal haben wir eben eine relativ, je nachdem wie das auch datenschutzmäßig 00:08:57.243 --> 00:09:00.843 umgesetzt ist, eine Identität, die wir die ganze Zeit im Internet mit uns preisgeben. 00:09:00.843 --> 00:09:04.243 Von daher ist es wirklich absolut wichtig, dass, wenn wir das so umsetzen, 00:09:04.323 --> 00:09:07.263 dass es genutzt werden kann, was ja die Idee dahinter ist, dass von Anfang an 00:09:07.263 --> 00:09:09.763 Datenschutz halt wirklich am höchsten Level dabei ist. Weil ansonsten haben 00:09:09.763 --> 00:09:10.723 wir hier einen riesen Desaster. 00:09:11.223 --> 00:09:14.823 Ist zwar sicherer und schöner von der Authentisierung, aber überall sozusagen 00:09:14.823 --> 00:09:18.463 sind meine Transaktionen im Netz dann eindeutig miteinander verknüpfbar und 00:09:18.463 --> 00:09:19.943 ja, können Profile zugestellt werden. 00:09:19.963 --> 00:09:24.583 Also eindeutig auch im Sinne von mit einem staatlichen Stempel verifiziert, das ist diese Person. 00:09:24.583 --> 00:09:29.883 Also hier, was damit ja auch gemacht wird, ist tatsächlich eine Möglichkeit, 00:09:30.083 --> 00:09:33.203 vor allen Dingen für diejenigen, die werbetreibend sind, für große Konzerne, 00:09:33.583 --> 00:09:38.723 mit Sicherheit sagen zu können, das ist Person X und nicht wahrscheinlich jemand, der so heißt. 00:09:38.723 --> 00:09:41.243 Das ist wahrscheinlich dasselbe Profil, das wir schon mal gesehen haben. 00:09:42.263 --> 00:09:47.863 Das heißt, so eine Gesetzgebung würde idealerweise zwei Dinge regeln. 00:09:48.323 --> 00:09:51.863 Nämlich einerseits die technisch sichere Gestaltung, oder drei Sachen, 00:09:51.983 --> 00:09:53.243 die technisch sichere Gestaltung. 00:09:53.923 --> 00:09:58.943 Dann die Tatsache, dass man das in den Kontexten, wo man es benutzen will, gut benutzen kann. 00:09:59.463 --> 00:10:03.463 Und dann der Schutz davor, dass, lass uns beim Klischee-Beispiel bleiben, 00:10:03.583 --> 00:10:08.003 Facebook bei der Einrichtung von WhatsApp verpflichtend abfragen kann, 00:10:08.003 --> 00:10:10.743 Gib mal bitte deine E-ID, sonst darfst du nicht messen. 00:10:11.863 --> 00:10:15.503 Ja, so ziemlich. Aber es kommt noch eine Komponente, die wir jetzt nicht erwähnt 00:10:15.503 --> 00:10:17.203 haben dazu. Das ist jetzt schon ganz schön messy. 00:10:18.403 --> 00:10:22.043 Ich glaube, man sollte auch noch so eine Nicht-Diskriminierung dazu denken. 00:10:22.263 --> 00:10:26.383 Das heißt, man darf auch nicht versuchen, Leute, die vielleicht nicht so viel 00:10:26.383 --> 00:10:29.203 Geld haben, die sich vielleicht nicht die allerneuesten Smartphones leisten 00:10:29.203 --> 00:10:30.603 können, komplett auszuschließen. 00:10:30.603 --> 00:10:33.423 Also ich finde es hat auch noch eine Komponente, die jetzt relativ untechnisch 00:10:33.423 --> 00:10:39.103 ist, nämlich was passiert, wenn man zum Beispiel aus finanziellen Gründen nicht 00:10:39.103 --> 00:10:41.623 mitmachen kann, weil man nicht die neuesten Smartphones hat oder so. 00:10:41.723 --> 00:10:44.563 Also ich denke diese Antidiskriminierung muss man auch noch mitdenken. 00:10:45.383 --> 00:10:48.683 Also die… Das wird dann nochmal komplizierter, aber können wir uns ja auch nicht vor verstecken. 00:10:49.063 --> 00:10:53.503 Also die EID sozusagen, wenn sie kommt, es soll immer noch eine Hosenweltalternative geben. 00:10:54.215 --> 00:10:58.375 Wird wohl so sein müssen, weil die Smartphones, die man, wenn man jetzt realistisch 00:10:58.375 --> 00:11:03.035 darüber nachdenkt, sind doch relativ teuer. Also eher so High-End-Phones. 00:11:03.395 --> 00:11:07.795 Also die Smart-, also Moment, das heißt, im Subtext habe ich verstanden, 00:11:08.315 --> 00:11:11.315 die E-ID findet in Smartphones statt. 00:11:11.435 --> 00:11:16.155 Das ist nicht sozusagen eine extra Chipkarte, USB-Dongle, irgendwas, 00:11:16.295 --> 00:11:20.155 sondern etwas, was im Smartphone stattfinden soll? Naja, der praktische Fall 00:11:20.155 --> 00:11:22.795 wird in der Regel sein, dass Leute das mit dem Mobiltelefon benutzen. 00:11:22.995 --> 00:11:26.795 Es wird wahrscheinlich auch andere Möglichkeiten geben, mit hoher Wahrscheinlichkeit sogar. 00:11:27.235 --> 00:11:31.475 Aber wenn man ehrlich ist, wird der meiste Use Case einfach anhand der Menschen, 00:11:31.555 --> 00:11:33.855 wie sie heute ihre Smartphones benutzen, Smartphone sein. 00:11:34.375 --> 00:11:38.135 Und da sind es halt nur bestimmte, die bisher überhaupt technisch mitmachen könnten. 00:11:38.475 --> 00:11:42.655 Das ist sozusagen wie bei allen Dingen, die Kapitalismus verkauft. 00:11:42.775 --> 00:11:45.055 Alle Funktionen hat man nur, wenn man die ganz teuren Geräte kauft. 00:11:45.775 --> 00:11:49.755 Ja, also dafür gibt es technische Gründe, die ich auch nicht unsinnvoll finde, 00:11:50.375 --> 00:11:56.815 denn man möchte das eben in einer Weise betreiben, die neueren technischen Standards entspricht. 00:11:57.055 --> 00:12:00.435 Und das bieten eben nicht alle Mobiltelefonanbieter an. 00:12:00.915 --> 00:12:04.595 Insofern gibt es Gründe dafür, warum das gewisse Exklusivität hat bei den Geräten. 00:12:05.035 --> 00:12:07.695 Ist auch heute so bei der deutschen EID, das ist genauso. 00:12:08.635 --> 00:12:12.835 Das schließt aber gleichzeitig andere Leute aus, die nicht Geld haben für wirklich 00:12:12.835 --> 00:12:16.355 neuere, teurere Smartphones. Insofern, da muss man einfach nur mitdenken. 00:12:16.475 --> 00:12:18.415 Ich will das nicht in den Fokus dieser Sendung stellen. Okay, 00:12:18.515 --> 00:12:19.755 aber das ist auch ein wichtiger Punkt. 00:12:20.055 --> 00:12:24.935 Jetzt haben wir also vier Säulen für, wie man das idealerweise umsetzen würde. 00:12:26.195 --> 00:12:27.775 Folgt logischerweise auch die Frage... 00:12:28.388 --> 00:12:33.048 Das EIDAS-Gesetzesvorhaben, macht es das? Nee. 00:12:35.428 --> 00:12:41.788 Nicht mal ein bisschen? Also klar, die entsprechenden Stellen werden angehört, wie das immer so ist. 00:12:41.968 --> 00:12:45.228 In den Ausschüssen, hier ist der federführende Ausschuss der ITRE, 00:12:45.368 --> 00:12:46.608 das ist der Industrieausschuss. 00:12:47.088 --> 00:12:51.828 Der hat sich natürlich Sachverständige herangeholt, die haben Kritik geübt in vielen Anhörungen. 00:12:52.308 --> 00:12:55.828 Dann ist der Europäische Datenschutzbeauftragte, der dazu schon lange Stellungnahmen 00:12:55.828 --> 00:12:58.628 abgibt. Also die Kritik ist durchaus gehört worden. 00:12:59.128 --> 00:13:04.428 Also zum einen die ganze Überwachungsfrage, aber auch die eben schon angesprochen 00:13:04.428 --> 00:13:10.548 Diskriminierungsfrage, technische Details, die aber teilweise in der Verordnung 00:13:10.548 --> 00:13:12.768 nicht drin sind, sondern erst noch spezifiziert werden müssen. 00:13:13.188 --> 00:13:15.308 Und jetzt zum Schluss und noch eine ziemlich wichtige Frage, 00:13:15.388 --> 00:13:17.888 die auch schon eine Weile kritisiert wird, auf die wir noch kommen wollen, 00:13:18.268 --> 00:13:20.868 nämlich die Frage der Zertifikate, die in einem bestimmten Artikel, 00:13:20.948 --> 00:13:25.528 nämlich dem Artikel 45 drin sind und die besondere Kritik auf sich erzogen haben. 00:13:25.528 --> 00:13:30.288 Also FachhörerInnen werden das schon vermuten, der größere Teil der Sendung 00:13:30.288 --> 00:13:32.588 wird sich dann wahrscheinlich um den Artikel 45 drehen. 00:13:33.548 --> 00:13:38.088 Was ist denn mit den anderen Kritikpunkten? Ist das, also wie gesagt, 00:13:38.168 --> 00:13:42.728 wir sind im Trilog, das heißt also relativ das Ende der Gesetzgebung ist schon abzusehen. 00:13:43.248 --> 00:13:48.868 Ist das noch fixable oder würdet ihr sagen, so wie das da drin steht, lieber nicht? 00:13:50.368 --> 00:13:53.548 Also gerade bei der Wallet, um es ein bisschen zu relativieren, 00:13:53.868 --> 00:13:56.048 da sind eine Menge gute Sachen eigentlich reingekommen. 00:13:56.668 --> 00:13:58.948 Also da habe ich mich eigentlich zum gewissen Grad schon gefreut, 00:13:58.968 --> 00:14:01.728 da stehen solche Sachen drin wie Unlinkability, dass man eben in der Lage sein 00:14:01.728 --> 00:14:06.168 soll, sich auszuweisen, ohne dass es verknüpft werden kann, dass man das Recht haben soll. 00:14:06.748 --> 00:14:10.108 Entschuldigung, das ist die Stelle, wo ich Detail freistellen muss. 00:14:10.748 --> 00:14:13.248 Unlinkable, dass man sich ausweisen kann, ohne dass es verknüpft ist. 00:14:13.668 --> 00:14:16.748 Bedeutet das, Verständnis Frage jetzt wirklich nur, bedeutet das. 00:14:17.808 --> 00:14:24.668 Eine Stelle kann sagen, weiß mal bitte nach, dass du du bist und dann weise 00:14:24.668 --> 00:14:28.548 ich das nach und dann wird aber nicht meine E-ID mit dem verknüpft, 00:14:28.568 --> 00:14:30.188 was da passiert oder was bedeutet das? 00:14:30.909 --> 00:14:33.209 Ist ein bisschen komplexer. Also natürlich, wenn ich nachweisen muss, 00:14:33.329 --> 00:14:35.509 dass ich ich bin, also mit meinem Namen, da ist keine Unlinkability, 00:14:35.709 --> 00:14:38.189 dann weiß auch die empfangende Stelle, wer ich bin. 00:14:38.589 --> 00:14:40.529 Aber ganz oft wurde ja gesagt, würde es ja reichen zu wissen, 00:14:40.629 --> 00:14:43.589 ist da eine echte Person dahinter, eine Bürgerin aus Deutschland, jemand aus Berlin. 00:14:43.969 --> 00:14:47.129 Und dann kann ich diese Informationen sicher übertragen, zum Beispiel ich bin 00:14:47.129 --> 00:14:49.669 Berlinerin oder ich bin aus Deutschland, kann mir sicher ausweisen, 00:14:49.789 --> 00:14:52.289 kann ein Pseudonym machen, aber ich kann halt jedes Mal ein anderes Pseudonym 00:14:52.289 --> 00:14:56.649 erstellen. Das heißt, ich kann meine sichere digitale Identität bootstrappen. 00:14:57.069 --> 00:14:59.789 Es ist immer noch identifizierbar, es kommt von der sicheren digitalen Identität. 00:14:59.869 --> 00:15:02.929 Aber wenn ich keine identifizierbaren Attribute dabei preisgebe, 00:15:02.989 --> 00:15:05.749 kann ich das jedes Mal neu und frisch machen, wenn ich das möchte. 00:15:05.889 --> 00:15:12.729 Das heißt, der abstrakteste Anwendungsfall wäre, ich bin eine Person, die eine E-ID hat. 00:15:12.989 --> 00:15:15.629 Und mehr weiß man aber nicht über mich, außer diesen einen Punkt. 00:15:16.469 --> 00:15:20.249 Oder Alter ist typisch auch. Ich bin über 18. Ja. Obwohl ich halt wirklich denke, 00:15:20.369 --> 00:15:22.469 dass das so diese Pseudonyme abzuleiten und da wird es schon wieder ein bisschen 00:15:22.469 --> 00:15:24.949 technischer, man kann es halt wirklich so machen, dass ich bei jedem Dienstanbieter 00:15:24.949 --> 00:15:27.889 einen eindeutigen Pseudonym habe, dass die mich auch wiedererkennen können und 00:15:27.889 --> 00:15:31.369 dass ich nicht eine 10.000 Identitäten erfinden kann, sondern die genau wissen, 00:15:31.429 --> 00:15:32.669 ich kann genau einen Account machen, 00:15:33.069 --> 00:15:36.249 aber mein Account ist halt jedes Mal, sieht ja anders aus oder meine Identität, 00:15:36.329 --> 00:15:37.009 die ich überall erzeuge. 00:15:39.349 --> 00:15:47.709 Warte mal, also ich gehe zu Anbieter X und der sagt, weiß dich mal aus und zwar sag mir, du bist... 00:15:48.698 --> 00:15:53.038 Über 18. Für ein Beispiel. Wofür könnte man das brauchen? Egal. 00:15:53.778 --> 00:15:56.958 Hallo, könnt ihr ruhig aussprechen? Wir sind eine Erwachsenensendung, das ist Porn. 00:15:57.498 --> 00:16:02.218 Wir sind keine Erwachsenensendung. Wir machen sozusagen mit Altersfreigabe null. 00:16:03.058 --> 00:16:05.418 Wirklich, jeder ist hier willkommen und soll lernen. 00:16:06.478 --> 00:16:10.558 So, liebe Eltern, falls ihr jetzt erklären müsst, was Porn ist, fragt Constanze. 00:16:11.938 --> 00:16:16.158 Also Anbieter, ich weise mich aus, 18, und dann sagst du, das soll also so passieren, 00:16:16.158 --> 00:16:21.518 dass wenn ich bei dem Anbieter nochmal ein Konto aufmache und dann fragt er 00:16:21.518 --> 00:16:24.558 das ja wieder und dann zeige ich meine E-ID vor, 00:16:24.838 --> 00:16:28.138 dann weiß er, ich bin dasselbe Pseudonym wie da. 00:16:28.198 --> 00:16:32.098 Soll das verpflichtend sein oder soll das, also ist das Bequemlichkeit oder Verpflichtung? 00:16:32.578 --> 00:16:34.898 Man kann es sowohl als auch machen. Also sozusagen auch das ist wieder, 00:16:35.038 --> 00:16:36.478 die Technologie lässt erstmal alles zu. 00:16:37.378 --> 00:16:39.918 Man kann es so entscheiden, dass man sagt, man möchte wiedererkannt werden, 00:16:39.998 --> 00:16:42.498 gerade wenn ich einen Account habe und er sagt, ich möchte nur pro Bürgerin 00:16:42.498 --> 00:16:45.598 einmal eine Abstimmung zulassen zum Beispiel, Das ist ein ganz klassisches Beispiel. 00:16:45.698 --> 00:16:47.718 Da will ich natürlich, dass sich jeder nur einmal anmelden kann. 00:16:48.238 --> 00:16:51.278 Man kann aber auch freier sein und sagen, man will einfach nur wissen, 00:16:51.418 --> 00:16:54.058 da ist irgendjemand aus Deutschland, ob ich da zehn Konten habe oder nicht, ist mir egal. 00:16:54.418 --> 00:16:56.578 Das heißt, die Technologie erlaubt einfach erst mal sehr, sehr viel. 00:16:57.018 --> 00:16:59.398 Und das ist eben auch genau die Schwierigkeit jetzt bei dieser Gesetzgebung, 00:16:59.458 --> 00:17:01.138 weil da steht überhaupt nichts von Technologie drin. 00:17:01.238 --> 00:17:04.598 Da wurde einfach nur gesagt, man soll unverknüpfbar sich ausweisen können. 00:17:04.678 --> 00:17:09.198 Man hat Selective Disclosure, man kann auswählen, belegen, welche Attribute man vorzeigt. 00:17:09.558 --> 00:17:12.958 Jetzt wurde noch später hinzugefügt, diese Unobservability, der ja auch immer 00:17:12.958 --> 00:17:15.378 diese Wallet zur Verfügung stellt, weil das noch gar nicht klar ist, 00:17:15.398 --> 00:17:17.818 wird das auf dem Smartphone sein oder vielleicht doch eine Online-Lösung. 00:17:18.378 --> 00:17:22.018 Dass wer auch immer das zur Verfügung stellt, soll nicht rausfinden können, 00:17:22.058 --> 00:17:23.438 wo ich mich die ganze Zeit damit einlogge. 00:17:23.738 --> 00:17:26.758 Da stehen also schon eine Menge wirklich gute Sachen drin und insbesondere steht 00:17:26.758 --> 00:17:28.878 nichts komplett Schlechtes drin. Und das ist ja mal ein großer Fortschritt, 00:17:28.958 --> 00:17:29.758 muss man ja auch mal so sagen. 00:17:31.158 --> 00:17:33.538 Es steht nicht drin, dass wir zum Beispiel eine eindeutige ID brauchen, 00:17:33.598 --> 00:17:36.878 mit der wir uns immer und überall ausweisen. Das war mal eine Diskussion. 00:17:37.498 --> 00:17:42.498 Heute würde man denken, wie bitte? Aber das zeigt ja nur, dass Kritik auch anerkannt wurde. 00:17:43.518 --> 00:17:45.878 Genau, es sind wirklich eine Menge schöne Sachen, die drinstehen, 00:17:46.218 --> 00:17:48.338 aber nichts von den Dingen ist verpflichtend. 00:17:49.031 --> 00:17:53.211 Das hat man gesagt, das soll enabled werden. Und das Problem ist auch, 00:17:53.231 --> 00:17:55.451 sobald man eine Sache weglässt, insbesondere diese Unobstacability, 00:17:55.751 --> 00:17:58.451 die wir am Ende noch reingefügt haben, dass man den nicht überwachen kann, 00:17:58.511 --> 00:18:00.771 was man gerade macht, der dieses Wallet zur Verfügung stellt. 00:18:01.171 --> 00:18:04.871 Wenn man allein das weglässt, kann man eine Lösung zur Verfügung stellen, 00:18:05.011 --> 00:18:08.631 die die anderen Sachen erfüllt, aber datenschutzmäßig eine Riesenkatastrophe 00:18:08.631 --> 00:18:11.571 ist, weil wir eine Stelle hätten, die uns komplett überall verfolgen kann. 00:18:12.111 --> 00:18:16.411 Aber verstehe ich das richtig? Es gibt ein Gesetz, da steht drin, 00:18:16.471 --> 00:18:20.131 wie man es richtig macht, Und dann aber steht quasi nicht drin und so sollt 00:18:20.131 --> 00:18:22.011 ihr es machen, sondern so könnt ihr es machen? Genau. 