Fragen? Antworten! Siehe auch: Alternativlos
(Schnell klicken, bevor es jemand repariert!)
Lasst euch von deren Namen nicht verarschen. Das ist ein eingetragener Verein von lauter Lobbyisten. Bekloppterweise hat der Bund unter dem Namen später auch etwas gegründet, das in der Praxis auch keine Rolle spielt, schon gar nicht in Sachen Cybersicherheit.
Update: Jetzt kriege ich gar keine IP-Adresse mehr im DNS aufgelöst von dort. Das ist ja mal ein Abgang für das ehemalige Arne-Schönbohm-Cyberclown-Vehikel.
Update: Nur der A-Record ist weg, für IPv6 ist noch ein Adresse hinterlegt. Auf der geht aber TLS nicht, weil sie das Zertifikat verkackt haben.
Ich hatte damals berichtet und kommentiert, dass ich den Schönbohm nicht mag und mit seiner Arbeit und der Arbeit des BSI unzufrieden bin, aber er nicht wegen dieser Scheiße zurücktreten sollte, sondern weil er schlechte Arbeit macht.
Nun, die Faeser hat ihn damals geschasst. Feuern konnte sie ihn nicht mangels Beweisen, denn der Schönbohm ist ja im Gegensatz zu der Faeser zwar nicht inhaltlich aber wenigstens prozedural ein Profi und hat sich immer alles abzeichnen lassen, bevor er es gemacht hat.
Jedenfalls hat die Nummer jetzt ein Nachspiel. Setzt euch fest hin, denn das wird euch sonst aus dem Stuhl fegen!
Nun, sechs Monate später, steht fest: Die Vorwürfe waren offenbar haltlos. Nach unseren Informationen aus Regierungskreisen räumte das Innenministerium Ende April in einem entsprechenden Schreiben an Schönbohms Anwälte ein: Die sechsmonatigen behördeninternen Voruntersuchungen hätten keine Anhaltspunkte gebracht, die die Einleitung eines Disziplinarverfahren rechtfertigen würden.Ach. Ach was.
Da stellt sich mir direkt eine Frage, von der ich mir wünsche, dass sie auch von anderen gestellt wird: Ist die Faeser schon zurückgetreten? Wenn nein: Warum nicht?!
Frau Faeser hat sich in der ganzen Nummer voll verrannt, lag von Anfang an erkennbar falsch und sollte jetzt Konsequenzen tragen.
Andere Leute hätten die Füße hochgelegt und sich einen Caipirinha gemacht, aber nicht der Schönbohm.
Das ist alles so eine Seifenoper. Mann Mann Mann.
Das ist schon ein relativ starkes Statement. Normalerweise lässt man derart hohe Amtsträger selber zurücktreten, aus gesundheitlichen Gründen, oder wollte sich beruflich neuorientieren, sucht neue Herausforderungen oder sowas. Familiäre Gründe.
Tja. Der Nachfolger wird bestimmt noch schlechter. Irgendein SPD-Parteisoldat, der auf Trojanereinsatz und Vorratsdatenspeicherung steht.
Da kriegen die SPD-Wähler, was sie verdient und gewählt haben.
Update: Achtet mal auf die Details. Schönböhm hat selbst um das Disziplinarverfahren gegen sich gebeten. Damit hat er sie in Zugzwang gebracht. Entweder sie feuern ihn, ohne dass irgendwas vorliegt, das sie nicht seit Jahren wussten und in Kauf genommen haben, und machen sich komplett zum Stück Brot, oder sie sagen öffentlich, dass sie nichts in der Hand haben.
Schönbohm fand, dass sie nichts gegen ihn in der Hand haben, das nicht seit 10+ Jahren bekannt war, und er hat sich auf dem Weg immer schön alles abnicken lassen und auf einem Paper Trail bestanden. Ich hab den Mann nie für einen guten BSI-Chef gehalten, aber wie er die hier auf den letzten Metern nochmal so richtig ausmanövriert und gegen die Wand laufen ließ? Chef's Kiss!
Im Vergleich zu der Faeser und ihrer Lachnummer von einem Papiertigerministerium wirkt der jetzt geradezu wie eine Kompetenz-Singularität. Herzliche Grüße an dieser Stelle an Nancy Faeser. Die hat sich damit schöner selbst zerlegt als ich es je hätte herbeiführen können.
Ohnehin ist die Angelegenheit alles andere als abgeschlossen. Was als Satire in der Böhmermann-Sendung begann, entwickelt sich vielmehr zum Krimi. Die Verfassungsschützer warnten nämlich nicht nur Infotecs-Kunden, sie überwachten auch den Vorsitzenden des Cyber-Sicherheitsrats Deutschland e.V., Hans-Wilhelm Dünn. Nach SPIEGEL-Informationen kam es zu einer Telekommunikationsüberwachung. Dabei wurden auch Gespräche mit Schönbohm abgehört.
Ja, der Schönböhm ist ein Cyberclown. Aber er war wenigstens ein berechenbarer Cyberclown. Wir wussten, woran wir waren. Der hat zwar nicht viel gemacht, aber immerhin stand er auch nicht viel im Weg herum oder hat da erratisch wichtigen Projekten in den Rücken gedolcht. Im Vergleich zu den Vollversagern im BMI und der Politik ist der Mann geradezu GOLD!1!!
