Fragen? Antworten! Siehe auch: Alternativlos
Ich hatte vor ein paar Tagen die Gelegenheit, jemanden der mit seiner Firma Confidential Computing im KI-Kontext entwickelt, weltweit vertreibt und auch bereits einsetzt, zu fragen : habts ihr da neue Angriffsvektoren entdeckt, wie macht ihr Security-Analysen, etc.Nee, das ist genau meine Erwartungshaltung. Diese ganze Security-Branche ist so. Probleme werden kleingeredet ("kann man eh nichts machen", "wir sind da von Microsoft abhängig", "100% geht eh nicht"), Angreifer werden großgeredet ("APT", "enorme kriminelle Energie"), Chancen werden herbeihalluziniert ("damit können Sie Angreifer entdecken!!1!", "damit können Sie Geld sparen!1!!") und nie tatsächlich geliefert, und dann kokst sich der Händler eine neue Luxusjacht zusammen und macht keinen Support außer man zahlt nochmal in Nasenblut für einen fetten Supportvertrag. Wenn die Security-Probleme im angeblichen Security-Produkt zu krass werden, drückt man den Kunden Bullshittheater wie MFA auf, von dem man weiß, dass das eh keiner umsetzt, und behauptet einfach, das Opfer war Schuld.Antwort:
- wir verlassen uns auf die anderen (Netzwerksicherheit,..)
- „.. bei machine learning ging es tatsächlich nie um Sicherheit, hmm..“
Das wars.
Schon geil für eine bleeding edge Confidential Computing Company.
Das klingt jetzt alles wie der irre Rant von irgendeinem Alkoholiker, insofern glaubt nicht mir, glaubt Kevin Beaumont. Er hat völlig Recht. So sieht das da draußen aus in der Praxis.
Sehr geil auch an der Stelle dieser Artikel von 2017 über einen Vortrag eines GCHQ-Schlipsträgers, der den Scheiß auch nicht mehr aushält. Der erzählt im Wesentlichen dasselbe wie ich da oben und hängt dann dieses Money Quote an:
He pointed out that a UK telco had recently been taken offline using a SQL injection flaw that was older than the hacker alleged to have used it. That’s not advanced by any stretch of the imagination, he said.HARR HARR HARRGenau so sieht es aus. Niemand wird über komplizierte 0days gepwnt. Wieso würde sich der Angreifer so einen Aufwand machen, wenn er auch über hartkodierte Passwörter für Admin-Backdoor-Accounts reinkommen (winke winke, Cisco).
Dass jetzt also ausgerechnet in der Cloud die heilige Mutter Gottes in Sachen Security ausbricht, wo man als neugieriger Kunde es am wenigstens sehen oder messen kann, das war schon immer offensichtlicher Bullshit. Schade, dass das nie jemanden abhält.
Hey wisst ihr was? Wenn ihr Geld zu verbrennen habt, gebt es doch einfach mir!1!!
Nehmen wir nur Infineon. Die haben schon eine lange Geschichte von verkackter Security, und schlimmer noch: Von Lücken, die Jahre bis Jahrzehnte "unentdeckt" bleiben und die sie dann kleinreden, wenn sie rauskommen. Infineon geriert sich gerne als Smartcard-Spezialexperte aber die Kunden verhungern dann am langen Arm.
Ein aktuelleres Beispiel war Eucleak, ein Angriff auf eine Infineon-Library (Code!!) in Yubikeys der Serie 5. Auch diese Lücke war mal wieder ewig alt und segelte 14 Jahre lang durch 80 Common-Criteria-Zertifizierungen.
Für mich ist der Fall klar: Da hatte niemand ein Interesse daran, sichere Produkte zu produzieren. Infineon war wichtig, den Scheiß zu verkaufen, den Zertifizierern war wichtig, Kohle abzugreifen, und den Behörden war wichtig, Theater zu veranstalten, damit ihre Zertifizierungen hilfreich und wichtig aussehen. Aus meiner Sicht ist das Gegenteil der Fall.
Das war ein Seitenkanalangriff mit dem man das geheime Keymaterial extrahieren kann. Das ist für ein Security-Token, dessen einzige Daseinsberechtigung ist, das geheime Keymaterial vor Zugriff zu schützen, ein verdammter Totalschaden.
Yubikey wird also sofort alle Keys zurückgerufen und ausgetauscht haben, richtig? Und Infineon als Schuldiger wird die Kosten getragen haben? Haha, nichts davon ist passiert! Infineon sitzt in ihrem Geldspeicher und zählt die Dollars, bringt eine neue Softwareversion raus und findet, der Rest sei nicht ihr Problem. Yubikey hat Infineons Marketing-Koolaid getrunken und keinen Weg zum Softwareupdate eingebaut, weil das die Sicherheit der Geräte kompromittieren würde.
Jetzt wo die Geräte auch ohne Updatemöglichkeit kompromittiert sind, versucht ein Kumpel von mir seit ein paar Wochen, seine drei Yubikeys tauschen zu lassen. Yubikey hat dem erzählt: Lolnope. Dafür braucht ein Angreifer enorme kriminelle Energie und Spezialhardware!1!! Das tauschen wir nicht.
Das, meine Damen und Herren, ist der Zustand der Security-Branche. Die Software-Klitschen sind ja schon alle furchtbar, aber die Hardware-Klitschen sind bei näherer Betrachtung nicht besser.
Aber hey, glaubt nicht mir, dass dieses Yubikey-Problem gefährlich ist. Glaubt den Österreichern, die Yubikeys mit der alten Software für ID Austria und xIDENTITY (deren elektronischer Identitätsnachweis für digitale Behördengänge) nicht mehr zulassen, weil man da zu leicht den Schlüssel extrahieren kann. Wenn ihr mal schlechte Laune kriegen wollt, guckt euch die Infineon-Marketingmaterialien zu elektronischen Ausweisen an.
Update: Ist sogar noch krasser, wie ein Leser anmerkt:
zu der Yubikey-Geschichte sei noch angemerkt, dass die aktuell sogar so dreist sind erstmal ihre Lagerbestände mit verwundbaren Keys abzuverkaufen anstatt die zu verschrotten. Hab neulich zwei von den Dingern bestellt (die teure FIPS-Variante!) und was bekomme ich geliefert? Die Keys mit der alten, verwundbaren Firmware. Hintergrund soll wohl sein, dass die zunächst Behörden und andere "priorisierte" Kunden mit den Keys mit der neuen Firmware beliefern.
Aber so machen sie noch einen Reibach mit dem alten Schrott. D.h. selbst wenn man sie gerade neu kauft kriegen Kunden Müll geliefert.
Bei Verschwörungstheorien beobachte ich immer begeistert, wie jahrelanges Wegleugnen eines Tages spontan umspringt, entweder zu "haben wir doch schon immer gewusst" (hat sich aber nie im Handeln niedergeschlagen und wurde die ganze Zeit nach Kräften geleugnet!), oder, noch schlimmer, zu "haben wir doch schon immer gesagt" (eine glatte Lüge).
Umso erfreulicher für mich in letzter Zeit, wie sich bei Kernthemen von mir langsam herauskristallisiert, dass wir uns diesem Kipppunkt nähern.
Heise-Kommentar: Sophos und der gebrochene Schwur. Was ist der gebrochene Schwur? Dass Sophos Malware an ihre Kunden verteilt hat, um angebliche chinesische Hacker auszuspionieren, die ihre kaputte Sophos-Software genutzt haben, um Sophos-Kunden anzugreifen. Hier mein Kommentar zu der Sophos-Nummer, als die ganz frisch war. Jürgen Schmidt, Chef von Heise Security, dazu:
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.Ich würde noch einen Schritt weiter gehen und sagen: Das war schon immer Malware. Gut, ich habe da Einblicke, die vielleicht nicht jeder hat. Ich weiß, wie so "Antiviren" funktionieren, und was für Methoden die verwenden, um Kernel-Calls zu hooken und ihren Code in Prozesse zu injecten. Das ist genau das, was eine Verhaltens-Anomalie-Erkennung sofort als Malware flaggen würde. Daher haben die Antiviren Whitelists drin, um sich nicht gegenseitig zu flaggen, und warnen explizit davor, nur eine "Endpoint Security" zur Zeit zu installieren, und deshalb schaltet Norton erstmal den MS Defender aus. Der würde nämlich alle Alarmglocken zünden, wenn Norton tut, was Norton halt so tut. Norton hier als Stellvertreter für alle Antiviren.
Wenn man das weiß, dann wird spontan klar: Das war schon immer Malware, die sich Rechte rausnimmt, die man im System niemandem zugestehen sollte, schon gar nicht Vertriebsgetriebenen Firmen wie Antivirenherstellern.
Dieses ungeschriebene Gesetz, das Jürgen hier zitiert, das gab es noch nie. Das war schon immer ein Trust Me I Know What I'm Doing, und genau wie bei Wurstproduktion will der Konsument da gar nicht so genau hingucken, weil er weiß: Wenn er wüsste, was da passiert, könnte er das Produkt nicht mehr konsumieren.
Ich für meinen Teil finde auch nicht glaubwürdig, dass Sophos diesen Übersprung dazu, mit krimineller Energie Malware an ihre Kunden auszuliefern und deren Systeme absichtlich weiter zu gefährden, nur in diesem einen Fall gegen die fiesen Chinesen einsetzt. Kriminelle Energie mateiralisiert sich nicht über Nacht. So viel kriminelle Energie muss man über Jahre hegen und pflegen. Nur eine durch und durch unvertrauenswürdige Firma würde auch nur erwägen, solche Methoden einzusetzen.
Überlegt euch auch mal, wie verbogen deren moralischer Kompass sein muss, damit sie das auch noch für eine gute Idee, das öffentlich zuzugeben und sich damit als Helden zu feiern zu versuchen.
Sophos steht hier als Stellvertreter für alle Antiviren. Glaubt mal gar nicht, dass irgendeiner von denen vertrauenswürdig ist.
Hier ist noch ein Kipppunkt-Indikator. Ein anderer Heise-Kommentator pflichtet mir bei, dass es ungefährlicher ist, für Entdecker von Sicherheitslücken, die im Darknet zu verkloppen als sie dem Verursacher zu melden. Ich persönlich habe seit mindestens 20 Jahren keine Sicherheitslücken mehr initiativ-gemeldet oder auch nur gesucht. Ich suche Sicherheitslücken, wenn mich der Hersteller dafür bezahlt. Wenn ich über eine stolpere, melde ich die nur wenn es sich um freie Software handelt. An Bug Bounty-Programmen nehme ich nicht teil.
Die Lobbyisten der Industrie haben die Rahmenbedingungen so gesetzt, dass ich auch allen anderen nur raten kann, es mir gleich zu tun. Anderes aktuelles Beispiel in dem Kontext waren die polnischen Eisenbahnhacker auf dem letzten CCC-Kongress.
Die mussten sich inzwischen vor Gericht einer Klage dieser Firma stellen. Ich bewundere deren Heldenmut, aber hätte ich nicht gemacht. Da wäre ich Trump-Wähler und würde den ganzen Apparat herunterbrennen sehen wollen, bevor ich wieder mitzuhelfen bereit wäre. Dankt CDU und FDP.
Auch da scheint sich inzwischen die Erkenntnis breit zu machen, dass ich die ganze Zeit Recht hatte, und es gibt jetzt den Versuch eines Reförmchens. Ich glaube es, wenn ich es sehe.
Wenn man bedenkt, wie viel billiger und besser wir das alles hätten haben können, wenn die Leute gleich auf mich hören würden. Aber Plan B greift auch: Aus Schmerzen lernen. In diesem Sinne: Geht ihr mal alle in die Cloud und macht Blockchain, IoT und "KI". Wir sehen uns in 10 Jahren wieder und weinen gemeinsam dem verbrannten Geld hinterher.
New hotness: "Gigantischer" Datenklau in Italien.
Die Donald-Trumpisierung des Diskurses ist schon erschütternd weit fortgeschritten. Alle haben sie die großesten Worte und sind am riesigsten.
OK aber Daten kommen doch ständig überall weg. Was macht denn diesen Datenklau "gigantisch"? Ganz einfach! Politiker sind betroffen!
Zu den Betroffenen gehören laut der Staatsanwaltschaft vor allem Akteure der Finanzwelt und der Wirtschaft, aber auch zahlreiche hochrangige Politikerinnen und Politiker wie Meloni, Senatspräsident Ignazio La Russa und dessen Söhne und Ex-Premier Matteo Renzi.Ist alles unwichtig oder wir können leider, leider nichts machen, bis es die Regierungschefin betrifft. Genau wie bei uns!
Wie kommt es? Nun, ein fieser Hacker hat den Quasi-Monopolisten bei Paywall-Single-Sign-On-Lösungen zerhackt und alle Daten gelöscht. (Zweite Quelle)
Ich bin bestürzt, sage ich euch! Bestürzt! Was für eine noch nie dagewesene kriminelle Energie!!1!
Bin mal gespannt, ob in ein paar Tagen rauskommt, dass das ne stinknormale Ransomware war, die keine Backups hatten und nicht zahlen wollten.
A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.
Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.
Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.
Unfassbar.
Insgesamt muss ich sagen, dass ich überrascht bin, wie seriöse diese E-Mail rüberkommt. Keine Spur von "Angreifer" oder "kriminelle Energie".
We are currently dealing with an ongoing cyber security incident. The security of our systems and customer data is very important to us, and we have taken immediate action to protect our systems.We identified some suspicious activity on Sunday 1 September and took action to limit access. We are conducting a thorough investigation into the incident, alongside the National Crime Agency and the National Cyber Security Centre.
Although there has been very little impact on our customers so far, the situation is evolving and our investigations have identified that certain customer data has been accessed. This includes some customer names and contact details, including email addresses and home addresses where provided.
Some Oyster card refund data may have also been accessed. This could include bank account numbers and sort codes for a limited number of customers (around 5,000).
Dann noch ein paar Sätze, welche Dienste gerade nicht verfügbar sind, weil abgeschaltet, und eine Notiz, dass sie sich nochmal melden werden, wenn sich herausstellt, dass du persönlich betroffen bist.Ich muss sagen: Hut ab! So muss das sein! Sie erwähnen in der Mitte die Behörden, die sie eingeschaltet haben, das ist aus meiner Sicht der einzige ein bisschen negative Punkt, aber die Art, wie sie es tun, geht noch klar, finde ich.
Insbesondere finde ich hervorhebenswert, wie wenig Opfergetue sie da verbreiten. 100 Punkte, TfL! Sehr gut!
Fahrzeughersteller sind heute verpflichtet, durch Penetrationstests Sicherheitslücken ihrer Produkte zu identifizieren und zu beseitigen. Sowohl für mit der Durchführung solcher Tests beauftragte Spezialisten als auch für unabhängig agierende, ethische Sicherheitsforscher besteht dabei nach heutiger Gesetzeslage jedoch die Gefahr, sich strafbar zu machen.Ach. Ach was! Sag bloß. Hätte doch nur damals jemand den Bundestag gewarnt, bevor sie dieses Schrottgesetz erlassen!1!! Ihr wisst schon, so ein CCC-naher Blogger mit Security-Background am besten!