00:18:22.851 --> 00:18:28.031 Ja und das und die eigentliche, sozusagen die technische Ausformung, 00:18:28.091 --> 00:18:29.031 die steht ja natürlich auch nicht drin. 00:18:29.591 --> 00:18:35.431 Also das kommt noch hinzu, also da wird es ja eine Form von technischer Erklärung 00:18:35.431 --> 00:18:38.511 geben, die aber nicht in der Verordnung direkt drin steht oder aber die auch 00:18:38.511 --> 00:18:40.311 national gelöst werden kann. 00:18:40.811 --> 00:18:44.051 Das heißt, es soll zwar eine interoperable Lösung zwischen allen sein, 00:18:44.051 --> 00:18:47.811 aber wie die einzelnen Nationalstaaten das ausgestalten und wie es technisch 00:18:47.811 --> 00:18:50.231 gemacht wird, das steht halt nochmal auf dem anderen Blatt. 00:18:53.671 --> 00:18:59.031 Also die Kritik ist, das sagt übrigens auch schon seit vielen Monaten der europäische 00:18:59.031 --> 00:19:02.291 Datenschutzbeauftragte, der kann nämlich keine richtige Datenschutzfolgeabschätzung 00:19:02.291 --> 00:19:04.471 machen, was zwangsweise gemacht werden muss. 00:19:05.011 --> 00:19:09.051 Und auch diejenigen, die sich von der IT-Sicherheit damit beschäftigen, schon lange. 00:19:09.631 --> 00:19:14.611 Nämlich, dass eine ernsthafte Analyse natürlich ohne diese Spezifikation, 00:19:14.831 --> 00:19:18.611 also ohne die detaillierte technische Darstellung ja nicht gemacht werden kann. 00:19:19.051 --> 00:19:22.331 Da muss ich aber trotzdem mal zurückfangen. Detaillierte technische Darstellung 00:19:22.331 --> 00:19:27.791 in einem Gesetz, das klingt so ein bisschen wie, da wird eine konkrete Implementation, 00:19:27.831 --> 00:19:29.631 soll da nach der Forschung festgeschrieben werden. 00:19:29.711 --> 00:19:32.851 Weil ich dachte immer, dass es in Gesetzen mit Digitalisierung sagen, 00:19:32.971 --> 00:19:35.551 eher darum geht, einen Rahmen für die richtige Implementation zu schaffen. 00:19:35.551 --> 00:19:37.911 Aber dass man nicht konkret reinschreibt, so muss man es machen. 00:19:38.051 --> 00:19:39.491 Das verstehe ich jetzt nicht ganz genau. 00:19:40.171 --> 00:19:43.271 Naja, man kann das normativ so machen, dass man bestimmte Dinge vorschreibt, 00:19:43.351 --> 00:19:44.471 aber das ist ja hier gerade nicht passiert. 00:19:44.631 --> 00:19:49.551 Sondern da sind sehr viele offene Möglichkeiten und Kannlösungen. 00:19:49.971 --> 00:19:53.911 Naja, und die hätte man natürlich ein bisschen, man hätte sie müssen, 00:19:54.191 --> 00:19:57.791 konkrete Regeln müssen. Nämlich das, was nicht erlaubt ist zu sagen. Ah, okay. 00:19:58.891 --> 00:20:01.131 So ist das Verhältnis sehr weit offen. Na gut. 00:20:02.311 --> 00:20:07.551 Trotzdem nochmal, weil ich das klare Jein hat sich zu einem wohl ausformulierten 00:20:07.551 --> 00:20:09.471 Jein versinnbildlicht. 00:20:12.501 --> 00:20:15.161 Ist das Gesetz noch zu retten, klingt schon ein bisschen zu scharf, 00:20:15.221 --> 00:20:17.341 weil du hast ja gesagt, da stehen sozusagen keine wirklich schlimmen Sachen 00:20:17.341 --> 00:20:20.641 dran, aber mal jetzt abgesehen von dem Artikel 45, 00:20:21.501 --> 00:20:27.501 ist das jetzt was, wo ihr sagt, da kann man dann trotzdem mitarbeiten oder sagt ihr, nee, 00:20:28.341 --> 00:20:32.021 da stehen zwar gute Sachen drin und es ist nichts richtig Schlimmes drin, 00:20:32.161 --> 00:20:36.101 trotzdem, wenn es so verabschiedet wird, dann wirft das alles zurück, 00:20:36.241 --> 00:20:37.801 das muss eigentlich nochmal umgearbeitet werden. 00:20:38.361 --> 00:20:40.301 Also habt ihr eine klare Haltung zu diesem Gesetz? 00:20:40.941 --> 00:20:43.741 Ich hab eigentlich eine, aber die hat jetzt auch nochmal andere Aspekte, 00:20:43.981 --> 00:20:45.641 die man dann auch nochmal aufwerfen müsste. 00:20:46.061 --> 00:20:49.041 Also wir haben jetzt alle so ein bisschen geguckt, wieso? Naja. 00:20:50.521 --> 00:20:52.841 Aber der Punkt dran ist wohl, egal wie man sich dazu stellt, 00:20:52.901 --> 00:20:55.441 wenn man sagt, das geht jetzt gerade noch durch oder ach nee, lass mal. 00:20:56.261 --> 00:21:01.601 Der Punkt ist ja, die Leute müssen das Vertrauen haben, denn diese Form von 00:21:01.601 --> 00:21:03.021 Identität ist optional. 00:21:03.901 --> 00:21:08.781 Das heißt, du musst eigentlich in diese Verordnung das Vertrauen einbauen und 00:21:08.781 --> 00:21:12.221 woher soll es kommen, wenn man sich nicht technisch darauf verlassen kann, 00:21:12.321 --> 00:21:15.241 dass es nicht auch ein überfettetes Überwachungstool werden soll? 00:21:16.221 --> 00:21:18.761 Mal unabhängig vom Artikel 45, auf den wir gleich noch kommen. 00:21:19.721 --> 00:21:25.681 Also ich glaube, dass leider das Ziel, nämlich eine coole, vertrauenerweckende 00:21:25.681 --> 00:21:29.221 Lösung zu erdenken, nicht erreicht wurde. 00:21:29.421 --> 00:21:32.081 Da das glaube ich mein, deswegen bleibt das immer noch ein Jein. 00:21:32.081 --> 00:21:35.181 Ich will da kurz sagen, verstehe ich das richtig, 00:21:35.881 --> 00:21:39.121 dass du sagst, wenn das Gesetz in der Form wie es jetzt ist, 00:21:39.801 --> 00:21:45.941 stattfinden wird, dann könnte es E-IDs geben, die wird aber niemand haben wollen, 00:21:46.541 --> 00:21:53.401 weil das Gesetz halt sozusagen mäßig vertrauenswürdiges E-ID macht. 00:21:53.961 --> 00:21:55.701 Anja schüttelt gerade so ein bisschen den Kopf. 00:21:57.241 --> 00:22:00.781 Ne, es geht schon in die Richtung. Man weiß es halt einfach nicht. 00:22:01.021 --> 00:22:04.861 Also sozusagen es kann gut und schlecht werden und jedes EU-Land kann wieder 00:22:04.861 --> 00:22:07.141 für sich entscheiden, wie es umsetzt und da kennen wir ja auch ein paar, 00:22:07.261 --> 00:22:09.901 die dann vielleicht nicht ganz vorne beim Datenschutz mit dabei sein werden. 00:22:12.001 --> 00:22:14.781 Es kommt noch eine Komponente dazu, die wir jetzt nicht erwähnt haben. 00:22:15.261 --> 00:22:19.481 Also das ist halt eine komplexe Gesetzgebung, nämlich dass von Seiten der Industrie 00:22:19.481 --> 00:22:26.261 es nicht optional sein wird. Das heißt, es soll so sein, dass für bestimmte Wirtschaftsbereiche. 00:22:27.804 --> 00:22:31.764 Die Angebote verpflichtend werden. Das heißt, um dem vorzubeugen, 00:22:31.804 --> 00:22:34.424 dass es wieder so ein Rohrkrepierer wird, wie das schon mal in Deutschland war 00:22:34.424 --> 00:22:36.384 und jetzt noch ist, will man auf 00:22:36.384 --> 00:22:39.604 der anderen Seite, auf der Angebotsseite verpflichtende Lösungen finden. 00:22:39.704 --> 00:22:44.384 Das heißt, in bestimmten ganzen Bereichen, bestimmten Branchen wird man dafür 00:22:44.384 --> 00:22:50.304 Verpflichtungen haben. Also das heißt, Anbieter müssen E-ID-Funktionalität haben, 00:22:50.404 --> 00:22:52.964 unabhängig davon, ob das dann überhaupt jemand benutzen wird oder nicht. 00:22:53.864 --> 00:22:58.164 Was aber in der Konsequenz bedeuten könnte, dass die ihre Angebote dann so gestalten, 00:22:58.284 --> 00:23:00.524 dass man da mehr oder weniger hingenutscht wird? 00:23:00.804 --> 00:23:03.224 Oder was ist da die Befürchtung? Naja, oder sich auch keinem Mühe geben, 00:23:03.364 --> 00:23:04.244 das weiß man natürlich nicht. 00:23:04.384 --> 00:23:08.924 Achso, dass sie es einfach sloppy umsetzen und dann… Ich muss immer an die deutsche E-ID denken. 00:23:09.164 --> 00:23:12.724 Vor zehn Jahren, als ich nur eBay gehabt habe in der alten Form, 00:23:13.084 --> 00:23:14.484 da ging es um diese Anbieter. 00:23:14.584 --> 00:23:18.044 Man wollte, damit die Deutschen anfangen, die E-ID zu benutzen und wie coole 00:23:18.044 --> 00:23:22.064 Angebote haben, etwa bei eBay oder damals, Facebook war noch nicht so riesengroß. 00:23:22.064 --> 00:23:27.104 Aber je nachdem, wie sexy die die gestalten, ist das halt entweder interessant 00:23:27.104 --> 00:23:29.444 für Leute oder überhaupt nicht. 00:23:30.564 --> 00:23:33.824 Und in Deutschland gab es halt einfach nichts, was Leute benutzen wollten. 00:23:34.344 --> 00:23:39.704 Also insofern, es ist schwer abzuschätzen, was wohl kommen wird. 00:23:40.784 --> 00:23:44.284 Also mein Stand, ich versuche noch einmal eine klare Anbeziehung, 00:23:44.604 --> 00:23:48.084 mein Stand ist jetzt, dass ihr sagt, also das Gesetz kann schon so kommen. 00:23:49.024 --> 00:23:53.384 Aber dann wird sich halt niemand dafür interessieren, die Industrie wird Geld 00:23:53.384 --> 00:23:56.044 für schlechte Lösungen ausgeben und das Ganze wird sozusagen versandt, 00:23:56.084 --> 00:23:57.984 aber es wird kein gesellschaftlicher Schaden entstehen. 00:23:58.104 --> 00:24:01.044 Das höre ich auch so ein bisschen im Subjekt. Also gerade, genau, 00:24:01.224 --> 00:24:07.444 durch die Verpflichtung, je nachdem in welchen Branchen, zumindest für Anbieter 00:24:07.444 --> 00:24:12.464 und so, ich würde jetzt nicht sagen, dass kein Schaden entsteht. 00:24:12.864 --> 00:24:17.304 Wo siehst du den? Vielleicht sind wir auch schon zu passiv. Darf ich das gerade kurz? Ja. 00:24:17.764 --> 00:24:20.944 Der Schaden, wo siehst du den, wo könnte der entstehen? Also sagen wir, 00:24:21.084 --> 00:24:25.244 das wird nicht von Endanwendern genutzt. 00:24:26.022 --> 00:24:29.462 Und wir hätten aber zum Beispiel jetzt vorgegriffen, Artikel 45, 00:24:30.062 --> 00:24:34.542 hätten wir trotzdem eine Infrastruktur geschaffen, die zum Nachteil werden kann. 00:24:35.102 --> 00:24:39.462 Und das ist die große Gefahr. Also ich glaube, im Positiven, 00:24:39.542 --> 00:24:43.942 wenn wir ein System schaffen würden, das wirklich genutzt wird und dass auch 00:24:43.942 --> 00:24:45.782 die Versprechen, so die optional sind, 00:24:45.902 --> 00:24:50.002 gerade tatsächlich halten würde und implementieren würde, das wäre schön. 00:24:50.242 --> 00:24:55.202 Aber wenn wir es halt nicht schaffen, heißt es nicht, dass dann davon auch nichts 00:24:55.202 --> 00:24:57.322 implementiert wird und nichts zum Nachteil wird. 00:24:57.622 --> 00:25:03.222 Also das ist, glaube ich, das ist so ein bisschen zu, ja, es ist nicht so binär, glaube ich. 00:25:03.362 --> 00:25:05.842 Ja, okay, aber ich verstehe es auch nicht. Also du sagst, es könnte, 00:25:06.322 --> 00:25:09.942 also es könnte ein System geben, das dann zwar erst mal nicht genutzt wird, 00:25:10.022 --> 00:25:13.962 das dann aber in der Zukunft zu etwas oder von jemandem genutzt wird, 00:25:13.982 --> 00:25:15.002 was wir noch nicht absehen können. 00:25:15.422 --> 00:25:18.582 Und weil es dann schon da ist, ermöglicht durch die Gesetzgebung, 00:25:18.582 --> 00:25:22.182 gibt es sozusagen das Potenzial für eine schadhafte Entwicklung. 00:25:22.502 --> 00:25:23.422 Ist das, verstehst du? Okay. 00:25:24.062 --> 00:25:26.562 Genau, und da würde ich jetzt auch dem zustimmen. Also, ich denke schon, 00:25:26.662 --> 00:25:30.442 dass was jetzt umgesetzt oder was geplant wird, das wird schon kommen und es wird umgesetzt. 00:25:30.522 --> 00:25:32.222 Und ich glaube schon, dass es einen großen Impact haben wird, 00:25:32.282 --> 00:25:33.102 weil ich glaube, wir können uns 00:25:33.102 --> 00:25:35.542 diese Passivität bei digitalen Identitäten irgendwann nicht mehr leisten. 00:25:35.742 --> 00:25:38.702 Also, das wird ein zunehmendes Problem, wie man sich sicher ausweist. 00:25:39.282 --> 00:25:42.462 Und das, was da jetzt eben beschlossen wird, ich denke schon, dass es kommen wird. 00:25:42.942 --> 00:25:46.342 Und der Punkt sein, ist es gut genug? Also, das ist ja auch die Forderung, 00:25:46.422 --> 00:25:49.202 die wir dann gemacht haben, Es muss halt wirklich klar werden, 00:25:49.642 --> 00:25:52.402 dass die Umsetzung mein Verständnis von der ganzen Gesetzgebung ist. 00:25:52.462 --> 00:25:55.202 Wir können daran glaube ich nichts mehr ändern. Man kann jetzt nur noch Ja oder Nein sagen. 00:25:55.862 --> 00:25:57.382 Zu diesem Gesetz, wie es jetzt aussieht. 00:25:58.422 --> 00:26:01.062 Aber man kann vielleicht einen Kompromiss finden, dass man sagt, 00:26:01.102 --> 00:26:04.082 wir müssen wirklich jetzt auch gemeinsam arbeiten, um diese technische Ausarbeitung 00:26:04.082 --> 00:26:06.942 so zu machen, dass sie den aktuellen technischen Stand der Forschung auch mit 00:26:06.942 --> 00:26:10.142 einbezieht und wirklich Datenschutz ganz weit oben hinsetzt und alles, 00:26:10.222 --> 00:26:13.062 was momentan nur angedacht ist, halt wirklich verpflichtend umsetzt. 00:26:14.382 --> 00:26:19.462 Also ich versuche immer sozusagen das für alle nochmal umzuformulieren, 00:26:20.042 --> 00:26:25.842 das heißt, es klingt ein bisschen nach das Gesetz, so wie es jetzt aussieht, 00:26:26.042 --> 00:26:27.842 ist alles andere als ideal. 00:26:28.282 --> 00:26:32.042 Wir können es aber eh nicht mehr ändern. Deswegen müssen wir im Nachgang des 00:26:32.042 --> 00:26:36.682 Beschlusses dieses Gesetzes alles daran setzen, dass das in einer Art und Weise umgesetzt wird, 00:26:37.182 --> 00:26:43.062 um die Löcher zu stopfen, Unklarheiten klar werden zu lassen und vor allen Dingen 00:26:43.062 --> 00:26:44.662 die unsicheren Dinge sicher zu machen. 00:26:45.222 --> 00:26:50.462 Bei dieser digitalen Wallet ja, ich glaube bei Artikel 45, da hilft irgendwie nur anzünden. 00:26:50.722 --> 00:26:56.062 Okay, gut, okay. So, also wir haben jetzt den Rest des Gesetzes besprochen und 00:26:56.062 --> 00:26:57.742 Artikel 45, herzlich willkommen. 00:26:59.122 --> 00:27:05.042 Bevor wir aber dahin gehen, eine kleine Side-Note, die aber mit dem Thema zu 00:27:05.042 --> 00:27:08.922 tun hat, nämlich es gibt zu diesem Gesetz einen offenen Brief, 00:27:09.522 --> 00:27:12.342 den ich am Anfang gesprochen habe, den ihr alle, Konz hast du den eigentlich auch unterschrieben? 00:27:12.462 --> 00:27:14.502 Natürlich nicht. Natürlich, natürlich nicht. 00:27:14.742 --> 00:27:17.922 Ich habe ihn indirekt unterschrieben, weil ja nicht nur Wissenschaftler, 00:27:18.542 --> 00:27:23.382 sondern auch NGOs, also Organisationen, ihn mit unterzeichnet haben und dazu 00:27:23.382 --> 00:27:25.902 gehört auch EDRI und damit auch der CCC. 00:27:26.342 --> 00:27:32.262 Ah, okay, gut. So, also es gibt einen offenen Brief, der lustigerweise bei mir, 00:27:32.382 --> 00:27:34.122 also als wir besprochen haben, wir machen heute dieses Thema, 00:27:34.262 --> 00:27:37.682 war ich so, hä, noch nie von gehört und ihr so, ja, das Thema läuft voll unter dem Radar. 00:27:37.782 --> 00:27:41.662 Ich so, das stimmt offensichtlich. Ich habe aber von diesem offenen Brief schon mal gehört, 00:27:42.122 --> 00:27:44.902 ohne das mit dem Thema zu verknüpfen, nämlich der offene Brief, 00:27:45.322 --> 00:27:53.122 wo NGOs, also aktivistische Organisationen, WissenschaftlerInnen und Google unterschrieben haben. 00:27:55.722 --> 00:27:59.562 Wer steckt denn da jetzt dahinter und was zur Hölle passiert da? 00:28:00.902 --> 00:28:03.602 Also der Brief, aber ich glaube wir hatten auch schon andere, 00:28:03.742 --> 00:28:05.542 wo Google mitgeschrieben hat, also nicht mitgeschrieben hat, 00:28:05.582 --> 00:28:06.562 aber mitunterzeichnet hat, sorry. 00:28:06.562 --> 00:28:10.662 Also der Brief entstand aus einer Initiative von verschiedenen ForscherInnen, 00:28:11.042 --> 00:28:14.502 die gesehen haben, dass da was schiefläuft, die ein Auge immer noch auf die 00:28:14.502 --> 00:28:18.502 politischen Entwicklungen haben, dann ein paar andere KollegInnen zusammengetrommelt 00:28:18.502 --> 00:28:20.082 haben und gesagt haben, wir müssen mal wieder was machen. 