Den Kommentar von Jürgen Schmidt hatte ich ja schon verlinkt, hier noch mein geschätzter Kollege Manuel Atug. Money Quote:
ein gutes Duo mit überdurchschnittlicher #Digitalkompetenz, gemessen an den sonstigen Akteuren.Eine humoristisch sehr schöne Formulierung. "Klar kann der nichts aber hast du mal das restliche Gruselkabinett gesehen?!" :-)
Wir müssen da glaube ich trennen zwischen inhaltlichen Punkten und taktischen Erwägungen. Inhaltlich ist der Schönbohm meiner Beobachtung nach eine absolute Lusche. Der rennt zu allen Veranstaltungen, kommt denn 5 Minuten zu spät, damit alle mitkriegen, wie wichtig er ist, dann lässt er ein paar Wortblasen ab, dass Sicherheit ja wichtig sei, und seine Behörde tut absolut nichts für Vorbeugung. Die verkaufen lieber wertlose Zertifikate, empfehlen Schlangenöl und machen Blockchain-Kram und SSI-Blödsinn.
Der Mann betreibt seine Behörde wie Junior-Entwickler ihren Lebenslauf! Springen auf jeden Hype auf, machen dann schlechte Projekte, die sie mangels Erfahrung verkacken, und feiern sich dann als Experten und verweisen auf ihre "Erfahrung".
Hat er das BSI vorangetrieben, wie Honkhase behauptet? Wenn man das nach Bürokratie-Metastasierung misst, dann vielleicht. Inhaltlich sicher nicht.
Finde ich, dass der Schönbohm wegen der KGB-Firma zurücktreten sollte?
Nein. Das ist an den Haaren herbeigezogen.
Ich finde, er sollte gehen, weil er schlechte Arbeit macht.
Faeser stand ursprünglich ja für "Schwachstellen werden gemeldet, nicht gehortet für Polizei oder Geheimdienste". Das hat sich inzwischen einmal um 180° gewendet, das Blatt. Gut, SPD halt. Wer die wählt, hat es nicht besser verdient.
Aber dass der Schönbohm sich dem Exploit-Horten in den Weg gestellt hat, das habe ich so nicht erlebt. Im Gegenteil. Da war er bemerkenswert konsequent.
Wird das jetzt wahrscheinlich noch schlimmer? Ist anzunehmen. Cyberclowns hat die Regierung genug in der Schublade. Seit dem Hackertoolverbot und dem damit verbundenen Versiegen des Nachwuchses sind Cyberclowns auch eine nachwachsende Ressource.
So war Schönbohm ja auch. Wenn du keine Ahnung hast, machst du sinnloses Compliance-Theater. Statt Vorbeugung, für die man Sachkenntnis bräuchte, machst du dann halt Reporting-Pflichten und Papierkrieg.
Ist fürs Branding wahrscheinlich eh viel besser. Bist du ständig in der Presse, wenn es wieder irgendwo brennt. Und du kannst sagen: Die Cyber-Bedrohung ist groß!1!!
Innenministerin Faeser will BSI-Chef feuern – doch ihr Staatssekretär genehmigte Rede vorabNatürlich ließ sich der Schönbohm das vorher genehmigen. Der ist ja nicht doof.
Zweitens: Ich war ja in letzter Zeit immer wieder fasziniert, wie Brancheninsider meinten, der mache ja gar keinen soooo schlechten Job. So tief sind die Erwartungen schon abgestürzt, bzw. waren noch nie viel höher. Das BSI ist im Wesentlichen eine Compliance-Behörde. Die erzeugen für andere Leute mehr Papierkram. Das ist, was die tun.
Drittens: Ich hatte ja von Anfang an meine Probleme mit dem Schönbohm, nicht zuletzt wegen dieses lächerlichen Vereins mit dem irreführenden Namen. Aber im Moment muss ich ihm sowas wie Respekt zollen, wie er seine Vorgesetzten da ins Messer laufen lässt. Und absolut verdient. Keiner von denen sollte im Amt sein, inklusive der Innenministerin.
Viertens: Die Fakten sind alle schon länger bekannt. Spätestens seit 2019, wo es eine Kontraste-Sendung zum Thema "Cyber-Sicherheitsrat" und Russland-Connections gab. Keine der Vorregierungen fand da was bei.
Fünftens muss man sich ja schon mal fragen, was unsere Geheimdienste eigentlich beruflich machen. Hat der Verfassungsschutz da mal wieder auf ganzer Linie verkackt? Oder hatten die einfach die Hände voll mit Nazigefahr-Leugnen und Linksautonome-Verfolgung? Hey, wer ist dafür eigentlich zuständig? Oh ja richtig! Das Kanzleramt! Auch alle Mann zurücktreten, bitte.
Update: Oh, nee, für den "Verfassungsschutz" (harr harr) ist das BMI zuständig. Na dann ist ja vieles klarer.
Was sehen wir da?
Auf einem Bildschirm läuft die Tagesschau. Ganz super. Behörden beobachten das Fernsehen.
Auf dem nächsten ist eine belanglose Weltkarte, auf der man nichts sehen kann, außer dass es eine Weltkarte ist. Da sind irgendwelche Kreise eingezeichnet, vermutlich "Threat Intelligence". Halte ich grundsätzlich für komplett wertlos, aber besonders wertlos ist es auf einem Bildschirm an der Wand, zu weit weg vom Arbeitsplatz, als dass man da was erkennen könnte.
Dann links unten: Twitter. Irgendein belangloser Scroll-Content, der dir am Arbeitsplatz auch gar nichts bringt, denn da hat jeder Mitarbeiter vermutlich einen eigenen Twitter-Feed, der an den gelangweilten Mitarbeitern vorbeiscrollt. Die Meldungen, die man da sehen kann, erfüllen alle Vorurteile. Pressemitteilungen von irgendwelchen anderen belanglosen Pseudo-Cybercyber-"Experten".
Daneben irgendein Dashboard. Das sieht wie das einzige vertretbare Element der ganzen Bildschirmwand aus für mich. Vier Felder sind rot. Leider kann man die Details nicht erkennen.