Aber das soll hier bitte nicht so klingen, als sei die Automobilindustrie im Recht. Absolut nicht. Die machen sich mit dem Positionspapier nackig.
Konkret sagen sie nämlich, dass sie vor allem Sorgen um White-Hat-Hacker haben, die für sie kostenlos freiwillig unbezahlt ohne Entlohnung auf eigene Rechnung in ihrer eigenen Freizeit ihre Produkte auf Sicherheitslücken absuchen -- und die dann aber nicht veröffentlichen sondern schön demur und devot dem Hersteller melden, damit der da solange drauf sitzen kann wie er will. Das ist nämlich viel billiger als wenn man ein paar Profis einstellt. Und hey, man kann auch Spendierhosen anhaben und ein paar Brotkrumen Bug Bounty ausschütten, das ist immer noch eine Größenordnung billiger.
Warum ist das so viel billiger? Weil das kein Prozess ist. Ein regulärer Security-Prozess hat das Ziel, die Security zu verbessern, und danach sagen zu können, wieviel Abdeckung sie hatten, wie schlimm alles ist, und wieviel besser es wird, wenn man die Bugs hier jetzt fixt.
Die Automobilindustrie hat keinen Bock, tatsächlich Security zu machen. Sie würden viel lieber einfach Mails von Leuten kriegen, die ihnen Bugs in ihrer Software schenken, wo sie anderswo Geld für in die Hand nehmen müssten. Und dann dem Gesetzgeber und dem Regulator ins Gesicht zu lügen, man habe ja Security gemacht jetzt.
Nota bene: Bei Bug Bounty trägt der Bugsucher das Risiko, seine Zeit zu verschwenden, ohne etwas gefunden zu haben, und er hat quasi per Definition nicht den Quellcode und keine Architekturdokumentation. Der wird also im Allgemeinen eher oberflächlich und automatisiert suchen, und vielleicht ein paar Tage manuell hier und da mal hinfassen, ob es bröselt beim Anfassen.
Wenn IRGENDWO IRGENDEIN Bug Bounty Typ etwas finden kann, ist das kein Zeichen dafür, dass Security besser wurde, sondern dass der Ist-Zustand wirklich abgrundtief schlecht ist.
Wird noch schlimmer. Die Automobilindustrie möchte auch nur Tests an Autos legalisieren. Autos, die der Kunde gekauft hat. Die sein Eigentum sind. Die wollen nicht legalisieren, dass Leute ihre Backendsystem schief angucken. Ja, so beschissen ist bei uns die Gesetzeslage, dass man sich Sorgen machen muss, wenn man sein eigenes Eigentum untersucht.
Wieso überhaupt das Positionspapier? Es ist m.W. noch kein Bug-Bounty-Aktivist wegen Hackerparagraph verfolgt worden. Das kann ich nur so interpretieren, dass die Autoindustrie enttäuscht ist, wie schlecht die Ausbeute von den Bug-Bounty-Programmen ist. ACH. ACH WAS. Die Leute wollen gar nicht auf eigenes Risiko erst ein Auto kaufen müssen, um es dann zu untersuchen, und auf der Reparatur sitzenzubleiben, wenn sie es versehentlich bricken? Also DAMIT konnte ja wohl NIEMAND rechnen!
Aber aber aber wir sind doch FDP-Wähler hier und hatten gedacht, dass der Markt das regelt!1!! Ja, liebe Automafia. Der Markt wird das regeln. Indem ihr untergeht.
Ein bemerkenswertes Detail gibt es noch. Sie sehen sich nämlich außerstande, selber richtige Audits durchzuführen, weil sie dafür (so behaupten sie jedenfalls) die Einwilligung ihrer ganzen Lieferkette einholen müssten. Und äh nee, dann machen wir lieber Bug Bounty!1!!
Ich bin da vielleicht ein bisschen naiv, aber wieso muss eigentlich Mercedes ihre Zulieferer um Erlaubnis fragen, die von ihnen gekauften Komponenten prüfen zu lassen? Das könnte man doch mal gesetzlich noch deutlicher klarstellen, dass das nicht so ist.
Wieso kann VW nicht einfach in ihrer Zuliefererverträge reinschreiben, dass sie Audits machen wollen? Wenn der Zulieferer das nicht will, kann er geordnet pleite gehen. Das ist ja nicht VWs Anforderung sondern gesetzliche Anforderung an VW! Dass die überhaupt VW damit durchkommen ließen (offenbar!), einfach zu behaupten, sie könnten keine richtigen Audits machen, weil die Zulieferer zu befragen unzumutbar wäre und die würden eh nein sagen!!!
Oh und einen noch, der mich immer besonders ärgert. Die tun da die ganze Zeit so, als seien Pentests ein Mittel zur Steigerung der Security. Sind sie nicht. Pentests sind ein Mittel zum Ausfüllen von sinnlosen Compliance-Checkboxlisten. Pentests bringen gar nichts, ja sogar weniger als gar nichts, weil du danach nicht weißt, wieviel Prozent der Angriffsoberfläche die überhaupt identifiziert und bearbeitet haben. Da werden in der Praxis irgendwelche off-the-shelf Nessus-Forks laufen gelassen und dann geht man ins frühe Wochenende. Da könnte ich endlos drüber kotzen.
Besonders krass ist, wenn du solche Leute dann heulen hörst, dass Nessus so viele false positives hat. NA DANN MACHT HALT EINEN ORDENTLICHEN AUDIT UND KEINEN NESSUS-BULLSHIT!
Mit einer Sache haben sie allerdings Recht.
Während Hersteller und Sicherheitsforscher aus (berechtigter) Sorge vor Strafverfolgung von Penetrationstests absehen müssen und Sicherheitslücken deshalb unentdeckt und unbehandelt bleiben, haben Black Hat Hacker bei der Entdeckung und schädigenden Nutzung von Sicherheitslücken umso leichteres Spiel.Das habe ich damals dem zuständigen Bundestagsausschuss ins Gesicht angekündigt, und so ist es auch gekommen. Jetzt ist es ein bisschen spät. Jetzt gibt es in diesem Lande fast nur noch Compliance-Securitytheater. Pentests. Automatisierte Scans. Am besten in der Cloud. ISO 27003. Aus meiner Sicht alles wertloses Theater.
Am liebsten hätte die Automobilindustrie, dass es immer schön regnet, aber niemand nass wird. Security frühstücken wir über Bug-Bounty-Theater ab. An unsere Backends lassen wir niemanden ran, und wenn doch jemand guckt, zeigen wir ihn mit dem Hackerparagraphen an, sprechen von krimineller Energie und gezieltem Angriff, und bezahlen Crowdstrike (ja, DAS Crowdstrike!) dafür, das als APT zu "identifizieren" und den Russen in die Schuhe zu schieben.
Bonus: Sie reden nicht von der NSA.
Gestern so: Twilio-Datenreichtum, 8TB Logdaten bei Dienstleister entfleucht.
Heute so: Twilio-Führungskräfte stoßen ihre Aktien ab. Money Quote:
Die Transaktionen erregen dabei besonderes Interesse der Investoren und Marktbeobachter, da sie oft als Indikator für das Vertrauen der Führungsebene in die Zukunftsaussichten des Unternehmens angesehen werden.Ich verstehe nicht, wieso die sich Sorgen machen. Ihre Kunden waren so blöd, überhaupt zu ihnen zu kommen, ohne irgendwas zu verifizieren und obwohl Twilio schon Datenreichtümer hatte. Die Schafherde wird da auch weiter kaufen.
Und wenn das nächste Mal Daten wegkommen, werden wieder alle von der enormen kriminellen Energie der bösen APT-Russen schwafeln und keiner wird sich verantwortlich fühlen.
Wenn ihr mich fragt, haben sich die Player hier alle gegenseitig verdient.
Microsoft has told customers that the Russian criminals who compromised its systems earlier this year made off with even more emails than it first admitted.Na? Um mal unsere Politik zu channeln: Ein nie dagewesenes Ausmaß an krimineller Energie!Wie? Nein, nicht bei den Hackern. Bei Microsoft. Shippen erst kaputte Produkte, nötigen dann ihre Kunden in ihre Cloud, die sie mit ihren besagten kaputten Produkten inkompetent und unsicher betreiben, werden dann über ihre kaputten Produkte und dazu auch noch inkompetent konfigurierte Konfigurationen gehackt und die Angreifer tragen eure Daten da raus.
Und wen blamed Microsoft? DIE RUSSEN!
Wieso kauft ihr eigentlich von denen? Ich meine, wie krass muss euch ein Hersteller verarschen, damit ihr da nicht mehr kauft?
Und zwar hat die Politik das Merit Order Prinzip eingeführt, um Anreize für den Ausbau von Solar und Wind zu schaffen. Das funktioniert so, dass es immer am Vorabend eine Auktion gibt, wer den nächsten Tag den Strom liefern wird. Dafür geht man die Nachfrage durch und füllt immer eine Tranche mit dem billigsten Anbieter, aber alle kriegen den Preis, den am Ende der teuerste gekostet hat.
Die Strommafia hat natürlich sofort gemerkt, dass man da bescheißen kann, indem man entweder die Trassfenführung sabotiert (und dann leider leider nicht genug Kabel da sind, um den Strom von dem Windpark zu den Kunden zu bringen), oder indem man seine eigenen Kraftwerke immer dann wartet, wenn durch ihren Ausfall teurere Kraftwerke zum Zug kommen, und sie unter dem Strich so mehr verdienen.
Das ist nicht so einfach wie es klingt, weil wir ja ein europäisches Verbundnetz haben, und auch andere Länder mitzocken können, und so kommen normalerweise die Abzocker-Teuerteuer-Kraftwerke nicht zum Zug.
Aber der Ausfall da, das war ein "Mikro-Stromausfall", der dazu geführt hat, dass bei der Auktion für Deutschland nur die deutschen Anbieter unter sich waren, weil die Verbindung zu den anderen EU-Anbietern "ausgefallen" war.
Ja, wirklich. Ein Stromausfall. Hat dazu geführt, dass die Strommafia sich mal so richtig gesundstoßen kann durch Börsenmanipulation. Die Stromlieferanten konnten sich also über Bande selber den Preis hochtricksen.
Wieviel kriminelle Energie braucht es denn, um durch einen Mikro-Stromausfall die Auktion zu manipulieren, fragt ihr? Nun, nicht viel, denn hier arbeiten die BESTEN der BESTEN der BESTEN:
Dies ließ sich mit den üblichen schnellen Prozeduren wie Serverneustarts nicht reparieren, die in solchen Situationen üblicherweise umgesetzt würden.Ja, äh, nee. Das ist nicht üblich. Üblich ist, dass MAN FUCKING BATTERIEPUFFER HAT, die Mikrostromausfälle wegkompensieren, ohne dass die Server und Netzwerkkomponenten sie überhaupt bemerken. Besonders wenn es um so wichtige Infrastruktur geht und der ergaunerbare Gewinn durch Sabotage so hoch ist.
Wenn es nach mir ginge, müssten da jetzt ein paar Leute in den Knast gehen. Der Auktionsveranstalter und die Zuständigen der Regulierungsbehörde, die das nicht geprüft haben, als erste. Dann Gewinnabschöpfung bei den Profiteuren.
Update: Ein aufmerksamer Leser merktan:
https://blog.fefe.de/?ts=9883a846 zitiert Heise welche sich wiederum auf diese Pressemitteilung beziehen. Kleiner Schönheitsfehler: diese letzte Pressemitteilung ist von 2011. Steht auch so im Header. Und es steht ja auch "Oktober", obwohl wir "Juni" haben. Sprich: Heise ist da mutmaßlich einfach einer uralten Pressemitteilung aufgesessen.
Der "Mikro-Stromausfall" war also vor rund 13 Jahren und dürfte eher nicht die Ursache für den aktuellen Fall sein.
Die jüngste Pressemittelung der EPEX zum Incident vom Dienstag stammt vom Mittwoch und sagt sinngemäß "alles nach den vorgesehenen Notfallplänen gelaufen".
Hey, immerhin tun sie dieses eine Mal, was sie vorher gepredigt haben.
Und, liebe CDU? Geht es der Wirtschaft schon besser?
Nicht?
Tja dann solltet ihr aber schnellstmöglich von enormer krimineller Energie faseln und das BSI einschalten! Die werden euch innerhalb von nur weniger Geschäftstage hilfreich ein paar Checklisten überlassen.
New hotness: »Schwerster Angriff, den jemals eine politische Partei in Deutschland erlebt hat«.
Ist ja komisch. All die superkriminellen Superkriminellen mit der nie da gewesenenen superkriminellen Energie greifen … ihre korrupten Kumpels von der CDU an? Gibt es denn keine Ganovenehre mehr?!?
Der Angriff war so krass, dass die CDU die Aufklärung nicht selber bezahlt, sondern das das BSI und den "Verfassungsschutz" machen lassen will. War ja klar. Hey, wieso ruft ihr nicht auch gleich noch die Bundeswehr? Ihr wisst schon, Wie Anhalt-Bitterfeld! Oh, weil die nichts können? Na und?! Ihr müsst mal was machen, damit deren "Cyber-Lagezentrum" mal irgendwann für irgendwas genutzt wurde!1!!
Tja, meine Damen und Herren. Da steht sie, die CDU. Vor den Trümmern ihres eigenen Totalversagens der letzten 50 Jahre.
Also ich würde ja empfehlen, Mandiant zu beauftragen. Die ziehen sich, wenn man ihnen genug Kohle in den Arsch schiebt, zuverlässig irgendwelche APT-Gruppierungen irgendwelche furchtbar gefährlicher Nation State Actors aus dem Arsch, und am Ende war niemand Schuld weil man ja gegen Nation States und ihre Geheimdienste eh nichts machen kann. Wenn Mandiant sich das aus dem Arsch zieht, dann ist das auch viel seriöser als wenn die CDU was von den Russen faselt.
Da sieht man mal, wie schlecht die CDU aufgestellt ist. Das weiß doch jeder, dass es immer die Chinesen sind, nicht die Russen!1!! Elende Amateure immer.
Die Behörden nehmen den Vorfall "sehr ernst". Alles deute auf einen professionellen Akteur hin.Natürlich, mein Herr! Sonst wären die ja nicht durchgekommen!!1! Durch die hochprofessionellen Checklisten-Verteidigungslinien der CDU!1!!
Zum Ausmaß des Schadens oder zum Angreifer könne wegen der laufenden Ermittlungen nichts gesagt werden. "Die Art des Vorgehens deutet aber auf einen sehr professionellen Akteur hin", erklärte ein Sprecher.Ja hatten die etwa kein Active-Directory-Webinar bei Heise gebucht?!?
Sehr geil auch: Für einen Angriff mit DERMASSEN enormer krimineller Energie reicht die normale Polizei nicht aus. Da musste die CDU den "Verfassungsschutz" einschalten.