00:28:20.801 --> 00:28:24.341 Und dann fängt man eben an, solche Sachen zu schreiben, erst mal das Thema irgendwie 00:28:24.341 --> 00:28:28.181 auch so durchdringend zu überlegen, wie kurz und lang kann man das machen und 00:28:28.181 --> 00:28:31.101 versucht sich dann auf eine gemeinsame Story und Text zu einigen und dann fängt 00:28:31.101 --> 00:28:33.041 man an eben Unterschriften zu sammeln. 00:28:33.741 --> 00:28:37.401 Und da sind aber sozusagen quer durch die Gesellschaft alle dabei. 00:28:37.921 --> 00:28:40.441 Also quer durch die Gesellschaft halt alle Security-Forscherinnen. 00:28:40.761 --> 00:28:42.921 Nein, also es ist schon eine sehr spezielle technische Gesellschaft. 00:28:43.681 --> 00:28:46.901 Ich meine jetzt im Sinne von Einzelpersonen, Aktivistenorganisationen und schon 00:28:46.901 --> 00:28:50.441 auch eben einfach große Firmen. Nee, die kommen halt wirklich erst, also quasi später dazu. 00:28:50.581 --> 00:28:53.841 Das sind halt, ja, ForscherInnen, die sich kennen, die man sich persönlich kennt, 00:28:54.201 --> 00:28:57.801 die dann gegenseitig anschreiben, bis man halt eine Gruppe zusammen hat, die, ja, 00:28:58.241 --> 00:29:01.761 gleiche Interessen und Themen verfolgt und dann fängt man eben an, 00:29:01.781 --> 00:29:03.981 diese Briefe zu schreiben und zu Beginn waren es, glaube ich, 00:29:03.981 --> 00:29:06.641 wirklich auch nur ForscherInnen, die das Ganze auch unterzeichnet hatten und 00:29:06.641 --> 00:29:09.941 dann wurde es aber auch geöffnet und NGOs und auch größere Firmen haben sich 00:29:09.941 --> 00:29:10.741 dem Ganzen angeschlossen. 00:29:10.741 --> 00:29:16.441 Ich glaube, darauf kommt eine gewisse, also es gibt eine Zunahme dieser offenen 00:29:16.441 --> 00:29:18.701 Briefe, aber ich glaube, es ist auch ein gewisser Frust darüber, 00:29:18.981 --> 00:29:20.501 gerade in der IT-Security. 00:29:21.541 --> 00:29:26.521 Dass so diese Klassiker, die als Standard gelten und von denen alle wissen, 00:29:26.941 --> 00:29:30.881 das ist eigentlich jetzt so ungefähr Stand der Forschung, so weitgehend ignoriert 00:29:30.881 --> 00:29:33.221 werden. Also da steckt ein gewisser Frust hinter. 00:29:34.201 --> 00:29:38.341 Und mich hat hier erstaunt, weil es so viele sind. Also 300 waren es, 00:29:38.401 --> 00:29:40.881 glaube ich, bei Veröffentlichungen und mittlerweile sind wir bei über 500. 00:29:41.161 --> 00:29:43.301 Also das ist einfach eine große Menge. 00:29:43.661 --> 00:29:46.361 Und im Prinzip kann man sagen, gibt es überhaupt keine Mindermeinung. 00:29:46.461 --> 00:29:47.321 Jedenfalls nicht in der Wissenschaft. 00:29:47.961 --> 00:29:51.481 Jeder weiß, das ist technisch einfach mal korrekt. Das muss man auch mal festhalten. 00:29:52.061 --> 00:29:55.081 Das erinnert mich ein bisschen an die Klimakatastrophe. Anyways, 00:29:56.701 --> 00:30:00.741 so, also die Schlagzeilen, die man davon mitbekommen hat, wenn man nicht tiefer 00:30:00.741 --> 00:30:04.001 reingegangen sind, es gibt diesen offenen Brief. 00:30:05.661 --> 00:30:11.661 Die Schlagzeile ist, die EIDAS-Gesetzgebung ermöglicht die Etablierung einer 00:30:11.661 --> 00:30:14.361 Überwachungsinfrastruktur in unserem Internet. 00:30:15.805 --> 00:30:18.745 Und das alles hängt irgendwie mit Artikel 45 zusammen. Wir machen es jetzt sozusagen 00:30:18.745 --> 00:30:22.205 wie bei dem ganzen Gesetz, aber für diesen einen kleinen Artikel. 00:30:22.725 --> 00:30:27.225 Artikel 45. Was steht da drin? Was ist die Idee? Was soll der? 00:30:29.665 --> 00:30:33.045 Wer will noch mal? Wer hat noch nicht? Ich kann es mal versuchen, 00:30:33.225 --> 00:30:36.485 aber sozusagen, mir ist die Frage, wie weit man ausholt. So, 00:30:36.565 --> 00:30:37.525 dass ich noch folgen kann? 00:30:39.305 --> 00:30:45.225 Ja, weil so in Artikel 45 geht es im Endeffekt darum, dass Browser gewisse Zertifikate, 00:30:45.485 --> 00:30:50.465 die von der EU ausgestellt werden, als Root-Zertifikat-Äquivalent akzeptieren müssen. 00:30:50.625 --> 00:30:53.125 Das ist schon klar, wenn du das sagst, dann müssen wir das merken. 00:30:53.445 --> 00:30:54.445 Das ist genau die Frage, genau. 00:30:54.865 --> 00:30:59.085 Das ist ein extrem technischer Punkt. Das ist für die Hörerinnen eine Sache klar. 00:30:59.645 --> 00:31:04.145 Ich werde jetzt gleich die geneigten Gäste dazu nötigen, ganz kurz zu erklären, 00:31:04.825 --> 00:31:08.745 was asynchrone Verschlüsselung ist, was Zertifikate sind, was ein Root-Zertifikat ist. 00:31:09.045 --> 00:31:13.125 Aber wir halten das heute kurz und das kann man auch sagen, Das ist eine Auffreschung. 00:31:13.585 --> 00:31:16.205 Wenn euch das alles ganz, ganz neu kommt, und ich bitte um Entschuldigung, 00:31:16.345 --> 00:31:19.265 aber wenn wir das noch mal von vorne machen würden, wäre die Sendung, 00:31:19.305 --> 00:31:22.605 die wahrscheinlich 1,5 Stunden lang wird, noch mal weitere 1,5 Stunden lang. 00:31:22.925 --> 00:31:27.265 Es gibt das Chaos Radio 192, radioaktive Krypto-Party. 00:31:27.685 --> 00:31:30.565 Da haben wir uns mal die Zeit genommen, einfach Verschlüsselungen, 00:31:31.165 --> 00:31:34.045 die Konzepte und Grundsätze von Verschlüsselungen genau zu erklären. 00:31:34.585 --> 00:31:39.205 Dann macht jetzt Pause, 192 anhören, einmal anhören, kommt dann wieder zurück, 00:31:39.285 --> 00:31:41.885 und dann könnt ihr den Refresher, den wir jetzt gleich noch machen, mitnehmen. 00:31:42.265 --> 00:31:46.545 So, ganz kurz, einfach, unkompliziert, sodass jeder folgen kann, 00:31:46.645 --> 00:31:47.785 aber trotzdem nicht zu lang. 00:31:49.239 --> 00:31:54.739 Verschlüsselung in Browsern. How? Why? Gut, mal schauen, wie ich das hinkriege. 00:31:55.899 --> 00:31:57.759 Ich hab da mal so eine Vorlesung vorbereitet. 00:31:59.599 --> 00:32:03.059 Die Datenübertragung im Internet ist ja momentan schon relativ gut gesichert 00:32:03.059 --> 00:32:05.199 durch Verschlüsselung durch das TLS-Protokoll. 00:32:05.359 --> 00:32:08.839 Das heißt, wir sind schon in der Lage, zwischen Client und Server eine sichere 00:32:08.839 --> 00:32:11.479 Verbindung aufzubauen, die wirklich, das ist nicht Ende zu Ende, 00:32:11.599 --> 00:32:14.899 aber transportverschlüsselt ist, zwischen Client und Server wird Schlüsselmaterial ausgetauscht. 00:32:14.979 --> 00:32:17.479 Und dann werden alle Daten so verschlüsselt, dass jemand, da die Verbindung 00:32:17.479 --> 00:32:19.679 abhört, nichts mehr über die Nachrichten lernen kann. 00:32:20.199 --> 00:32:23.119 Und wir wissen ja, Verschlüsselung und Kryptografie ist so wunderschönbar sicher, 00:32:23.279 --> 00:32:26.279 dass halt wirklich jemand, der den Schlüssel nicht kennt, nichts über die Nachrichten, 00:32:26.519 --> 00:32:28.059 den ausgetauschten Informationen lernen kann. 00:32:29.179 --> 00:32:31.319 Dann ist die Frage, wie kommt man an den Schlüssel? Wie können sich ein Client 00:32:31.319 --> 00:32:33.939 und ein Server diesen Schlüssel austauschen, der dann nachher eingesetzt wird? 00:32:33.979 --> 00:32:36.539 Und das ist ja die erste Phase in diesem TLS-Protokoll passiert, 00:32:36.639 --> 00:32:38.959 da wird ein Schlüssel ausgetauscht zwischen Client und Server. 00:32:39.699 --> 00:32:41.839 Und auch da wird wieder wunderschöne Kryptografie eingesetzt, 00:32:41.859 --> 00:32:44.679 die dafür sorgt, dass, weil der Teil ist halt noch über einen unsicheren Kanal, 00:32:44.679 --> 00:32:48.379 dass außer der Client und Server, die miteinander reden und diesen Schlüssel 00:32:48.379 --> 00:32:50.919 austauschen wollen, obwohl alles über einen unsicheren Kanal geht, 00:32:51.419 --> 00:32:54.579 ein Angreifer, der das abgehört hat, nichts über den ausgetauschten Schlüssel lernt. 00:32:54.939 --> 00:33:04.379 Also ich sitze an meinem Computer und frage völlig willkürlich herausgeriffen url ccc.de ab. 00:33:04.619 --> 00:33:10.119 Und dann sagt mein Rechner, hey, ich bin's. Ich würde gerne mit dir kommunizieren. 00:33:10.379 --> 00:33:13.979 Und das ist aber, ah, du bist es. Wir wollen, dass niemand zuhört und dann werden 00:33:13.979 --> 00:33:16.839 Dinge ausgetauscht. Genau, da werden Dinge ausgetauscht und das ist das Faszinierende. 00:33:16.959 --> 00:33:19.579 In dem Moment kann auch jeder quasi mitlesen und mithören. 00:33:21.239 --> 00:33:24.499 Aber trotzdem wird am Ende zwischen dir und dem anderen Server ein Schlüssel 00:33:24.499 --> 00:33:27.119 ausgetauscht sein, den ihr nachher die vierte Verschlüsselung nutzen könnt. 00:33:27.659 --> 00:33:30.799 Obwohl ihr bei dem Austausch noch über einen unsicheren Kanal kommuniziert habt. 00:33:31.779 --> 00:33:35.419 Okay. Und das ist auch wieder wunderschöne Kryptografie. Das finde ich irgendwie 00:33:35.419 --> 00:33:38.479 so eines der faszinierendesten Konzepte, dieses Schlüsselaustausch. 00:33:38.979 --> 00:33:42.439 Das heißt, auch da haben wir Sicherheit, außer vor den Parteien, 00:33:42.519 --> 00:33:44.179 die den Schlüssel kennen, weil natürlich, wenn man einen Schlüssel hat, 00:33:44.579 --> 00:33:47.639 dann kann ich auch entschlüsseln. Genau das ist ja auch das Ziel dahinter. 00:33:48.499 --> 00:33:51.399 Und dann ist es jetzt natürlich ganz, ganz wichtig für die Verschlüsselung, 00:33:51.439 --> 00:33:53.899 dass ich tatsächlich mit der Party, mit der ich kommunizieren möchte, 00:33:54.079 --> 00:33:56.979 den Schlüssel ausgetauscht habe, mit dem dann der Rest meiner Kommunikation 00:33:56.979 --> 00:33:57.859 auch verschlüsselt wird. 00:33:58.639 --> 00:34:02.259 Und da kommen jetzt eben Zertifikate ins Spiel, weil dieser Schlüsselaustausch 00:34:02.259 --> 00:34:03.339 muss authentisiert sein. 00:34:03.439 --> 00:34:05.519 Das heißt, ich muss mir schon sicher sein, dass die Webseite, 00:34:05.719 --> 00:34:07.379 mit der ich mit dem Server, mit dem ich kommunizieren möchte, 00:34:07.499 --> 00:34:09.499 auch der ist, mit dem ich jetzt den Schlüssel ausgetauscht habe, 00:34:10.179 --> 00:34:12.719 weil ansonsten könnte sich halt irgendjemand dazwischenhängen. 00:34:12.899 --> 00:34:19.359 Ein sogenannter man in the middle attack oder man in the middle attack. 00:34:19.699 --> 00:34:22.699 Kann sich dazwischenhängen und einfach nur so tun, als wäre es eigentlich die 00:34:22.699 --> 00:34:26.659 Endpartei, mit der ich kommunizieren möchte, Schlüsselmaterial abfangen und 00:34:26.659 --> 00:34:28.339 einfach immer alles wieder re-encrypten. 00:34:28.999 --> 00:34:31.679 Also sozusagen der Schlüsselaustausch ist nur so sicher, wie ich mir sicher 00:34:31.679 --> 00:34:35.119 sein kann, dass ich mit der richtigen Partei kommuniziere, mit der ich den Schlüssel entzeige. 00:34:35.139 --> 00:34:39.019 Also das heißt sozusagen die Information ist am Anfang zwar unverschlüsselt 00:34:39.019 --> 00:34:40.959 und da kann jeder zugucken. 00:34:42.263 --> 00:34:46.303 Aber, damit sozusagen diese ganzen Schritte überhaupt passieren können, 00:34:46.503 --> 00:34:48.323 die genau im Chaos Radio 192 erklärt werden. 00:34:49.923 --> 00:34:53.103 Muss ich mir sichern, dass ich wirklich mit ccc, oder dass mein Browser wirklich 00:34:53.103 --> 00:35:04.563 mit ccc.de kommuniziert und nicht mit cc-kyrillisches-s.de das so tut, als wäre es ccc.de. 00:35:04.743 --> 00:35:09.083 Und dafür gibt es ein Zertifikat, das ist also so eine Art e-ID. 00:35:09.983 --> 00:35:12.803 Genau, das ist eben das Verwöhnende. Das hat erstmal mit E-ID sozusagen nichts 00:35:12.803 --> 00:35:15.743 zu tun und ich glaube auch das Verwöhnende, dass so diese beiden Sachen im selben Gesetz kommen. 00:35:15.843 --> 00:35:18.383 Aber genau, sozusagen wir müssen das austauschen und ich muss mir sicher sein, 00:35:18.463 --> 00:35:20.603 dass ich mit der richtigen Partei online kommuniziere. 00:35:21.223 --> 00:35:26.763 Aber ein Zertifikat ist sozusagen letztlich ein Stück Mathematik oder ein Stück 00:35:26.763 --> 00:35:28.143 Code, was irgendwo abgerufen wird. 00:35:28.303 --> 00:35:31.123 Es ist erstmal wirklich wie ein so normales Zertifikat, wie man es sich vorstellt. 00:35:31.343 --> 00:35:33.583 Was ist ein normales Zertifikat? Was meinst du jetzt? Also irgendwas, 00:35:33.683 --> 00:35:34.663 wo halt Dinge drinstehen, die 00:35:34.663 --> 00:35:37.283 zertifiziert wurden. Wirklich wie so ein analoges Zertifikat, wo halt... 00:35:37.403 --> 00:35:39.743 Also so eine Urkunde quasi. Genau, wo halt Dinge drinstehen, 00:35:39.783 --> 00:35:43.283 die jemand über dich gesagt hat, man hat einen Führerschein oder man hat gewisse Attribute. 00:35:44.103 --> 00:35:48.743 Weil die Authentisierung, die man eben braucht, die wird wieder mit kryptografischen 00:35:48.743 --> 00:35:49.723 Schlüsseln realisiert. 00:35:49.843 --> 00:35:51.983 Also sozusagen man kann die Kryptografie immer weiter treiben und irgendwann 00:35:51.983 --> 00:35:54.823 kann ich Signaturen verifizieren von der gegenüberliegenden Stelle, 00:35:54.923 --> 00:35:57.543 wo unterschrieben ist, ja, ich spreche tatsächlich mit ccc.de. 00:35:58.003 --> 00:36:00.363 Und es wurde unterschrieben und da wurde ein Schlüssel, ein öffentlicher Schlüssel 00:36:00.363 --> 00:36:02.483 mitgeliefert und gesagt, damit verifiziert das Ganze. 00:36:03.003 --> 00:36:06.463 Aber auch das, Kryptografie an sich hat erstmal, kann tolle Sicherheit liefern, 00:36:06.523 --> 00:36:10.443 aber es kann keinen Kontext liefern. Und dieser Kontext kommt dann über Zertifikate zustande. 00:36:10.943 --> 00:36:14.103 Das heißt, es ist alles wunderbar mathematisch gesichert. Es wurde unterschrieben, 00:36:14.243 --> 00:36:17.023 es verifiziert mit einem öffentlichen Schlüssel. Aber das Wichtige ist, 00:36:17.083 --> 00:36:18.523 zu wem gehört denn jetzt diese öffentliche Schlüssel? 00:36:19.303 --> 00:36:22.183 Und das steht dann im Zertifikat drin. Das steht drinnen. Dieses wurde jetzt 00:36:22.183 --> 00:36:27.003 mit einem Public Key oder verifiziert mit einem Public Key und der gehört jetzt dem CCC. 00:36:27.683 --> 00:36:30.423 Und das ist erst mal, wenn das nur ein Zertifikat ist, wo drin steht, 00:36:30.543 --> 00:36:31.763 dieser öffentliche Schlüssel gehört dann. 00:36:33.943 --> 00:36:37.643 Also im Prinzip ist es schon wie so eine Urkunde. Früher der König hat mir einen 00:36:37.643 --> 00:36:40.163 Brief geschrieben, der steht drin, das ist Markus Richter. 00:36:40.283 --> 00:36:43.643 Na, du würdest heute keinen König mehr suchen, mal angenommen du möchtest deine 00:36:43.643 --> 00:36:47.323 eigene Webseite mit einem Zertifikat ausstatten, dann würdest du dir eher das 00:36:47.323 --> 00:36:52.723 Äquivalent von heutzutage, von einem Notar suchen, der sozusagen dir bestätigt, this is you. 00:36:53.123 --> 00:36:57.203 Und dann natürlich auch der CCC-Etat an dem Beispiel, weil Anja am Eingang sozusagen 00:36:57.203 --> 00:37:02.143 hatte oder du hast, glaube ich, gewählt. Der CCC hat einen solchen digitalen 00:37:02.143 --> 00:37:06.483 Notar und das ist bei uns Let's Encrypt. Also es gibt sozusagen... 00:37:07.029 --> 00:37:15.169 Ja, solche Zertifikatsausstellungsentitäten, da kannst du halt hingehen und 00:37:15.169 --> 00:37:21.109 holst dir sozusagen für spätere Surfer, die auf deine Webseite kommen, diese Bestätigung. 00:37:21.729 --> 00:37:25.169 Also, Königin, da können Leute vielleicht heute nicht mehr viel mit anfangen, 00:37:25.489 --> 00:37:27.389 weil, mhm, gibt's ja nicht mehr alleine. 