Und mein Favorit ist der Bildschirm ganz rechts. Eine in ihrer völligen Nutzlosigkeit nicht zu toppende … Wortwolke. Mit so wichtigen Cybercyber-Fachbegriffen wie "twitter" und "public" und "facebook". Den Rest kann man nicht sehen, weil Arne "Cyberclown" Schönbohm davorsteht und gelangweilt auf den Bildschirm mit der Tagesschau guckt. Das müssen ja enorm interessante Ausführungen sein, wenn der BSI-Chef lieber Tagesschau guckt, und die Innenministerin auch aussieht, als würde sie hier gerne sofort per Hubschrauber rausgeholt werden.
Tja, und da haben wir es. Das Nationale IT-Lagezentrum des BSI, meine Damen und Herren. Eine Word Cloud aus Buzzwords.
Buchstäblich!
Update: Ein Leser weist noch darauf hin, dass die Weltkarte US-zentrisch ist.
Ein anderer Leser hat mal "Taranis" gegoogelt, das Hersteller-Logo über der Buzzwordcloud. Er fand dies und dies. Ergötzt euch selber. Eine Buzzwordcloud!! Wobei, vielleicht ist das ja der Screensaver von denen. LOL. Ein Randdetail noch aus der Wikipedia:
Die Gesellschafter waren bis August 2015 Airbus Defence and Space, Rohde & Schwarz, Thales mit jeweils 30 % sowie Northrop Grumman mit 10 %
Da sind ja alle üblichen Verdächtigen aus dem Militär- und Geheimdienstumfeld vertreten. Northrop Grumman ist vor allem durch eine wirklich ultrapeinliche Werbeaktion aufgefallen, macht mal Image Search auf full spectrum cyber. Der Brüller!
Und so wächst mal wieder zusammen, was zusammen gehört. Passt alles wie Arsch auf Eimer.
Update: Ein Leser hat die Weltkarte identifiziert. Hat nicht mal was mit Cyber zu tun.
Update: Haha jetzt kommen hier ein Dutzend Leser rein, die das Dashboard wiedererkannt haben — aber jeder hat eine andere Software erkannt. Ich finde das jetzt konkret auch gar nicht so wichtig, was das für eine Software ist. Vom Äußeren her sieht das aus wie generisches Host- und Service-Monitoring, vielleicht noch "sind unsere Zertifikate abgelaufen".
Update: Mehrere Leser wenden ein, dass das BSI einfach professionelle Opsec macht. Wenn jemand ein Foto macht, schalten sie schnell die wichtigen Bildschirme auf belanglosen Content um. Könnt ihr euch ja selber überlegen, ob ihr das glauben wollt.
Stellt sich raus, dass nach dem Ukraine-Einmarsch der Russen Kaspersky auf das BSI zuging. Bei Kaspersky schlugen offenbar lauter Kunden auf, die sich Sorgen machten, ob man sich da eine russische Hintertür installiert habe.
Kaspersky kam also auf das BSI zu und dachte sich, die haben bisher faktenbasiert gearbeitet und werden aus irgendwelchen Gründen respektiert, die werden uns bestimmt jetzt unterstützten.
Daraufhin hat BSI-Chef Arne "Cyberclown" Schönbohm intern folgende E-Mail rausgehauen:
Glaube leider gar nicht antwortemErste Erkenntnis: Der Mann hat seine Technik genau so wenig im Griff, wie Zyniker die ganze Zeit schon angenommen haben.
Zweite Erkenntnis: Sich in Krisenzeiten tot stellen finde ich einer Bundesbehörde nicht angemessen. Dieser Mann ist als Behördenchef nicht tragbar. What the fuck?! Man stelle sich mal vor, die Feuerwehrführung ließe sich verleugnen, wenn es ein Problem gibt!
Desweiteren hat das BSI hier natürlich nicht faktenbasiert untersucht und kam zu einem Ergebnis, sondern sie haben ergebnisbasiert "untersucht" und kamen zu einer Herleitung. Das Innenministerium war natürlich auch involviert. Wir erinnern uns: Das BSI ist dem BMI gegenüber weisungsgebunden. Einer der Hauptkritikpunkte am BSI seit Jahren. Hier sieht man mal wieder, was das für Auswirkungen hat.
"Die Produktwarnung vor Kaspersky meine ich absolut ernst", betont BSI-Chef Schönbohm. Wer die russische Virenschutzsoftware nutzt, handle teils fahrlässig.Dem möchte ich hinzufügen: Das gilt selbstverständlich auch für alle Konkurrenz-Produkte.
Wegen der ganzen "Angriffe" überall!1!!
Ja aber echt mal. Wenn wir doch nur eine staatliche Institution hätten, die dafür zuständig wäre, Behörden abzusichern!1!!
Warte mal, hatten wir da nicht eine? Die mit diesem Typen an der Spitze, ihr wisst schon! Wie hieß der noch? Der Cyberclown!
Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument.Aha. Soso. Die Gefährdungslage also.
Damit meinen sie bestimmt die Tatsache, dass alle Windows, Outlook und Active Directory einsetzen, oder? Nicht?
Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität".Ach genau! Schönbohm hieß der!!
Man würde denken, wenn immer wieder Windows, Outlook und Active Directory durch "mangelhafte Produktqualität" auffielen, dass diese staatliche Institution dann mal empfiehlt, die nicht mehr einzusetzen?
Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben.Oh. Ah. Verstehe. Die sollen ruhig weiter alle Windows, Outlook und Active Directory einsetzen. Wenn was passiert, kann man seine Nerven an der Gewissheit beruhigen, dass der Hersteller mehr hätte tun sollen.