Und da, muss ich sagen, bin ich dann doch ausnahmsweise mit der Gesamtsituation zufrieden. Die CDU kriegt jetzt die volle Inkompetenz zu spüren, die sie selbst zu verantworten hat. Bei sich selbst und beim "Verfassungsschutz".
Der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik hätten Ermittlungen aufgenommen.Oh und beim BSI! HAHAHA, wunderbar! Auch deren Inkompetenz hat die CDU zu verantworten.
Die Vorstellung, dass das BSI denen jetzt eine Familienpackung Checklisten per Kurier vorbeibringt, füllt mich mit großer Genugtuung.
Bonus:
"Unsere Sicherheitsbehörden haben alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren und klären zu Gefahren auf. Wir sehen erneut, wie notwendig dies gerade vor Wahlen ist."Tja, äh, Pro-Tipp fürs nächste Mal: VOR dem Angriff Security machen.
Update: Die CDU ist auch für das Hackertoolverbot verantwortlich, das Sicherheitskräfte kriminalisiert und außer Landes getrieben hat, die ihnen jetzt hätten helfen können. Und sie haben Lilith Wittmann angezeigt, als die ihnen eine Sicherheitslücke melden wollte und damit auch den CCC dazu gebracht, ihnen keine Lücken mehr zu melden.
Jetzt neu: "mit bisher nicht da gewesener krimineller Energie".
Auf die CDU ist halt Verlass. Die Klöckner liefert zuverlässig. Immer wenn du denkst, so viel Inkompetenz ist selbst für die CDU ungewöhnlich, dann legt sie nochmal nach.
Macht mal einen Karantänebrowser in einer VM im Pornomodus auf, denn dieses Comedy Gold wollt ihr mitschürfen, selbst wenn ihr sonst die "Bild" boykottiert. Das ist ein Feuerwerk!
Die Online-Abstimmung der CDU über das Verbrennermotoren-Aus wurde MANIPULIERT!Das ist ja unglaublich, Bob!
Erst Verwirrung in der Parteizentrale, dann die Aufklärung des Dienstleisters: Die Zahlen sind FALSCH.Da frage ich mich ja direkt, wie sie die Verwirrung bemerkt haben. War die etwa noch höher als sonst? NOCH HÖHER?!?
Aber nicht nur die CDU redet sich um Kopf und Kragen, auch ihr Dienstleister:
Der gewählte Sicherheitsstandard sei für diese Art von Umfragen vollkommen ausreichend, biete eine gute Balance zwischen hohem Sicherheitsniveau und Niedrigschwelligkeit. „Gegen ein solches Maß an krimineller Energie, wie sie hier vorliegt, hilft nur ein aufwendiges System mit Zwei-Faktor-Authentifizierung unter Angabe von E-Mail oder Mobilnummer. Das aber steht einer möglich einfachen, niederschwelligen Teilnahme entgegen“, so Schleifer.Immer dran denken: Die CDU waren die, die Wahlcomputer haben wollten!
Falls einer von euch mal in die Dev-Tools im Browser geguckt hat, gab es da noch andere wunderschöne Details zu beobachten:
"answer":"Nein","image_id":null,"is_correct_answer":falseJa, nee, klar. Das war nicht die korrekte Antwort!!1!
Ja aber warte, Fefe, wo bleibt denn die sonst immer hochbeschworene kriminelle Energie der Angreifer? Keine Sorge! Auf die Centrale Deppen Union ist Verlass:
CDU-Generalsekretär Carsten Linnemann (46) sagte zu BamS: „Es ist schlimm, wie weit es mittlerweile in diesem Land gekommen ist. Traurig, wie hier mit krimineller Energie manipuliert wird. Jegliche Manipulation von Abstimmungen ist in einem Wahlkampf inakzeptabel. Wir stehen als CDU für einen fairen Wahlkampf.“Schön, das mal aus dem Mund des Verantwortlichen zu hören, dass jede Manipulation im Wahlkampf inakzeptabel ist. Leider scheinen lenkende, manipulative Frageformulierungen nicht darunter zu fallen für sie:
Deutschland muss Automobilland bleibenHier wird ja gänzlich faktenfrei impliziert, dass Deutschland nur mit Verbrennern ein starkes Industrieland bleiben kann, und dass Verbrenner kein Widerspruch zu einer klimaneutralen Zukunft sind. Viel krasser kann man eigentlich gar nicht lügen in einer Umfrage-Fragestellung.Unser Weg in eine wirtschaftlich stärkere und klimaneutrale Zukunft ist innovativ und technologieoffen. Wir wollen ein Land der Erfinder und Ingenieure bleiben. Wir wollen ein starkes Industrieland bleiben.
Aber gut. Ein Gutes hat die ganze Nummer. Wir haben jetzt endlich geklärt, was die CDU mit ihren Wohlstand-Plakaten meint.
Noch am Donnerstag hatte Linnemann gesagt: „Das Verbrenner-Aus schadet dem Wohlstand in unserem Land. Es sägt am Ast, auf dem wir sitzen.“Wohlstand heißt für die CDU, weiter den Planeten zu verbrennen.
Update: Wenn ihr euren Adblocker etwas lockerer konfiguriert, seht ihr auch bei der "Bild"-"Meldung" eine eingebettete Umfrage, wo sie aber trickreich die Frage andersherum gestellt haben. "Sind Sie für das Verbrenner-Aus ab 2035?". Da ist natürlich auch schon die Frage manipulative Kackscheiße, weil es ja nicht um ein Aus (Betriebsverbot) sondern um ein Verkaufsverbot geht. Die ganzen alten Verbrenner sollen nach Willen der CDU weiter das Biotop zerstören dürfen.
Im Moment führt bei der "Bild" noch die CDU-Position.
Update: Übrigens, am Rande: Die EU schlägt gar kein Verbrennerverbot vor. Auch kein Verbrenner-Neuwagen-Verkaufsverbot.
In der EU sollen ab 2035 nur noch solche Neuwagen mit Verbrennermotor zugelassen werden, die beim Fahren CO2-emissionsfrei sind.
Du kannst also weiter Verbrenner verkaufen, solange die kein CO2 emittieren. Wo ist sie denn da, die Technologieneutralität und Innovation der CDU?
Bedauerlicher Fehlgriff. Softwarefehler! Keine Sorge, die tut ja gar nichts, die App, sagt Microsoft.
Ich finde, wir sollten hier mal die übliche Rhetorik anwenden.
Die Behörden sind informiert. Die Angreifer haben eine enorme kriminelle Energie demonstriert! Bislang sind unseres Wissens keine Daten weggekommen. Die Bundeswehr wurde in Alarmbereitschaft versetzt. Sowas, wissenschon.
Offensichtlich kriegt Microsoft noch viel zu wenig auf die Fresse. Wäre das nicht schön, wenn wir einen Weg hätten, Firmen für Cyberangriffe wie diesen zu bestrafen? Ihr wisst schon, eine Behörde vielleicht. Ein Regulator? Polizei? Vielleicht ein Bundesamt für Sicherheit. In der Informationstechnik oder so.
Dear customer, In a climate of heightened cyber-risk, companies are exposed to a growing number of increasingly sophisticated cyber-attacks capable of bypassing even the most robust security protocols. Unfortunately, our Group has not been spared and has been targeted by a cyber-attack.Ich sage euch, die kriminelle Energie, mit der diese Cyber-Angreifer arbeiten, die ist enorm!!Please be assured that our teams are constantly working to strengthen our security protocols and to ensure that such incidents do not happen again, and we hope that this episode has not had any significant consequences for your personal data.Hoffen sie.Ja, äh, hoffen kann mein Kumpel auch alleine.
Immer dieses "ab und zu gibt es halt Gewitter und dann schlägt schon mal ein Blitz ein"-Mentalität!
Ja, äh, dann bau halt Blitzableiter ans Gebäude?
Immerhin haben die nicht nach dem Staat gerufen, der soll sich mal um Cyber-Cyber kümmern, wie der Chef von Motel One. So tief hat echt noch keiner ins Klo gegriffen.
Für DIE Ausrede brauchten die jetzt über zwei Tage?! Vielleicht sollte mir die Bundeswehr mal ein Angebot als PR-Kokser machen. Das hatte ich schon vorgestern im Blog :-)
Auch ansonsten finde ich das eher enttäuschend. Gar kein "exzeptionell hohe kriminelle Energie"? Gar kein "die zuständigen Behörden sind informiert"? Wo ist der Bullshit-Codename für irgendeinen hochgefährlichen APT-Strang!?
Nicht mal ein "aus ermittlungstaktischen Gründen können wir keine weiteren Details verraten"!?
Ich fühle mich nicht ernstgenommen als verarschter Bürger!1!!
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Late privilege drop in REFRESH MATERIALIZED VIEW CONCURRENTLY in PostgreSQL allows an object creator to execute arbitrary SQL functions as the command issuer.In der Praxis wird das vermutlich kaum jemanden betreffen, weil außer mir niemand verschiedene Berechtigungen in Datenbanken vergibt, sondern lieber ein "technischer User" genommen wird.Und ich verwende kein Postgres, bin daher also auch nicht betroffen.
Aber lasst euch davon nicht vom Patchen abhalten. Alle Patches einspielen.
Update: Im Übrigen sei an der Stelle der Hinweis erlaubt, dass Postgres sich hier geradezu vorbildlich und professionell verhalten hat. Sie haben nicht rumgelogen oder runtergespielt, sie haben nicht von krimineller Energie der Angreifer gefaselt, die haben schnell Patches gemacht, und zwar für alle Versionen, und sie wollten kein Geld für Support abgreifen. Wenn mich mal jemand nach einer SQL-Datenbank-Empfehlung fragt, empfehle ich immer Postgres. Da hatte ich bisher auf jedem Schritt den Eindruck, dass das Erwachsene betreiben und verwalten, und da niemand bloß Selbstdarstellung oder Spendenabgreifen macht.
It seems they intentionally manipulated prompts, often including lengthy excerpts of articles, in order to get our model to regurgitate. Even when using such prompts, our models don’t typically behave the way The New York Times insinuates, which suggests they either instructed the model to regurgitate or cherry-picked their examples from many attempts.Klar spuckt unser Modell urheberrechtlich geschützten Text aus, aber dafür braucht der Angreifer enorme kriminelle Energie, um das zu erreichen!1!!
War auch Zeit, finde ich. Nie war jemand Schuld, das war immer schlechtes Wetter und hochgradig kriminelle Energie von kriminellen Kriminellen. Höchste Zeit, dass der EuGH da mal Tacheles redet.
Hat er aber nicht. Es ging zwar ganz vielversprechend an:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellenAber hier ist der Fall, um den es ging: In Bulgarien hatte das Finanzamt Besuch einer Ransomware-Gang und danach tauchten die personenbezogenen Daten der Bürger in einschlägigen Darkweb-Verkaufsstellen auf.
Daraufhin hatten mehrere Bürger geklagt und das oberste Verwaltungsgericht Bulgariens hat den EuGH gefragt, ob die Bürger jetzt nachweisen müssen, dass die Daten wirklich vom Finanzamt kamen, dass das Finanzamt da ihre Security verkackt hat, und ob da weitergehender Schaden entstanden ist (Identitätsdiebstahl o.ä.).
Die Frage hätte sich mir gar nicht gestellt. Wenn jemand im Darkweb einen Finanzamts-Datenreichtum verhökert, und da sind meine Daten drin, dann hätte sich mir die Frage gar nicht gestellt, ob das Finanzamt Schuld ist. Wer denn bitte sonst?!
Der EuGH sagt jetzt: Das Finanzamt kann nicht einfach behaupten, sie hätten alles richtig gemacht, und das sei schlechtes Wetter gewesen. Und du als Betroffener musst nicht nachweisen, dass jemand mit den Daten im Darkweb bei dir Schaden angerichtet hat.
Auf der anderen Seite sagt das Gericht aber auch, dass alleine aus der Tatsache, dass die Daten veröffentlicht wurden, nicht geschlossen werden kann, dass die Schutzmaßnahmen ungeeignet waren. Das müsse im Einzelfall geklärt werden.
In der Praxis wird das Finanzamt dann auf ihr Schlangenöl zeigen und sagen:
WiR hABeN aLleS GeTAn!1!!
Motel One ist Ziel eines Hackerangriffs geworden. Adressdaten von Kunden wurden abgegriffen, darunter 150 Kreditkartendaten. Die Betroffenen wurden informiert.Für die enorme kriminelle Energie der Angreifer war wohl kein Platz mehr.
Geschäftsbetrieb war zu keinem Zeitpunkt gefährdet. IT-Sicherheit & Ermittlungs- & Datenschutzbehörden sind involviert.
Da wissen die Admins, was sie tun, haben sie gesagt!
Hidden within this pull request was a typo bug in the snapshot deletion job which swapped out a call to delete the Azure SQL Database to one that deletes the Azure SQL Server that hosts the database. The conditions under which this code is run are rare and were not well covered by our tests.Dieser Tippfehler hatte eine gewaltige kriminelle Energie, müsst ihr wissen. Der hat sich geschickt in einem selten genommenen Codepfad getarnt!!1!
Dann verdichteten sich die Hinweise, dass das bei deren gemeinsamem IT-Dienstleister Bitmarck gewesen sein wird.
Und jetzt gibt Bitmarck das auf ihrer Homepage zu.
Die kriminelle Energie, die hier bei den hochkriminellen Kriminellen vorlag, war überwältigend kriminell. Bitmarck hat schnell die Behörden informiert und externe Dienstleister eingeschaltet und wirft sicherheitshalber ein paar Nebelkerzen:
Sind Kunden- oder Versicherten-Daten abgeflossen?Das ist selbstredend eine absolute Nullaussage. Wenn man Bitmarck nicht vertrauen kann, dass sie die Daten sichern können, kann man auch ihren Erkenntnissen zu Datenabflüssen nicht trauen.
Nein, nach jetzigem Stand der umfassenden Analysen, die wir umgehend eingeleitet haben, sind keine Daten von Kunden oder Versicherten betroffen.
Update: Wie schlimm ist die Lage? Die Kontakt-E-Mail auf der Bitmarck-Homepage geht zu kekstcnc.com. Das ist eine PR-Agentur. Was tun die so? Nun, ... seht selbst.
we help our clients maintain control of the narrative in the event of a cyberattack, minimizing reputational damage and preserving the trust of stakeholders
Zu spät, würde ich sagen.
Update: Immerhin sind das Profis. Die haben als erstes die Liste der betroffenen Krankenkassen weggemacht. Da weißte, wasde hast.
Stellt sich raus: Da hat bloß jemand versehentlich auf den falschen Knopf gedrückt. Einen Angriff gab es nicht.
Das war der Auslöser für die Panik vor Cyberangriffen auf kritische Infrastruktur damals.
Jetzt ist in Wuppertal auch gleich das Telefon weg.
Ich hoffe, die Zuständigen trösten sich damit, dass das bestimmt ein Cyberangriff von besonders kriminellen Kriminellen war, mit ungewöhnlich hoher krimineller Energie durchgeführt. Die Behörden sind sicher eingeschaltet und sie arbeiten mit Hochdruck an der Lösung des Problems. Hab ich was vergessen?