00:37:28.429 --> 00:37:36.629 Also, wenn ich das anfrage, dann kriege ich ein Zertifikat und auf dem Zertifikat 00:37:36.629 --> 00:37:40.389 steht dann drauf, das hat Let's Encrypt ausgestellt. 00:37:40.729 --> 00:37:43.929 Let's Encrypt bestätigt, dass ccc.de ccc.de ist. 00:37:44.029 --> 00:37:49.209 In gewisser Weise verstehen die dieses Vertrauen her, aber sind natürlich auch nicht die einzigen. 00:37:49.949 --> 00:37:54.369 Genau, das Wichtige ist aber eben auch, dass der ccc.de, das ist halt die Frage, 00:37:54.529 --> 00:37:55.469 wie kann man das überhaupt testen? 00:37:55.529 --> 00:37:58.589 Und was wird da überhaupt zertifiziert? Aber das Wichtige ist wirklich das Binden. 00:37:59.009 --> 00:38:01.029 Deswegen muss ich so ein bisschen länger ausführen, ist mir nicht so wahnsinnig 00:38:01.029 --> 00:38:04.649 gut gelungen. Das Binden von CCC an diesen kryptographischen Schlüssel, 00:38:04.789 --> 00:38:09.949 der dann die weiteren Schlüssel authentisiert, die wir für unsere Verschlüsselung später brauchen. 00:38:10.069 --> 00:38:13.329 Also es bindet eben kryptographisches Material, was tolle Sicherheit leisten 00:38:13.329 --> 00:38:15.829 kann, aber an sich eben ohne Kontext nichts wert ist. 00:38:16.149 --> 00:38:19.049 An den Kontext nämlich, wem gehört denn dieser Schlüssel? Mit wem baue ich jetzt 00:38:19.049 --> 00:38:20.329 gerade die sichere Verbindung auf? 00:38:20.789 --> 00:38:23.229 Und das sozusagen kannst du mir nicht einfach irgendein Zertifikat schicken, 00:38:23.309 --> 00:38:26.969 wo du das selber gesagt hast, dir bestätigt hast, dass du jetzt der CCC bist, 00:38:27.009 --> 00:38:32.269 sondern da gibt es eben eine Stelle, der auf bestimmten Paradigmen basierend 00:38:32.269 --> 00:38:34.789 Vertrauen abgeleitet wird. 00:38:35.249 --> 00:38:38.009 Und das ist eben zum Beispiel Let's Encrypt, das ist so eine Zertifizierungsstelle, 00:38:38.409 --> 00:38:40.209 da glaubt man, dass man denen vertrauen kann. 00:38:41.569 --> 00:38:43.569 Und der Grund ist, warum man glaubt, dass man denen vertrauen kann, 00:38:43.649 --> 00:38:45.209 ist, dass sie wieder auch ein Zertifikat haben. 00:38:45.349 --> 00:38:47.949 Also auch die wurden zertifiziert von einer anderen Stelle, wo gesagt wurde, 00:38:48.009 --> 00:38:51.289 Let's Encrypt ist eine vertrauenswürdige Zertifikatsausstellende Behörde. 00:38:51.569 --> 00:38:54.949 Und auch Auch das wurde ja von irgendjemandem zertifiziert und da kommen wir 00:38:54.949 --> 00:38:56.949 jetzt sozusagen, dann hat man diese Public Key-Infrastruktur, 00:38:57.109 --> 00:38:58.209 hat man so eine Hierarchie, 00:38:58.989 --> 00:39:02.069 also man kommt immer weiter, sozusagen irgendjemand hat zertifiziert, 00:39:02.189 --> 00:39:05.209 dass Let's Encrypt gut ist, das wurde zertifiziert und ganz, 00:39:05.429 --> 00:39:10.309 ganz oben am Ende der Wurzel, der Spitze des Baumes steht dann eben das Root-Zertifikat. 00:39:10.469 --> 00:39:13.429 Also eine sozusagen, der wirklich die Wurzel des Vertrauens im Internet, 00:39:13.869 --> 00:39:17.449 die sagt, von da können wir das gesamte Vertrauen immer weiter ableiten. 00:39:17.789 --> 00:39:19.209 Das ist also wie eine Siegelkette. 00:39:19.909 --> 00:39:25.749 Genau, ist wie eine Siegelkette. Also jemand hat bestätigt, dass dieser Brief vom Absender kommt? 00:39:26.564 --> 00:39:29.644 Der Absender ist von jemand anders bestätigt worden und so weiter und so fort 00:39:29.644 --> 00:39:31.684 und so weiter und so fort und ganz oben ist dann, 00:39:32.364 --> 00:39:35.384 sozusagen irgendein, also weil du Jeska gerade gesagt hast, es gibt ja tausende 00:39:35.384 --> 00:39:40.264 Siegel, also irgendwo ganz oben prangt das eine Siegel, das aber alle wirklich 00:39:40.264 --> 00:39:42.124 kennen. Der Notar der Notare. 00:39:44.124 --> 00:39:44.924 Der Metanotar. 00:39:47.684 --> 00:39:50.164 Fühlt das zu weit, wenn ich frage, wie das technisch realisiert ist? 00:39:50.344 --> 00:39:56.184 Also woher weißt du sozusagen, also weil jetzt im Siegelding kann man sich das 00:39:56.184 --> 00:40:00.284 vorstellen, jeder hat das Siegel mal gesehen, das ist auch so unfassbar filigran, 00:40:00.364 --> 00:40:01.444 dass man es nicht nachmachen kann. 00:40:01.964 --> 00:40:04.864 Woher weißt du sozusagen, keine Ahnung, mein Computer oder mein Smartphone, 00:40:05.004 --> 00:40:07.004 dass ein Rootzertifikat ein Rootzertifikat ist? 00:40:07.304 --> 00:40:09.564 Und da reden wir jetzt tatsächlich über, also das ist eine sehr, 00:40:09.724 --> 00:40:14.964 sehr zentrale Entscheidung. Weil davon hängt ja ab, welchen Ketten vertraue ich. 00:40:15.744 --> 00:40:20.224 Und da kommt jetzt unter anderem zum Beispiel Mozilla ins Spiel, 00:40:20.644 --> 00:40:26.864 weil Browser-Hersteller können sagen, welche Zertifikate sind in diesem Browser 00:40:26.864 --> 00:40:28.604 oder Betriebssystem-Hersteller können sagen, 00:40:29.084 --> 00:40:32.684 welche Zertifikate sind in meinem Betriebssystem und denen wird vertraut. 00:40:32.764 --> 00:40:37.364 Das heißt, letztendlich sind es Software-Hersteller, die entscheiden können, 00:40:37.704 --> 00:40:41.024 welche Liste von Zertifikaten da jetzt drin ist. 00:40:41.724 --> 00:40:46.124 Und das wird auch regelmäßig reviewt, also wenn rauskommt, es gab irgendwelche 00:40:46.124 --> 00:40:49.944 Data Breaches, was auch immer, dann kann es eben sein, dass, 00:40:50.404 --> 00:40:53.524 wenn das häufiger passiert, sogar bestimmte Zertifikatsaussteller komplett da 00:40:53.524 --> 00:40:56.184 rausfliegen oder einfach so, dass man halt, 00:40:57.124 --> 00:40:58.904 ja, schlechte Zertifikate da draus entfernt. 00:40:58.924 --> 00:41:04.284 Da gibt es auch Mechanismen, das festzustellen, um dieses ganze System sicher zu. 00:41:06.182 --> 00:41:09.382 Verstehe ich das richtig zu sagen? Also wenn der Anwendungsfall, 00:41:09.482 --> 00:41:15.722 mein Browser fragt ccc.de, da passiert so eine Kette und ganz am Ende steht 00:41:15.722 --> 00:41:17.442 ein Root-Zertifikat und durch Mathe, 00:41:17.702 --> 00:41:22.582 sehr kompliziertes Mathe, aber letztlich Mathe, dann ist auf meinem Rechner ein Stück Software, 00:41:23.262 --> 00:41:26.842 wo drin das Aussehen des Root-Zertifikats enthalten ist. 00:41:26.922 --> 00:41:30.462 Das heißt, im Prinzip ist die Information von Anfang an bei mir. 00:41:30.462 --> 00:41:35.202 Ja, du hast quasi eine Liste, die ist in jedem Browser, den du hast. 00:41:35.362 --> 00:41:36.542 Nicht unbedingt im Betriebssystem. 00:41:37.842 --> 00:41:42.222 Aber sozusagen im Gerät. Okay, gut. 00:41:43.282 --> 00:41:46.142 Achso, und wichtig ist noch die Aussage, die jetzt dabei war, 00:41:46.402 --> 00:41:52.202 die kann, da kann es, man nennt es Revokation, es kann mal einer aus der Liste rausfliegen. 00:41:52.442 --> 00:41:56.462 Ja. Das ist eine wichtige Information, weil es kommt zu IT-Sicherheitsvorfällen. 00:41:56.802 --> 00:42:00.122 Es gab auch schon sehr große, sehr breit berechnete. Ich habe jetzt leider nicht 00:42:00.122 --> 00:42:02.482 im Vorfeld nachgeschlagen, aber ich glaube, wir hatten auch mal ein Chaos Radio 00:42:02.482 --> 00:42:04.862 zu dem einen Fall von... Diginota? 00:42:05.602 --> 00:42:09.962 Ja, ich glaube ja. Das war der größte, glaube ich, international bekannteste. 00:42:10.502 --> 00:42:17.582 Genau, so. Wenn ich mir jetzt ausdenken würde, was eine Gesetzgebung damit zu 00:42:17.582 --> 00:42:20.002 tun hat... Naja, das ist ja wohl naheliegend, oder? 00:42:22.062 --> 00:42:27.062 Ich versuche hier voll zu schauspielen, dass ich den mega cleveren Gedanken habe, aber... 00:42:31.017 --> 00:42:34.697 Ich würde so sagen, denken, dann steht in dem Gesetz irgendwas drinnen, 00:42:34.797 --> 00:42:37.957 was einen Eingriff... Nee, genau, ich wollte vorher noch was anderes fragen, 00:42:38.057 --> 00:42:40.737 nämlich diese Revokation, von der du gerade gesprochen hast. 00:42:41.217 --> 00:42:42.557 Das muss ja irgendjemand entscheiden. 00:42:43.377 --> 00:42:46.337 Also irgendjemand muss ja in einem Gremium möglicherweise sein, 00:42:46.397 --> 00:42:48.497 was sagt so, nein, Böse raus. 00:42:48.637 --> 00:42:52.397 Oder macht das jeder Hersteller für sich, oder gibt es so eine Art internationale 00:42:52.397 --> 00:42:54.317 Aufsichtsbehörde, die das macht? 00:42:55.877 --> 00:42:58.837 Ich glaube, da ist sozusagen auch der Gedanke von diesem Article 45, 00:42:58.977 --> 00:43:02.617 da ist relativ viel Verantwortung und auch Einflussmöglichkeiten wirklich bei 00:43:02.617 --> 00:43:03.797 den Browserherstellern. Okay. 00:43:04.057 --> 00:43:04.937 Die können entscheiden, ob 00:43:04.937 --> 00:43:08.877 sie gewissen Root CAs nicht mehr vertrauen und die dann eben rausnehmen. 00:43:09.017 --> 00:43:11.877 Das heißt praktisch gesehen einigen die sich schon irgendwie immer, 00:43:12.617 --> 00:43:16.437 aber theoretisch kann auch ein Browserhersteller einfach sagen, 00:43:16.557 --> 00:43:20.037 ich habe hier noch das Root-Zertifikat von – keine Ahnung. 00:43:21.637 --> 00:43:25.337 Okay. Warte, wir sollten das kurz klären. Root CA ist genau das. 00:43:25.737 --> 00:43:28.057 Die sozusagen Root Certificate Authority. 00:43:28.577 --> 00:43:31.597 Also damit wir die Begriffe, die hier immer so fallen, das ist genau. 00:43:31.597 --> 00:43:35.357 Das ist genau die Institution, wo das gesammelt wird? Nee. 00:43:35.857 --> 00:43:39.777 Das ist nur, damit man die Akronyme versteht. Das ist die Certificate Authority, 00:43:39.997 --> 00:43:42.077 also sozusagen derjenige, der das Zertifikat ausstellt. 00:43:42.957 --> 00:43:45.277 Nur weil das so ein Begriff ist, der typischerweise immer fällt, 00:43:45.397 --> 00:43:48.557 obwohl Leute oft nicht wissen, was eigentlich das Akronym bedeutet. 00:43:48.977 --> 00:43:52.477 Und das ist in unserem, jetzt hier, das sind die Browser-Hersteller zum Beispiel. 00:43:52.957 --> 00:43:58.357 Nein, die sind drin, die sind Teil der Liste, die in den, über die Browser zu den Leuten. 00:43:58.577 --> 00:44:03.717 Das oberste, das oberste, das oberste Zertifikat ist das RootCA. 00:44:04.417 --> 00:44:06.937 Genau, es gibt eben nicht nur eins, sondern relativ viele. Also da ist eigentlich 00:44:06.937 --> 00:44:09.237 überhaupt schon fast so ein Wunder, dass das Internet noch funktioniert. 00:44:09.417 --> 00:44:11.537 Wenn man sich mal anguckt, wie viele RootCA es da eigentlich gibt. 00:44:11.537 --> 00:44:17.537 Okay, dann also These in Artikel 45 steht drin, die EU ist jetzt in Zukunft 00:44:17.537 --> 00:44:22.477 auch, gibt ein RUZ.de raus und dadurch kann man dann schlimme Dinge machen. 00:44:23.936 --> 00:44:26.876 Genau. Und das ist aber alles ein bisschen unbenannt. Also das heißt nicht mehr 00:44:26.876 --> 00:44:31.136 Roots.ca, sondern irgendwie QTSP. 00:44:31.396 --> 00:44:37.216 Und ich glaube Qualified Trust Service Provider anstatt Roots.ca. 00:44:37.596 --> 00:44:42.936 Und das können dann eben Länder sein und die stellen dann auch nicht mehr normale 00:44:42.936 --> 00:44:47.096 Zertifikate, sondern irgendwie QVEX aus. Also es ist einfach alles unbenannt. 00:44:47.336 --> 00:44:50.336 Was heißt QVEX? Das ist, würde ich sagen, einer von den beiden Schlagzeilen, 00:44:50.456 --> 00:44:54.156 die… Unified Web Authentication Certificate. 00:44:54.376 --> 00:44:57.596 Lernt ihr bis zum nächsten Mal alle schön auswendig. Ja, es wird abgefragt. 00:44:59.036 --> 00:45:07.536 Das heißt, letztendlich im Artikel 45 wird so eine Parallelinfrastruktur festgelegt. 00:45:08.216 --> 00:45:11.596 Und anstelle, dass es die Browser-Hersteller sind, die entscheiden, 00:45:12.256 --> 00:45:14.336 wer ist gut, wer ist schlecht, wird einfach gesagt, 00:45:15.156 --> 00:45:22.536 jeder Staat ist ja gutartig, weil die stellen Identitäten von Leuten fest und 00:45:22.536 --> 00:45:27.476 das heißt wir geben jetzt den Staaten die Möglichkeit zu sagen oder den Ländern 00:45:27.476 --> 00:45:28.776 Möglichkeit zu sagen, hey, 00:45:30.216 --> 00:45:33.856 das ist jetzt irgendwie unsere Zertifikatsausstellungsstelle, 00:45:34.096 --> 00:45:37.496 denen vertrauen wir, denen muss jetzt auch vertraut werden, also einfach in 00:45:37.496 --> 00:45:38.756 dieser parallelen Infrastruktur. 00:45:39.336 --> 00:45:42.296 Also natürlich nur europäische Länder, bezieht sich jetzt eher auf Europa. 00:45:46.096 --> 00:45:48.496 Warum ist das gefährlich? 00:45:50.997 --> 00:45:53.737 Wir sprechen ja hier im Chaos-Radar ab und zu auch über staatliche Überwachung. 00:45:53.817 --> 00:45:56.497 Der Verdacht wäre, also vielleicht haben wir das noch gar nicht so explizit 00:45:56.497 --> 00:45:57.837 gesagt, dann müsste man das auch mal sagen, 00:45:58.397 --> 00:46:04.917 eine, so eine Root CA, also sagen so ein Wurzelzertifikat, das kann ja beliebige 00:46:04.917 --> 00:46:06.597 Zertifikate signieren. 00:46:06.717 --> 00:46:09.897 Das ist ja also dieses, wenn so eine Dinge abgesagt werden, dann auch, 00:46:09.997 --> 00:46:13.317 weil sie möglicherweise Zertifikate signiert haben, die gar nicht stimmen. 00:46:13.657 --> 00:46:20.657 Das heißt also, wenn ein Staat ein Root CE wäre, könnte der sagen, Guck mal, 00:46:21.557 --> 00:46:26.997 der Server ccs.de hat ein gültiges Zertifikat für ccc.de und deswegen können 00:46:26.997 --> 00:46:30.837 wir jetzt die Verschlüsselung irgendwie angreifen oder was? 00:46:30.917 --> 00:46:33.937 Das wäre eine Variante, aber du kannst einfacher denken. 00:46:34.217 --> 00:46:39.557 Du kannst die ganze Vertrauenskette damit sozusagen unterminieren. 00:46:41.057 --> 00:46:45.357 Davon leitet sich ja dein Vertrauen ab. Und wichtigsten ist natürlich, 00:46:46.437 --> 00:46:52.017 dass der Herrscher über den eigentlichen Verschlüsselungskern, 00:46:52.137 --> 00:46:55.417 also da ist ja das kryptografische Material, von dem das Vertrauen abgeleitet wird. 00:46:57.017 --> 00:47:00.597 Und deswegen ist auch der Protest so groß natürlich, weil… Ich verstehe noch 00:47:00.597 --> 00:47:04.377 nicht ganz die konkrete Gefahr, weil von dem, was ihr gesagt habt, 00:47:04.417 --> 00:47:07.077 ist ja sozusagen so ein Blue-C-A, wenn da irgendwie Sachen schief gehen, 00:47:07.137 --> 00:47:10.837 dann wird das irgendwie rausgeschmissen. Ja, eben nicht. 00:47:11.257 --> 00:47:17.937 Also das Gesetz sagt, Länder sind vertrauenswürdig und die dürfen Zertifikate ausstellen. 00:47:18.157 --> 00:47:22.917 Also das Gesetz legitimiert die Länder dazu, eine Hoheit darüber zu haben, 00:47:22.997 --> 00:47:29.537 ihre eigenen QTSPs zu haben, die Zertifikate ausstellen, unabhängig davon, ob mal was schief läuft. 00:47:29.697 --> 00:47:33.837 Und wir wissen ja, wie gut Länder solche digitalen Infrastrukturen aufbauen. 00:47:33.837 --> 00:47:35.697 Ich versuche es so ganz hinzuverstehen. 00:47:35.997 --> 00:47:39.517 Das heißt, ein Browserhersteller wäre zum Beispiel verpflichtet, 00:47:39.777 --> 00:47:43.817 diese Zertifikate aufzunehmen, egal wie crappy sie sind. 00:47:44.697 --> 00:47:46.137 Aber was ist die konkrete Gefahr? 00:47:47.981 --> 00:47:52.121 Also nicht, ihr sagt jetzt, die Zertifikatskette kann kompromittiert werden, 00:47:52.441 --> 00:47:55.001 aber was könnte passieren? 00:47:55.081 --> 00:47:57.681 Was sind, sagen, ein oder zwei oder drei Worst-Case-Szenarien? 00:47:58.121 --> 00:48:03.921 Also das Erste ist, weil du hast jetzt gesagt, dann könnte irgendwie ccc.sde 00:48:03.921 --> 00:48:06.961 oder sowas signiert werden, aber das stimmt nicht. 