Überzeugt euch diese Strategie auch auf Anhieb? Ich fühl mich schon viel besser.
Wir haben alles getan. Also eigentlich konnten wir ja gar nichts machen. Wir haben also nichts getan. Danach haben wir gesagt, Microsoft sei Schuld.
Erinnert mich an den Bundestagshack damals. Wo mir ein Insider erzählte, man habe die Presse schreiben lassen, dass das APT war, weil damit alle gut leben konnten. Gegen APT kann man ja eh nichts machen. In Wahrheit war das eher Straßen-Trojaner-Gepfusche auf dem Niveau von Back Orifice. Aber wie so häufig würden die Details die Bevölkerung bloß beunruhigen.
Warum reg ich mich eigentlich auf? Wieso geb ich nicht mein Gewissen an der Garderobe ab und verkaufe auch "Threat Intelligence"? Genau was die Leute brauchen, die da draußen Windows, Outlook und Active Directory einsetzen. Threat Intelligence! Oh, und ein SIEM!!
Deutschlands Politik ist ein "attraktives Ziel" für Desinformationskampagnen. Das meint Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).Ja, so Desinformationskampagnen wie diese CDU-CSU-Maskenaffäre. Das verwirrt die Leute doch vor der Wahl bloß!
Oder dass Olaf Scholz ein Cum-Ex- und ein Wirecard-Problem hat! Das will doch niemand hören! Gut, also von der SPD jetzt.
Oder dass die Baerbock ihren Lebenslauf frisiert hat. Desinformation!!1!
Selbst Opfer von Desinformation ist Bundestagsabgeordnete Tabea Rößner, Sprecherin für Netzpolitik und Verbraucherschutz bei den Grünen. Sie erlebte einen Shitstorm und ihr Mail-Account wurde lahmgelegt.Wofür hat sie den denn abgekriegt? Fiel der vom Himmel oder was?
Rößner berichtete, dass die Grünen-Kanzlerkandidatin Annalena Baerbock "besonders stark" angegriffen werde. "Es wurden ihr falsche Zitate untergeschoben, die Angst schüren sollten."Und hey, wenn sich jemand mit Zitaten auskennt, dann Annalena Baerbock *gnihihihi*
Wenn ihr jetzt schon genug habt, dann stählt euch. Der nächste Satz ist einer für die Geschichtsbücher:
Leider hätten die politischen Wettbewerber aggressive Nutzer-Kommentare mit negativen Emojis weiterverbreitet.Oh neeeiiiin! Mit negativen Emojis? Das ist ja furchtbar!1!!
Ist auch in der Realität jemandem was zugestoßen oder nur euren Gefühlen?
Update: Aber macht euch keine Sorgen.
BSI-Chef Schönbohm berichtete, das Amt habe ein "rotes Telefon" für dringende Fälle eingerichtet, bei denen umständliche Meldeketten nicht beachtet werden können.
Da können Politiker anrufen, die unter einem akuten Fall von negativen Emojis leiden.
Idee vom Erdgeist:
Wie krass Orwells „Memory Hole“ inzwischen funktioniert, könnt ihr mal empirisch ergründen: Könnt ihr er-googlen oder er-bingen, was Jörg Schönbohm mit Schafen nicht gemacht hatte?
Jedenfalls vergibt auch der Bundestag einen Medienpreis. Ich hatte von dem noch nie was gehört, aber angeblich gehört der zu den "renommierten Auszeichnungen für Journalisten". Ich als Journalist würde mich ja schämen, von einem staatlichen Organ gefeiert zu werden. Wie sieht das denn aus? "Du warst immer schön artig und unkritisch", so sieht das aus!
Aber das war nicht der Punkt. Der Punkt war: Don Alphonso ist in die Jury berufen worden. Und der Deutschlandfunk hat mal eine Umfrage unter den ganzen Leuten gemacht, die deshalb jetzt Hämorrhoiden gekriegt haben.
An dieser Stelle möchte ich mal Arne "Cyberclown" Schönbohm loben, den BSI-Direktor, der auf die gehässige Kritik zu seiner Ernennung genau richtig reagiert hat: Gar nicht. Wenn ein Politiker sich über irgendeinen Internet-Kritiker da draußen aufregt, dann ist das in erster Linie eine Aufwertung von dem Kritiker, keine Abwertung. Gut, Frau Roth ist jetzt noch nicht allzu häufig durch ihre Kompetenz aufgefallen, aber ich hätte gedacht, dass sie DAS verstanden hat. Wie lange ist die jetzt in der Politik? Gefühlt 40 Jahre? Und dann so ein Anfängerfehler? Meine Güte.
Irgendein selbsternannter Selbstdarstellungs-Experte findet sich auf Twitter immer, aber die Vizepräsidentin des Bundestags? Wow. Merkt die nicht, dass erst durch ihre persönliche Kritik der Don für Außenstehende satisfaktionsfähig aussieht?
Aber auch aus anderer taktischer Sicht ist das nicht sehr klug. Nehmen wir mal an, dass der Don da aus Proporzgründen hingeschickt wurde (ich habe da keinen Einblick, aber könnte mir das vorstellen), damit da überhaupt ein Konservativer in der Jury sitzt. Wenn dann die Roth meckert, dass der zu viele ihr nicht gefallende Dinge gesagt hat, bestätigt sie damit doch den Ernennern, dass sie den Richtigen für den Job gefunden haben!
Oder die spielen über Bande und die Roth ist super froh, dass da der Don sitzt. Könnt ihr euch ja selber überlegen, was ihr für die wahrscheinlichste Variante haltet.