Update: Oh, stimmt gar nicht, die Telefone waren schon ab 13 Uhr wieder erreichbar. Ein Wuppertaler schrieb mir, dass ein Gerücht von einem Hardwareschaden umgeht, nicht Cyberangriff, aber nichts genaues weiß man nicht.
Money Quote:
The hacking attack sought to exploit a software vulnerability, ACN director general Roberto Baldoni told Reuters, adding it was on a massive scale.Ja wie, Moment, da steht ja gar nichts von riesiger krimineller Energie?! Immerhin haben Sie die Behörden eingeschaltet. Das hilft auch immer gewaltig, wenn man nicht gepatcht hat und ungebetenen Besuch kriegt.Was tun die denn konkret, fragt ihr euch bestimmt. Nun: Gar nichts.
"CISA is working with our public and private sector partners to assess the impacts of these reported incidents and providing assistance where needed,"Die sitzen da und sammeln Daten. Mit denen sie dann absolut gar nichts anfangen können beim nächsten Mal. Aber "wir haben auf unseren fetten Ärschen gesessen und waren komplett nutzlos" kann man ja nicht sagen. Daher sagt man "working with our partner" und "assess the impact".Ich tippe ja, dass das eine uralte bekannte Lücke ist, gegen die man seit Ewigkeiten patchen konnte, aber das hat wieder keiner gemacht. Shitrix oder so. Vielleicht das ESXi-Ding. Oder log4j.
Je älter ich werde, desto mehr glaube ich, dass das alles mal kontrolliert niederbrennen muss. Wobei. Genau das passiert ja gerade. Nur halt eher langsam.
Ich würden den Italienern ja raten, dass die Industrie eine Versicherung gründet. Dann muss weiterhin niemand patchen. Man ist ja versichert.
Update: Es ist das ESXi-Ding.
Na dann ist der Krieg gegen den Terror ja endlich vorbei. War aber auch Zeit.
Oh und die rechte Hand von bin Ransomware haben sie auch erwischt! Ein Glück!
Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit.Äh... nein. Windows, Office und Active Directory gelten seit Jahren als gravierendste Bedrohung der Cybersicherheit. Und Leute, die das einsetzen.
Und Unternehmen, die kein Schloss an die Tür machen und ihr Dach nicht abdichten und danach von "krimineller Energie" reden, wenn es reinregnet.
Ich weiß, was ihr jetzt denkt. Ja wie, haben die sich nicht an das BSI Grundschutzhandbuch gehalten?!
Stellt sich raus: Doch. Doch, haben sie.
Da die IT-Sicherheitsmaßnahmen den Standards und der IT-Grundschutz-Methodik des BSI folgten, zeige das "einmal mehr das hochprofessionelle Vorgehen und die kriminelle Energie der Organisation", da "es den Angreifern dennoch gelang, Daten abzuziehen und Lösegeldforderungen zu stellen".Da könnte man jetzt auch den Schluss ziehen, dass die gar nicht wirken und bloß sinnlose Geldverbrennung und Compliance-Theater sind.
Oder, klar, man sagt einfach: Da haben die Täter aber eine ENORME kriminelle Energie gehabt, dass die TROTZDEM erfolgreich waren!1!!
Der Einsender ergänzt:
Wer die Bausteine des BSI zu Exchange, Active Directory und Windows Server kennt, wird den Angreifern weit weniger Professionalität unterstellen. Compliance-Theater vom Feinsten, das zudem auf veralteten Versionen der betrachteten Software fußt: Der aktuellste offiziell freigegebene Baustein für Windows Server bezieht sich auf Version 2012!Na das passt ja mal wieder wie Arsch auf Eimer. (Danke, Andreas)
Anders formuliert: DAS war bisher der Schutz vor Malware. Dass es zu schwierig für Skript-Kiddies war, Malware zu hacken. Nicht dass wir verteidigen. Nein. Dass die Angreifer zu blöde sind.
Da ergibt plötzlich vieles Sinn.
Auch psychologisch! Jeder hält sich für überdurchschnittlich intelligent. Meine Abwehr muss also nicht verhindern, dass man das System angreifen kann, sondern nur, dass jemand wie ich es angreifen kann. Wenn ich dann besonders inkompetent bin, wie in der Wirtschaft und öffentliche Verwaltung üblich, dann kommen am Ende halt ständig Angreifer durch. Und dann faselt man einfach was von "hoher krimineller Energie", sagt, man habe die Behörden eingeschaltet, und leitet eine "forensische Untersuchung" ein.
Dabei braucht man keine Untersuchung um zu sagen: Dann hat wohl der Admin verkackt, dessen Job es war, das abzusichern!
Das war bestimmt ein Hack. Ein Hack war das!
Gehackt von kriminellen Hackern, sage ich euch. Von Hackern!
Ach was sage ich Hacker. Das waren russische Hacker! Russische Geheimdienste! Russische Geheimdiensthacker!!!
FTX selbst war nämlich grundsolide, müsst ihr wissen. Völlig undenkbar, dass sich da jemand auf Kosten der Einlagen der Kunden bereichert hat.
Das hat bestimmt eine immense kriminelle Energie gebraucht. Also, äh, von diesen russischem Geheimdienst-Hackern. Wissenschon.
Twitter hatte vor einer Weile einen Trophäen-Hacker als Security-Chef eingestellt, nicht ahnend, dass sie einen von vielleicht Dreien oder Vieren in den USA erwischt haben, bei denen im Notfall Reste von Rückgrat und Gewissen nachweisbar sind. Mudge, ehemals von The L0pht.
Der kommt übrigens ganz schön rum und war auch ne Weile bei DARPA für IT-Security-Forschung zuständig, ging dann zu Google und 2020 hat ihn Twitter eingestellt. Die hätten den vielleicht vorher mal googeln sollen.
Mudge hat natürlich erstmal alles by the book gemacht und die Probleme intern anzusprechen und zu eskalieren versucht. Der Dank dafür war, dass Twitter ihn im Januar rausgeschmissen hat, angeblich weil sie mit seiner Leistung unzufrieden waren. Gut, dann hat er nichts mehr zu verlieren und packt jetzt als Whistleblower aus, was er so gesehen hat.
Ich finde nichts davon sonderlich überraschend. Intern sind viel zu viele eigentlich privilegierte Schalter und Hebel für Gott und die Welt zugreifbar, sensible Informationen werden nicht sauber geschützt, gelöschte Daten sind häufig gar nicht wirklich gelöscht, etc.
Was das jetzt ein bisschen unangenehm für Twitter macht, ist dass Twitter jahrelang den Aufsichtsbehörden ins Gesicht gelogen hat, wie geil sie das alles ordentlich im Griff haben.
Auch gerade ganz aktuell (der zentrale Zankpunkt zwischen Twitter und Elon Musk): Er meint, Twitter könne gar nicht sagen, wie viele ihrer Accounts Bots sind, und hätten auch gar keinen Grund das herauszufinden. Sie hatten öffentlich aber nicht nur behauptet, sie wüssten das, sie haben Elon Musk gegenüber auch eine Zahl genannt, die dieser bezweifelt und damit seinen Rückzug vom Übernahmeangebot begründet hat. Das ist aber Zufall, sagt ein Vertreter der Whistleblower-Vereinigung, die ihn jetzt begleitet. Seine Whistleblowing-Vorbereitungen laufen schon länger als das Musk-Übernahmeangebot. Aber so einem geschenkten Gaul schaut Musk natürlich nicht ins Maul jetzt :-)
Glaubt übrigens kein Wort von Twitters Gefasel, er sei ein ineffektiver Chef gewesen. Mudge hat bei DARPA so gerockt, dass an seinen Führungsfähigkeiten kein Zweifel besteht.
Some of Zatko's most damning claims spring from his apparently tense relationship with Parag Agrawal, the company's former chief technology officer who was made CEO after Jack Dorsey stepped down last November. According to the disclosure, Agrawal and his lieutenants repeatedly discouraged Zatko from providing a full accounting of Twitter's security problems to the company's board of directors. The company's executive team allegedly instructed Zatko to provide an oral report of his initial findings on the company's security condition to the board rather than a detailed written account, ordered Zatko to knowingly present cherry-picked and misrepresented data to create the false perception of progress on urgent cybersecurity issues, and went behind Zatko's back to have a third-party consulting firm's report scrubbed to hide the true extent of the company's problems.Dieser Umgang mit Security-Problemen ist meiner Beobachtung nach leider nicht ungewöhnlich für die IT-Industrie. Man kehrt alles unter den Teppich, bis einem der Chinaböller in der Hand explodiert. Dann faselt man was von "wir nehmen das sehr ernst" und "krimineller Energie" und besonders heimtückischen Angreifern und dass man die Polizei eingeschaltet habe und jetzt wegen laufendem Verfahren nichts sagen könne.
Ich bin erstaunt, dass sie da nicht auch noch was von hoher krimineller Energie faseln.
Wer für den Angriff verantwortlich ist, blieb bislang unklar.Oh, das kann ich aufklären. Diejenigen, die die IT-Infrastruktur so haben vergammeln lassen.
Ich bin nun echt kein Eisenbahnnerd, aber selbst ich habe mir mal erklären lassen, was es da so für Safety-Vorschriften gibt, die genau das verhindern sollen. Die Strecke war auch noch eingleisig dort.
Gerade weil es im Bahnverkehr dann immer gleich potentiel viele Tote und Verletzte gibt, gibt es da auch ziemlich strikte Regeln, was für Sicherheitstechnik installiert sein muss, um genau diese Situation zu verhindern. Es sollte gar nicht möglich sein, selbst wenn der Bediener kriminelle Energie an den Tag legt, ein Segment so zu schalten, dass da zwei Züge kollidieren können. Wenn ein Zug in dem Segment ist, dann ist das gesperrt.
Das schockiert mich gerade ziemlich.
Soweit ich weiß ist diese Technik auch nicht optional, sondern das ist gesetzlich vorgeschrieben. Hier wird sich die Bahn also ein paar ernste Fragen stellen lassen müssen. What the fuck?!
Aber wartet, wird noch krasser:
Erst im August war es in der Nähe der heutigen Unfallstelle zu einem gefährlichen Zwischenfall gekommen: Zwei S-Bahnen waren etwa vier Kilometer entfernt bei Icking, der nächsten Haltestelle, auf der eingleisigen Strecke aufeinander zugefahren. Beide Lokführer konnten rechtzeitig bremsen. Die Bahnen waren nicht schnell unterwegs und kamen rund 150 Meter entfernt von einander zum Stehen.Es gab da schon im Sommer eine Beinahe-Kollision! Auf dem Foto sieht das wie Baureihe 420 aus, die hat 67m Zuglänge.
Ich vermute mal, am Ende wird sich das als Infrastrukturapokalypse oder Softwareproblem herausstellen. Aber meinem Gerechtigkeitsempfinden nach sollte dafür jemand in den Knast gehen. Der, der die Sicherheitstechnik in der Gegend hat verkommen lassen.
Crypto.com fährt die andere Strategie.
Die Kryptobörse Crypto.com bestätigt Verluste durch nicht vollständig autorisierte Abbuchungen in Höhe von insgesamt 29 Millionen Euro. Im eigenen Bericht über die Vorfälle wird kein Hackerangriff erwähnt. Es heißt lediglich, dass eine Vielzahl plötzlicher Abbuchungen registriert wurde, die nicht durch 2-Faktor-Authentifizierung der Kunden bestätigt worden sei. Insgesamt waren 483 Konten betroffen.Kleinere Datenbank-Unregelmäßigkeit. Angreifer? Welche Angreifer! Hier ist alles sicher!1!!
Da sieht man mal, was die für unverschämte Profite gemacht haben. Eigentlich ja nicht nachvollziehbar, wie bei einem dezentralen (!) System überhaupt Platz für derartige Geldabschöpfung sein kann. Der Punkt war ja gerade, dass a) kein Staat das regulieren kann und b) kein Kartell aus Banken dazwischen sitzt und abschöpft. Und was machen die Leute? Gehen alle freiwillig zu den neuen Banken und lassen die abschöpfen.
Na macht ihr mal alle.
Die armen Pioniere von CityDAO ("Blockchain City") wurden gehackt, das Geld ist weg.
Oh ich bin mir sicher: Das war das eine ehrliche Crypto-Projekt, und das waren fiese Hacker!!
Bestimmt die Chinesen.
Mit krimineller Energie und so.
Keinesfalls war das wie bei den ganzen anderen Projekten ein "Rug Pull". No siree.
Wobei das ja den Opfern am Ende auch egal sein kann, welche Art von Scammer sie da abgezockt hat.
Ich arbeite jetzt schon eine Weile an der Humboldt-Universität zu Berlin und die hat von der TU ja was gelernt und deshalb auch auf ein SAP System umgestellt (dessen Support diesen Monat ausläuft). Leider klappt das alles noch nicht so richtig und Rechnungen können nur im System eingetragen werden, wenn die Firma bei der etwas gekauft wird auch im System eingetragen ist. Labore müssen aber weiterlaufen und deshalb bestellen die Leute halt auch bei Firmen, die nicht im System sind. Die Rechnungen werden also nicht bezahlt, es kommt zu Mahnungen (viele Mahnungen und sehr viele Mahngebühren) und manche Firmen haben die HU jetzt geblacklistet und beliefern uns gar nicht mehr. Dazu kam heute diese Mail vom Vizepräsidenten für Haushalt, Personal und Technik. Besonders unterhaltsam finde ich den Abschnitt Mahnungen und die Bitte zu Prüfen, ob die Mahnung tatsächlich gezahlt werden muss und eine vorformulierte Mail um die Firmen zu beschwichtigen.Hahaha, "mit Hochdruck". Nee, klar. Da fehlt nur noch die kriminelle Energie!1!!Liebe Kolleginnen und Kollegen,
bitte nehmen Sie folgende Hinweise zum Umgang mit Rechnungen und Mahnungen zur Kenntnis und leiten Sie die Informationen an Mitarbeitende in Ihrem Bereich weiter, die im direkten Kontakt zu Lieferanten stehen:
Rechnungen
Es wird darum gebeten, Eingangsrechnungen nicht mit einem Eingangsstempel zu versehen. Rechnungen die in Papierform eingehen sind in Papier an die Kasse weiterzuleiten. Rechnungen, die digital eingereicht werden, sind per E-Mail an folgende Adresse weiterzuleiten: [zensiert]
Wichtig: Bitte immer nur eine Rechnung pro E-Mail anhängen. Zudem ist darauf zu achten, dass bei Rechnungen immer eine Bestellnummer oder ein PSP-Element angegeben ist.Mahnungen
Durch die Umstellung auf SAP und die damit verbundenen Verzögerungen in den Prozessen laufen derzeit vermehrt Mahnungen ein. Diese sind an [zensiert] zu schicken.Für die Zahlung von Mahngebühren ist vorab mit dem Lieferanten zu klären, ob diese wirklich zwingend gezahlt werden müssen. Sollte das der Fall sein, benötigt die Kasse dafür eine ausgefüllte Auszahlungsanordnung (AAO) sowie die Mahnung.