00:48:07.081 --> 00:48:11.221 Also auch, aber das Schlimmere ist eigentlich genau das, was Constanze gesagt 00:48:11.221 --> 00:48:15.461 hat, dass diese Vertrauenskette aufgebrochen wird. Und du könntest denken, 00:48:15.561 --> 00:48:19.781 du redest mit ccc.de, aber in Wirklichkeit redest du mit wem ganz anderen. 00:48:21.341 --> 00:48:28.381 Und jetzt ist es so, Zertifikate sind eben an allen möglichen Stellen und sichern ziemlich viel ab. 00:48:28.521 --> 00:48:31.841 Also im ersten Moment würdest du sagen, okay, dann rede ich halt nicht mehr 00:48:31.841 --> 00:48:34.921 mit ccc.de, sondern da ist jemand dazwischen, vielleicht ist es nicht so schlimm. 00:48:35.481 --> 00:48:40.161 Aber ich ziehe mir ja auch zum Beispiel Software-Updates und möchte eben der 00:48:40.161 --> 00:48:43.561 Gegenseite Vertrauen, woher ich mir die Software hole. 00:48:44.301 --> 00:48:47.261 Und dadurch kann das eine ziemlich große Auswirkung haben. 00:48:47.381 --> 00:48:50.701 Also vielleicht ziehe ich mir jetzt ein Software-Update, wo zwischendrin irgendein 00:48:50.701 --> 00:48:53.581 Staat ist und die Software austauscht, die ich mir dann installiere. 00:48:53.861 --> 00:48:54.981 Und dann habe ich einen Staatsroyale? 00:48:55.321 --> 00:48:58.841 Das könnte das Schlimmste sein. Also wenn du nach dem schlimmsten Szenario fragst, 00:48:59.161 --> 00:49:02.701 dann wäre auch so was möglich. Da sind natürlich einige Angriffsschritte dazwischen. 00:49:03.181 --> 00:49:07.101 Und vielleicht ist auch die Software selbst nochmal signiert an einer Stelle, 00:49:07.241 --> 00:49:08.481 was es verhindern würde. 00:49:08.641 --> 00:49:12.521 Aber wenn wir sagen, hey, TLS ist doch eigentlich sicher. 00:49:13.250 --> 00:49:16.770 Dann wäre das was, was passieren könnte, wenn man sich nur darauf verlässt. 00:49:16.990 --> 00:49:18.650 Okay, dann möchte ich den einen Schritt nochmal deutlich sagen, 00:49:18.730 --> 00:49:19.530 den du gerade gemacht hast. 00:49:20.030 --> 00:49:23.450 Weil wir jetzt als Beispiel mal genommen hatten, ich sitze an meinem Computer, 00:49:23.570 --> 00:49:24.810 der Browser kommuniziert mit dem Server. 00:49:25.450 --> 00:49:28.910 Diese, aber diese, wir haben das als Beispiel genommen, die Technologie zu erklären 00:49:28.910 --> 00:49:33.690 und die ist bei ziemlich vielen Schritten, also wann auch immer eigentlich technische 00:49:33.690 --> 00:49:36.570 Geräte im Internet miteinander kommunizieren, wird heutzutage sichergestellt, 00:49:36.910 --> 00:49:37.970 dass sie genau das machen. 00:49:38.330 --> 00:49:42.090 Dass sie sozusagen gucken, okay, und das sozusagen könnte an allen Stellen untergraben 00:49:42.090 --> 00:49:43.610 werden. Okay, warte mal. 00:49:44.390 --> 00:49:47.950 Vielleicht, dass ich nochmal ein Realweltbeispiel nehme, weil das ein bisschen 00:49:47.950 --> 00:49:51.010 anschließt irgendwie so an, weiß ich nicht, zehn Jahre Snowden oder so. 00:49:51.110 --> 00:49:53.570 Es gibt natürlich Geheimdienste etwa in europäischen Ländern, 00:49:53.710 --> 00:49:56.150 die sich alle zehn Finger danach lecken würden, 00:49:56.610 --> 00:49:59.850 weil einfach die strukturelle Überwachung, etwa wenn du, mal angenommen, 00:49:59.970 --> 00:50:05.150 du kriegst einen großen Metadatensatz und möchtest aber auch gerne an die Inhalte 00:50:05.150 --> 00:50:07.210 von Kommunikation ran, ist natürlich super, 00:50:08.070 --> 00:50:11.330 da könnten Geheimdienste natürlich sehr viel strukturierter mit abhören. 00:50:12.830 --> 00:50:16.450 Das kann man immer sagen. Natürlich, die europäischen Staaten sind Demokratien, 00:50:16.550 --> 00:50:18.110 die haben Gesetze und das stimmt ja auch. 00:50:18.370 --> 00:50:23.970 Aber dennoch, man baut hier absichtlich eine Schwachstelle ein. Warum? 00:50:24.910 --> 00:50:29.130 Ich meine, dass sich da eine technische Community gegenwehrt, ist auch verständlich. 00:50:29.130 --> 00:50:32.590 Und ich denke, das ist auch nicht die Verpflichtung dieser technischen Community, 00:50:33.570 --> 00:50:39.190 jeden einzelnen Fall, der sich eventuell als Missbrauch herausstellen könnte, 00:50:39.250 --> 00:50:42.070 darzustellen, sondern strukturiert auf dieses Problem hinzuweisen. 00:50:43.150 --> 00:50:45.790 Wenn wir hier ein tolles Beispiel finden oder mehrere finden, 00:50:45.970 --> 00:50:50.510 wie man das ausnutzen könnte, ist das trotzdem nicht die Aufgabe dieser wissenschaftlichen 00:50:50.510 --> 00:50:54.270 Community, sondern die hat sich vor allen Dingen angesehen, was steht in diesem 00:50:54.270 --> 00:50:57.710 Artikel und warum geht das nicht, warum ist das falsch? 00:50:58.250 --> 00:51:02.190 Und die Reaktion eigentlich von denjenigen, die jetzt die Verordnung machen, 00:51:02.250 --> 00:51:05.090 müsste sein, oh man, ja wirklich, das ist vielleicht eine schlechte Idee, 00:51:05.190 --> 00:51:07.430 vielleicht streichen wir mal diesen blöden Artikel 45. 00:51:08.090 --> 00:51:09.450 Das ist aber natürlich nicht geschehen. 00:51:11.270 --> 00:51:13.870 Da würde ich kurz nachfragen, sozusagen die... 00:51:14.583 --> 00:51:17.923 Also im Prinzip, wenn man jetzt nur diese Sendung sozusagen gehört hat, 00:51:17.923 --> 00:51:19.343 dann hat man gehört, okay, es gibt dieses Erzgeben. 00:51:19.483 --> 00:51:23.623 Da gibt es einen Artikel 45 und der Artikel 45 beinhaltet quasi, 00:51:23.723 --> 00:51:28.123 wir machen Verschlüsselung kaputt, indem wir das Vertrauen nachhaltig unterminieren. 00:51:28.583 --> 00:51:33.863 Jetzt frage ich mich aber gerade, gab es eine, vielleicht irgendwie gut gedacht, 00:51:33.943 --> 00:51:38.763 schlecht gemacht Motivation, warum man überhaupt an dieses System rangeht? 00:51:38.823 --> 00:51:42.283 Weil man könnte ja sagen, also es klang auch schon an, es ist funktionierende 00:51:42.283 --> 00:51:43.823 Technik, wir wissen, wie es geht. 00:51:43.823 --> 00:51:47.163 Es gibt sowohl technisch, im Sinne von wie ist das programmiert, 00:51:47.263 --> 00:51:50.763 ist das irgendwie lange alles geklärt, als auch der institutionelle Weg, 00:51:50.863 --> 00:51:54.503 wer legt fest, welche Zertifikate, wem vertrauen, das gibt es alles schon. 00:51:55.163 --> 00:52:00.143 Gab es irgendeine Motivation, außer das kaputt zu machen, warum es überhaupt diesen Artikel gibt? 00:52:01.083 --> 00:52:03.383 Genau, die Motivation war natürlich nicht irgendwas kaputt zu machen. 00:52:03.683 --> 00:52:05.183 Das ist ja schon mal beruhigend. 00:52:05.623 --> 00:52:08.723 Oder ist zumindest meine naive Hoffnung. Vielleicht war auch die Motivation, das kaputt zu machen. 00:52:08.863 --> 00:52:11.743 Aber ich habe die Hoffnung, dass das wirklich mit guten Intentionen zumindest 00:52:11.743 --> 00:52:13.043 einige daran gegangen sind. 00:52:13.043 --> 00:52:18.303 Und die Befürchtung war oder die Sorge, dass wir in Europa zu abhängig werden 00:52:18.303 --> 00:52:22.343 von amerikanischen Firmen und von Browser-Herstellern und wir müssen unsere 00:52:22.343 --> 00:52:23.903 digitale Souveränität sichern. 00:52:24.543 --> 00:52:27.503 Weil, was eben ja schon sein kann, dass die Browser-Hersteller haben halt schon 00:52:27.503 --> 00:52:30.623 eine Menge Macht, die entscheiden, welche Root-Zertifikate da reinkommen, 00:52:30.723 --> 00:52:34.123 aber es gibt auch dafür etablierte Standards, was für Sicherheitsvorkehrungen die machen können. 00:52:34.123 --> 00:52:38.623 Aber es könnte irgendwann einmal passieren, dass sie sagen, es wird so viel 00:52:38.623 --> 00:52:41.723 Schindluder getrieben mit diesen ganzen Root-CLs, dass Google sagt. 00:52:42.598 --> 00:52:45.638 Nur noch Root CAs sind sicher, die bei uns in Google-Infrastruktur laufen. 00:52:46.358 --> 00:52:48.418 Und dann hat man sich natürlich schon sehr, sehr abhängig gemacht. 00:52:48.498 --> 00:52:50.818 Das ist auch so ein Zukunftsszenario, keine Ahnung, ob das jemals passieren 00:52:50.818 --> 00:52:51.978 wird. Aber ich glaube, das war die Sorge. 00:52:52.098 --> 00:52:55.898 Was ist, wenn die Browserhersteller einfach immer weiter versuchen, 00:52:55.998 --> 00:52:57.258 sozusagen das einzuschränken? 00:52:57.298 --> 00:53:02.498 Und wir möchten als Europa auch in der Lage sein, da mitzuspielen und immer akzeptiert zu sein. 00:53:02.678 --> 00:53:08.398 Aber heißt das sozusagen, die haben ein Problem versucht zu klären und sie haben 00:53:08.398 --> 00:53:12.738 das Problem exakt reproduziert? Nämlich, sie haben potenziell nicht vertrauenswürdige 00:53:12.738 --> 00:53:14.438 Stellen zu Root CAs machen wollen? 00:53:15.158 --> 00:53:18.118 Genau, also sie haben überhaupt nicht das Problem gelöst, sondern einfach nur 00:53:18.118 --> 00:53:20.458 gesagt, wir fügen jetzt einfach noch mal mehr hinzu. 00:53:20.498 --> 00:53:23.738 Weil sozusagen das war das eine Problem, wir machen uns abhängig und das andere, 00:53:23.818 --> 00:53:26.198 was ich mehrfach gehört habe, war, ob wir denn nicht glauben, 00:53:26.278 --> 00:53:29.358 dass die NSA schon überall damit drin sitzt in den ganzen amerikanischen Root CAs. 00:53:29.518 --> 00:53:33.198 Also sozusagen, zwar einerseits wurde den aktuellen zum Teil misstraut und zum 00:53:33.198 --> 00:53:34.558 anderen wurde gesagt, wir machen uns abhängig. 00:53:35.118 --> 00:53:37.818 Und haben gesagt, dann lass uns doch einfach noch mehr hinzufügen und das sozusagen 00:53:37.818 --> 00:53:40.358 zu erzwingen, dass die akzeptiert werden. Aber nochmal, mein Kopf platzt gleich, 00:53:40.438 --> 00:53:41.858 das ist doch literally dasselbe Problem. 00:53:42.258 --> 00:53:46.878 Also wenn du vorwürfst, wenn du Google vorwürfst, möglicherweise bist du von 00:53:46.878 --> 00:53:52.018 der NSE einem staatlichen Geheimdienst unterwandert und deswegen können wir dir nicht vertrauen. 00:53:52.898 --> 00:53:57.698 Deswegen bauen wir jetzt einen neuen Baustein, der potenziell von einem staatlichen 00:53:57.698 --> 00:53:59.238 Geheimdienst untermauert werden könnte. 00:53:59.418 --> 00:54:02.258 Das ist doch dasselbe Ding in Grün. Nein, ist es nicht. Wieso nicht? 00:54:02.258 --> 00:54:07.558 Weil aus der europäischen Perspektive ist die Frage der, sozusagen der Souveränität, 00:54:07.558 --> 00:54:10.038 wie die jetzt immer geframed wird, die ist ja vorhanden. 00:54:10.498 --> 00:54:17.018 Also wir können ja nicht den Ist-Zustand als gut bewerten. 00:54:17.278 --> 00:54:20.138 Da gibt es ein Problem, das wollen wir euch ja nicht von Hand weisen oder so. 00:54:20.498 --> 00:54:25.658 Google hat diese Macht und Google ist auch von der NSA in verschiedenen Fällen unterminiert worden. 00:54:25.798 --> 00:54:29.058 Also ich wollte das nicht in Abrede stellen, ich wollte nur sagen. 00:54:29.941 --> 00:54:35.461 Die Lösung des Problems reproduziert das Problem nur sozusagen auf eine andere 00:54:35.461 --> 00:54:39.101 Art und also sagen, der nicht vertrauenswürdige Root-Certificate-Aussteller 00:54:39.101 --> 00:54:40.521 ist jetzt ein anderer nicht vertrauenswürdiger. 00:54:40.661 --> 00:54:43.661 Es geht aber nicht das Problem an, sondern es reproduziert es halt in anderer Form. 00:54:43.781 --> 00:54:48.981 Ja, aber natürlich durch die Tatsache, dass da staatliche Entitäten enthalten 00:54:48.981 --> 00:54:52.041 sind, sehen die das anders. 00:54:52.321 --> 00:54:56.061 Also ich würde dir im Prinzip zustimmen, aber du hast ja nach der Motivation 00:54:56.061 --> 00:54:59.401 gefragt, warum sie das eigentlich machen wollten. Nee, aber auch da sozusagen, 00:54:59.501 --> 00:55:03.821 nochmal dazwischen zu reden, es macht ja wirklich, es fügt aber noch mal ein Problem hinzu. 00:55:03.941 --> 00:55:07.861 Weil sozusagen, wenn die Kritik ist, wir haben Sorge, dass einige Root-CAs von 00:55:07.861 --> 00:55:10.801 der NSE unterlaufen sind und wir fügen jetzt einfach noch weitere hinzu, 00:55:10.881 --> 00:55:12.321 dann geht ja nicht das erste Problem weg. 00:55:13.021 --> 00:55:16.421 Das heißt, genau auch diese sozusagen potenziell unterminierten Root-CAs zu 00:55:16.421 --> 00:55:21.201 nutzen, um eben verschlüsselte Kommunikation sozusagen in der Mitte abzufangen 00:55:21.201 --> 00:55:23.361 und alles auslesen zu können, geht ja nicht weg. 00:55:23.421 --> 00:55:26.741 Wir haben nur potenziell mehr Root-CAs geschaffen, wo jetzt Geheimdienste diese 00:55:26.741 --> 00:55:30.461 Möglichkeit haben und die Rechte eine Roots CA zu stellen, auch wenn es da eben 00:55:30.461 --> 00:55:33.021 anders heißt und das ist eben das richtig perfide, es wird eben nicht mehr von 00:55:33.021 --> 00:55:35.321 Roots CA und TLS Zertifikaten gesprochen, 00:55:35.461 --> 00:55:38.301 sondern von dieser neuen Form von Zertifikaten. Man wird immer gesagt, 00:55:38.381 --> 00:55:38.961 das ist was ganz anderes. 00:55:40.341 --> 00:55:43.541 Das löst ja eben dieses Problem nicht und es kann ja insbesondere von jedem 00:55:43.541 --> 00:55:45.641 Member State in der EU vorgeschlagen werden. 00:55:45.741 --> 00:55:51.401 Und es gibt ja auch ein paar Länder, die jetzt vielleicht nicht ganz so demokratisch vor mir sind. 00:55:51.841 --> 00:55:55.761 Und vor allen Dingen, wo deren Gesetzgebung in Bezug auf Massenüberwachung und 00:55:55.761 --> 00:55:59.701 Geheimdienste etwas unterentwickelt ist. Gibt's ja auch. Nur ein Beispiel. 00:56:00.441 --> 00:56:03.801 UK ist raus, also, ne? Ich wollte gerade sagen, die sind ja eh nicht mehr in der EU. 00:56:04.201 --> 00:56:08.341 Also Länder, von denen ich Angst habe, in der EU, also beziehungsweise die ich 00:56:08.341 --> 00:56:10.781 für Bildungsfreiheit habe, also Ungarn fällt mir ein. Mal gucken, 00:56:10.841 --> 00:56:12.381 wie es in den Niederlanden wird jetzt. 00:56:13.081 --> 00:56:17.261 Polen maybe auf dem Weg der Besserung, wer weiß. Was gibt's noch für Beispiele? 00:56:17.261 --> 00:56:20.321 Also ich würde auch durchaus Frankreich und Spanien dazu nehmen, 00:56:20.401 --> 00:56:24.081 die nämlich sehr fordernde Geheimdienste haben und auch technisch hochgerüstete. 00:56:24.241 --> 00:56:28.641 Also das ist doch durchaus in Ländern, die man jetzt als gute Demokratien bezeichnet, ein Problem. 00:56:29.821 --> 00:56:33.161 Und wir können ja auch nicht absehen, was in der Zukunft an Konflikten passiert. 00:56:33.341 --> 00:56:36.721 Wir machen jetzt ein Gesetz und falls sich Regierungen ändern, 00:56:37.201 --> 00:56:39.221 falls es neue Konflikte gibt. AfD. 00:56:39.781 --> 00:56:43.441 Ich wollte gerade sagen, der Maßstab für Digitalisierungsgesetzgebung sollte 00:56:43.441 --> 00:56:47.501 ja immer sein, was passiert mit dem, was man baut, wenn die Nazis an die Macht kommen. 00:56:50.583 --> 00:56:52.743 Vielleicht aber noch eine Ergänzung, direkt von einer Sache, 00:56:52.823 --> 00:56:55.843 die auch noch putzig ist, die in diesem Artikel 45 steht, ist nicht nur, 00:56:55.903 --> 00:56:59.183 dass sie sagen, es gibt diese Zertifikate, die verpflichtend akzeptiert werden müssen. 00:56:59.623 --> 00:57:03.063 Es wird auch gesagt, es gibt ein Maximumlevel an Sicherheitschecks, 00:57:03.103 --> 00:57:06.023 die man durchführen kann, weil diese Roots hier sind halt wirklich extrem gewettert, 00:57:06.083 --> 00:57:09.343 da wird wirklich sehr, sehr viel Maschinerie und Aufwand betrieben, 00:57:09.383 --> 00:57:11.603 um sicherzustellen, dass diese Schlüssel, die dahinter liegen, 00:57:11.703 --> 00:57:13.763 halt wirklich sehr sicher sind und sehr gut geschützt sind. 00:57:14.343 --> 00:57:17.123 Und was jetzt in dieser EU-Verordnung steht, ist, dass ETSI, 00:57:17.183 --> 00:57:20.143 also die europäische Standardisierungsbehörde, die kann genau vorgeben, 00:57:20.223 --> 00:57:23.863 was die Regularien sind, um eben so eine Root CE oder diese europäische Root 00:57:23.863 --> 00:57:26.083 CE, die dann eben ein bisschen anders heißt, erfüllen zu hat. 00:57:26.143 --> 00:57:28.843 Und die Browserhersteller dürfen keine zusätzlichen Checks machen, 00:57:28.903 --> 00:57:32.243 um die Sicherheit davon zu überprüfen. Ich habe sowas auch noch nie gehört. 