Und sie ist auch echt alleine auf weiter Flur. Der Deutschlandfunk hat sicher nicht nur sie um eine Stellungnahme gebeten. Alle anderen waren schlau genug, sich nicht zu äußern.
Wer wählt eigentlich diese Grünen immer? Habt ihr nicht mitgekriegt, mit was für Personal die da "arbeiten"?
Update: Jan Böhmermann hat mich auch überrascht. Ich dachte nicht, dass der es nötig hat, persönliche Beleidigungen zu bringen. Never offend people with style when you can offend them with substance.
Oder anders gesagt: Was Peter über Klaus sagt, sagt mehr über Peter als über Klaus.
Update: Oder noch anders gesagt: Great Minds Discuss Ideas; Average Minds Discuss Events; Small Minds Discuss People.
Und Fließtext dann:
sagte BSI-Präsident Arne SchönbohmIs nich wahr!1!! Den kenn ich doch!
Der von Brancheninsidern als „Cyberclown“ verspottete Schönbohm liefert keinerlei Indikation für technische ExpertiseHach komm, Fefe, seit wann braucht man technische Expertise, um sich als Experte bezeichnen zu lassen?
Na siehste. Wie immer. Wie Arsch auf Eimer.
Update: Weiter unten im Artikel, habt ihr hoffentlich alle gesehen:
Jedoch müssten die Kunden IT-Sicherheit einfordern, sagte Schönbohm.
Das sagt der, der gerade verhindert hat, dass die eingeforderten sicheren Plasterouter stattfinden. (Danke, Markus)
Grandiose Idee! Alles, was wir jetzt noch brauchen, ist ein Weg, wie wir erkennen, ob ein Router sicher ist!
Oh ich habe eine Idee! Freiwillige Selbstkontrolle! Wie beim CE-Logo! Die Hersteller verpflichten sich einfach, das ab jetzt alles richtig zu machen, und dann dürfen sie das Logo aufdrucken. Fuck yeah! Ein weiterer erfolgreicher Arbeitstag für BSI-Chef Arne Schönbohm!
Update: Mehr Details zu der Router-TR gibt es bei Golem. Erster Punkt: Die Hersteller müssen das Mindesthaltbarkeitsdatum (bis wann es garantiert Updates gibt) nicht auf die Verpackung drucken. Weil, äh, wo kämen wir da hin. Wir wollen ja hier nichts wirklich verbessern. Wir wollen nur sagen können, wir hätten uns gekümmert.
Ja gut, denkt ihr euch jetzt bestimmt, das muss man ja auch nicht auf die Verpackung drucken, wenn eh 5 Jahre vorgeschrieben sind oder so.
Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport.
Natürlich nicht! Das wäre zu einfach! Sie müssen nicht mal alle Sicherheitslücken schließen, nur die mit CVSS-Wert größer 6. Das heißt, dass sich Hersteller in der Praxis mit Diskussionen über die Schwere und Exploitbarkeit von Bugs jahrelang aus der Verantwortung stehlen können und dann ist verjährt. Tolle Wurst, liebes BSI! Oder, wie mein Kumpel Frank das formuliert hat:
Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."
JA DANN BAUT LIEBER GAR KEINE ROUTER! Die Verbraucherzentralen hatten übrigens kostenfreie Sicherheitsupdates für die gesamte tatsächliche Nutzungsdauer digitaler Produkte gefordert. Daraus ist natürlich nichts geworden. Wir machen hier schließlich Wirtschaftsförderung und in der Politik geht es um Arbeitsplätze. Und nichts schafft so sicher Arbeitsplätze wie wenn die Kunden alle paar Monate alles neukaufen müssen, weil die Hersteller keine Updates zur Verfügung stellen. Gut, die Arbeitsplätze schafft das in China, nicht hier, aber wollen wir mal nicht päpstlicher als der Papst sein!
Der CCC hatte noch gefordert, dass man als Kunde auch eine eigene Firmware einspielen können muss. Das ist natürlich auch ignoriert worden.
Besonders peinlich für das BSI:
Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen.
Da werden alle Vorurteile vollumfänglich bestätigt.
Aber es kam ganz anders. Die Verbracherzentrale sagte, es ist ganz furchtbar und wir müssen was tun. eco sagte, das sei alles nicht so einfach. Das BSI sagte, sei arbeiten an einem Bouquet aus Maßnahmen, erstmal dieses Gütesiegel. Dann einigte man sich darauf, dass Gütesiegel kein gutes Wort sei, denn das drücke ja eine über das Minimum hinausgehende Qualität aus, und das sei ja eher eine Mindestanforderung. Dann verwies das BMWi darauf, dass Deutschland nicht einfach neue Mindestanforderungen aufstellen könne, das sei mit CE abschließend reguliert (ich fügte im Geiste hinzu: im Übrigen wäre das ja auch ein Markthemmnis und wir haben ja gerade CETA mit Kanada unterschrieben). R&S meinte, also ihre Produkte seien ja soweit alle sicher, und sie würden auch Updates zur Verfügung stellen. Also unter der Voraussetzung, klar, dass der Kunde einen Supportvertrag und ein SLA abgeschlossen hat. Versteht sich ja von selbst. Einer aus dem Publikum sprach Produkthaftung an, woraufhin glaube ich Schönbohm meinte, das ginge ja gar nicht, weil dann stünden ja die Verbände sofort auf der Matte und würden sagen, das ginge ja GAR nicht.
Ich kam aus dem Brechreiz gar nicht heraus. Was für eine Farce. Also erstmal: Wieso interessiert das irgendjemanden, was die Verbände zum Thema Produkthaftung finden? Wir fragen ja auch nicht den Verband der Skinheads, ob das strafbewehrt sein sollte, wenn man Ausländer aufklatscht!? WTF!?!?