Idealerweise werden Lieferanten dafür sensibilisiert, dass es aktuell leider zu verspäteten Zahlungen kommt.
Hierfür kann folgender Textbaustein genutzt werden:"Sehr geehrte Damen und Herren,
die Humboldt-Universität zu Berlin stellt aktuell bereichsübergreifend die Verarbeitung der Rechnungseingänge um und implementiert ein neues System.
Vor diesem Hintergrund bitten wir Sie um Ihr Verständnis dafür, dass nicht alle Zahlungsfristen eingehalten werden können. Alle Mitarbeitenden arbeiten engagiert und mit Hochdruck an der Einführung des neuen Systems und am schnellstmöglichen Abbau aller Zahlungsrückstände. Ihre genannte Rechnung/Ihre genannten Rechnungen liegen uns vor, befinden sich aber noch in der Rechnungs- und Freigabeprüfung. Wir bemühen uns um schnellstmögliche Bearbeitung und Überweisung der Rechnungsbeträge.
Bitte entschuldigen Sie die Unannehmlichkeiten. Wir hoffen, Sie können ein wenig Geduld aufbringen.
Mit freundlichen Grüßen"
Vielen Dank auch für die Weiterleitung an Kolleginnen und Kollegen, die im Verteiler fehlen.
Ich finde das immer stark, wie Organisationen finden, die Früchte ihres eigenen Verkackens auf andere verteilen zu können. Man stelle sich das mal irgendwo anders vor! Sorry, liebe HU, ich stelle gerade meine Buchhaltung um. Meine Immatrikulationsgebühren zahle ich daher erst nächstes Jahr!
Sorry, liebes Finanzamt. Ich stelle gerade meine Software um. Ich arbeite mit Hochdruck!!1! Leider kann ich frühestens in 5 Jahren meine Steuern zahlen.
Auf der nach oben offenen Bullshit-Bingo-Skala fehlt da nur noch "kriminelle Energie" und dass man mit Hochdruck daran arbeite.
Wenn ich mal einen Tipp abgeben sollte, so aus der Ferne, ohne jeden Feindkontakt: Windows + Office + AD?
Wieso fragt eigentlich nie jemand vorher einen qualifizierten Dienstleister? Wieso ist immer erst nachher Geld dafür Response-PR? Vorher machen alle bloß sinnloses BSI-Compliance-Theater.
Ja, das Response-Zeug ist PR. You heard me. Alles, was da zu erwarten ist, ist: "Die waren technisch aber SUPER FIT, die Angreifer!!1!" und "also gegen SOVIEL kriminelle Energie hätte man auch nichts machen können!1!!"
Dann noch ein paar belanglose Indizien, dass es DIE RUSSEN!1!! waren.
Und natürlich interne Erkenntnisse, die man nicht rausgibt. Dass auch Daten weggekommen sind, von deren die Kunden nicht wussten, dass man die hat. Daten, die man eigentlich schon längst hätte löschen wollen, aber da lag noch ein Backup rum. Nichts davon hilft bei der Abwehr der nächsten Ransomware-Iteration.
Dafür müsste man Windows, Office und AD abschaffen.
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!
In diesem Fall hat jemand einen Falschparker gemeldet und 8 Tage (!) später guckte mal jemand. Da war der Falschparker völlig überraschend schon weg.
Ja gut, also wenn die Kriminellen so viel kriminelle Energie haben, dann das Auto da nicht nen Monat lang stehen zu lassen, dann kann man da nichts machen.
Erst verkacken.
Dann kleinreden.
Dann herumlügen.
Dann bescheißen.
Das Bundesfinanzministerium hat im Jahr 2020 vermeintlich ein Kunststück geschafft: Aus 72,4 Millionen Euro für Beraterkosten in neun Monaten wurden 52,7 Millionen Euro für das gesamte Jahr. Nur: In der Zuständigkeit des Ministeriums von Olaf Scholz (SPD) wurden nicht weniger Experten von außen geholt. Die Erklärung sieht anders aus: Ein Teil der unliebsamen Kosten wird nicht mehr extra ausgewiesen und geht im Haushalt unter.Cum-Ex-und-Folter-Scholz halt. Da war ja nichts anderes als eine "kreative" Lösung mit krimineller Energie zu erwarten.
Das ist der Gewöhnungseffekt von Youtubes Willkürherrschaft. Jeder lebt ständig in der Furcht, ihm könnten ohne Angabe von Gründen irgendwelche Zugänge weggenommen werden. Wir leben in einer Gesellschaft der Almosenempfänger.
Jedenfalls, warum ich das hier erwähne: Die haben eine Stellungnahme veröffentlicht. Da steht das hier drin:
Das Handelsblatt hat nun mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt. Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt.Ich bin ja nun echt kein Freund des Handelsblattes, sei die mich wegen Paperboy verklagt haben. Aber das ist ja mal echt schäbig, jetzt so zu tun, als seien die Journalisten daran Schuld, dass dieser windige Betreiberverein offensichtlich keinerlei Plausibilitätsprüfung durchgeführt hat.
Wer sich jetzt denkt: Hey, so eine Pressemitteilung kann ich nur ernst nehmen, wenn die auch noch was von krimineller Energie faseln! Für den habe ich gute Nachrichten:
Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist.Jaja. Wie alle anderen, auch noch so primitiven Angriffe von bescheidener Spam-Ransomware war auch hier äußerste kriminelle Energie im Spiel! Die Angreifer haben erheblichen Aufwand getrieben!!1! Die haben auf einem Kopierer den Kopieren-Knopf gedrückt!!1!
Den eigentlichen Elefanten im Raum sprechen sie dabei lieber gar nicht erst an:
Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.Ach, und damit sind die dann automatisch sauber? Ich finde ja, nur Apotheken, die keinen Esoterik- und Homöopathie-Scheiß im Angebot haben, sollten Zertifikate ausstellen dürfen.
Da muss man sich dann halt entscheiden. Entweder Wissenschaft oder halt nicht.
Heise spricht dann noch einen wunden Punkt an:
In der offiziellen Stellungnahme grenzt der DAV das Problem geschickt auf die Existenz der staatlich verordneten Gastzugänge ein. Insgesamt seien knapp 17.900 Apotheken beim Portal registriert, von denen nur 470 über den Gastzugang zugreifen. Warum der DAV den Zugang dann auch für Vereinsmitglieder sperrt, lässt der Verband offen.Ja, äh, in der Tat. Die Antwort würde auch mich interessieren. LOL
Skan-da-lös, sage ich euch! Unwählbar!
Dann doch lieber CDU oder SPD! Die eine Erhöhung des Spritpreises schon beschlossen haben.
War die "Welt" nicht mal die Speerspitze des "Journalismus" bei Axel Springer? Das eine semi-seriöse Blatt, das die haben?
Wo ist denn der, der Journalismus? Ich seh ihn nicht zwischen der ganzen Propaganda-Scheiße.
Oh apropos Grüne:
100 Neumitglieder dürfen in der Event-Halle Station mit dabei sein, wenn Annalena Baerbock offiziell zur ersten grünen Kanzlerkandidatin gewählt und das Wahlprogramm beschlossen wird.Ein Satz, wie man ihn aus Weißrussland oder Nordkorea erwartet hätte. China vielleicht noch.
Die durften dabei sein, als der Kandidat gewählt wurde, von dem das Partei-Establishment wollte, dass er gewählt wird! Wie großzügig!!1! Ist bei den anderen Parteien natürlich genauso. Da ärgert es mich auch so. Aber die sind ja auch die "etablierten Parteien", die abgewählt werden sollen. Die Grünen wollen sie ersetzen. Sowas ärgert mich ja immer gewaltig. Und dann gegen China wettern, dass die keine echte Demokratie seien!1!!
Lasst uns doch nochmal gemeinsam gucken, wer dieses Jahr die Kanzlerkandidaten sind.
Laschet, der Klausuren verlor und dann halt Noten aus dem Arsch zog anstatt sein Versagen zuzugeben. Das klingt lustig aber war für die betroffenen Studenten richtig doll die Arschkarte, wenn die ein Auslandssemester geplant hatten oder irgendwas anderes, wofür sie dann plötzlich nicht mehr die akademischen Anforderungen erfüllten. Sogar Bafög war ein Problem plötzlich. Kurz: Ein Mann mit krimineller Energie, der lieber lügt als einen Fehler zuzugeben.
Olaf Scholz, der in den Cum-Ex-Skandal persönlich verstrickt ist, den größten Steuerbetrug in der Geschichte der Bundesrepublik Deutschland. Ein Mann, der Polizisten mit Prügelauftrag gegen Demonstranten losgeschickt hat. Ein Mann mit krimineller Energie, der lieber lügt als einen Fehler zuzugeben.
Annalena Baerbock, die noch nichts geleistet hat und dann lieber in ihrem Lebenslauf herumlügt, um sich aufzuplustern. Eine Frau mit krimineller Energie, die lieber lügt als ihre Unzulänglichkeiten zuzugeben.
KEINER VON DENEN ist auch nur bei oberflächlichster Prüfung geeignet für das Amt.
Hey, Fefe, verstehst du eigentlich die Politikverdrossenheit? Wieso Leute nicht wählen gehen wollen?
Nee, das ist ein unlösbares Mysterium. Werden wir nie rausfinden. Waren bestimmt die Russen. Oder die AfD!!1!
Die Kandidaten aller großen Parteien sind nicht nur für politische Ämter ungeeignet, sie sind offensichtlich ungeeignet.
Jeder von denen hat genug kriminelle Energie gezeigt, um nicht für ein öffentliches Amt in Frage zu kommen.
Wie die Freie Universität Berlin mitteilte, fasste das Hochschulpräsidium den Beschluss "nach umfassender Beratung einstimmig".Hashtag Clankriminalität.
Wisst ihr was? Ich hab eine tolle Idee. Die sollte Oberbürgermeister von Berlin werden!!1!
Die Stadt hat schon viel zu lange unter der Führung von wohlmeinenden Demokraten gelitten, die zwar Gutes tun wollten aber keine Mittel hatten und dann halt versucht haben was ging.
Wir brauchen hier wieder jemanden wie den Diepgen. Jemanden, der kriminelle Energie mit Korruption und habitueller Lügnerei verbindet. Die Giffey wäre ideal und würde sogar ein paar neue Impulse einbringen!
Zum Beispiel die Infantilisierung der Politik. Zur Erinnerung: Der haben wir so Gesetzesnamen wie das "Gute-Kita-Gesetz" zu verdanken. Endlich Politik ala Teletubbies! Während der Parlamentsdebatten am besten eine Sonne einblenden, mit einem lachenden Babykopf drinnen!! Per-fekt, die Frau!
Die hält das ja auch für eine akzeptable Ausrede, dass sie bei ihrer Doktorarbeit nicht absichtlich betrogen habe. Sondern? "Ich war einfach zu doof, mich über die Regeln zu informieren" oder was?
I-de-ale Besetzung für den Oberbürgermeisterposten!
Ich sage euch: Das ist mein persönlicher Meilenstein für die Linkspartei. Wenn die eine Giffey als OB von Berlin stützen, dann sind die für mich Geschichte. Dann bleibt echt nur noch die PARTEI.
Update: Jetzt reiben sich hier Leute daran, dass das in Berlin "Regierender Bürgermeister" heißt und nicht OB. Ach kommt, echt? Anderswo heißt das Ministerpräsident. Berlin hat sich da ne eigene Nomenklatur aus dem Arsch gezogen, und ich zeige so meinen Mangel an Respekt.
nachdem ja nun diverse Plagiatjäger zu Wort kamen, will ich das Thema mal ein wenig aus der "Täter"-Perspektive" beleuchten:Ich habe in den 80er-Jahren Medizin studiert, das war eine Zeit in der es deutlich mehr Studienabsolventen als vernünftige (Facharzt-) Ausbildungsplätze für Berufsanfänger in den Krankenhäusern gab. Die angstellten Ärtze waren so gut wie gar nicht gewerkschaftlich organisiert und man konnte somit mit ihnen machen, was man wollte: Gängelung durch dissoziale Chefs, unzählige unbezahlte Überstunden, erstmal ein Jahr zum halben Gehalt, "mal sehen wie Sie sich machen", sowas war überall an der Tagesordnung.
Gleichzeitig war klar, daß mit einem schlechten Examen oder eben ohne Promotion die Chance, eine halbwegs vernünftige Stelle zu finden, noch marginaler wurde. Es haben also so gut wie alle meine Kollegen zu dieser Zeit eine Doktorarbeit gemacht, und zwar auch dann, wenn in Ihrem Lebensentwurf eine wissenschaftliche Karriere überhaupt keine Rolle spielte ( nebenbei, die Schnittmenge von "guter Arzt" und "guter Wissenschaftler" ist m.E. nicht sehr groß ).
Was daraus folgte war, daß die medizinischen Fakultäten eine große Menge billiger ( d.h. kostenloser) Hilfskräfte zur Verfügung hatten. Ich selbst - und die allermeisten meiner Kollegen haben eiinfach ein, zwei Jahre einem "wirklichen" Wissenschaftler die niederen Arbeiten gemacht und die Belohnung war dann halt dieser Doktortitel. Die medizinischen Promotionen wären in den meisten anderen Fächern vielleicht gerade als Diplomarbeiten durchgegangen, jeder von uns wusste das.
Ich hatte wirklich keinerlei kriminelle Energie, aber ich bin ziemlich sicher, dass meine Arbeit dem einen oder anderen Plagiatsexperten feuchte Träume machen könnte.
(Nur der Form halber : es gab natürlich auch "richtige" medizinische Doktorarbeiten mit hohem Anspruch und Qualität, von Leuten, die eben auch Wissenschaftler werden wollten)
So und was ist nun also passiert?
In den letzen zwanzig Jahren hat sich das Verhältnis von Studienabsolventen zu Assistenzarztstellen umgekehrt. Die Chefs üben sich in Mitarbeiterförderung und gehen an die Unis um sich Absolventen anzulachen. Die Krankenhäuser werben regelrecht um medizinischen Nachwuchs. Die -mittlerweile- gewerkschaftlich besser organisierten angestellten Ärzte arbeiten zunehmend nach Tarif und werden auch so bezahlt.
Kein junger Kollege (ausserhalb der Unikliniken) muss noch promovieren und also macht es auch kaum noch einer. Trotzdem sind immer noch alle der Herr oder die Frau "Doktor". Die einen ohne Promotion, die anderen mit unsauberer Promotion und einige wenige mit lupenreiner Promotion.
Ich persönlich würde einfach vorschlagen, den Doktortitel ganz abzuschaffen. Es ist völlig klar, daß er innerhalb der wissenschaftlichen Gemeinde nicht mit wissenschaftlicher Reputation assoziiert wird. Das liegt nicht nur an den vielen unsauberen Arbeiten, sondern einfach auch daran, daß er in vielen Fächern vor allem Folge von Fleiß und oft auch von strategischer Unterwerfung gegenüber einflussreichen Personen ist, nicht so sehr von wissenschaftlicher Brillianz.