00:57:32.883 --> 00:57:35.643 In dem Fall fällt mir auch keine inhaltliche Begründung ein. 00:57:36.203 --> 00:57:37.963 Außer Praktikabilität höchstens. 00:57:38.103 --> 00:57:40.763 Also jetzt, Sie sagen, wollten Sie es einfacher machen. Ich verstehe überhaupt 00:57:40.763 --> 00:57:41.803 nicht, wie das da reingekommen ist. 00:57:41.803 --> 00:57:46.743 Ja Kosten, weil irgendwie muss es ja auch ein Land noch selber machen und das 00:57:46.743 --> 00:57:48.763 ist tatsächlich ein großes Problem, weil sonst, 00:57:49.403 --> 00:57:52.723 wenn sagen wir Deutschland das nicht selber hinkriegt, dann müssten sie halt, 00:57:52.863 --> 00:57:55.943 keine Ahnung, zur Deutschen Telekom gehen, die sind vielleicht schon eine Routier 00:57:55.943 --> 00:57:59.343 so und dann ändert sich ja aber im Status quo nichts, 00:57:59.563 --> 00:58:04.103 weil diese digitale Souveränität dann nicht da ist, sondern die Länder müssen 00:58:04.103 --> 00:58:08.883 wieder zu großen Firmen gehen, die das eh schon dürfen und haben diese Abhängigkeit und vermutlich, 00:58:09.503 --> 00:58:12.623 um eben davon loszukommen, War das die Idee? 00:58:14.023 --> 00:58:17.623 Und auch da, glaube ich, war so ein bisschen Hintergedanke wieder diese digitale Souveränität. 00:58:20.163 --> 00:58:23.063 Der Paranoia-Hintergedanke könnte ja sein, was ist, wenn die bösen, 00:58:23.223 --> 00:58:26.623 bösen Browserhersteller, wo ich auch immer nicht weiß, was da gerade beim Mozilla, 00:58:26.803 --> 00:58:30.083 was da so die Befürchtung ist, gesagt wird, was ist, wenn die anfangen, 00:58:30.183 --> 00:58:33.543 irgendwelche utopischen Sicherheitsanforderungen zu machen? 00:58:33.603 --> 00:58:35.323 Das könnte ja, wie gesagt, man könnte irgendwann so weit gehen, 00:58:35.383 --> 00:58:36.983 wenn es zum Beispiel irgendwann wirklich nur noch Google gäbe, 00:58:37.283 --> 00:58:43.123 dass sie sagen, es muss eben auf, ja, auf Google-Maschinen oder Servern laufen, 00:58:43.283 --> 00:58:44.043 die müssen Zugang haben. 00:58:44.103 --> 00:58:48.203 Also sie könnten schon Sicherheitslevel sich ausdenken, mit denen wir jetzt 00:58:48.203 --> 00:58:50.443 als europäische Länder nicht konform gehen würden. 00:58:50.983 --> 00:58:55.683 Aber auch das ist schon wieder so eine Utopie, der ich mich jetzt nicht unbedingt verschreiben möchte. 00:58:55.723 --> 00:58:59.123 Und ich glaube, auch da wäre die bessere Lösung, erst mal das Problem zu lösen. 00:58:59.203 --> 00:59:01.983 Weil das wurde überhaupt nicht angesprochen in der ganzen EU-Gesetzgebung, 00:59:02.063 --> 00:59:05.603 dass gesagt wird, wir sind so unglaublich von diesen amerikanischen Browserherstellern abhängig. 00:59:06.043 --> 00:59:10.283 Dann lass doch einfach mal EU-Gelder auf europäische Browser werfen und sozusagen 00:59:10.283 --> 00:59:11.943 eine alternative Infrastruktur entwickeln. 00:59:12.383 --> 00:59:16.683 Also meine Frage wäre jetzt tatsächlich gewesen, wie kann man das Problem denn 00:59:16.683 --> 00:59:18.023 sozusagen anders lösen? 00:59:18.123 --> 00:59:23.983 Und jetzt ist ja, also europäische Varianten von erfolgreichen US-amerikanischen 00:59:23.983 --> 00:59:30.843 Angeboten und Plattformen gab es ja schon, nutzt keiner so richtig. 00:59:32.863 --> 00:59:38.423 So, das heißt also Ja, irgendwie selber einen Browser bauen, okay, aber ... 00:59:39.655 --> 00:59:44.535 Pragmatisch gesehen, maybe nicht so erfolgsversprechend. Gibt es noch andere Möglichkeiten? 00:59:44.795 --> 00:59:46.495 Also vor allem sozusagen, es geht ja auch nicht nur um Browser, 00:59:46.615 --> 00:59:50.135 es geht ja sozusagen um die grundlegende Infrastruktur, also das Update, 00:59:50.215 --> 00:59:51.275 was man Computer runterlädt, etc. 00:59:52.415 --> 00:59:55.315 Also gibt es überhaupt eine andere Lösung des Problems oder ist, 00:59:55.415 --> 00:59:59.735 was Zertifikate angeht, jetzt die EU-Gesetzgebung schlecht, aber das Fazit hinten 00:59:59.735 --> 01:00:01.015 raus ist, we are fucked anyways. 01:00:01.015 --> 01:00:07.115 Ich bin eigentlich relativ optimistisch und will da auf ein bestimmtes Beispiel 01:00:07.115 --> 01:00:09.315 raus. Das ist natürlich Let's Encrypt. 01:00:09.435 --> 01:00:14.075 Das ist eine Organisation, die hat ihre Wurzeln bei der IFF, 01:00:14.275 --> 01:00:17.755 also amerikanische Zivile. Ja, 01:00:18.355 --> 01:00:24.355 sie hat aber auch in anderen Kontinenten mittlerweile ihre Dependancen. 01:00:25.275 --> 01:00:28.015 Also, was wir gelernt haben im letzten Jahrzehnt ist eigentlich, 01:00:28.495 --> 01:00:32.375 dass sich sehr wohl auch in diesem Bereich, der lange als total festgezohrt 01:00:32.375 --> 01:00:36.475 und auch als eigentlich im Prinzip nur mit Geld kann man da irgendwas erreichen, 01:00:36.815 --> 01:00:40.195 dass sich da eine Menge ändern kann, dadurch, dass Let's Encrypt von null auf 01:00:40.195 --> 01:00:43.875 wirklich weit über die Hälfte aller Zertifikate mittlerweile gesprungen ist. 01:00:43.875 --> 01:00:48.335 Also hier, man kann hier was verändern und auch mit einem relativ transparenten Gedanken, 01:00:49.115 --> 01:00:52.475 denn ich glaube, das ist ja immer bei diesen Vertrauensketten so, 01:00:52.595 --> 01:00:56.975 das wird zwar nicht weniger komplex, aber durch Transparenz kann man zumindest 01:00:56.975 --> 01:00:59.915 denen, die sich dafür interessieren, einen Einblick ermöglichen und das ist 01:00:59.915 --> 01:01:01.075 eigentlich für mich der einzige Weg. 01:01:01.195 --> 01:01:04.875 Aber ich bin da optimistischer als früher durch das Beispiel von Let's Encrypt. 01:01:04.875 --> 01:01:08.535 Ich muss es aber nochmal fragen, weil das spukt mich schon die ganze Zeit im 01:01:08.535 --> 01:01:11.615 Hinterkopf rum, weil die, also alle anderen Zertifikatsanbieter ist, 01:01:11.675 --> 01:01:14.695 wenn du da als Webseite zum Beispiel oder als professioneller Anbieter ein Zertifikat 01:01:14.695 --> 01:01:18.795 willst, dann gehst du ja eine Vertragsbeziehung ein, du musst das Zertifikat kaufen. 01:01:18.795 --> 01:01:25.635 Let's Encrypt funktioniert ja so, dass ich hingehen kann und mir das sozusagen selber erstelle. 01:01:26.375 --> 01:01:28.175 Das heißt, ich behaupte, ich bin ich. 01:01:29.815 --> 01:01:33.995 Aber das hat dann sozusagen, also Let's Encrypt zertifiziert das dann, 01:01:34.035 --> 01:01:36.695 weil ich hab's ja gesagt, aber es gibt sozusagen keinen Kanalierprozess. 01:01:36.795 --> 01:01:41.475 Also ist das nicht ein bisschen anders als die anderen und würde das das Problem lösen? 01:01:42.338 --> 01:01:46.418 Es ist technisch sehr anders implementiert. Also, du kriegst dieses Zertifikat 01:01:46.418 --> 01:01:51.318 nur, wenn du mit dem Server, der sich jetzt zum Beispiel ausgeben möchte und 01:01:51.318 --> 01:01:55.558 zertifizieren möchte, auch eine ... Also, das ist eine Verifizierung nicht mit dir. 01:01:55.678 --> 01:02:00.338 Du sagst, ich hab ccc.de, sondern diese Verifizierung durch Let's Encrypt findet 01:02:00.338 --> 01:02:02.938 dann direkt auf ccc.de auch statt. 01:02:03.138 --> 01:02:08.438 Und nur wenn du die Kontrolle über diese Webseite hast, kriegst du auch das Zertifikat. 01:02:09.098 --> 01:02:13.598 Und wenn ein Angreifer eh die Kontrolle hätte können, Also solange du davon 01:02:13.598 --> 01:02:18.018 ausgehst, dass der Server, wo ccc.de drauf läuft, nicht kompromittiert ist, 01:02:18.578 --> 01:02:20.818 ist alles in Ordnung mit dieser Zertifikatsausstellung. 01:02:21.238 --> 01:02:23.538 Also deine Darstellung ist eigentlich dann nicht ganz korrekt. 01:02:23.798 --> 01:02:26.758 Du kannst es dir ausstellen lassen und du musst dafür auch nichts bezahlen. 01:02:26.918 --> 01:02:30.338 Aber du musst die Hoheit haben darüber, was du zertifizieren willst. 01:02:30.518 --> 01:02:33.698 Also in dem Fall jetzt z.B. ccc.de. Und das musst du schon erstmal haben. 01:02:34.378 --> 01:02:40.958 Ansonsten kannst du dir natürlich ein Zertifikat ergaunern, da musst du aber 01:02:40.958 --> 01:02:45.338 vorher mal kurz den Server von der entsprechenden Einheit übernommen haben. 01:02:45.698 --> 01:02:49.238 Also deine Nachstellung war etwas unterkomplex. Ich bin ja hier sozusagen aus 01:02:49.238 --> 01:02:53.338 Laienperspektive da, von daher soll ich mir das nachsehen? Aber du hast es schon getan. 01:02:54.138 --> 01:02:58.018 Aber du hast es ja schon gemacht, oder? Du hast ja selber Let's Encrypt-Zertifikate, oder? Ja. 01:02:58.638 --> 01:03:02.258 Naja, dabei hast du dann nur, sozusagen, du denkst logisch daran nicht gedacht, 01:03:02.478 --> 01:03:05.778 dass du ja das, was du zertifizieren willst, auch unter deiner Hoheit hattest. 01:03:07.058 --> 01:03:08.278 Hattest du doch Richter-FM? 01:03:09.878 --> 01:03:13.798 Pfff, stimmt. Ich krieg's jetzt gerade im Kopf nicht zusammen, 01:03:14.038 --> 01:03:16.418 warum das für mich ein Unterschied war, 01:03:17.078 --> 01:03:22.998 aber ich glaube, es ist tatsächlich eher der Fehler, dass ich die Zertifikate 01:03:22.998 --> 01:03:25.238 institutionell sozusagen gesehen habe. 01:03:25.578 --> 01:03:30.758 Also wenn ich ein Zertifikat kaufe für bundesdruckerei.de, 01:03:31.318 --> 01:03:33.238 wird da eine Geschäftsbeziehung eingegangen und dann gibt es sozusagen noch 01:03:33.238 --> 01:03:36.638 einen zweiten Kanal, auf dem sichergestellt wird, dass bundesdruckerei.de tatsächlich 01:03:36.638 --> 01:03:39.878 der Firma bundesdruckerei.de gehört, 01:03:40.058 --> 01:03:42.838 während ich sozusagen, ich könnte mir außen eine Webseite machen, 01:03:42.938 --> 01:03:48.858 irgendwie kurz.com und dann zuletzt in Kripps sagen, ich bin Konstanzo Und dann so, 01:03:49.158 --> 01:03:50.838 genau, aber tatsächlich sozusagen, 01:03:51.138 --> 01:03:53.958 das Zertifikat macht technisch ja nichts weiter, als zu sagen, 01:03:54.458 --> 01:03:58.178 die URL oder die Domain, mit der du kommunizierst. 01:03:58.858 --> 01:04:00.318 Ist die Domain, mit der du kommunizierst. 01:04:00.458 --> 01:04:02.778 Aber wem diese Domain gehört, können wir dir nicht sagen. 01:04:02.998 --> 01:04:06.938 Das ist eben genau das, wo eben auch Artikel 45 jetzt mehr machen möchte. 01:04:07.078 --> 01:04:10.658 Also es gibt auch verschiedene Zertifikatstypen und die einfachste Art, 01:04:10.758 --> 01:04:12.738 die eben auch Let's Encrypt ausstellt, ist sozusagen so ein, 01:04:12.778 --> 01:04:13.678 glaube ich, Domain-Validation. 01:04:13.798 --> 01:04:15.858 Also dass man wirklich immer nur sagt, wem gehört diese Domäne und wir bitten 01:04:15.858 --> 01:04:17.798 jetzt den Schlüssel an den Domänenbesitzer. 01:04:18.158 --> 01:04:20.998 Ob hinter der Domänenbesitzer, wenn es jetzt kurz.com schon gibt, 01:04:21.038 --> 01:04:24.738 vielleicht eine andere Seite, einfach eine andere Person impersonator oder eine andere Firma. 01:04:25.098 --> 01:04:28.678 Wenn ihr die URL nicht haben, kann ich die Domänen ja kaufen und die einfach besitzen. 01:04:29.118 --> 01:04:31.998 Und es gibt sozusagen noch bessere Zertifikate, gab es auch schon vorher mit 01:04:31.998 --> 01:04:34.558 TLS, hieß so, das heißt besser, einfach sozusagen enhanced validation, 01:04:34.978 --> 01:04:38.058 wo wirklich geschaut wird, ist die legale Entität dahinter auch die, 01:04:38.098 --> 01:04:39.718 die tatsächlich zu der Domäne gehört. 01:04:41.249 --> 01:04:44.149 Wurde vor ein paar Jahren eingestellt, das irgendwie verschieden darzustellen. 01:04:44.189 --> 01:04:46.309 Das habe ich auch erst bei einem Konferenzvortrag, glaube ich, 01:04:46.349 --> 01:04:49.529 mal gehört, dass es da, das Logo konnte verschieden grün aufleuchten, 01:04:49.609 --> 01:04:51.909 je nachdem, was für ein Zertifikatstyp man im Hintergrund hatte. 01:04:51.989 --> 01:04:55.309 Eben eins, was noch zusätzlich wirklich die legale Identität überprüft hat, 01:04:55.749 --> 01:04:58.249 wurde abgeschafft, weil es einfach zu kompliziert war und man das wirklich auch 01:04:58.249 --> 01:05:00.709 kaum eigentlich verifizieren konnte. 01:05:00.709 --> 01:05:03.669 Und das, was die EU jetzt möchte, deswegen heißen die Zertifikate eben auch 01:05:03.669 --> 01:05:06.749 anders, diese Quarks, wo ich mir immer nicht merken kann, wofür es steht, 01:05:07.289 --> 01:05:12.149 die sollen eben gerade wieder diese legale Bindung bieten und verpflichten zum 01:05:12.149 --> 01:05:14.649 Beispiel auch Browser-Hersteller dazu, das was sie abgeschafft haben, 01:05:14.709 --> 01:05:17.149 weil sie gesagt haben, die Leute haben es nicht verstanden und das konnte sogar 01:05:17.149 --> 01:05:22.249 für Phishing ausgenutzt werden, diese Identitätsinformationen wieder darzustellen. 01:05:22.649 --> 01:05:25.209 Dass man eben wirklich überprüft hat, wen gehört denn diese Domain? 01:05:25.249 --> 01:05:27.449 Einfach nicht nur ich bin ein Besitzer von der Domain, sondern ich bin auch 01:05:27.449 --> 01:05:30.329 irgendwie die Firma, die das zu besitzen hat. Aber das, also jetzt mal abgesehen 01:05:30.329 --> 01:05:32.049 davon, dass die Umsetzung anscheinend bis jetzt gräulich war. 01:05:32.089 --> 01:05:34.009 Ich finde das als Konzept jetzt nicht so doof. 01:05:35.209 --> 01:05:37.629 Genau, auf den ersten Blick mag es irgendwie ganz gut aussehen. 01:05:37.889 --> 01:05:41.449 Und das haben auch größere Firmen, bei gewissen Banken will man das natürlich 01:05:41.449 --> 01:05:43.549 haben. Aber die Frage ist immer, wie kann man das überprüfen? 01:05:45.149 --> 01:05:47.689 Durch das Zertifikat dachte ich. Durch das Zertifikat, aber zum Beispiel, 01:05:47.809 --> 01:05:49.349 was ist eine legale Identität? 01:05:50.729 --> 01:05:54.149 Weil es gibt, also der Name einer Firma ist ja nicht global eindeutig. 01:05:54.289 --> 01:05:58.389 Das heißt, ich kann auch eine Firma mit demselben, oder ein anderes Land gehen, 01:05:58.449 --> 01:06:01.229 wo die Firma vielleicht nicht registriert ist, mir da den selben Firmennamen 01:06:01.229 --> 01:06:04.649 registrieren lassen, hab dann wieder eine legale Bindung, aber vielleicht nicht 01:06:04.649 --> 01:06:07.629 in dem Staat oder in einem Land, wo ich eigentlich gerade kommunizieren möchte. 01:06:07.629 --> 01:06:11.269 Also auch da, es gibt, wird immer Möglichkeiten geben, das zu unterlaufen und 01:06:11.269 --> 01:06:14.749 einfach dieses, das Vortäuschen, dass man jetzt mehr Sicherheit hat, 01:06:14.809 --> 01:06:17.009 weil wir wirklich eine legale Bindung überprüft haben. 01:06:18.089 --> 01:06:21.069 Der tatsächliche Gewinn an Sicherheit ist, glaube ich, eher marginal, 01:06:21.509 --> 01:06:25.169 weil man den auch wieder unterlaufen kann und man, ja, man täuscht Vertrauen 01:06:25.169 --> 01:06:28.329 vor, indem man da jetzt ein größeres oder dickeres grünes Siegel hinbaut, 01:06:28.569 --> 01:06:30.849 der aber genauso gut zu unterlaufen ist. 01:06:30.929 --> 01:06:35.409 Also das heißt sozusagen, eure Aussage ist im Prinzip alles, 01:06:35.629 --> 01:06:38.669 wie hast du es genannt, ... Domain Verification, also alles außer ... 