Zweitens: Dass wir überhaupt über Updates reden, das ist schon ein freundliches Zugeständnis. Eigentlich ist die Idee, dass die Produkte ordentlich in den Handel kommen. Wenn sie das nicht tun, dann hat der Hersteller drei Mal Gelegenheit zum Nachbessern (und zwar mit Hinschicken, Hersteller zahlt Porto, Reparatur, Rückschicken, Hersteller zahlt Porto!) und wenn das dann nicht klappt, dann Geld zurück. Wir haben uns schon völlig ohne Not auf "Hersteller schickt mir ein Update und ich fresse die Kosten für Updaten" runterhandeln lassen. Und das Limit auf drei Versuche fürs Nachbessern, davon redet auch keiner bei Updates. Warum eigentlich nicht?
Während mir diese Gedanken durch den Kopf gingen, meinte jemand, man könne ja mal fordern, dass die Hersteller, wenn sie nicht mehr Updaten wollen oder "können", dass sie dann den Scheiß der Community übergeben, und die kann das ja dann machen. Ja, äh, nee, fuck you, liebe Industrie! Das ist eure verdammte Verantwortung! Externalisiert jetzt mal nicht auch noch den Support an eure Kunden! Was kommt als nächstes? Das BSI soll das machen, der Steuerzahler trägt die Kosten? Unfassbar.
So weit sind wir hier schon devot in die Bittsteller-Duldungsstarre verfallen.
Ich war jedenfalls stinksauer. Und hatte dann auch keine Zeit mehr, um noch peinliche Fragen zu stellen, weil ich zum Zug musste.
Vor diesem Podium war noch ein anderes Podium, das relativ prominent angekündigt wurde, mit dem Titel "War Stories", lauter Leute aus der AV-Industrie erzählen Geschichten. "Was der Security-Spezialist noch seinen Enkeln erzählt". Da hatte ich mir einiges von versprochen, aber es war dann ziemlich schlecht. Lauter so "Ja also UNSERE Software hat ja 500.000 Menschen vor $VIRUS geschützt!1!!". "Also wir haben ja diesen einen Typen hinter Gitter gebracht". "Wir haben diese großartige neue Voodoo-Technologie entwickelt, die schützt total super". Hätte ich mir auch sparen können, war eher Dauerwerbesendung. Ich habe dann noch versucht, mit einem Verweis auf Google Project Zero ein bisschen Unfrieden zu stiften, was augenscheinlich auch 6 von 8 Podiumsteilnehmern triggerte und die mussten dann ihren Drang zur Gegendarstellung zu meinen fiesen Unterstellungen befriedigen. Aber unter dem Strich leider auch eine vertane Chance.
Das kann sicher nicht schaden, wenn mal jemand die Autobranche zu ordentlicher Softwarequalität zwingt, und von mir aus kann das auch gerne das BSI sein. Aber … wo ist denn da das Geschäftsmodell? Ich vermute eher Auto-Ransomware als Trend für die Zukunft. Das Auto fährt erst weiter, wenn der Fahrer ein paar Bitcoins überweist.
Man stelle sich das mal vor. Wenn Jobs ab jetzt an Kompetenz gebunden wären, wer würde dann überhaupt noch im Amt bleiben im Regierungsumfeld?
Der Tagesspiegel und die Süddeutsche haben darüber berichtet.
Money quote:
Schönbohm selbst hat dem Sicherheitsrat zufolge in diesem Jahr keine Zeit mehr, Fragen zu eventuellen Interessenkonflikten beantworten.*gacker*
Jetzt geht der BSI-Chef in den Ruhestand und der neue BSI-Chef wird ein Schlipsträger aus der FDP, der bisher durch Bullshit-Bingo-Veranstaltungen wie den "Cyber-Sicherheitsrat Deutschland" aufgefallen ist und vorher EADS-Lobbyist war.
Wenn ihr noch Fragen habt, schaut euch mal die Homepage vom Cybersicherheitsrat an (lädt Javascript von Google nach, sicherer geht es ja kaum!) und von dem Laden, wo der gerade Vorstandsvorsitzender ist. Da bleibt kein Auge trocken. "Cyber-Frühstück". "2. Cyber-Stammtisch". "Das Internet ist eine sichere Plattform. Die Digitalisierung ist ein Wohlstandsgarant."
Klingt wie die Selbstbelüg-Mantren der Neocons zur sozialen Marktwirtschaft! "Sozial ist, was Arbeit schafft!" "Das Internet ist sicher!"
Wo finden die nur solche Clowns? Was waren da bitte die Auswahlkriterien? "Er muss die Erwartungshaltung deutlich senken"?
In der Selbstdarstellung sind seine Skills eher nicht-technisch. Eher so Sales. Genau was das BSI jetzt braucht!
Update: Ich bin nicht der Einzige, der sich über die Ernennung wundert.
Update: Den Schönbohm hatte ich auch schon mal im Blog. Keine weiteren Fragen.
Update: Der Cyber-Sicherheitsrat läuft übrigens mit Wordpress. Wordpress!! Und hat das gleiche Impressum wie die BSSAG. Oh und der Titel der Webseite ist:
Cyber-Sicherheitsrat Deutschland e.V.Cyber-Sicherheitsrat Deutschland e.V. Cyber-Sicherheitsrat Deutschland e.V.
Einmal mit Profis arbeiten! Oh und wo wir gerade bei Profis sind: Die Bewertungen unter seinem Buch sehen auch aus, als seien sie von professionellen Kommentarschreibern geschrieben worden.