Seine Bedeutung liegt m.E. vor allem in der Demonstration von Wissenschaftlichkeit in außerwissenschaftlichen Kreisen. ( Politik, mediale Öffentlichkeit, Nachbarschaft) . Wer sich mit seinem Doktortitel ansprechen läßt, ist eigentlich nur ein Angeber.
So langsam muss man sich ja fragen, wie krass die Ohrfeige der Wähler noch werden muss. Bevor die Damen und Herren in ihren Anzügen anfangen, eine Verbindung zwischen ihrer bisherigen Leistung und ihren Wahlergebnissen zu sehen.
Die menschliche Reife eines trotzigen Kleinkindes, das immer wieder ein Spiel verliert, und lieber alle anderen Möglichkeiten in Erwägung zieht, bevor es darüber nachdenkt, ob das vielleicht an der nicht erbrachten Leistung liegen könnte.
Vielleicht sollten wir mal unsere Strategie überdenken. Vielleicht sollten wir nur noch Spitzensportler ins Parlament wählen. Die haben wenigstens verstanden, dass es an ihnen liegt, wenn sie verlieren. Während wir im Moment hauptsächlich Anwälte und Lehrer im Parlament haben. Lehrer sind offensichtlich völlig unbeleckt, wenn es um Leistung, Verlieren und Strategie geht. Da ist noch keiner gefeuert worden, weil die Kids bei ihm nichts gelernt haben. Und Juristen sind auch eher für ihren beachtlicher Ausredenkatalog bekannt als dafür, die Schuld bei sich zu sehen und die Strategie zu ändern.
Rein intuitiv würde man ja auch annehmen, dass Programmierer gut geeignet wären, weil die viel Erfahrung mit Scheitern haben und auch immer völlig offensichtlich sie Schuld haben und nicht der Computer, der unparteiisch den Code abarbeitet. Aber in der Praxis pfuschen die alle vor sich hin und leugnen mit irgendwelchen pseudo-ökonomischen Bullshit-Ausreden die Realität. Die Abstürze sind gar nicht so schlimm, hier, wird doch neu automatisch gestartet! Das ist gar kein Security-Problem, dafür müsste man eine voll komplizierte Lücke ausnutzen und das kann doch eh so gut wie keiner, und wer das kann, der hat kriminelle Energie und wäre eh überall reingekommen!1!! Die Performance ist nicht so schlimm, schau, Rechner werden immer schneller! Probierst du halt nächstes Jahr auf der dann aktuellen Hardware!!1!
Was sagt ihr? Wollen wir mal nach Problem-Einsicht selektieren statt nach Anzug, Kopfhaar und "Wahlversprechen"-Hohlphrasen? Da bräuchten wir allerdings eine Presse, die das mal abklappert und uns die Daten liefert zu den Kandidaten und Parteien.
Wir müssen jedenfalls mal weg von diesem Trump-und-Hillary-Spiel hier. Unser Trump-Moment wird kommen, wenn wir einfach immer nur in die Richtung weiterlaufen.
Und ihr wollt mal so richtig Reibach machen. Ihr wisst aber nicht wie. Bisher verkauft ihr Babypuder, wo ihr einen so guten Ruf habt, dass die Kunden von ganz alleine kommen. Und wie man dafür Werbung macht ist auch bekannt.
Aber für Opioide? Wie macht man dafür Werbung, ohne dass man wie ein schmieriger Drogendealer aussieht?
Ihr braucht da Hilfe. Aber an wen wendet man sich? Das müsste ja jemand mit beträchtlicher krimineller Energie sein. Jemand gänzlich moralbefreites. Jemand, der für Geld alles tun würde. Jemand, dem das Verticken von abhängig machenden Drogen nicht wie ein Verbrechen sondern wie ein Geschäftsmodell aussieht. Jemand wirklich schmieriges, schleimiges, abartiges. Wo findet man sowas?
Johnson & Johnson tat, was jeder andere Turbokapitalist an ihrer Stelle getan hätte. Sie fragen McKinsey!
Ein Wunder, dass dabei am Ende noch Profite bei Johnson & Johnson abgefallen sein sollen, wenn ihr mal drüber nachdenkt! Das überlebt sonst keine Organisation. Schaut nur, was von der Bundeswehr noch übrig ist!
Nun kann man sich da endlos in Analysen ergehen, wo diese Daten jetzt hergekommen sein könnten, was für kriminelle Energie diese Leute gehabt haben müssen, was sie damit bewirken wollten, etc. Finde ich alles nicht interessant.
Zwei Dinge dazu. Erstens. Seit Jahrzehnten betreibt die Politik eine konzertierte Aktion nach der anderen, um den unwilligen Bürgern ihre Daten zu entreißen und in Datenbanken zu tun, wo dann überproportional politisch rechts verortete Polizisten und "Sicherheitsbeamte" drauf Zugriff haben. Wo ist hier noch gleich die Überraschung? Dass es erst jetzt in dieser Form passiert oder wie?
Nicht nur die Rechten sind hier Täter. Wikipedia z.B. listet bei diversen ihrer Meinung nach Prominenten das Geburtsdatum. Wo haben sie die her? Aus öffentlichen Datenbanken wie Gewerbeanmeldungen u.ä. Wohl dem, der dort gezielt falsche Daten hinterlegt hat. Mich hat niemand gefragt, ob ich einen Wikipedia-Artikel unter meinem Namen haben will, und ob das OK ist, da ein Foto oder mein Geburtsdatum zu veröffentlichen. Und was passiert da, trotz DSGVO und allem? Nichts.
Zweitens: Die Asymmetrie der Reaktion finde ich schockierend. Ich hatte mal auf Twitter einen Mordaufruf. Ich habe also Anzeige erstattet. Ein paar Wochen später rief dann die Polizei bei mir zuhause an und sagte, das Verfahren würde eingestellt. Das ist doch bloß ein Verrückter aus dem Internet. Bestimmt ein ganz armes Würstchen. Mag ja alles sein, aber es ist auch ein Täter. Keine Reaktion.
Bei mir Mordaufruf, keine Reaktion. Martin Schulz ruft jemand auf der "privaten Telefonnummer" an, und sofort republikweiter Riesenskandal und der Staatsschutz schaltet sich ein. Der Typ, der da anrief, war nicht mal unfreundlich oder bedrohlich.
Ich will mich da jetzt nicht als Betroffener aufspielen, nur mal die Dissonanz illustrieren. Die Presse erzählt bisher vor allem von Youtubern als Opfer, und ich bin mir auch sicher, dass die es viel schlimmer haben. Nur bei mir weiß ich es halt, bei denen ist es nur Hörensagen für mich :-)
Was mich übrigens auch richtig doll ärgert ist wenn Hotels meine persönlichen Daten haben wollen. Wieso hat diesen Datenhahn noch niemand zugemacht? Nein, liebe Lokalpolitiker, ihr müsst nicht meine Anschrift und mein Geburtsdatum wissen, nur weil ich in eurem Bundesland in einem Hotel übernachte.
Solange die Situation so ist, wundert mich überhaupt nicht, dass es solche Veröffentlichungen gibt. Ich gönne den Politikern das sogar ein bisschen. Die Künstler auf der Liste tun mir leid, die sind da unverschuldet zwischen die Fronten geraten.
Was mich auch richtig ärgert: Dass das beherzte Einschreiten des Staatsschutzes jetzt verhindern wird, dass die Politik erkennt, wie dringend sie mal handeln müssten, wie wichtig das ist, hier mal flächendeckend Datensparsamkeit zu fahren. Die reden immer davon, dass Daten das Öl des 21. Jahrhunderts sind, und merken gar nicht, dass sie auf einem Ölteppich schwimmen, der systematisch alles Leben vergiftet.
Update: Passt gerade wie Arsch auf Eimer:
Marriott reveals 5 million unencrypted passport numbers were leaked in 2018 data breach
Update: Ja nee klar, meine Telefonnummer ist Freiwild für Umfragen, Telemarketer und indische Callcenter von Microsoft-Scammern, aber bei euch ist das ein ANGRIFF AUF DIE DEMOKRATIE!1!!, wenn jemand anruft. Go fuck yourselves, echt mal.
Update: Jetzt wo so viele Politiker das als Cyberangriff bezeichnen: Hey, vielleicht hättet ihr mal auf uns hören und in defensive Cyber investieren sollen statt immer nur Offensive?
New hotness: Glasfaserdiebstahl.
Was die Diebe damit wohl machen wolten?
Im Raum Rheinberg haben Unbekannte mit viel krimineller Energie in einer Hochspannungstrasse auf einer Länge von 200m ein von Unitymedia angemietetes Glasfaserkabel entwendet – etwa 2.500 Unitymedia-Kunden sind dadurch zurzeit ohne Internet und Telefon.Ist nicht so, als ob einem das ein Rohstoffhändler abnimmt. Soweit ich weiß. (Danke, Thomas)
Hintergrund für den Stopp des Programms ist offenbar auch der Widerstand aus Teilen der Bevölkerung. "Die Bewohner von Süd-Tel-Aviv werden den Kampf so lange fortsetzen, bis der letzte Eindringling die Nachbarschaft verlässt", hatte Scheffi Paz, eine prominente Gegnerin der Flüchtlinge im Süden Tel Avivs, nach Angaben der Zeitung "Haaretz" gesagt.Interessanterweise steht da nichts davon, weswegen es solche Proteste gegen die Flüchtlinge gibt. Ist es wegen angeblich höherer krimineller Energie wie bei uns, oder ist der Widerstand eher religiös motiviert? Oder noch was anderes?
Wenn ich das richtig verstehe, dann nicht auf ihren oder Fake-Namen, sondern auf Namen und Rechnung existierender Kunden, also sowas wie Unterkonten eingerichtet.
Also ich finde ja, DAMIT konnte NIEMAND rechnen, dass es unter Bankstern genug kriminelle Energie für sowas gibt. Oder dass finanzielle Anreize zu Bescheißen führen.
Das kann ich schon verstehen, wenn number26 solche Leute dann rauskantet.
Update: Ui, das ist ja noch komplizierter. Ein Einsender erklärt:
Number26 wollte den Kunden eine Möglichkeit geben, Bargeld einzuzahlen. Dazu haben sie den Service cash26 bemüht:
Damit kann man einen Strichcode generieren, der bei Real/Rewe/Penny (u.a.) an der Kasse gescannt werden und bezahlt werden kann.
Wenn man z.B. einen Code für 500€ generiert, kann man den an der Kasse scannen lassen, auf dem Kassenzettel landet ein "Artikel" für 500€, man bezahlt und bekommt 500€ auf dem Konto gutgeschrieben.
Manche Leute haben jetzt herausgefunden, dass man bei real dabei nicht nur bar bezahlen kann (wie eigentlich vorgesehen), sondern auch mit Kreditkarte oder Geschenkgutscheinen.
Jetzt gibt es Kreditkarten (von anderen Anbietern!), die für jeden Euro Umsatz irgendeinen Bonus/Meilen/... zahlen (so 0,5-3%, je nach Karte).
Also sind die Leute jetzt täglich zu real, haben für 999€ (das Tagesmaxiumum) mit der Kreditkarte "bar eingezahlt" und so den Bonus mitgenommen.
Das Geld war dann ja hinterher auf dem Number26-Konto und konnte wieder zum Ausgleichen der Kreditkarte verwendet werden... (Es wurde also nur das eigene Geld im Kreis rumgeschoben, aber bei jeder "Runde" ein paar Prozent Bonus generiert.)Mit Geschenkgutscheinen ging wohl noch mehr, wenn man entsprechende Quellen hatte (z.B.: bei Media Markt gab es mal eine Aktion 60€ Gutschein für 50€ kaufen (oder so), mit diesen konnte man dann real-Gutscheine kaufen und mit diesen wieder "bar einzahlen").
[...]
In dem Thread sieht man gegen Ende auch, dass die fleißigen "Einzahler" zum Einen schon länger gekündigt wurden und zum Anderen Number26 jetzt wohl auch ein Einzahllimit von 100€/Monat hat. Von daher sind bei der jetzigen Kündigungswelle andere Kunden betroffen (mit weniger "krimineller Energie").
Staff at the United Nations downloaded and shared child porn, transported roughly 380 pounds of weed in an official vehicle, and repeatedly threatened each other with murder, according to an annual report on disciplinary matters and cases of criminal behavior issued by the international organization.Und das sind nur die Fälle, die sie kennen und verfolgt haben.
Ein Mitarbeiter des Bundesnachrichtendienstes hat im NSA-Untersuchungsausschuss des Bundestages ausgesagt, viele E-Mails mit sogenannten NSA-Selektoren seien vom deutschen Auslandsgeheimdienst "versehentlich gelöscht worden".SO SCHULDIG sind die beim BND — und wissen es! Da gehört schon ein gehöriger Haufen kriminelle Energie dazu. Auf der anderen Seite passt das ja gut zu der kriminellen Energie in den anderen Behörden und der Regierung. Wir haben halt die Regierung, Geheimdienste und Behörden, die wir verdient haben.
Dennoch. Da es bei uns sowas nicht gibt, gibt es für Polizisten einen Anreiz, eine illegale Hausdurchsuchung durchzuführen, die dann nachträglich durch die gefundenen Beweise moralisch gerechtfertigt wird. Ist natürlich nur doof, wenn man dann nichts findet.
Warum ich das gerade alles erzähle? Der Supreme Court von Irland hat gerade diese Doktrin für Irland abgeschafft. Das ist eine große Katastrophe, wenn ihr mich fragt. Besonders krass:
A side issue that arises in the case is the fact that the evidence was obtained not merely due to unconstitutional action, but pursuant to unconstitutional legislation. JC concerned evidence obtained pursuant to a search warrant issued under section 29(1) of the Offences Against the State Act 1939. That provision was struck down by the Supreme Court in Damache v DPP [2012] IESC 11. Strictly speaking, therefore, any evidence obtained pursuant to the warrant was unconstitutionally obtained.Wow. (Danke, Johannes)
Schwarzfahren, Ladendiebstahl und andere Delikte mit «geringer krimineller Energie» sollten nach Ansicht der Gewerkschaft der Polizei nur noch mit einem Bußgeld geahndet werden. Wenn es in diesen Fällen keine aufwendigen Ermittlungsverfahren mehr geben müsse, könnten Polizei und Staatsanwaltschaft sich stärker auf die Verfolgung schwerer Straftaten konzentrierenKlingt einleuchtend. Die Frage ist halt, ob man dann diese Delikte ökonomisiert. Dann kann sich der Täter ausrechnen: Ich werde so und so oft ertappt, mein Profit ist in den anderen Fällen soundsoviel, das Bußgeld ist soundso hoch … lohnt sich (oder lohnt sich halt nicht). Und ich denke mal, so hoch kann man das Bußgeld gar nicht machen, dass sich das nie mehr lohnt. Das muss ja auch verhältnismäßig sein.
Na mal schauen, die der konkrete Vorschlag aussieht. Und die Frage ist natürlich auch, ob sie Raubmordkopieterrorismus als "schwere Straftat" verfolgen wollen oder ob das dann eine Bußgeld-Bagatelle wird. (Danke, Martin)
Oh und bei den heißen Eisen, z.B. der "Glasfasererfassung" u.a. am DE-CIX, da war sie dann gar nicht erst eingebunden.