01:06:39.674 --> 01:06:43.814 Wenn man Zertifikate benutzt, sollte man sie nur für diese technische Definition, 01:06:43.954 --> 01:06:46.714 du redest gerade mit der Domäne, mit der du glaubst, mit der du redest, 01:06:46.774 --> 01:06:50.974 nutzen, alles andere ist Stand heute, 30. November, Quatsch. 01:06:51.554 --> 01:06:54.454 Es ist nicht Quatsch. Also gerade bei Banken, die haben schon dieses bessere 01:06:54.454 --> 01:06:56.894 Zertifikat, aber der Unterschied wird mir nicht mehr dargestellt. 01:06:57.174 --> 01:06:59.714 Also sozusagen, und das ist eben eine Sache, die jetzt einfach gefordert wird, 01:06:59.774 --> 01:07:02.174 dass wir sagen, wir brauchen jetzt wieder diese komplexeren Zertifikate. 01:07:03.074 --> 01:07:05.534 Und da einfach nochmal einfach eine andere Tür aufgemacht wird, 01:07:05.614 --> 01:07:08.854 über die man gar nicht unbedingt reden muss. Auch dass diese Informationen dargestellt werden. 01:07:08.954 --> 01:07:11.294 Es wird nur wieder die Komplexität für die EndnutzerInnen erhöhen. 01:07:11.554 --> 01:07:16.154 Und die werden überfordert sein, was jetzt ein grünes Siegel und ein grün umrandetes Siegel bedeutet. 01:07:16.814 --> 01:07:18.274 Weil das gab halt wirklich früher diesen Unterschied. 01:07:20.874 --> 01:07:23.834 Jetzt kommen wir von der Stelle, wo Konstantin gesagt hat, sie ist so leicht 01:07:23.834 --> 01:07:27.674 optimistisch, weil letzten Krypt gibt es ja, aber so richtig schlau. 01:07:27.674 --> 01:07:28.914 Aber so habe ich es jetzt auch nicht gesagt. 01:07:29.054 --> 01:07:35.754 Ich wollte nur sagen, das ist ein Beispiel, dass das keine unveränderbare Struktur 01:07:35.754 --> 01:07:39.554 ist, sondern dass man da Bewegung reinkriegt und auch wirklich viel Bewegung. 01:07:39.774 --> 01:07:44.994 Aber momentan ist doch sozusagen vor allen Dingen, wir wollen den Artikel 45 01:07:44.994 --> 01:07:46.954 nicht. Ja, der muss weg, der doch. 01:07:47.974 --> 01:07:51.074 Also anzünden, hat er dir schon gesagt. Man kann den auch einfach rausstreichen. 01:07:51.254 --> 01:07:53.234 Kann er rausstreichen oder anzünden, aber was dann? 01:07:54.194 --> 01:08:01.734 Es ist ja kein Zwang, im Rahmen dieser EIDAS-Verordnung auch die Zertifikatsstruktur 01:08:01.734 --> 01:08:03.634 unbedingt anzufassen, das ist ja nicht unbedingt Zwang. 01:08:04.294 --> 01:08:07.314 Kann einfach weg, verstehst du? Damit könnte immer noch EIDAS kommen. 01:08:08.554 --> 01:08:11.754 Wir haben ja schon eine funktionierende Infrastruktur, also warum sollten wir 01:08:11.754 --> 01:08:17.114 eine zweite Schatteninfrastruktur mit anderen Sicherheits… Schlechte Richtlinien. 01:08:17.114 --> 01:08:21.114 Moment mal, also wir haben eine funktionierende Infrastruktur, 01:08:21.214 --> 01:08:24.714 aber ihr habt schon gesagt, dass die Motivation, aus der der Artikel 45 entstand, 01:08:24.794 --> 01:08:26.674 jetzt nicht ganz von der Hand zu weisen ist. 01:08:27.294 --> 01:08:31.534 Also das heißt, wir müssten es trennen, wenn man jetzt sozusagen nur aufs EIDAS-Gesetz 01:08:31.534 --> 01:08:36.474 kommt, dann sagt ihr Artikel 45 streichen, weil alles andere funktioniert auch ohne. 01:08:38.131 --> 01:08:42.211 Und was ich jetzt als halbwegs aufmerksamer Zuhörer sozusagen aber auch mitnehme, 01:08:42.291 --> 01:08:45.451 das mit dem Zertifikatsding ist schon ein Ding, da könnte man sich schon nochmal 01:08:45.451 --> 01:08:46.511 Gedanken drüber machen. 01:08:46.951 --> 01:08:49.091 Aber das muss man dann extra machen und das muss man vor allen Dingen nicht 01:08:49.091 --> 01:08:51.991 in der Form machen wie Artikel 45. Nicht mit den Zertifikaten, 01:08:52.051 --> 01:08:53.751 weil ich glaube, da haben wir wirklich funktionierende Lösungen. 01:08:53.991 --> 01:08:58.511 Und wenn ein EU-Land sagt, es möchte gerne selber eine Rootserie haben, kann es ja eine gründen. 01:08:58.711 --> 01:09:01.291 Es gibt ja Prozesse, die können einfach so eine Sache machen und müssen sich 01:09:01.291 --> 01:09:04.111 halt an die Regeln, an die Standards halten, müssen schauen, 01:09:04.171 --> 01:09:07.931 dass sie sicher sind und dann werden sie auch akzeptiert. Gibt es Beispiele dafür? 01:09:08.251 --> 01:09:10.791 Also das wäre ja nicht, das gibt es ja. 01:09:11.151 --> 01:09:13.671 Genau, das unterliegende Problem war ja, dass einige anscheinend die Befürchtung 01:09:13.671 --> 01:09:16.351 haben, wir machen uns zu abhängig von amerikanischen Browsern und vielleicht 01:09:16.351 --> 01:09:19.171 machen die irgendwann in der Zukunft Entscheidungen, mit denen wir nicht mehr einverstanden sind. 01:09:19.251 --> 01:09:21.611 Und wenn aber das Problem ist, wir machen uns zu abhängig von amerikanischen 01:09:21.611 --> 01:09:25.611 Browsern, muss man dieses Problem lösen und nicht irgendwie hintenrum noch was ranflanschen. 01:09:26.711 --> 01:09:30.731 Also keine Gesetzgebung machen, sondern eher, keine Ahnung, Technologieförderung 01:09:30.731 --> 01:09:34.991 oder was da Werkzeuge sind, um… Ich finde es nicht verkehrt, meine Güte. 01:09:36.231 --> 01:09:41.831 In Europa könnte man es ja mal, wenn man es ernst meinte, mit der digitalen Souveränität tun. 01:09:42.331 --> 01:09:45.451 Sie haben ja auch nicht nur von den Amis Angst, sondern auch von den Chinesen. Also bitte. 01:09:47.271 --> 01:09:51.631 Das heißt, das Zertifikatsthema ist technisch geklärt. 01:09:52.411 --> 01:09:57.271 Es wird nur in der Tat momentan von, sozusagen, also geografisch konzentriert, 01:09:57.591 --> 01:10:03.051 sozusagen von finden, also Software und Plattformen sitzen halt im US-amerikanischen Raum. 01:10:03.551 --> 01:10:06.771 Wenn man das diversifizieren wollen würde, müsste man das machen und nicht ein 01:10:06.771 --> 01:10:09.771 Gesetz machen, wo man vorschreibt, welche Zertifikate. Das ist sozusagen die Quintessenz. 01:10:09.831 --> 01:10:13.671 Genau, das wäre so meine Sprache. Und deswegen auch das Beispiel von Constanze 01:10:13.671 --> 01:10:17.711 mit Let's Encrypt, weil das eben genau ein Schritt in die Richtung ist, 01:10:17.831 --> 01:10:19.371 sich unabhängiger zu machen. 01:10:21.051 --> 01:10:25.191 Vielleicht sollten wir der Fairness-Faber mal sagen, ist ja offener Brief, 01:10:25.331 --> 01:10:30.191 nicht nur in Deutschland, sondern auch europäisch durchaus in der Presse berichtet 01:10:30.191 --> 01:10:31.891 worden, ist ja auch nicht immer so selbstverständlich. 01:10:31.971 --> 01:10:35.591 Vielleicht sollten wir die Reaktion wenigstens mal erwähnen. 01:10:37.091 --> 01:10:40.651 Ich hatte dir ja vorhin angeboten, dich zu moderieren, weil es meine nächste Frage wäre gewesen. 01:10:41.091 --> 01:10:44.351 Ich habe jetzt diesen Brief geschrieben und ich habe jetzt verstanden, 01:10:44.651 --> 01:10:46.291 was die Quintessenz der Forderung sein soll. 01:10:47.678 --> 01:10:50.558 Was sagt denn die Politik und was sagen alle anderen? 01:10:52.718 --> 01:10:55.978 Ja, also da gab es jetzt eben diese Trilog-Abstimmung und da sind. 01:10:56.898 --> 01:10:59.678 An dem Artikel selber hat sich nichts mehr geändert, aber es kam dieses Recital 01:10:59.678 --> 01:11:00.938 dazu. Was ist denn das deutsche Wort? 01:11:01.398 --> 01:11:03.138 Konstanz, weißt du das? Ich glaube, es gibt keins. Ich kenne keins. 01:11:03.398 --> 01:11:05.358 Recital. Heißt halt so. Was macht das? 01:11:05.878 --> 01:11:07.758 Naja, das ist eine Form von Gegenüberstellung. 01:11:08.478 --> 01:11:12.998 Also, ja, das, also, sie haben, nee, anders. Wir müssen mal kurz den Zeitplan sagen. 01:11:13.158 --> 01:11:16.338 Also, es war jetzt unmittelbar. Jetzt ist der 30. November. Genau, 01:11:16.598 --> 01:11:20.098 und vor zwei Tagen war das in diesem ITRA-Ausschuss, das ist der Industrieausschuss, 01:11:20.658 --> 01:11:24.458 und dann hat man immer vorher natürlich eine gewisse Zeit, wenn ich mich recht erinnere, war am 8. 01:11:24.578 --> 01:11:29.498 November der offene Brief, um Änderungen darzustellen und zu veröffentlichen. 01:11:29.638 --> 01:11:31.658 Und das haben die irgendwie erst zum 16. November geschafft. 01:11:32.038 --> 01:11:34.338 Das heißt, das waren sehr wenige Tage, um das überhaupt mal durchzusehen. 01:11:34.718 --> 01:11:37.118 Und diese Dresd-Weite, das stellt die Änderungen gegenüber. 01:11:37.838 --> 01:11:41.638 Und da hatten sie jetzt im Industrieausschuss leider festgestellt, 01:11:41.718 --> 01:11:47.418 da gab es ein Softwareversagen, weswegen diese Gegenüberstellung nicht so richtig 01:11:47.418 --> 01:11:49.458 war. Da fehlte irgendwas, da fehlten ganze Zeilen. 01:11:49.698 --> 01:11:53.138 Weswegen es jetzt eine Verschiebung gab wegen dieser technischen Probleme auf 01:11:53.138 --> 01:11:55.358 den 7. Dezember. Das wir wissen noch nicht. 01:11:56.098 --> 01:11:59.938 Und da könnte sich noch was ändern dann? Also ist das nur eine Anzeige der Änderung 01:11:59.938 --> 01:12:03.478 oder könnte dann nochmal neu verhandelt werden? Streichen wir Artikel 45 doch noch. 01:12:04.258 --> 01:12:07.638 An dem Artikel hat sich nichts geändert und es kam eben so ein Recycle hinzu. 01:12:07.978 --> 01:12:12.278 Und da wurden ein paar von unseren Bitten sozusagen auch erhört. 01:12:12.518 --> 01:12:16.078 Es wurde insbesondere gesagt, dass die Bedingungen, diese neuen Zertifikate 01:12:16.078 --> 01:12:19.578 der EU zu akzeptieren, sollen nicht dazu führen, dass die Verschlüsselung, 01:12:19.998 --> 01:12:23.038 dass die Browser in der Unterstützung ihrer Verschlüsselung irgendwie gehindert werden sollen. 01:12:23.058 --> 01:12:28.238 Aber der Wortlaut ist identisch geblieben und dieses Recycle ist halt wie eine Form von Hinzufügung. 01:12:29.058 --> 01:12:32.898 Und der eigentliche Artikel ist gleich. Genau, es hat überhaupt nicht rechtlich Binden. 01:12:33.078 --> 01:12:35.638 Also sozusagen die Bedeutung von diesem Recycle ist nicht klar und es ist auch 01:12:35.638 --> 01:12:39.778 wieder so ein bisschen misleading, weil eben gesagt wird, nur dadurch, 01:12:39.898 --> 01:12:43.418 dass ihr diese Roots hier, diese neuen Roots CR-Digen Sachen akzeptieren müsst, 01:12:43.778 --> 01:12:46.458 könnt ihr trotzdem die Verschlüsselung genauso weitermachen wie bisher. 01:12:46.958 --> 01:12:49.958 Aber der Punkt ist ja einfach, dass man aufgrund von diesen Zertifikaten, 01:12:50.078 --> 01:12:52.518 die hinzukommen, potenziell mit falschen Schlüsseln verschlüsselt. 01:12:52.618 --> 01:12:57.038 Also das ist so, man hat was hinzugefügt, ohne dass es eigentlich einen wirklich 01:12:57.038 --> 01:12:59.058 effektiven Nutzen gibt. Ja, also Artikel 45 kommt. 01:13:00.458 --> 01:13:03.698 Ne, das können wir jetzt auch noch nicht genau sagen, weil du hast ja vorhin 01:13:03.698 --> 01:13:07.518 schon beschrieben, wir sind jetzt im Trilog, das heißt der ITRA-Ausschuss, 01:13:07.978 --> 01:13:12.558 aber auch das Parlament und der Rat müssen sich ins Benehmen setzen und da wissen 01:13:12.558 --> 01:13:14.178 wir noch nicht, wie das Ergebnis sein wird. 01:13:15.998 --> 01:13:19.038 Ich glaube aus politischen Gründen…, 01:13:19.825 --> 01:13:23.865 wird leider diese Streichung nicht mehr erfolgen, aber man sollte die Hoffnung 01:13:23.865 --> 01:13:27.005 nicht aufgeben und wir haben noch nicht den 7. November, also 7. 01:13:27.105 --> 01:13:28.885 Dezember, wir wissen noch nicht genau, wie der ausgehen wird. 01:13:29.585 --> 01:13:32.365 Wir werden vorher veröffentlichen. Was, wenn der kommt? 01:13:34.165 --> 01:13:36.785 Naja, dann würde ich jetzt selber sagen, was du vorhin sagtest. 01:13:36.945 --> 01:13:38.745 Also, was man ja noch machen kann, ist auf jeden Fall gucken, 01:13:38.825 --> 01:13:40.445 wie wird es tatsächlich praktisch getan? 01:13:40.985 --> 01:13:43.925 Wie setzen sich die einzelnen Nationalstaaten hin und setzen das um? 01:13:44.005 --> 01:13:45.285 Das muss man dann einfach beobachten. 01:13:46.065 --> 01:13:48.065 Da bleibt einem ja keine andere Wahl. Also, was willst du machen? 01:13:48.165 --> 01:13:49.045 In den Untergrund gehen? 01:13:52.225 --> 01:13:56.025 Also die Frage ist sozusagen zweigleisig, weil einerseits sagen nach dem politischen 01:13:56.025 --> 01:13:58.825 Plan, also was macht man, wenn ein Gesetz verabschiedet würde, 01:13:58.945 --> 01:14:00.485 von dem man sagt, das muss angezündet werden? 01:14:00.985 --> 01:14:05.565 Und das andere ist aber auch aus NutzerInnen-Perspektive, das heißt also absehbar 01:14:05.565 --> 01:14:10.505 haben wir vordergründig einen Browser, wo ich dann vielleicht lernen muss, 01:14:10.605 --> 01:14:14.325 wie ich einzelne Root-CAs ausschließe, zum Beispiel die von Ungarn. 01:14:15.445 --> 01:14:17.985 Das soll auch nicht möglich sein. Es wird auch explizit gefordert, 01:14:17.985 --> 01:14:20.865 dass die Browser keine Möglichkeitsverfügung stellen, einzelne auszuschalten. 01:14:20.885 --> 01:14:22.045 Haben wir ja noch nicht erwähnt. 01:14:22.505 --> 01:14:26.125 Aber wenn man einen Browser Open Source macht? 01:14:26.685 --> 01:14:28.505 Das wird vermutlich so die Konsequenz 01:14:28.505 --> 01:14:31.485 sein, dass es dann sozusagen eine EU-Variante der Browser geben wird. 01:14:31.565 --> 01:14:35.225 Und die Nicht-EU-Variante von allen, die technisch versiert sind oder vielleicht 01:14:35.225 --> 01:14:37.945 auch die, die kriminell sind, die man vielleicht damit irgendwie fangen wollte, 01:14:38.345 --> 01:14:41.785 die werden natürlich dann einfach die Nicht-EU-Variante des Browsers nehmen. 01:14:42.625 --> 01:14:45.725 Okay, dann machen wir, also wenn das so weit kommt, machen wir dann Hands-on-Chaos-Radio 01:14:45.725 --> 01:14:48.485 für Nicht-Go-Browser auf einem eigenen Rechner kompilieren. 01:14:48.905 --> 01:14:51.785 Der eigene Rechner muss ja dann eine Waste damit beschäftigen, wenn es so weit ist. 01:14:52.005 --> 01:14:55.965 Das ist aber schlimm trotzdem, weil das Problem ist ja, jetzt sagen wir, 01:14:56.065 --> 01:14:59.585 hey, technisch versierte Leute können das ja irgendwie hinkriegen oder Kriminelle, 01:15:00.125 --> 01:15:03.305 aber für die große Masse könnte damit trotzdem die Überwachung kommen. 01:15:04.425 --> 01:15:08.765 Also man muss immer die Mobiltelefone heute mitdenken, wo die meisten Leute 01:15:08.765 --> 01:15:11.265 sehr viel weniger in der Lage sind, was zu konfigurieren. 01:15:11.745 --> 01:15:15.045 Und wo auch die Spanne an Betriebssystemen viel geringer ist. 01:15:15.465 --> 01:15:19.425 Also da ist halt nicht mehr eine große Linux-Community, wo du noch ran kannst, 01:15:19.545 --> 01:15:23.545 sondern du hast diese zwei Betriebssysteme, wo du nicht mehr viel machen kannst. 01:15:24.305 --> 01:15:30.645 Aber gibt es einen Plan aus eurer, also Wissenschaft, NGO, Aktivistie Perspektive, 01:15:30.725 --> 01:15:33.265 was man dann macht, wenn der Artikel 45 kommt? 01:15:33.965 --> 01:15:36.345 Naja, es wird natürlich einmal auch, das haben wir jetzt noch nicht besprochen, 01:15:36.845 --> 01:15:40.085 kann man sich natürlich überlegen, ob man strategisch den rechtlichen Weg beschreitet, 01:15:40.205 --> 01:15:42.945 könnte man ja immer nochmal tun. Ist ja bei Verordnungen auch so selten nicht. 01:15:44.045 --> 01:15:46.725 Das heißt also eine Klage vor welchem Gericht dann? 01:15:47.769 --> 01:15:51.249 Naja, das wird wahrscheinlich dann schon eher so sein, dass man auf die Nationalgesetzgebung 01:15:51.249 --> 01:15:54.809 gucken muss und dann in der Regel die nationalen Gerichte verweisen auf den 01:15:54.809 --> 01:15:56.209 EuGH, Europäischen Gerichtshof. 