Update: Wer sich jetzt wundert, ob dieser Typ ein Fake ist oder nicht: Das scheint der Sohn des ehemaligen brandenburgischen Innenministers Jörg "Lafontaine vom Verfassungsschutz beobachten lassen" Schönbohm zu sein. Falls jemand den alten Schönbohm nicht mehr so auf dem Radar hat: klickt euch mal durch das Blogarchiv :-)
Oh ach ja, und die Liste seiner Organisationen bei Xing spricht auch Bände:
Mitglied im Münchener Herrenclub e.V., Mitglied der Atlantikbrücke e.V., Conventor im Peutinger Collegium e.V., Mitglied in der Deutschen Wehrtechnischen Gesellschaft e.V., Mitglied im Förderkreis Heer e.V., Mitglied in der Clausewitz Gesellschaft e.V., Vorstand im Verband für Professionellen Mobilfunk e.V. (PMeV 2007), Lehrbeauftragter an der Fachhochschule Albstadt-Sigmaringen für "moderne Unternehmensführung" (2000-2006)
Besonders witzig daran ist der professionelle Mobilfunk, wenn man weiß, dass es sich um Tetra handelt (vgl auch die einschlägigen Vorträge von Harald Welte).
Ich wollte ja ursprünglich Moderator sein, aber aus NPOV-Gründen haben wir das lieber den Andreas machen lassen, aber ich habe mich dann in die Veranstaltung reingehackt und saß neben dem Podium ohne Mikrofon auf einem Sofa. Eigentlich hatte ich da einen Freud-Ohrensessel haben wollen, aber den haben wir nicht organisiert gekriegt. Ich wollte noch Kristian Köhntopp auf das Sofa setzen, aber der kam nicht (ich gratuliere übrigens herzlich). Ich habe auch verpeilt, da mit einer Packung Popcorn anzukommen, und so war ich im Wesentlichen auf ein gelegentliches Facepalm reduziert, habe aber über Kurts Mikro einmal in der Mitte und einmal am Ende etwas eingeworfen.
Inhaltlich gab es dann natürlich doch viel Bashing. Das Publikum schien mir teilweise extra dafür angereist, um mal dem Saal erzählen zu können, wie ihnen auch der erste Artikel erstmal gelöscht wurde und dass sie seitdem keinen Bock mehr haben. Insbesondere ein Teilnehmer war ausgesprochen verärgert, dass aus dem Artikel zu Jörg Schönbohm eine umfangreiche Liste von grenzwertigen "nationalkonservativen" Äußerungen entfernt worden seien, wie sich denn das mit dem immer hochgehaltenen NPOV vereinbaren ließe, und dass das seiner Meinung nach eine faule Ausrede sei und alle Moderationen oder Zensurmaßnahmen letzlich politisch seien.
Sinn von so einem Podium ist ähnlich eines Interviews natürlich auch immer, Leute zu entlarvenden Aussagen zu verleiten. Bei dem Wikipedia-Podium waren die entlarvensten Äußerungen meiner Ansicht nach die folgenden:
An der Stelle hat man gut gesehen, dass hinter der ganzen Rhetorik von wegen "Qualitätssicherung" und "Relevanz" doch immer nur steckt, das eigene Weltbild dem Rest aufzudrücken.
An dieser Stelle ist das Podium schon ein Erfolg gewesen für mich, denn nur wenn man diese Art von anderer Perspektive versteht, kann man die daraus resultierenden Aktionen verstehen und sinnvoll diskutieren.
Update: Oh, ein Highlight möchte ich noch erwähnen. Kurt argumentierte an einer Stelle, man würde ja fürs Kochen nicht die Wikipedia konsultieren. Daraufhin meinte einer aus dem Publikum, gerade beim Kochen sei es wichtig, dass man freie Inhalte haben könne für seine Rezepte und Lebensmittelfotos. Falls diese Anspielung für jemanden zu subtil war: mit Abmahnungen zu Lebensmittelfotos bestreiten im Internet einige Abmahner ihren Lebensunterhalt (oder könnten von der gefühlten Menge des abgemahnten Geldes her; wer weiß, vielleicht haben die ja auch Nebenjobs).
Update: Mathias Schindler weist darauf hin, dass für freie Fotos von Essen Wikimedia Commons zuständig ist und für Kochbücher Wikibooks.
Update: Kurt Jansson schickt mir gerade folgende Klarstellung:
Was ich gesagt habe ist, dass ein Pokemon-Artikel immer 5 Sterne hätte, egal wie gut oder schlecht er ist. Oder noch deutlicher: Sobald wir das einführen wird es in den Naziforen Aufrufe geben, bestimmte Versionen des Artikels "Holocaustleugnung" hoch zu bewerten, den Artikel zur "taz" hingegen runterzuwerten, egal wie der gerade ausschaut.
Das hatte ich offensichtlich falsch verstanden.
Während dann im Fernsehen im Referentenraum Podjournalism und TV-B-Gone lief, haben Frank und ich noch schnell die Folien für den Fnord-Rückblick finalisiert, während Ron von der anderen Seite mit Frank noch mal die Folien für ihre Security Nightmares durchging. :-)
Wir haben diesmal ein Wagnis eingegangen; wir haben ja jedes Jahr viel zu viele Einzelmeldungen, um dem Jahr vernünftig Rechnung zu tragen. Dieses Jahr stand ja alles voll unter dem Antiterror-Stern, und so haben wir die zweite Hälfte des Rückblicks als eine Art Fußballspiel abgefackelt, wo wir ein Wettrennen zwischen Eurasien und Ozeanien (hauptsächlich in Form von Air Strip One, falls jemand mit den 1984-Referenzen nichts anfangen kann) spotberichterstattend kommentiert haben. Dabei war jeder Folie nur ein paar Sekunden lang auf dem Schirm und wir haben da auch jeweils nichts weiter zu gesagt. Nach einer Verlängerung gewann Eurasien übrigens 15:11, nicht zuletzt wegen unseres überlegenen Schäuble-Stoiber-Beckstein-Schönbohm-Quartetts. Das Wagnis war, daß wir so insgesamt 140 Folien hatten, aber wir waren dann am Ende doch gut in der Zeit.