Die kriminelle Energie der Geheimdienste kennt keine Grenzen. Zumachen, abreißen, und alle in den Knast.
Update: Oh und noch ein Detail:
Auf die IT-Sicherheit achte im BND ein gesonderter großer Bereich, führte die Zeugin weiter aus. Sie bat daher um Verständnis, dass sie vom möglichen Ausnutzen von Zero-Day-Exploits keine Kenntnis und das Wort auch gerade zum ersten Mal gehört habe. Sie selbst sei "technisch nicht vorgebildet" und könnte daher etwa mit Quellcode nichts anfanngen
Das muss ja ein langwieriger Auswahlprozess gewesen sein, bis sie eine Datenschutzbeauftragte gefunden haben, die noch nie das Wort 0day gehört hat. Ob das deshalb eine Frau geworden ist, weil die CSU-Wähler beim BND dachten, dann sei gewährleistet, dass die nichts kann und nicht aufmuckt? Dafür hat die aber getan was sie konnte, muss ich ja mal anerkennen. Es wäre noch schöner gewesen, wenn sie das von sich aus an die Medien geleakt hätte, oder von mir aus an den Bundesdatenschutzbeauftragten, als das noch nicht diese furchtbare Voßhoff war.
There is no distinctly American criminal class - except Congress.Auch in Europa drängt sich der Eindruck auf, dass die Häufung krimineller Energie in der Politik höher ist als sonstwo. Da muss man schon zu den Bankstern gehen, um ein ähnliches Niveau anderswo zu finden.Aber es gibt da offenbar noch Abstufungen. So wurde jetzt, nach Edathy, dem zweiten "Innenexperten" die Immunität entzogen. Diesmal, wenn man "Bild" glauben will, nicht wegen Kinderpornographie sondern wegen Verstoßes gegen das Betäubungsmittelgesetz.
Mir fehlt da ja die Fantasie, muss ich sagen. Ich kann mir nicht vorstellen, wieviel Koks sie finden müssen, damit das so aus dem Rahmen das Üblichen heraussticht, dass sie die Immunität aufheben.
Ein Kontext-Verweis sei mir aber noch erlaubt, gerade mit Blick zu Edathy: Die Dienste sind natürlich an den Pädophilen-Ringen beteiligt. Ganz normaler Teil ihrer Arbeit, Kompromat über jeden Entscheidungsträger im Giftschrank zu haben.
Update: Laut "Express" war es Crystal Meth, nicht Koks.
Update: Wer nicht bis zum Ende gelesen hat, für den zitiere ich mal den letzten Satz:
Michael Hartmann sitzt seit 2002 im Bundestag, er ist auch Mitglied im Parlamentarischen Kontrollgremium.
Nur falls jemand Fragen hatte, wieso das parlamentarische Kontrollgremium so eine Lachnummer ist (das sind die, die die Geheimdienste "kontrollieren" sollen). Da kommen wahrscheinlich nur Leute mit umfangreicher Kompromatakte rein.
Update: Aus aktuellem Anlass möchte ich mal zitieren, was der gestern zu Protokoll gegeben hat.
"Die Beschlagnahme eines Luxusautos ist ein geeignetes Mittel und kann durchaus das Aussageverhalten beeinflussen", sagte SPD-Innenexperte Michael Hartmann der "Welt". "Es gilt jetzt, dies rechtsstaatlich sicher einzupacken."
Da können wir ja gleich mal einen Präzedenzfall schaffen und dem Hartmann sein Auto wegnehmen.
Reicht euch nicht? Wartet, wird noch besser!
Effektiv wäre es, wenn auch Deutschland endlich die Beweislast umkehren würde, wie in Italien. Dort gilt: Bei konkretem Mafia-Verdacht kann das Vermögen beschlagnahmt werden - es liegt dann am Verdächtigen, nachzuweisen, dass es legal erworben wurde. Die Umkehr sei zwar "rechtsstaatlich probat, aber schwierig umzusetzen", sagte Hartmann.
Das exerzieren wir jetzt mal an dem Hartmann durch, und wenn das funktioniert, dann beweislastumkehren wir mal die ganzen anderen "Innenexperten" von CDU, CSU und SPD weg. FDP spielt ja glücklicherweise keine Rolle mehr. Und die Grünen hören dann hoffentlich den Schuss und bessern sich. Wenn nicht, beschlagnahmen wir halt ihre Luxusfahrräder.
Update: Angeblich war dieser Hartmann "der engste Vertraute" von Edathy.
… In Wirklichkeit setzt ein unbefugter Zugang kriminelle Energie und eine entsprechende Handlung voraus… aber dazu bräuchte man kriminelle Energie!1!! (Danke, Tobias)
Die Reaktion der norwegischen Dienste? Nee nee, das war ja gar nicht die NSA, das waren wir, und wir haben die Daten dann der NSA gegeben. Äh, ach? Und das macht es jetzt besser, weil…!? WTF? Haben die gedacht, sie müssten ihren Ruf retten, dass sie soviel kriminelle Energie nicht hätten?
Mehr als ein Dutzend Zeugen des Unglücks sollten in den Folgejahren unter mysteriösen Umstanden ums Leben kommenUnglaublich, wieviel kriminelle Energie in den Regierungen dieser Welt auf engstem Raum konzentriert sind. (Danke, Martin)
Also mal unter uns, realistisch gesehen, was sollen die auch machen? Die Anzahl der Rechtsextremen mit ausreichend krimineller Energie oder zumindest moralischer Flexibilität ist halt begrenzt. Und den Großteil von denen haben ja schon die Schnüffel-, Repressions- und "Sicherheits"-Behörden eingestellt.
Demnach habe ein LfV-Vertreter vor zwei Wochen gegenüber den Abgeordneten berichtet, das Amt habe seinerzeit dem Thüringer Neonazi-Anführer und V-Mann Tino Brandt 2000 Mark übergeben.Und weil es dafür keinerlei denkbare Entschuldigung gibt, haben sie sich eine derart bekloppte Ausrede ausgedacht, dass ich hier ausdrücklich vor dem Weiterlesen warnen muss:
Mit dem Geld sollte sich das untergetauchte Trio neue Pässe besorgen. […] Aus der Telefonüberwachung des Unterstützerkreises in Chemnitz hätten die Behörden gewusst, dass es Schwierigkeiten bei der Passbeschaffung für die drei gab. Die Verfassungsschützer hofften daher, dass das Trio mit neuen Ausweisen aus der Deckung kommen würde und man so seine Spur wieder aufnehmen könnte.Mit anderen Worten: Man gab ihnen Geld, damit sie was tun, damit man sie dabei beobachten kann, wie sie was tun. Ich sehe die Situation vor meinem geistigen Auge. "Cheffe, uns ist so langweilig, können wir nicht ein paar Nazis Geld geben, damit wir was zu tun kriegen?" "Klar, Müller, machen Sie mal!"
Aber wartet, das war es noch nicht. Kriminelle müssen zusammenhalten, daher:
So habe das LfV seinen V-Mann Brandt über die Observationsmaßnahmen der Polizei auf dem Laufenden gehalten.Wo kämen wir da hin, wenn die Polizei die Nazis aus dem Verkehr zieht, bevor sie Schaden anrichten können! Nein, das geht nicht, dann kann sich der Verfassungsschutz ja gar nicht bei Bedarf "Terroristen" aus dem Arsch ziehen. Also müssen die vor der Polizei beschützt werden, liegt ja wohl nahe!1!!
An wen wendet sich der Mann also? An das GEMA-Pendant in Holland, Buma/Stemra. Und die tun … gar nichts. Jahrelang. Nachdem der Komponist da vier Jahre lang keine Hilfe bekam, hat er da nochmal einen Finanzberater losgeschickt, und der hat dann man mit dem Vorstand von Buma/Stemra telefoniert. Und zu seiner Überraschung wollte der Vorstand dann für sein Eingreifen Schmiergeld haben, und zwar wollte er dass seinem eigenen privaten Verlag die Rechte übergeben werden und der Vorstand wollte auch den Verzicht auf 1/3 des zu erwartenden Schadensersatz. Den Teil hätte der sich dann wohl auch privat in die Tasche gesteckt.
Wir brauchen langsam einen neuen Begriff. Die Mafia ist ja vieles, aber nicht säumig bei Verbindlichkeiten. Insofern tun wir der Mafia Unrecht, wenn wir sie mit BREIN und co vergleichen. (Danke, Frank)
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Aber der Rest des Vertrages ist eine einzige Katastrophe. Gerichtsvollzieher sollen privatisiert werden (warum nicht auch gleich das US-Konzept der Bounty Hunter importieren? Das schafft Arbeitsplätze!1!!). Unternehmensverbunde sollen wieder Verluste aus Sparte A mit den Gewinnen von Sparte B verrechnen dürfen (oder auf Deutsch: kein Unternehmen wird jemals wieder Steuern zahlen, wenn sie es nicht absichtlich darauf anlegen). Und falls das nicht reicht, soll die Zinsschranke auf 3 Millionen erhöht werden. Die Zinsschranke ist dafür da,…
In der Vergangenheit hatten global agierende Unternehmen durch Kapitalzuführung aus dem Ausland erreicht, dass in Deutschland steuerlich abzugsfähiger Zinsaufwand entsteht, die Zinserträge dagegen im Ausland erfasst werden. Die Zinsschranke dient in erster Linie der Vermeidung dieser grenzüberschreitenden Gestaltungen.Völlig klar, das muss aufgeweicht werden!1!! Dann soll die Funktionsverlagerung repariert werden; das war Teil der Steuerreform 2008. Hier geht es darum, dass Unternehmen z.B. ihre Fertigung von Sachsen nach China schieben, und dass das besteuert wird. Weil der Staat ja eine Fabrik in China nicht besteuern kann, haben sie daher das Know-How der versetzten Mitarbeiter als Kapital gewertet, wenn ich das richtig verstehe, und das besteuert. Völlig klar, hier muss "reformiert" werden; wir (also die CDU) wollen schließlich, dass Arbeitsplätze das Land verlassen!
Die Formulierungen sind auch ansonsten ganz großes Kino. So tun sie gar nicht mehr so, als habe "Biokraftstoff" was mit Umweltschutz zu tun (das Gegenteil ist der Fall). Humoristisch sehr hochwertig ist auch, wie sie die Erbschaftssteuerentkernung als Impuls verkaufen, der Deutschland aus der Krise führen soll. Dabei sind die Erbschaften genau der dynastieerhaltende Baustein, der die Ober- von der Mittelklasse trennt und eine gerechtere Gesellschaft verhindert.
Außerdem will man den Normenkontrollrat stärken, der ja der Lange Arm von Bertelsmann (und INSM) in der Politik ist. Tolle Wurst. Großartig ist auch der Beitrag zur Bankenkrise, den ich mal zitieren muss, so toll ist der:
Das Insolvenzrecht muss den neuen Herausforderungen angepasst werden. Wir werden ein Instrumentarium schaffen, dass es der Bankenaufsicht frühzeitig ermöglicht, systemrelevante Finanzinstitute im Rahmen eines geordneten Verfahrens zu restrukturieren.HAHAHAHA, wun-der-bar! Also wenn es einen durchgehende Tenor gibt in dem Papier, dann dass sie Gesetze reparieren wollen, die sie selber zu verantworten haben. Dieser Vertrag ist eine politische Bankrotterklärung. Und für Neusprech-Forscher ist das ein gefundenes Fressen. Z.B. das hier (es geht ums Stromnetz):
Die Regulierung der Netze soll nicht nur niedrige Nutzungsentgelte im Blick behalten, sondern auch qualitative Elemente berücksichtigen, um so schnelle und längerfristige Investitionen auszulösen.Aha. Soso. Das sieht man ja, wie toll das bisher funktioniert hat… Weitere Highlights:
Wir stehen für eine solide Haushalts- und Finanzpolitik.HAHAHAHA, was für ein Schenkelklopfer! Oder der hier, zum Arbeitsamt:
Um Arbeitssuchende noch erfolgreicher in sozialversicherungspflichtige Beschäftigung vermitteln zu können, […]noch erfolgreicher? Das geht doch gar nicht!1!! Oder wie sie "befristete Beschäftigungsverhältnisse" in Kette erlauben wollen, um "Kettenbefristungen" zu "verhindern". Ich glaube ja, dass die fest damit rechnen, dass niemand jemals diesen ganzen Schmuh durchliest. Stimmt wahrscheinlich auch normalerweise.
Die Energiepolitik ist wie erwartet: weiter Kohlekraftwerke bauen, Atomkraftwerke laufen lassen, Asse schließen (harhar), Gorleben weiter erkunden. Oh und damit die betroffenen Regionen sich nicht weiter wehren, sollen sie "einen gerechten Ausgleich" bekommen. Also, mit anderen Worten, sie sollen bestochen werden. Immerhin hat auch Schwarz-Geld eingesehen, dass man die Energiemafia so nicht weitermachen lassen kann, und will die Übertragungsnetze ausgliedern. Sie halten auch am Emissionshandel fest (*stöhn*), und nennen "Biokraftstoffe der zweiten Generation" explizit als Energieforschungsziel. Sie bezeichnen die Bahnreform als "erfolgreich" und wollen die Transport- und Logistiksparten doch noch an die Börse bringen, das Schienennetz und die Bahnhöfe aber behalten (immerhin!).
Und noch ein Neusprech-Klassiker bei der Ernährungspolitik:
Eine politische Steuerung des Konsums und Bevormundung der Verbraucher durch Werbeverbote und Strafsteuern für vermeintlich ungesunde Lebensmittel lehnen wir ab. Ein farblich unterlegtes Ampelsystem zur Nährwert-Kennzeichnung führt die Verbraucher in die Irre.Und im Hintergrund sieht man jemanden einen Schwarzgeldkoffer der Nahrungsmittelindustrie wegschaffen…
Und noch ein Highlight, das seines Gleichen sucht: sie begründen ernsthaft die Fortführung der Agrarsubvention für brachliegende Grünflächen damit, dass das ja CO2 aufnimmt. *schenkelklopf* Ich brauche mehr Popcorn! Für Neusprech-Forscher ist das eine Goldgrube.
Ausbildungshemmnisse im Gastgewerbe werden durch ein flexibleres Jugendarbeitsschutzgesetz abgebaut.Soso, ein "flexibleres" Jugendarbeitsschutzgesetz also. Laßt uns wieder Kinderarbeit einführen!Für die Aktivisten, die sich gegen das BKA-Gesetz gewehrt haben, kommt die Passage dazu wie ein Schlag in die Magengegend:
Wir sind uns mit dem Bundesverfassungsgericht einig, dass ein letzter unantastbarer Bereich menschlicher Freiheit besteht, der der Einwirkung der öffentlichen Gewalt entzogen ist.Aha. Soso. Und wo wir gerade bei Einigkeit waren:[…]
Daher werden wir auf Grundlage der verfassungsgerichtlichen Rechtsprechung das BKA-Gesetz daraufhin überprüfen, ob und inwieweit der Schutz des Kernbereichs privater Lebensgestaltung zu verbessern ist.