01:15:56.929 --> 01:16:01.149 Das ist ja sehr schwierig, den direkt anzusprechen. Aber ich glaube, 01:16:01.229 --> 01:16:02.569 vor allen Dingen muss man es im Blick behalten. 01:16:03.929 --> 01:16:06.929 Also, welche Länder wie umsetzen. 01:16:08.069 --> 01:16:11.049 Also nun sind natürlich in Europa die Länder nicht alle gleichwertig, 01:16:11.249 --> 01:16:13.969 was zum Beispiel Deutschland für eine Gesetzgebung daraus machen wird und wie 01:16:13.969 --> 01:16:16.829 sie das umsetzen, also vor allen Dingen praktisch umsetzen wird eine Rolle spielen. 01:16:19.089 --> 01:16:23.949 Mehr als gucken können wir dann wohl nicht. Er dreht sich halt ein in so eine 01:16:23.949 --> 01:16:27.909 Vielzahl an Gesetzgebungen, an der man echt sehr fundamentale Kritik üben kann, 01:16:27.989 --> 01:16:31.109 die vor allen Dingen aus der technischen Community kommt. Das ist jetzt gerade so eine Häufung. 01:16:31.609 --> 01:16:34.809 Das liegt aber auch ein bisschen daran, wo wir gerade sind in der Legislaturperiode. 01:16:35.129 --> 01:16:38.109 Weil jetzt gerade viel durchgesetzt wird, weil dann ja die Europawahlen kommen 01:16:38.109 --> 01:16:40.949 und die versuchen natürlich jetzt auch vieles noch durchzudrücken. 01:16:40.989 --> 01:16:45.329 Gibt es eigentlich politisch, also in der EU-Politik, im Parlament sozusagen 01:16:45.329 --> 01:16:48.169 Fraktionen, also lassen sich da politische Richtungen klar machen, 01:16:48.249 --> 01:16:51.229 dass es irgendjemand gibt, der sagt, das ist aber Quatsch, was ihr da gerade macht? 01:16:51.349 --> 01:16:53.629 Oder sind politisch gesehen eigentlich alle dafür? 01:16:54.369 --> 01:16:58.329 Naja, das ist deshalb schwierig, weil das hier ja nicht der Ausschuss für bürgerliche 01:16:58.329 --> 01:17:01.549 Freiheiten ist oder so, also der Innenausschuss, sondern das ist der Industrieausschuss. 01:17:01.749 --> 01:17:05.329 Da sind oft die Parlamentarier drin, die ohnehin sehr wirtschaftsfreundlich 01:17:05.329 --> 01:17:07.029 sind und ein Ohr an der Wirtschaft haben. 01:17:07.709 --> 01:17:12.949 Und weniger jetzt an den Lippen der Zivilgesellschaft hängen oder gerne die 01:17:12.949 --> 01:17:14.709 Akademie ja von vorne bis hinten lesen. 01:17:14.809 --> 01:17:17.109 Das ist ja ein Industrieausschuss, der hier federführend ist. 01:17:18.129 --> 01:17:22.429 Und insofern würde ich schon meinen, es scheint mir auch so ein bisschen in 01:17:22.429 --> 01:17:24.809 der Reaktion, mein Eindruck ist, dass das so ein bisschen abgetan wird, 01:17:24.929 --> 01:17:29.189 als oh je, läuft eine Kampagne gegen uns und sich gar nicht auf die Argumente, 01:17:29.489 --> 01:17:32.409 die ja auch schriftlich dargelegt sind in diesem offenen Brief, 01:17:32.449 --> 01:17:33.409 den wir verlinken werden, 01:17:34.529 --> 01:17:35.909 darauf richtig eingegangen wird. 01:17:36.169 --> 01:17:38.869 Das sieht man auch, finde ich, an der unmittelbaren Reaktion. 01:17:40.089 --> 01:17:43.809 Das ist halt schade. Und dann noch dieser heimliche Vorwurf, 01:17:43.929 --> 01:17:46.909 der jetzt sozusagen an die Akademie gemacht wird, Oder man hätte sich da mit 01:17:46.909 --> 01:17:51.389 Google ins Bett gelegt oder mit Mozilla, die ja nun auch dieselbe Position vertreten, 01:17:51.829 --> 01:17:52.949 die sind jetzt natürlich im Farm, 01:17:53.489 --> 01:17:59.069 weil der letztlich, also hier bringt eine Community von Experten Argumente vor 01:17:59.069 --> 01:18:03.689 und man kriegt nur komische Antworten, die irgendwie an der Seite vorbei argumentieren. 01:18:03.809 --> 01:18:08.269 Darf ich mir kurz auf der Zunge zergehen lassen, dass EU-PolitikerInnen sagen, 01:18:08.449 --> 01:18:12.129 die Wissenschaft wäre sozusagen Opfer von Lobbyismus geworden? 01:18:12.969 --> 01:18:15.769 Nein, so direkt ist es dann doch wieder nicht. Ich glaube, da gibt es wirklich 01:18:15.769 --> 01:18:17.249 Statements, die das so direkt sagen. 01:18:17.449 --> 01:18:19.509 Also so direkt? Okay, echt? Ich dachte, das wäre so hinter der Blume. 01:18:19.689 --> 01:18:21.429 Ne, da gibt es ein paar Statements leider. 01:18:21.509 --> 01:18:26.029 Na toll. Ich meine jetzt auch durch die Blume sozusagen nur übersetzt, aber das ist schon wow. 01:18:27.089 --> 01:18:31.109 Okay, das ist okay. So, Werner, Sie hatten ja ursprünglich gefragt, 01:18:31.249 --> 01:18:32.629 was war die Reaktion an der Politik? 01:18:33.069 --> 01:18:35.709 Nicht so gut, haben wir gerade erfahren. Was sagt denn der Rest der Welt dazu? 01:18:37.155 --> 01:18:40.675 Oh, profunder Disinteresse, würde ich sagen. Also ich habe den Eindruck, 01:18:40.795 --> 01:18:43.975 dass das schon wieder sehr, sehr nischig ist. 01:18:44.575 --> 01:18:49.735 Also man braucht immer sehr lange, wenn man richtig so fundamentale Kritik durchbringen 01:18:49.735 --> 01:18:52.215 will und dafür ist der Prozess schon zu weit am Ende, glaube ich. 01:18:52.775 --> 01:18:56.075 Und es ist auch technisch zu kompliziert, glaube ich. Also irgendwie zu erklären, 01:18:56.175 --> 01:18:58.395 wie diese Zertifikate, was mit Verschlüsselung zu tun haben, 01:18:58.575 --> 01:19:01.575 weil wir noch mehr vertrauenswürdige Zertifikate hinzufügen, 01:19:01.615 --> 01:19:02.555 wie kann es denn schlimm sein? 01:19:02.555 --> 01:19:05.315 Also es ist irgendwie so ein technisch anspruchsvolles Thema und das gibt es 01:19:05.315 --> 01:19:09.035 eben auch gerade heute wurde jetzt auch noch mal so ein Dokument geleakt, 01:19:09.175 --> 01:19:12.395 wo halt wirklich auch die Komplexität so ausgenutzt wird, 01:19:12.835 --> 01:19:16.755 um Missinformationen zu verbreiten, um einfach zu sagen, es wird ja nicht schlimmer, 01:19:16.815 --> 01:19:19.395 es wird ja alles besser. Dokument geleakt von wem? 01:19:20.535 --> 01:19:22.935 Also nicht von wem geleakt, sondern zu sagen, wessen Dokument? 01:19:23.255 --> 01:19:27.075 Das ging an die MEPs, also Member of the European Parliament, 01:19:27.355 --> 01:19:29.435 einfach nochmal so ein Informationsdokument. 01:19:29.655 --> 01:19:31.575 Ich weiß nicht, wer der Absender ist, ich glaube, das ist nicht rausgekommen. 01:19:31.575 --> 01:19:33.455 Da wurde es die Kommission schon, also ne. 01:19:34.655 --> 01:19:37.635 Aber da wurde so gegenübergestellt, was sind denn jetzt diese neuen qualifizierten 01:19:37.635 --> 01:19:39.035 Zertifikate, was bedeutet das? 01:19:39.395 --> 01:19:43.315 Da wurde eben schon auf die Argumente eingegangen, aber eben jedes Argument 01:19:43.315 --> 01:19:51.895 ist halt, es ist, sagen wir mal, misleading, als wäre das die beste Beschreibung, die mir da einfällt. 01:19:51.895 --> 01:19:54.495 Es werden quasi die Kritiken komplett umgedreht. 01:19:55.235 --> 01:19:59.075 Also so ein, hey, es gab doch die folgenden Kritiken, aber das stimmt überhaupt 01:19:59.075 --> 01:20:02.835 nicht, weil… Und danach kommt eine Begründung, die sich für jemanden, 01:20:03.095 --> 01:20:06.055 der technisch nicht so tief drinsteckt, so liest, 01:20:06.495 --> 01:20:11.195 als wäre eben dieser Brief von Wissenschaftler und Wissenschaftlerinnen falsch. 01:20:12.035 --> 01:20:16.055 Also es ist quasi so ein, das Argument kam, aber das stimmt gar nicht. 01:20:16.495 --> 01:20:20.935 Und man muss eben sich sehr, sehr, sehr tief mit der Technik beschäftigt haben, 01:20:21.055 --> 01:20:23.735 um zu wissen, wer lügt hier eigentlich wen an. 01:20:25.055 --> 01:20:30.995 Und das ist halt super schade. Also ich meine, es gibt ja genau deswegen Wissenschaftlerinnen, 01:20:31.155 --> 01:20:34.855 Wissenschaftler, die sagen, hey, das ist unsere Meinung, wir haben das unterschrieben. 01:20:35.375 --> 01:20:39.915 Und Und trotzdem gibt es eben irgendjemand, wir kennen den Absender halt leider 01:20:39.915 --> 01:20:46.455 nicht, der sagt so, ne die Argumente stimmen nicht und alles ist genau das Gegenteil von dem, weil, 01:20:48.039 --> 01:20:51.359 Das ist eine schwierige Situation auch für Journalisten, muss man natürlich auch sehen. 01:20:51.639 --> 01:20:54.899 Also Adelt überhaupt zu berichten, das ist jetzt nicht gerade das Sexiness weit 01:20:54.899 --> 01:20:57.619 oben. Wir haben doch nur eineinhalb Stunden gebraucht, um das grob zu verstehen. 01:20:59.739 --> 01:21:05.799 Also zeigt halt so ein bisschen, naja, es ist vielleicht nicht unbedingt, 01:21:06.599 --> 01:21:10.679 es ist kein gutes Beispiel, weil letztlich hat natürlich der Protest auch spät 01:21:10.679 --> 01:21:13.079 begonnen. In dem Prozess. 01:21:13.819 --> 01:21:18.519 Andererseits gab es schon sehr früh Proteste 2021, da war der Kommissionsvorschlag 01:21:18.519 --> 01:21:20.759 relativ frisch und viele von denen, die wir heute aufgezählt haben, 01:21:20.819 --> 01:21:24.239 waren schon Teil der Kritik, inklusive Artikel 45, explizit, 01:21:24.499 --> 01:21:25.639 mit denselben Argumenten. 01:21:25.699 --> 01:21:27.839 Übrigens auch auf eine Weise erklärt, die man hätte verstehen können. 01:21:28.779 --> 01:21:30.959 Aber was willst du nun machen? Jetzt sind die Monate vergangen, 01:21:31.219 --> 01:21:34.819 da ist natürlich jetzt Druck, weil jetzt oder nie, sonst kommt die Europawahl. 01:21:35.499 --> 01:21:39.279 Ich weiß nicht so recht, also ich bin eigentlich mittlerweile so weit, 01:21:39.339 --> 01:21:43.279 dass ich sage, man muss auch den Mut haben zu sagen, streichtet. 01:21:44.739 --> 01:21:48.859 Viele trauen sich oft nicht mehr, die machen dann so eine, ja da können wir 01:21:48.859 --> 01:21:52.059 uns noch irgendwie mit abfinden, aber ich bin da wirklich rigoros mittlerweile, muss weg. 01:21:52.059 --> 01:21:57.119 Aber noch mal kurz gefragt zu sagen, wer, also gibt es jemand außer der Politik, 01:21:57.239 --> 01:22:00.299 die ein Interesse dafür haben. 01:22:01.739 --> 01:22:03.319 Also frage ich mich jetzt gerade nochmal, der offene Brief, ne, 01:22:03.339 --> 01:22:07.539 so sagen auch von Google und Mozilla, also sagen auch großen Playern und im 01:22:07.539 --> 01:22:12.679 Fall von Google auch mit quasi unendlich Geld und Lobbymöglichkeit in Brüssel, 01:22:13.339 --> 01:22:18.839 gab es auch irgendwie eine Industrie, die dachte so geil europäische Zertifikate, 01:22:18.879 --> 01:22:20.819 voll gut, damit machen wir viel Geld. 01:22:20.819 --> 01:22:23.079 Genau, das ist, glaube ich, so ein Punkt, den wir noch gar nicht angesprochen haben. 01:22:23.239 --> 01:22:27.479 Ich glaube, da ist eben auch der größte Druck her, weil mit Let's Encrypt wurden 01:22:27.479 --> 01:22:29.039 diese Zertifikate kostenlos. 01:22:29.619 --> 01:22:31.779 Ja, das haben wir noch nicht erwähnt, das ist ein wichtiger, 01:22:32.039 --> 01:22:33.879 ein guter Gut, dass du das nochmal gefragt hast. 01:22:33.919 --> 01:22:38.339 Ach so, das heißt sozusagen, und jetzt sehen Zertifikatsanbieter? 01:22:39.619 --> 01:22:42.339 Die Möglichkeit eben wieder diese Extended Validation wieder einzuführen, 01:22:42.399 --> 01:22:44.939 auf dem Hinterweg zu sagen, wir müssen eben diese Identitätsprüfung machen, 01:22:45.039 --> 01:22:47.579 es geht eben nicht alles automatisch, indem wir das nur an die Domänen binden. 01:22:47.579 --> 01:22:51.899 Und wir haben zuverlässigerweise schon die ganzen CAs vorbereitet und jetzt 01:22:51.899 --> 01:22:53.739 haben wir wieder unser altes Businessmodell rausgeholt. 01:22:54.059 --> 01:22:58.459 Und wir haben eine Verpflichtung in der Verordnung, dass ganz Bereiche der Branche 01:22:58.459 --> 01:23:00.239 mitmachen müssen, also der Wirtschaftsbranche. 01:23:00.499 --> 01:23:02.159 Das ist quasi eine Gelddruckmaschine. 01:23:06.794 --> 01:23:10.374 Na ja, und dann ist es halt eben, also seien wir mal ehrlich, 01:23:10.754 --> 01:23:14.214 ohne ganz generelle EU-Kritik üben zu müssen, aber das ist halt auch nicht irgendwie, 01:23:16.114 --> 01:23:19.434 Brüssel ist nicht gerade der Mittelpunkt der Grundrechte, sondern die haben 01:23:19.434 --> 01:23:23.934 halt sehr viele Interessenträger, die sich da breittun und gerade im ITRA-Ausschuss. 01:23:25.314 --> 01:23:28.074 Ja, schade. Gut, und was machen wir 01:23:28.074 --> 01:23:32.614 jetzt? Na ja, wir haben dagegen mit Informationen angekämpft. Immerhin. 01:23:34.454 --> 01:23:42.274 Das ist echt wow. Also Chaosreale sind ja oft deprimierend, aber oft sozusagen 01:23:42.274 --> 01:23:47.834 wegen des Zustands der Welt und am Ende immerhin meistens noch mit der Möglichkeit Dinge anzuzünden. 01:23:48.434 --> 01:23:53.814 Aber ich finde das total faszinierend, weil einerseits ist das nicht so hart, 01:23:54.014 --> 01:23:55.394 also keine Ahnung, so ein Staatstrojaner. 01:23:56.134 --> 01:23:59.614 Unfassbares Übel, aber irgendwie in seiner Auswirkung auch sehr konkret. 01:24:00.554 --> 01:24:05.774 So eine Zertifikats-Rut-Infrastruktur, die ist ja erst mal nichts per se Schlimmes, 01:24:06.694 --> 01:24:09.074 also wenn das jetzt kommt, geht die Welt nicht sofort unter, 01:24:09.494 --> 01:24:13.354 aber es ist sozusagen so eine Art slippery slope in den Weltuntergang hinein 01:24:13.354 --> 01:24:17.074 und trotzdem macht jemand was und es ist auch schon viel zu spät, 01:24:17.154 --> 01:24:19.834 es ist mega deprimierend. Ja, aber wir machen ja was. 01:24:20.014 --> 01:24:23.134 Also wir hier und die Wissenschaftler, die sich zusammengetan haben, 01:24:23.314 --> 01:24:26.614 wir machen ja. Ja, ja, aber es 01:24:26.614 --> 01:24:33.774 fühlt sich, ich hatte so gute Laune in den letzten Monaten, vielen Dank. 01:24:35.734 --> 01:24:39.154 Aber was ist denn der Lichtblick? Es kann ja noch sein, dass am 7. 01:24:39.234 --> 01:24:40.874 Dezember doch noch alles anders kommt. 01:24:42.674 --> 01:24:46.254 Hilft es da, wenn man jetzt seinen EU-Abgeordneten nochmal mal zitiert oder 01:24:46.254 --> 01:24:48.794 was? Warum nicht? Ich weiß nicht, warum nicht. 01:24:51.414 --> 01:24:56.354 Ja, also schreibt drüber, kontaktiert die Abgeordneten, aber man kann auch das 01:24:56.354 --> 01:24:57.974 weiter verbreiten, was andere geschrieben haben. 01:24:58.074 --> 01:25:01.954 Es gibt jetzt eine Menge, auch kritische Presse, auch jenseits von der Tech-Presse, 01:25:02.054 --> 01:25:02.994 die jetzt darüber schreibt. 01:25:04.074 --> 01:25:06.754 Do it. Also ich meine, es ist ja nicht so, dass das irgendwie ein Geheimthema 01:25:06.754 --> 01:25:10.474 wird. Es gibt schon Leute, die sich damit auseinandersetzen in Deutsch, aber auch in Englisch. 01:25:11.254 --> 01:25:17.054 Also ja, beteiligt euch. Kleiner Aktivismus wird groß. Und wenn jemand sagt, 01:25:17.094 --> 01:25:19.794 ich verstehe es aber nicht, dann gebt ihm einfach dieses Chaos Radio zum Hören. 01:25:21.374 --> 01:25:24.294 Ja komm, wir haben erklärbärmäßig, oder? 01:25:25.574 --> 01:25:28.374 Also ich traue mir das nicht zu sagen, weil wir stecken jetzt sozusagen in der 01:25:28.374 --> 01:25:31.374 Sendung drin, aber liebe Hörerinnen, wenn ihr Kommentare und Feedback habt, 01:25:31.454 --> 01:25:33.194 schreibt es auf Chaosradio.de. 01:25:33.734 --> 01:25:37.074 Dort ins Kommentarfeld, Anja, Jiska und Konz, vielen lieben Dank. 01:25:37.894 --> 01:25:40.414 Es war ernüchternd, aber wenigstens gut erklärt. 01:25:42.294 --> 01:25:46.454 Und ansonsten bleibt mir nur das zu sagen, was mir immer noch am Ende übrig 01:25:46.454 --> 01:25:49.074 bleibt. Der einzige Stein, an dem wir uns festhalten können. 01:25:49.534 --> 01:25:51.814 Lasst euch nicht überwachen, wichtiger denn je heute und verschüttelt immer 01:25:51.814 --> 01:25:53.614 schön eure Backups. Tschüss! Tschüss! 01:25:53.680 --> 01:29:24.296 Music.