Danach gab es noch den Gesundheitskarte-Vortrag, den ich kurzfristig übernommen habe, und wir haben da ein bißchen über das geleakte Dokument diskutiert, einige Ärzte und auch Techies, partiell Insider, waren auch vor Ort, und haben die Sache jeweils aus ihrem Blickwinkel geschildert. Was ja in so einer Höhle des Löwen nicht verwunderlich ist: von Gematik oder Siemens (da gibt es ja zugegebenermaßen eine auffällige Korrelation zwischen Korruptionsskandalen und dem Einsatz von Siemens-Geräten und -Dienstleistungen in Großprojekten der öffentlichen Hand) hat sich niemand zu öffentlichen Statements hinreißen lassen, aber es deutet sich an, daß wir da diplomatische Kanäle eröffnen können. Auf diesen Kanälen kam dann gleich mal die Aussage rein, daß die Kosten-Nutzen-Analyse obsolet sei und z.B. inzwischen von zwei örtlich getrennten Rechenzentren die Rede ist. Das wird dann vermutlich den Break-Even noch weiter nach hinten schieben. Ich habe jedenfalls noch mal ausdrücklich auf den großen Briefkasten des CCC hingewiesen, und wer weiß, vielleicht kommen da ja jetzt ein paar aktuellere Dokumente rein, um da mal ein paar Details zu klären. Der CCC will ja auch nicht Krieg gegen Gematik führen. Es geht vielmehr darum, daß hier kein grober Unfug beschlossen und durchgekloppt wird, und zukünftige Generationen müssen das dann auslöffeln. Die werden es schon schwer genug haben, wenn wir hier nicht mal langsam geordnet Konkurs anmelden oder die Revolution einleiten…
Jetzt ist ein Militärdokument geleaked (Original-URL: http://www.ice.gov/graphics/dro/endgame.pdf, ging gestern noch, heute nicht mehr; ice.gov ist Immigration and Customs Enforcement). Endgame.pdf heißt das auch im Original, und es beschreibt einen Plan namens ENDGAME, von 2003. Sie möchten gerne die Option haben, auf einen Schlag alle möglichen Leute wegsperren zu können, sie schreiben da "all removable aliens", und in feinster Schill/Schönbohm/Beckstein-Manier geht es um "illegal economic migrants, aliens who have committed criminal acts, asylum-seekers or potential terrorists".
Den Auftrag hat natürlich Halliburton gekriegt, speziell KBR, ihre aus dem Irak bekannte Tochter.
Update: Noch ein Dokument (falls die URL auch verschwindet: lokale Kopie)
Potsdam spart z.B. Benzin jetzt, und in der Prignitz dürfen die Streifenwagen nur noch 120 km pro Schicht bewegt werden, in einer anderen Region gar nur 40.
Besonders dramatisch ist die Lage offenbar im Schutzbereich Brandenburg. Einem internen Sparvermerk des stellvertretenden Schutzbereichsleiters Matthias Tänzer zufolge sollen selbst die Videoüberwachungswagen nicht mehr eingesetzt werden und die Autobahnpolizei soll sich im Wesentlichen auf Fußstreifen auf Tank- und Rastplätzen beschränken. Selbst die Sondereinheit gegen rechte Gewalt (MEGA) soll keine Präventivstreifen mehr fahren, sondern nur noch ausrücken, wenn sie alarmiert wird oder sich aus Lageeinschätzungen ein Bedrohungspotenzial für einen Ort ergibt. Und Blitzereinsätze sollen in der Regel möglichst nah an den Dienststellen stattfinden — so könnten die Beamten zu Fuß zum Einsatzort gelangen. In dem Sparvermerk wird das Finanzloch für den Schutzbereich Brandenburg mit 80 000 Euro beziffert. "Nach derzeitigem Ausgabeverhalten droht ab November 2006 Zahlungsunfähigkeit", heißt es.Kann man sich gar nicht ausdenken, sowas.
Update: Hatte den Link vergessen. Oops!
Ich meine, was für ein fieser Naziapparat ist denn das bitte, wenn selbst die PDS über das Ausmaß des Abhörens schockiert ist!?
…wie man mit Mitteln des Polizeistaates Rechtsextremismus bekämpfen kann…Hat da jemand einen Mitschnitt von? Schöne Grüße von Sigmund…
Generalsekretär Petke, ein Law-and-Order-Mann und strammer Rechtsaußen, hat die Vorwürfe mit folgenden Worten kommentiert: "Die E-Mails von Schönbohm, Wanka und anderen wurden nach einem transparenten und bekannten System von Mitarbeitern der Landesgeschäftsstelle abgearbeitet." Was Petke unter abarbeiten versteht, wird möglicherweise klarer, wenn man seinen früheren Job ansieht: Petke arbeitete lange für den Brandenburger Verfassungsschutz.Und ich möchte mal ausdrücklich darauf hinweisen, daß das die Partei ist, die immer wieder auf NPD und SED^H^H^HPDS einhaut wegen deren verfassungsfeindlicher Tendenzen, und ausgerechnet die zeigen jetzt, aus welchem Holz sie geschnitzt sind! HAHAHAHA! Der Lacher ist, daß ihnen das vermutlich sogar Stimmen bringen wird unter ihrer Fanatiker+Spinner+Nazis Zielgruppe.