Wir sind uns darüber einig, dass es notwendig ist, derartige kriminelle Angebote schnellstmöglich zu löschen statt diese zu sperren.Could have fooled me. Sehr schön neusprechig ist auch der Absatz über Pressefreiheit.
Darüber hinaus stärken wir den Beschlagnahmeschutz für Journalisten. Künftig wird eine Beschlagnahme nur noch bei einem dringenden Tatverdacht gegen den Journalisten möglich sein.Na das ist doch mal großzügig!
Und natürlich reagieren sie auch auf die Prügelpolizisten-Affäre, indem sie die Prügelpolizisten besser schützen wollen durch Stärkung des Paragraphen 113 StGB, dem üblichen Instrument der Polizei gegen die, die Kritik vorzubringen wagen. Ich für meinen Teil halte den Paragraphen für vollständig überflüssig, denn die Polizisten haben bereits das Gewaltmonopol und wenn jemand mit einer Waffe gegen sie vorgeht, verletzt das das Waffenrecht, und auch Körperverletzung und co sind bereits so strafbar. Das ist ein reiner Willkürparagraph. Kein Wunder also, dass die Schwarze Pest ihn stärken will. Oh und das war es noch nicht mit Stärkung des Polizeistaates. Hier ist noch eine krasse Fehlentwicklung:
Wir werden eine gesetzliche Verpflichtung schaffen, wonach Zeugen im Ermittlungsverfahren nicht nur vor dem Richter und dem Staatsanwalt, sondern auch vor der Polizei erscheinen und - unbeschadet gesetzlicher Zeugenrechte - zur Sache aussagen müssen.Endlich, mehr Willkürinstrumente der Polizei gegen die Bevölkerung. Der Zwang zur Zeugenaussage bei der Polizei ist ja letztendlich Freiheitsentzug, weil man in der Zeit nicht tun kann, was man eigentlich tun wollte.
Oh und auch nicht sonderlich überraschend sollen das Patent- und Markenrecht weiter verstärkt werden, als ob das nicht schon jetzt viel zu stark wäre. Und falls sich jemand gegen diese ganzen Knebelvorschriften wehren will… auch daran haben sie gedacht und wollen die Prozesskostenhilfe zusammenstreichen. Am Ende gibt es dann noch eine Packung transatlantisches Brownnosing, ein paar "EU stärken" und "freier Binnenmarkt" Lippenbekenntnisse (kurz vorher schreiben sie, wie sie die Gesetze nicht harmonisieren wollen, weil das ein Standortvorteil Deutschland sei) und eine Runde "Wir bekennen uns zur besonderen Verantwortung Deutschlands gegenüber Israel als jüdischem Staat", gekrönt von diesem grandiosen Satz:
Die Bundeswehr ist ein wesentliches Instrument deutscher Friedenspolitik.Krasse Kacke. Und DIE habt ihr in die Regierung gewählt!
Update: Hier kommt gerade von Juristen die Zusatzinfo rein, dass §113 mit weniger Strafe bewährt ist als die sonst einschlägigen Paragraphen und es daher gut ist, dass es den gibt. Ich ziehe daher meine Kritik oben zurück.
According to one veteran expert on the yakuza, the new activities of the nation's largest crime syndicates have effectively turned the mob into the biggest private equity firm in Japan. […]Japan's Securities and Exchange Surveillance Commission has compiled a watch list of hundreds of companies suspected of direct or indirect links to mafia money. The list, which was drawn up in private but has been seen by The Times, includes more than 200 publicly traded companies, many of which are household names in Japan.
The issue has become so acute that the Osaka Stock Exchange has been forced to introduce an entirely new screening system to establish which companies have direct mob links or large quantities of yakuza money on their shareholder registers. Scores of companies, one exchange source said, faced the threat of being delisted.
Ist bei uns genau so, nur dass die bei uns nicht mit dem Selbstbild des Mafiosi arbeiten, sondern sich ganz normal Investoren oder Hedge Fonds nennen.Was sagt euch das, wenn die Mafia von den "normalen Investoren" nicht zu unterscheiden ist? Laut Artikel stellt die Yakuza auch reihenweise die wegen der Kreditkrise gefeuerten Trader ein. Nur dass die Mafiosi sich wahrscheinlich im Vergleich zum Vorstand einer Investmentbank mit geradezu lächerlichen Auszahlungen zufrieden geben. :-)
According to one in-depth investigation by NHK, the state broadcaster, a few yakuza gangs even operate their own stock-dealing floors, where millions of dollars of shares are traded every day.Na, woran erinnert euch das? Mich erinnert das an die Goldman Sachs Privatbörse, nur nicht mit so viel Cash. So viel kriminelle Energie wie die dicken Investmentbanken haben die Mafiosi halt noch nicht aufgebaut :-)Oh und wie manipulieren sie den Markt?
Joshua Adelstein, an author and consultant on the yakuza, says that one of the key recent developments has been the emergence of mob-backed auditing firms. It is by getting these auditing firms to sign-off false company accounts, he said, that the yakuza were able to manipulate both the apparent earnings and stock prices of numerous small listed companies.Über die Auditoren! Die Parallele im regulären kriminellen Finanzsektor sind die ganzen Ratingagenturen, die die ganze Zeit die windigen "Investmentvehikel" als grundsolide bewertet haben.
Vieles ist noch aufzuklären an der Geschichte vom „Terror-Fritz“ und seinen zwei Komplizen. Aber eines ist klar: So, wie sie vorgegangen sind, hätten sie niemals einen professionellen Anschlag durchführen können.(Danke, Daniel)Zur Auflösung des Rätsels gibt es drei Theorien. Entweder die Truppe war zu blöd, ihre kriminelle Energie zielführend einzusetzen – so wie es im erwähnten Film von Woody Allen gezeigt wird. Oder – das vermutet FAZ-Autor Peter Carstens – sie wollte durch ihr auffälliges Agieren die Sicherheitsbehörden von anderen Terrorzellen ablenken, die in der Zwischenzeit unbehelligt ihre eigenen Planungen weitertreiben konnten. Oder die drei fühlten sich vor Verhaftung geschützt, weil sie einen Inside-Job ausführten und glaubten, Protektion von höherer Stelle zu genießen.
Beim gegenwärtigen Erkenntnisstand sollte man keine dieser Möglichkeiten ausschließen. Vielleicht sind auch alle drei wahr: Drei besonders irre Typen wurden von einer Geheimdiensttruppe angefixt, um den Rest des Sicherheitsapparates auf Trab zu halten und von den wirklich gefährlichen Terroristen abzuziehen. Schäubles Aussage, von Entwarnung könne keine Rede sein, wäre dann auf perverse Weise richtig.
Dort kann man den Verwaltungsvorgang einsehen, der zum Kauf der Wahlmaschinen geführt hat. Erste Überraschung: der gesamte Vorgang ist von Mitte September. 2006. Inhaltliche Argumente pro/contra Wahlmaschinen gibt es keine. Der Kauf wird damit begründet, daß Anmietung teurer wäre.
Offenbar hat die Stadt Köln (die in ähnlicher Funktion schon mehrfach unangenehm aufgefallen ist) ursprünglich Cottbus Wahlmaschinen geliehen, damit sie Erfahrungen sammeln konnten. Und hey, klar, wenn man die geborgt kriegt, fällt einem der Anschaffungspreis nicht so auf.
Als Kontext: Cottbus ist in einer furchtbaren Finanzmisere. Die machen da eine Schule nach der anderen zu, in den Stadtverordnetenversammlungen werden ständig Grundstücke und Beteiligungen verhökert, der Haushalt für 2006 hat knapp doppelt so viel Ausgaben wie Einnahmen — ein Desaster. Diese Stadt ist am Rande des finanziellen Kollaps, und sie haben kürzlich in einem Bürgerbegehren ihre Oberbürgermeisterin verloren. Das ist da offenbar eine Station vor russischen Zuständen.
Und in so einer desolaten Finanzlage geben die Geld für Wahlmaschinen aus. Ein echter Brüller: Anlage 2, eine Grafik, mit der sie überzeugt wurden, daß Kaufen billiger ist als Mieten. Und die stehen offenbar so mit dem Rücken zur Wand, daß die nicht gefragt haben, ob es vielleicht besser wäre, das mit den Wahlmaschinen ganz sein zu lassen. In der Grafik deutet sich schon an, wie viel Geld die da ausgeben für Wahlmaschinen: rund 270.000 Euro. Für 74 Wahlmaschinen. Für 74 gebrauchte Wahlmaschinen. Und so beschränken sich die finanziellen Überlegungen auch darauf, wann man kaufen soll (Anlage 1), nicht ob.
Woher weiß ich denn, daß die Geräte gebraucht gekauft werden? Und wieso wäre später kaufen teurer gewesen? Überhaupt, stehen da Preise bei? Besser noch, da liegt das Angebot von Nedap/HSG bei (Anlage 3). Da habe ich ja nicht schlecht gestaunt, denn in dem Angebot steht, daß die Systemkosten 214.600 Euro sind, und daß das der Discount-Preis ist, weil die Geräte gebraucht sind. Der Neupreis liegt bei 4100 Euro pro Gerät, und das versteht sich zuzüglich Mehrwertsteuer. Oh, und bei so einem großzügigen Preis, da läßt sich HSG nicht lumpen, und schickt die Geräte unfrei raus, d.h. Transportkosten kommen noch dazu.
Was sind die Highlights des Angebots?
Das funktioniert so, daß Cottbus dann ein PDF zu Nedap emailt, das sie mit Nedap-Design-Software gemacht haben, und die drucken dann eine Schablone aus und verkaufen die Cottbus für 16 Euro das Stück zurück. Die paßt dann genau unter die Tasten. Ja, unter die Tasten. D.h. wenn es jemand in drei Jahren schafft, Smart Paper zu bauen, das wie Paper aussieht, aber den Druckkontakt mißt und per RFID ausstrahlt, ist das gesamte System kompromittiert. Von sicherer Lieferung des Papiers steht da nichts. Aber hey, dafür bräuchte man kriminelle Energie, das findet Nedap sicher völlig undenkbar.
Als ich das gesehen habe, habe ich mich natürlich spontan gefragt, wie das jemals billiger als eine Papierwahl sein kann. Und weil ich so neugierig bin, habe ich mal gegoogelt, was so Wahlzettel kosten. Ihr werdet lachen, das kann man sich im Internet klicken, und kommt auf 2 Cent pro Wahlzettel (und das halte ich sogar noch für vergleichsweise teuer eingekauft, aber sei's drum). Cottbus hat etwas über 100.000 Einwohner. Wir sind also bei rund 2000 Euro Druckkosten für Wahlzettel. Demgegenüber stellt sich die Frage, wie viel Wert so eine Nedap-Maschine pro Wahl verliert. Dazu gucken wir einfach in das Angebot. Neuwert: 4100 Euro, Wert für die Gebrauchtmaschinen nach sechs Wahlen: 214.600 Euro für 74 Maschinen oder 2900 Euro pro Maschine. Differenz: 1200 Euro für sechs Wahlen, d.h. 200 Euro pro Wahl. 200 Euro Wertverlust pro Wahl. D.h. alle 74 Maschinen zusammen verlieren pro Wahl 14.800 Euro an Wert. Dem stehen 2500 Euro Druck- und Verteilkosten für Wahlzettel gegenüber (ich runde das mal auf, damit man Reserve hat und ich glatte Zahlen habe).
Fassen wir zusammen: Cottbus hat sich einen Wertverlust von 14.800 Euro pro Wahl gegenüber Druckkosten für eine Papierwahl von 2500 Euro pro Wahl als Kostensenkung verkaufen lassen, die sich nach weniger als 20 Jahren amortisiert (das Angebot sagt, daß die Hardware 20 Jahre hält).
Nun hat mich schon interessiert, wie sie das schönrechnen in ihrem Haushalt. Auf der e-Government Site findet man irgendwann 2005 den Haushalt für 2006, und da gibt es zwei Seiten mit konkreten Zahlen, die Wahlen betreffen. Einmal diese tabellarische Übersicht, wo die Wahlen einen Punkt unter vielen ausmachen, und einmal diese Seite mit Details zu den Wahlein- und -ausgaben. Ich bin ehrlich gesagt damit überfordert, das richtig zu interpretieren. Wenn mir das einer erklären kann, bitte ich um Emails. Für mich sieht das so aus, als hätten die 2004 127.000 Euro für Laptop-Miete ausgegeben, und fast 52.000 Euro für Post- und Fernmeldegebühren. Aber das kann ich so nicht glauben. Ein guter neuer Firmenlaptop kostet 2000 Euro, d.h. für 127 Kiloeuro hätten die da 63 Neulaptops kaufen können. Wahrscheinlich hätten sie noch Rabatt gekriegt und 100 neu kaufen können für das Geld. WTF? Und 50 Kiloeuro für Fernmeldegebühren? Für eine Wahl?! Haben die da für die Anbindung der Wahllokale einen vergoldeten Satelliten ins All geschossen!? Machen da 50% der Bevölkerung Briefwahl!? Aber man sieht, daß die für Druck- und Vervielfältigungen um die 3000 Euro ausgegeben haben, da lag ich mit meiner Schätzung ja in der richtigen Größenordnung.
So, das ist im Moment Stand meiner Ermittlungen. Wenn das hier jemand von der Presse mitliest: jetzt wäre der richtige Moment, darüber eine Story zu drucken. Bitte auch gerne von euren Blogs verlinken. Unser Zeitfenster ist knapp.
Oh, kurzer Hinweis noch: wenn ihr 74 EPROMs mit drei Lesegeräten auslesen sollt, was schätzt ihr, wie lange das dauert? Ist das wirklich so viel schneller als das tabellieren der dezentral gezählten Papierstimmzettel?
Update: Es gibt die ersten Erklärungen. Für eine Wahl müssen an alle Bürger Wahlbenachrichtigungen verschickt werden, das erklärt bei 100.000 Bürgern (gehen wir mal von 60.000 Wahlberechtigten aus) zu normalen Postkonditionen (gehen wir mal davon aus, daß die Regierung da zu inkompetent ist, bessere Konditionen auszuhandeln) zumindest Portokosten von 27.000 Euro (1 Postkarte == 45 Cent). Bleiben immer noch 25.000 Euro unklar im Postbudget. Dann vermutet jemand, die 127.000 Euro seien nicht für Notebooks, sondern für Wahlmaschinen ausgegeben worden. Das liegt natürlich nahe, die Vermutung, aber ich glaube da aus mehreren Gründen nicht dran:
Wir gehen einfach zum Kunden hin, attestieren ihm, daß man für einen Angriff kriminelle Energie bräuchte, und kleben ein klebriges Stück Papier von Zweckform auf den Server.
Da würde man nicht mal besonders geschultes Personal für brauchen, das könnten Hartz IV Empfänger machen.
Die offizielle Stellungnahme der PTB zum NEDAP-Desaster wird von Heise wie folgt zusammengefaßt:
