Willkommen um Chaosradio 293 und wir haben heute eine schwierige Situation, denn unser Moderator, Markus Richter, ist tatsächlich in seinen natürlich wohlverdienten Urlaub abgeschwört und hat uns hier ganz alleine gelassen.

Wir haben aber beschlossen, dass wir keine Sommerpause machen, denn wir haben wichtige Themen, da müssen wir drüber sprechen und müssen wir ohne Markus irgendwie hinkriegen.

Aber ich habe wei unfassbar gute Gäste, die auch eloquent sind, technische Ahnung haben und diese Chaosradio trotzdem ohne Markus rocken werden.

Wir haben um einen, u meiner Linken, kein Torkel.

Na?

Hallo.

Der extra für uns angereist ist.

Aus Berlin.

Naja, war nicht so weit.

Und dann haben wir Erdgeist.

Ein häufiger Gast im Chaosradio.

Hallo Erdgeist.

Hallo Konz.

Das bin ich.

Wir haben heute eigentlich so ein bisschen klassische Folge vom Chaosradio, würde ich sagen, weil wir ein bisschen über Technik reden wollen, auch ein bisschen erklär werden.

Aber wir haben auch einen Hack, den wir als konkreten Anlass haben.

Also eigentlich ist das eine gute Mischung letztlich.

Denn wir haben als CCC kürzlich eine Pressemitteilung rausgegeben, die betraf die Zwei-Faktor-Authentifizierung mit SMS.

Und da wollen wir ein bisschen drüber sprechen.

Was ist eigentlich dieser Hack gewesen?

Was wurde da technisch gemacht?

Aber wir wollen vor allen Dingen auch darüber sprechen, warum wir Zwei-Faktor-Authentifizierung haben, wo wir da Kritik haben.

Wo sich was ändern müsste, vielleicht sogar ein bisschen, was wir raten würden, dem geneigten Computerbenutzer.

Und deswegen wollen wir, glaube ich, ein bisschen einsteigen mit der Geschichte.

Also warum brauchen wir die sogenannten Trust Anchors?

Warum müssen wir irgendwie ein bisschen mehr Mühe haben als früher?

Wir können nicht immer nur einfach nur eine E-Mail-Adresse und ein Passwort eingeben.

Und da wollen wir so ein bisschen mit anfangen und dann u dem eigentlichen Hack kommen und ein bisschen darüber sprechen, was wir da technisch eigentlich vorliegen haben.

Okay, Erdgeist wird um Anfang.

Wozu haben wir diese Trust Anchors?

Warum ist die Situation heute anders als vor 15 Jahren?

Wozu wir die Trust Anchors haben?

Wir haben Passwörter.

Und Passwörter schon eine Weile.

Und die haben wir dazu, um uns einer Maschine gegenüber auszuweisen als ich bin ich, ich weiß was und ich kann belegen, dass ich ich bin und kann mich damit einloggen.

So, ganz einfach.

Menschen sind aber notorisch schlechteren, sich Passwörter auszudenken oder u merken, die irgendwas traugen.

Und ugedessen gab es natürlich immer wieder Katz-und-Maus-Spiele wischen Leuten, die diese mit Passwörtern geschutzten Ressourcen auch benutzen wollten, aber nicht die Personen waren, die dieses Passwort sich ausgedacht oder dem dieses Passwort ugewiesen wurden.

Über die Zeit gab es so einige usätzliche Schutzmechanismen.

Ganz am Anfang war überhaupt schon prohibitiv, dass man einen eigenen Computer haben musste, um an diesem Datenverkehr überhaupt teilzunehmen, was schon mal einen Großteil der Menschen da draußen ausgeschlossen hat, so dieses Passwort u raten, missbrauchen, weil selbst wenn man es gewusst hat, hätte man kein Endgerät gehabt, um daran teilzunehmen oder keinen Anschluss gehabt, um daran u gehen.

Das war eine schöne Zeit.

Leider sind dann irgendwann die ganzen anderen Menschen, die Rechner wurden einfach viel u billig und die AOL-CDs wurden u reichlich.

Und damit hatte man dann plötzlich das Problem, dass es keine wirkliche Hürde mehr war.

In dem Zuge wurden dann diverse Angriffe auf diese Passworte gefahren, die wurden während sie im Klartext durch die Gegend geschwirrt sind abgefangen, um sie dann wieder u benutzen, von Personen, die das eigentlich nicht haben sollten.

Die Administratoren dieser Computer, auf denen das Passwort hinterlegt wurde, konnten nachgucken, was dieses Passwort ist und konnten dann schauen, ob es eventuell woanders auch benutzt wurde.

Und das Problem ist immer wieder, dass solche Passwörter verloren gehen.

Sie werden entweder von irgendjemand anders mitgeschnitten und dann verwendet oder der Nutzer vergisst diese Passwörter und dann muss ein neues ausgestellt werden.

Und das war damals, als es so etwas wie 50 Nutzer weltweit gab von Computern, alles noch gar kein Problem.

Da ist man hingegangen, hat dann u seinem Administrator gesagt, kannst du mir ein neues Passwort in der Datenbank hinterlegen und dann war das gut.

Aber als es ganz viele wurden, wurde das plötzlich so ein Skalenproblem, was man irgendwie ein bisschen automatisieren musste.

Und bei der Gelegenheit hatte man das Problem, wem vertraut man denn, wenn der Administrator des Computers das nicht mehr direkt ist.

Und dann gab es diverse Entwicklungen, was man alles machen kann, weil man dem Administrator nicht wingend vertraut, haben wir dann angefangen, die Passwörter nicht mehr im Klartext in der Datenbank u hinterlassen, sondern haben eine Prüfsumme genommen und die in der Datenbank hinterlegt.

Das wurde dann auch ein Katz-und-Maus-Spiel.

Dann wurden die, weil die Prüfsummen ja Replay-Attacken erlauben, das heißt, dass man mit demselben verschlüsselten Passwort wieder vorbeikommen kann, wurden die dann noch gesalzen.

Es gab andere Versuche, gerade als es dann spannend wurde, dass mit diesen Passwörtern auch Bankkonten geschützt werden, haben dann die Banken angefangen, einem nach Hause Briefe u schicken, in denen dann lauter Einmalpasswörter für besonders wertvolle Transaktionen drinstehen.

Das war auch schon ehn Jahre her, dass sie wieder abgeschafft wurden.

Sie wurden dann mit der PSD 2 verboten, diese Tannenlisten.

Das war auch eine Tragödie.

Es war einfach sehr schön, immer noch u Hause nach diesen Papierchen suchen u müssen, was dann auch noch so schlecht u lesen war, wenn man nicht genau aufgepasst hat.

Das heißt, da haben wir aber auch schon einen der ersten neueren Trust Anchors, also der Vertrauensanker, ist deine postalische Adresse u Hause.

Du bist du, wenn du Post entgegennehmen kannst an deiner...

Postalischen Adresse.

Papierpost.

Papierpost.

Hat Vor- und Nachteile.

Der Vorteil ist, dass es schon irgendwie, so dieses Postsystem ist einigermaßen abgehangen, gibt es schon eine Weile.

Man kann einigermaßen darauf vertrauen, dass das Passwort ankommt und dass es genau die richtige Person erreicht.

Aber auf der anderen Seite, bei der Post in letzter Zeit werden ja auch Menschen beschäftigt, die vielleicht nicht die Zeit haben, so ganz gründlich die Listen uzustellen.

Es gibt Mitbewohner, die diese Briefe aufmachen können.

Und das ist, ja ...

Das dauert vor allen Dingen tierisch lange.

Und es ist nicht convenient, genau.

Das heißt, wenn man einmal so eine Liste verbummelt hat und nachbestellen muss, dann muss die erst gedruckt werden von spezialisierten Firmen, bis die u Hause sind.

So, das heißt, dass es dann über die Zeit, als das so ein bisschen inconvenient wurde, immer wieder auf die Papierpost u warten Und Postident auch nicht, muss man erst ur Post latschen.

Ich habe gesagt, pass auf, ihr habt doch irgendwie alle E-Mail-Adressen, lasst uns doch einfach um Account recoveren, also um Passwort urücksetzen, eure E-Mail-Adresse benutzen.

Mit der habt ihr euch ja am Anfang eh eingeloggt, damit habt ihr bewiesen, dass ihr Zugriff auf diese E-Mail-Adresse habt.

Dann können wir das ja einfach als Vertrauensanker benutzen und sagen mit dem Account, das u deiner E-Mail-Adresse ugewiesen oder ugeordnet ist, kannst du einfach dein Passwort resetten, indem du dort wieder eine Mail hinschicken lässt.

Das heißt, das ist dann ein weiterer Vertrauensanker, dass deine, sagen wir, Yahoo-Adresse schon auch nur unter deiner Kontrolle ist, nur von dir gelesen wird mit all den Blicken, die wir als technikaffine Menschen ja auf die Vertraulichkeit von E-Mails so haben.

Die ist also, um es mal deutlich u sagen, einfach mitlesbar sozusagen.

Die wird in der Regel nicht verschüttelt, verschickt und hat damit natürlich auch ein Sicherheitsproblem.

Und man kann sich dafür Dutzende oder Hunderte automatisiert bei größeren Firmen anlegen und damit keine Eins- u-Eins-Beziehung mehr, was ja einige Anbieter auch total gerne hätten für so einen Account.

Deswegen kam dann irgendwann Mode u sagen, ach, da draußen, die Menschen haben doch eh alle nur Mobiltelefonen.

Und damit auch wingend einen Mobiltelefonvertrag.

Und dieser Mobiltelefonvertrag, der hat die schöne Eigenschaft, dass er auf jeden Fall irgendjemand seinen Ausweis gezeigt hat, um so einen Mobiltelefonvertrag u bekommen.

Und damit können wir schon iemlich sicher sein, dass wir, damit kriegen wir auch Abstimmung beim Eurovision Song Contest hin.

Wir können damit einfach fest und sicherstellen, dass es eine Person ist, die da ihren einen Mobilfunkvertrag hat und dann auch nicht mehrfach abstimmen kann.

Also wissen wir eigentlich auch, dass alles was für E-Mails gilt in der Zustellung von solchen Nachrichten auch übertragen wird.

Diese Kurznachrichten, die über den SMS versendet werden.

Ich weiß es gar nicht genau.

Haben mehr Leute eine Mail als einen Mobiltelefonvertrag?

Ich würde mal vermuten, die Anzahl dürfte so ungefähr gleich sein.

Ich würde jetzt da einfach kurz im Wikipedia nachgucken, aber das ist unhöflich, während die Zuhörer warten, dass wir was Schlaues sagen.

Nein, nein, das kam ja nur gerade vom Statistischen Bundesamt die Nachricht, dass so 10 Millionen Menschen in Deutschland keinen Internetzugang haben, also nie das Internet benutzen und auch kein Mobiltelefon haben und ich warte doch relativ viel.

Und ich vermute mal, wenn du keine Mailadresse hast und kein Mobilfunkvertrag, dann sollst du so ungefähr der selbe Anteil der Bevölkerung sein.

Ich würde es vermuten einfach nur.

Aber mir geht es nur darum, dass man natürlich bestimmte Leute damit ausschließt.

Einfach nur, um mal so ein bisschen die Relation herzustellen, weil die meisten denken, jeder hat es, aber jeder hat es halt nicht statistisch.

Das kommt schon immer auf den Dienst an, von dem wir gerade sprechen.

Das heißt, die Wahrscheinlichkeit, dass jemand keine E-Mail-Adresse und keine Mobiltelefonnummer hat, geht damit einher, dass sie auch keinen Wikipedia-Account sich klicken wollen oder etwas Ähnliches.

Die werden auch beim Online-Banking dann nicht teilnehmen, sondern eher noch zu ihrer Bank oder ihrer Versicherung in persona hinlaufen müssen müssen.

Aber es ist auch immer schwieriger, weil auch die natürlich Filialen dieser Institute so weit ausgedünnt werden, weil es ist ja klar, da kann ja inzwischen jeder sein Mobiltelefon benutzen.

Und ja, da werden Menschen ausgeschlossen und diese Menschen, das wird sich jetzt beschleunigen, diese Menschen werden weiter ausgeschlossen werden, weil sie plötzlich nur noch einen kleineren Teil ausmachen von den Kundinnen der Bankenversicherung und anderer Seiten, die solche Passwörter anbieten müssen.

Und eigentlich sind wir mit dem Abriss gleich fertig, dass es ja inzwischen so weit dann ging, dass dem Passwort selber gar nicht mehr vertraut wurde.

Passwörter werden ja so häufig von Nutzern, die sich die selber ausdenken dürfen, auf diversen Diensten die gleichen Passwörter benutzt, sodass regelmäßig Passwort-Leaks durch die Dark-Webs dieser Welt schwappen, in denen dann ein Passwort eigentlich nicht mehr als vertrauenswürdig betrachtet werden kann von einem Dienst, der was auf sich hält.

Und damit hat sich dann eine neue Technologie oder eine neue Prozedur entwickelt, die sich Zwei-Faktor-Authentifizierung nennt, mehrere Faktoren, wo dann neben deinem Passwort, was du erst mal wissen musst, danach nochmal eine Bestätigungsnachricht versendet wird, entweder wieder per E-Mail oder per Kurznachricht auf deinem Mobiltelefon, mit dem du dann nachweisen musst, dass dein Vertrauensanker, den du da ganz am Anfang dabei hattest, in deinem Besitz ist und musst dann das entweder den dir ugesendeten Zahlencode nochmal eingeben oder auf den Link draufklicken, der in dieser E-Mail oder Kurznachricht drin war, um u bestätigen, dass du immer noch.

Herr oder Frau über dieselbe Hardware bist, die du beim ursprünglichen Abschließen dieses Vertrags hattest.

Und damit sind wir so ein bisschen beim Kern, worüber wir heute eigentlich reden wollen, wo da so ein bisschen die Kritiken sind.

Ich glaube auch, jemand, der sich mit Computern nicht so gut auskennt, wird sich was vorstellen können unter Zwei-Faktor-Authentifizierung, schlicht weil er eine Bankkarte haben wird.

Und das ist ja eigentlich der Klassiker der Zwei-Faktor-Authentifizierung.

Du hast sozusagen ein, oder Authentifizierung ist es im Deutschen, du hast eine Karte und du musst usätzlich, also quasi Hardware.

Du musst usätzlich aber ein Wissen haben, nämlich die PIN-Nummer, um das u benutzen.

Ja, PIN, nicht PIN-Nummer, hast ja recht.

Und ich glaube, das ist so etabliert, dass fast jeder kennen wird, zumindest jeder, der ein Konto hat und auch schon seit, ich würde sogar sagen, zwei Jahrzehnten, vielleicht sogar schon länger.

Wobei das ja ein historisches Beispiel ist.

Ich würde nicht mehr von wei Faktoren sprechen.

Wenn ich auf einem Handy erst die Banking-App habe, dann gehe ich in die andere App, hole mir den Code, gehe wieder in die erste App, ist irgendwie immer noch das gleiche Gerät.

Da ist ja sozusagen eigentlich dann die SMS und E-Mail und du beschreibst es mit der App schon deutlich schlechter als wei Faktor, was ich jetzt beschrieben habe aus dem Bankensektor.

Ich glaube, die Ausrede an der Stelle ist, dass Zugang u diesem Telefon erst mal nur dir gelingt, wenn du beweisen kannst, dass du bist.

Also, dass das weitere Faktor ich bin dazu kommt, neben dem ich besitze und ich weiß, sondern dass du inzwischen irgendwelche Biometrie-Features in deinem Telefon angemacht haben musst, um nachweisen u können, dass du als Person vor deinem Telefon stehst.

In der Biometrie haben wir jetzt noch nicht angesprochen, könnte natürlich auch immer ein weiter Faktor sein, dass man eine Form von, also um Beispiel Stimme oder gebräuchlicher sind sicherlich die Fingerabdrücke oder Gesichtsscan benutzt als weiten Faktor, das wäre ja auch noch eine Variante.

Also wir müssen vielleicht mal sagen, was sind denn typische weite Faktoren, die heute verwendet werden?

Wir haben jetzt ein paar so angesprochen, aber welche sind so die meistbenutzten?

Was würdet ihr sagen?

Ich habe etwas.

Also einmal, klar, das Passwort, das nehmen wir mal als erstes.

Also ich weiß was.

Genau.

Und als weiten Faktor dann, aber ich habe meine Mobilfunknummer und die habe ich auch morgen noch.

Also ich habe die SIM-Karte oder die eSIM auf meinem Telefon mit dieser Mobilfunknummer konfiguriert.

Und das ist ja auch, glaube ich, der Grund, warum, also wir kommen ja nachher noch ein bisschen näher auf SMS u sprechen, Aber das ist natürlich auch der Grund, warum es interessant ist für das, was wir veröffentlicht haben, weil ja da direkt SMS betroffen sind.

Also ein Anbieter, der für andere diese Authentifizierungsverfahren durchführt und war via SMS.

Also man bekam dann um Beispiel in einem Mal Passwort per SMS.

Und wer das nicht mehr kennt, es gibt ja unter den jüngeren Leuten einige, die irgendwie nur noch Messenger und WhatsApp kennen.

SMS ist natürlich ein Nachrichtenformat, aber auch schon seit vielen, vielen Jahren kritisiert dafür, dass es verschiedene Möglichkeiten gibt, SMS-Inhalte für solche, die das nicht lesen sollen, mitzulesen.

Ich glaube, das bekannteste, da kommen wir vielleicht noch ein bisschen genauer drauf.

Aber neben der SMS, was ist heute noch typischerweise verbreitet?

Na eben die E-Mail.

Ja, würde ich auch sagen, wahrscheinlich genauso oft, könnte ich mir durchaus vorstellen.

Also ich habe keine statistischen Zahlen dazu gefunden.

Ansonsten gibt es noch so FIDO2-kompatible Tokens, also so YubiKeys und Konsorten, in denen dann eitbasiert einmal Passwörter angezeigt werden, was dann schon wieder sowas ist wie TAN-Listen, aber eben automatisch generiert über die Zeit, die dann immer nur für einen bestimmten Zeitraum gelten.

Was ist denn mit diesen Geräten, die vermutlich viele kennen von ihren Banken, so Hardware-Token, die sie mitnehmen müssen?

Würden die dazuzählen oder ist es oft eher noch ein dritter Faktor?

Ja, die gab es da in diversen sehr bunten Ausprägungen.

Teilweise wo man blinkende Muster auf seinem Bildschirm fotografieren musste, wo die Bank dann im JavaScript Dinge erzeugt hat, die mit diesem blinkenden Muster wieder übereinstimmen mussten.

Da gab es echt viel.

Auch die HBCI-Lesegeräte, das heißt diese ganze Smartcard-Technologie, wo am Ende dein Vertrauensanker wieder der Hersteller und am Ende dann du als Inhaber dieser Smartcard mit diesem kleinen lustigen Hardware-Security-Token da drin eben bist.

Okay, mein Eindruck ist, dass diese Token verbreiteter sind im Bereich Business und Unternehmen und weniger bei diesen Endverbraucherdiensten.

Also bei Banken vielleicht noch schon.

Also ich kenne eine ganze Menge Leute, Leute, die so Sachen tatsächlich haben, auch mehrere, wenn man bei mehreren Banken Kunde ist.

Aber auch da, ich vermute mal im Vergleich u E-Mail oder SMS, ist das noch sehr viel seltener benutzt, würde ich denken.

Naja, was jetzt aber richtig Schwung gerade aufnimmt, ist, dass jede Bank oder jede Versicherungsdienstleister oder eigentlich jeder möchte, die ihre eigene App reindrücken, sowieso um mehr Kundenbindung u machen.

Aber diese Apps haben dann, je nachdem auf welchen der beiden Flavors von Mobiltelefonen man da gerade unterwegs ist, die Möglichkeit, Push-Benachrichtigungen in diese App uzustellen, sodass du als weiteren Vertrauensanker dann den Hersteller des Telefons hast, der über sein oder ihren Push-Service erlaubt, direkt in die App dir den Code uzustellen.

Den Einmalkode, den du danach brauchst, um u beweisen, dass du das Telefon in der Hand hast und eventuell dich gegenüber deinem Telefon, als du selber nachweisen kannst und die Kommunikation wischen deinem, dem Anbieter, dem Diensteanbieter und der App, den dieser Diensteanbieter auf dein Telefon drauf installiert hat über dich.

Das ist mindestens einmal verschlüsselt vom Anbieter dieses Betriebssystems, sei es jetzt Android oder sei es iOS.

Und natürlich hält einen als Hersteller so in einer App nichts davon ab, selber nochmal nachzuverschlüsseln.

Wobei ich weiß nicht, wie viel Sicherheit man dann noch gewinnen kann, weil man ja eh dem Hersteller das Betriebssystem vertrauen muss an der Stelle.

Damit ist schon eher, glaube ich, auch bei Banken verbreitet.

Also, dass andere Dienste so ein bisschen diese, ja, du musst jetzt hier diese App runterladen, ist, glaube ich, noch nicht so weit verbreitet.

Ihr kennt das von Diensten, also die jetzt nicht um Beispiel Banken sind, wo das ja schon länger so gemacht wird.

Aber damit schließt man natürlich wiederum eine Anzahl von Menschen aus, die SMS empfangen können, weil sie ein Telefon haben, aber die vielleicht kein Smartphone haben.

Und ein Smartphone, wie wir alle wissen, ist natürlich auch ein teurerer Device als um Beispiel ein 25-Euro-Feature-Phone.

Und du musst natürlich auch damit umgehen können.

Das ist ja immer noch so eine Sache.

Traust du dir u, mit den ganzen E-Mails umzugehen oder traust du dir u, die lauter Apps u installieren oder einzuschätzen, wie du darüber welche Passwörter empfängst?

Also ich glaube, da gibt es nochmal eine gewisse Hürde, man schließt da wieder Leute aus.

Aber ich glaube dennoch, oder umindest glaube ich u beobachten, dass das mit den Apps eher unimmt.

Ich weiß nicht, ob ihr das auch so seht.

Ja.

Würdest du auch sagen?

Definitiv.

Also ein gutes Beispiel sind Menschen mit Google-Account und Android-Handy, die sich dann im Browser in ihr Mail-Konto einloggen wollen.

Und dann geht auf dem Handy, obwohl gar keine App installiert ist, eine Nachricht auf, weil das so tief ins Betriebssystem integriert ist.

Ich wusste gar nicht.

Ich bin ja Google-Fan.

Ach echt, ja?

Ich glaube, das passiert unter iOS.

Funktioniert das so ähnlich?

Alle möglichen Dienste, die da grob von Apple bereitgestellt werden, machen dann großes Trari-Trara.

Ich war beim Kumpel u Besuch, der sein gesamtes Heim mit Apple-Devices geflastert hat und als der dann einmal sich von einem neuen Gerät eingeloggt hat, klingelten plötzlich 20 Telefone und Tablets und Computer im ganzen Haus, alle mit der Aufforderung, ganz dringend mal nachzugucken, ob die neue Anmeldung dort korrekt ist oder nicht.

Das war auch bedrückend.

Also wir halten jedenfalls mal fest, die Macht der beiden großen Mobilbetriebssystemhersteller Apple und Google, die wächst eher in Bezug auf die Sicherheit von Zugangsdaten und Passwörtern.

Das muss man wahrscheinlich einfach konstatieren.

Also klar, die SMS ist ein Dienst, der so gut wie auf jedem Phone möglich ist, aber er hat schwierige Sicherheitsparameter, die auch lange bekannt sind, die auch ausgenutzt werden aktiv.

Aber natürlich die Tatsache, dass man wechselt u Apps ist nicht nur vorteilhaft, denn ein paar Leute können da nicht mitgehen oder wollen vielleicht auch nicht mitgehen.

Und es gibt ja übrigens auch noch andere Mobilbetriebssysteme als Android und Google und Apple meine ich.

Naja, aber okay.

Wollen wir mal ein bisschen reden über den aktuellen Vorfall, über den wir berichtet haben, weil da ja nicht so ein bisschen der Klassiker, wie man auf Inhalte von SMS zugreifen kann, sondern eher so ein, also in der Pressemeldung war die Formulierung vernachlässigter Angriffsweg.

Weg.

Wollen wir ein bisschen darüber sprechen?

Erstmal wollen wir vielleicht mal sagen, der Hack ist von einer dritten Person gemacht worden, über die wir aber nicht näher sprechen.

Die möchte anonym bleiben.

Also wir haben sozusagen nur veröffentlicht und nachvollzogen, was jemand anders technisch durchgeführt hat.

Denn es gibt ja immer noch so Hacker-Paragraphen und nicht jede Firma mag es, wenn man sie auf Datenlecks hinweist.

Insofern sind wir eingesprungen.

Dann sag mal ungefähr, wenn du willst, ein bisschen was dazu sagen, wie das ustande kam, bevor diese Pressemitteilung rauskam.

Aber du kannst es natürlich auch weglassen, wenn du sagst, da rede ich lieber nicht drüber.

Ich glaube, da gibt es später nochmal eine Möglichkeit.

Ich rede da noch nicht drüber.

Aber die Person und ich haben schon eine Weile miteinander u tun und ich berate die Person beim Melden von Sicherheitslücken gelegentlich.

Und diese Person ist dann hier auf ein ganz bestimmtes Datennetz gestoßen, was technisch völlig langweilig ist.

Denn man musste einfach nur eine Subdomain raten von einem Amazon S3 Bucket, also so eine Dateiablage von Amazon, wo man Dateien hinwerfen kann und Dateien wieder abrufen kann.

Und dieses Bucket war schlecht, gar nicht geschützt.

Das heißt, es reichte, die Subdomain u raten, die Seite aufzurufen und dann hat die Seite einem gesagt, welche Dateien da alle liegen.

Und diese Dateien konnten dann auch heruntergeladen werden.

Es waren ein paar mehr, nicht nur so drei, sondern mehr so Millionen.

Ich weiß gar nicht, wie viele Dateien es waren, aber wir wissen, dass da etwa 200 Millionen SMS auch lagen.

Mhm.

Und wie viele davon waren tatsächlich Einmalpasswörter?

Also kannst du ein bisschen was ur statistischen Verteilung?

Also wir haben aus Gründen natürlich nicht alle SMS angeschaut.

Aber das, was wir gesehen haben, waren ganz überwiegend so wei Faktor Codes.

Einfach so sechs Ziffern häufig, die man eingeben darf.

Selten Hinweise auf eine um Beispiel Kreditkartentransaktion, wo dann auch noch vier Ziffern der Kreditkartennummer auftauchen.

Auftrafen.

Möglicherweise noch eine Summe oder so, die transferiert wird?

Genau, die auch.

Und in wenigen Fällen, um Beispiel bei Amazon, war dann auch so ein Ein-Klick-Login-Link u sehen.

Den man eigentlich nicht mehr haben will, aber der offenbar noch verschickt wird.

Das war dann ein Einfaktor Authentifizierung.

Kannst du das nochmal deutlich herausstellen?

Der Punkt ist nämlich, dass diese Zwei-Faktor-Authentifizierung in letzter Zeit wegen der Bequemlichkeit u einer Einfaktor-Authentifizierung wird, weil du hast ja eh Zugriff auf das Telefon und könntest dir damit also das Passwort eh usenden und erneuern lassen.

Das heißt dort an der Stelle verliert der Begriff Zwei-Faktor-Authentifizierung plötzlich wieder seinen Sinn.

Genau, es gibt Seiten, wo man dummerweise nur noch seine Mobiltelefonnummer eingibt, dann kriegt man eine SMS, gibt den Code ein und ist eingeloggt.

Und das ist dann keine Zwei-Faktor-Authentifizierung.

Also und man hat ihnen zusätzlich seine Mobiltelefonnummer geschenkt, die ja auch unter Privatsphäre-Aspekten sicherlich auch ein Datum ist.

Was ja aus Sicht der Unternehmen schön ist, denn damit hast du wahrscheinlich nur einen Account auf dieser Seite und nicht mehrere um Beispiel.

Gleich einen X-Keyscore-Selektor mit übergeben.

Exactly, genau.

Okay, aber wie viel würdest du sagen, wie viel waren jetzt wirklich so, wo es eigentlich One-Factor-Authentification war?

Würdest du sagen, schon 10% oder 1% oder 50%?

Ungefähr.

Ich sag mal 10% oder weniger.

Also vergleichsweise wenig, wenn du jetzt an die großen Mengen denkst.

Die meisten waren halt schlicht, also entweder sechsstellige Transaktionsnummern, die man für Banking braucht oder für WhatsApp oder so.

Oder 180 andere Unternehmen.

Ja, richtig.

Spannend.

Da kommen wir überhaupt u der Frage, was macht diese Firma eigentlich?

Warum kann nicht die Bank einfach selber, wenn sie dort eh schon ein Rechenzentrum betreibt mit Computern, Und warum schicken die nicht einfach diese Codes per SMS raus?

Was ist die Nische, die dort diese Firmen eigentlich füllen?

Diese Firma ist Dienstleister für Dienstleister.

Und diese Firma hat sich einfach nur darauf spezialisiert, SMS u verschicken.

Also die Firma hat noch ein kleines weites Standbein.

Aber das erste Standbein ist, du sagst ihr, was du verschicken möchtest, an wen.

Und die Firma macht das für dich.

Also man kann sich vorstellen, dass da nicht bei irgendeiner Bank so ein Mitarbeiter oder Mitarbeiterin rumsitzt und jedes Mal, wenn ein Benutzer was klickt, schnell mit ihrem Mobiltelefon dort einen Zahlencode sich ausdenkt und dem Kunden uschickt.

Sondern da gibt es standardisierte Interfaces, also Schnittstellen mit Firmen, die das dann anbieten.

Die nehmen dann wahrscheinlich was entgegen, so Zielrufnummer und Inhalt oder...

Entweder das oder da ist eine Schnittstelle, wo einfach nur noch die Rufnummer angegeben wird.

Die Firma generiert dann für dich als Dienstleistung die sechs Ziffern und teilt diese sechs Ziffern dem Kunden, der Kundin mit und dem Unternehmen.

Wir haben die auch benannt.

In dem konkreten Fall heißt die Firma Identify Mobile und ist aus Großbritannien.

Ja, im Moment der erste Schritt war ja, dass diese Firmen sind ja nicht direkt zu Identify Mobile gegangen, sondern sind u einer Firma namens Twilio gegangen und haben bei denen diese Dienstleistungen eingekauft.

Twilio kennen glaube ich in Deutschland mittlerweile relativ viele, weil die sich bei ganz vielen Online-Shops mittlerweile, also umindest glaube ich, dass viele eher denen ein Begriff ist und Identify Mobile wahrscheinlich hier niemand kennt, weil das ja eben so ein unsichtbarer Subunternehmer ist.

Genau, das ist eine britische Firma, die diese Dienste anbietet.

Ich glaube, der größte oder einzige Konkurrent in Deutschland von Twilio ist Verimi.

Die aber mittlerweile, glaube ich, auch viele kennen, wegen der Bahn, oder?

Also es ist ja schlicht so, dass immer dann, wenn ein ganz großer Anbieter, die viele Menschen benutzen, sich mit diesen Dienstlästern schmücken, dann kennt man plötzlich deren Namen.

Das ist ja vorher, glaube ich, nicht so bekannt gewesen.

Da möchte ich dann den Kreis auch gleich wieder schließen.

Wir haben ja angefangen mit den Vertrauensankern.

Hurra, was ist das für eine großartige Monokultur oder ein Duopol gar, was wir uns da angelegt haben, den wir jetzt mit unserer Accountsicherheit komplett alle Eier in den Korb oder die beiden Körbe reinlegen.

Aber warte mal, wenn das die Briten sind, dann sind die für die die DSGVO nicht, die Datenschutzgrundverordnung der Europäischen Union, sehe ich das richtig?

Nein, klar.

Die verarbeiten Daten von Leuten, die sich in der EU aufhalten.

Gut, und damit würde auch sozusagen der berühmte Artikel, der auch die IT-Sicherheit betrifft, Natürlich gelten denn auch, also man betrachtet die ja als Datenschutzgrundverordnung, aber die hat ja durchaus auch Bezüge ur IT-Sicherheit, denn auch da steht ja einige drin.

Das würde dann ja hier voll greifen.

Stand der Technik war der Schutz jedenfalls nicht, nein.

Das kann man wohl sagen.

Das heißt, Sie hätten auch eine Meldepflicht?

Nein, Sie sind ja nur vermutlich Auftragsdatenverarbeiter.

Das heißt, Twilio selbst um Beispiel oder vielmehr die Bank sogar hätte ihre Kundinnen und Kunden informieren müssen.

Das sind dann aber doch relativ viele.

Wir hatten die eine oder andere irritierte Nachfrage von noch größeren Firmen, die von Twilio informiert wurden über diesen Vorfall.

Und Twilio und auch schon vorher Identify Mobile haben sich das ja nicht nehmen lassen, nochmal den Chaos Computer Club schön in ihrer Information an ihre jeweiligen Kundinnen mit reinzunehmen in wei mittellangen Absätzen.

Okay, das muss man ein bisschen genauer erklären, wer das jetzt vielleicht in der Pressemitteilung nicht gelesen hat.

Also erstmal, die haben sich überhaupt an den TTC gewandt, richtig?

Weil sie wissen wollten, ob ihr die Inhalte der SMS noch habt?

Also Schritt 1, wir haben diese Lücke gemeldet.

Wir haben diese Lücke nicht direkt an Identify Mobile gemeldet, weil wir noch gar nicht wussten, wem gehört dieses Bucket.

Das steht da nicht dran und das ist ein Riesenproblem.

Wir haben also gesehen, welche Firmen da betroffen sind und haben mehrere davon angeschrieben, unter anderem Amazon.

Und irgendeine dieser Firmen hat reagiert und das Lack wurde geschlossen.

Wir wussten dann aber noch nicht, ist das Identify Mobile, ist das wer anders?

Haben nochmal überlegt und manches sprach für Identify Mobile.

Ich wollte jetzt aber nicht auf Identify Mobile ugehen und sagen, hier euer Datenleck.

Wie sieht das denn jetzt damit aus?

Also ich wollte denen nicht direkt vorwerfen, dass sie ein Datenleck hatten, sondern die Möglichkeit offenhalten, dass sie es nicht waren.

Also habe ich ihnen geschrieben, dass das Leck jetzt ja geschlossen worden sei und ob sie noch Fragen haben.

Und da sind sie voll drauf eingestiegen.

Okay, dann ist ja wohl alles klar.

Okay, jetzt sozusagen war aber auch ein bisschen eine Rechtssicherheit, die du damit hast.

Du hast ihnen ja dann, ja, sie haben ja letztlich gesagt, dass es ihrs war.

Sehr lange nicht.

Also wir haben über sehr konkrete Dinge gesprochen und wir haben von dem Bucket gesprochen, aber es ist nie konkret benannt.

Ich habe noch ein Verständnisproblem, bei dem du mir vielleicht helfen kannst.

Warum müssen denn für so Nachrichten, die eigentlich nur ganz kurz sind und von einer Firma per SMS versendet werden, warum müssen die sich in so einem großen Bucket da akkumulieren?

Vielleicht gibt es irgendwelche dienste die da gesteigertes interesse haben aber also so ein bucket kostet ja geld und da lagen terabyte an daten so dass das kostet richtig das kann nicht sein dass da irgendjemand durch ufall mal also das ist fällt auf der nächsten abrechnung auf sagst du dass dort so so ein bucket mit daten die du sagst du muss man bezahlen und der chef von der Firma sieht es auf seiner Kreditkarte und würde sich spätestens dann die Frage stellen, oh, warum liegen denn da mehrere Terabyte Daten von etwas, wo wir eigentlich nur Kurznachrichten durchreichen?

Würde ich stark von ausgehen, auch vor dem Hintergrund, dass Identify Mobile ansonsten relativ sparsam ist und eine sehr alte Webseite um Beispiel hat, sogar ohne TLS-Zertifikat.

Upsi, schnupsi.

Aber das kann auch sein, dass es dann günstiger war.

Also das ist ja tatsächlich, Den Aspekt haben wir ja noch nicht gesprochen.

Geld.

Das ist ja eine Dienstleistung, das wird u Zehntausenden pro Sekunde gemacht.

Da kommen sehr schnell Millionen SMS usammen.

Da geht es ja sicherlich darum, dass man Geld spart pro Transaktion.

Ich glaube, Twiglio warbt damit, dass es irgendwie mehrere Milliarden am Tag sind, Nachrichten, die sie dort verschicken.

Ich habe irgendwo den Tab noch offen, finde den gerade nicht.

Aber ja, die Größenordnung ist schon so, dass etwas, was, ne, früher haben ja diese SMS-Kurznachrichten noch wirklich ernsthaft Geld gekostet.

Wir erinnern uns, dass wir früher 20 Cent, oder nur noch 50.

Oh, das war aber, glaube ich, schon über 20 Jahre her, oder?

Oh je.

Aber das liegt daran, dass diese Kurznachrichten tatsächlich auf den Kanälen, mit denen dein Telefon mit der Basisstation spricht, tatsächlich Zeitslots wegnehmen.

Das ist wirklich eine begrenzte Ressource im Gegensatz u anderen Dingen wie vielleicht Push-Nachrichten, die durch paketvermittelten Kram durchgehen, sodass da am Ende noch wirklich ...

Mindestens an der Stelle, aber auch wenn du es über Grenzen hinweg versendest, fallen dort immer noch reale Gebühren an.

Und diese Gebühren können in der letzten Zeit auch hart eingebrochen sein, aber es läppert sich.

Wenn du mehrere Milliarden Nachrichten am Tag schickst, dann kommt dort auch ordentlich Geld usammen.

Also wir gehen ja jetzt davon aus, in dem konkreten Fall haben wir es ja auch gesehen, Twilio nimmt sich dann halt einen Subunternehmer, der wahrscheinlich eine größere Menge abnimmt und den Preis, den Twilio macht, unterbietet und damit, also sonst würden sie sich ja, würden sie ja Kinderschaft machen.

Ja, oder sie haben irgendwo technische Probleme.

Twilio selbst nannte den ersten Subunternehmer Backup-Carrier.

Da gibt es also noch jemanden wischen und dieser Backup-Carrier hat dann selbst als weiteren Backup-Carrier Identify Mobile.

Das heißt, wir haben eine schöne SMS-Lieferkette und das letzte Glied in dieser Lieferkette hat ein Problem.

Ja, okay.

Wir wissen nicht, da könnte sogar noch jemand dazwischen sein, würden wir gar nicht wissen.

Ah, okay.

Aber das ist spannend, wenn du da irgendeinen Dienst machen möchtest.

Der vielleicht gerade so 10% günstiger ist als alle anderen und du damit dann ein größeres Volumen abnimmst, könntest du vielleicht auch den einen oder anderen Dienst aus einem anderen Land fragen, ob sie dir nicht nochmal einen Pfennig oder so ustecken wollen, das ausgleichen.

Und du musst es dann nicht mal selber ausliefern, sondern kannst dir wieder einen Subunternehmer suchen, der das dann für dich verteilt.

Und du hast nochmal einen schönen Einblick in spannenden Verkehr.

Du weißt dann, welche Mobiltelefonnummer bei welcher Bank meinetwegen ist oder welche Dienste man nutzt.

Ja, keine Frage.

Also ich muss aber nochmal eben auf eine Frage...

Also das...

Ich habe den Faden verloren.

Genau, also dadurch, dass Identify Mobile SMS verschickt, sehen die bestimmte Dinge.

Wer um Beispiel da SMS bekommt und das ist ein wunderbares weites Standbein von denen.

Oh no.

Denn du kannst denen eine Mobilfunknummer geben und Identify Mobile sagt dir dann, wer ist denn da der Anbieter, der dazu gehört, in welchem Land ist diese Nummer gerade, ist die Nummer gültig, ist sie gerade erreichbar, roamt die Person dahinter gerade in irgendeinem anderen Land und welche IMSI gehört denn u diesem Gerät?

Das sind ja alles sehr personenbezogene Daten, die finde ich sehr stark eingreifend in die Privatheit der Telefonbesitzer.

Da lassen wir die Kirche am besten im Dorf, weil das ist ein klassisches Feature von diesem SS7, von diesem Protokoll, was die großen Mobiltelefon- oder Mobilfunkanbieter untereinander sprechen.

Das heißt, dort u fragen, was ist denn das SMSC von einer bestimmten Mobiltelefonnummer gerade, das kann jeder machen.

Das kann jeder, der groß genug ist.

Jeder machen.

Identify Mobile bietet das aber halt auch als Dienstleistung dann nicht.

Ich will nicht sagen, dass es die Guten sind, aber das hat jetzt direkt mit dem Zustellen von den zwei Faktor auf SMS nichts u tun.

Nein.

Nee, schon, aber das hat damit u tun, dass einem...

Ja, aber der Punkt ist korrekt.

Ja, aber das hat natürlich schon damit u tun, zu wissen, dass diese Firma, die in dieser Kette drin sitzt, sozusagen dieser SMS-Verschick-Kette, nur da noch ein weites Schildkriterium.

mit draus macht.

Auch noch ihre Daten anreichert.

Ja, natürlich.

Also noch mehr Wissen hat.

Aber das unterstreicht ja nochmal den Punkt, den ich vorhin machen sollte.

Die Zwei-Faktor-Authentisierung, wie sie heute typisch ist, ist damit verbunden, dass du deine mobil, die Daten, die über deinen Mobilfunkvertrag bekannt sind, dass du die einfach weggibst.

Das ist natürlich irgendwie, das ist ein Nachteil, den ich nochmal klar so benennen will.

Und nicht jeder kann sich bei seinem befreundeten einen Shop an der Ecke, dann auch mal eine neue Burner-SIM-Karte, also eine weite SIM-Karte besorgen.

Faktisch gibt es keine Burner-SIM-Karten mehr, jedenfalls nicht nach der Rechtslage.

Die in der EU wollten ja sozusagen die Gesetzgeber der EU sagen, wir wollen keine Burner-Telefone mehr, sondern jeder muss sich identifizieren, wenn er einen mobilen Vertrag macht.

Das ist ja sozusagen politisch so vorgesehen.

Ich habe einen Flohmarkt bei mir um die Ecke, da gehe ich hin, da gebe ich einen Zehner hin und kriege ein Mobiltelefon und da ist eine SIM-Karte drin.

Das ist schön, aber ich rede ja von der Rechtslage.

Und nicht in allen EU-Ländern ist das schon umgesetzt.

Also das ist richtig.

Und wir haben ja jetzt auch noch verbreitet eSIMs, würde ich vielleicht mal kurz erwähnen.

Da sieht die Sache ja ein bisschen anders aus.

Und Spoiler-Alarm, es gibt auch anderswo Sicherheitslücken, wo man dann Zugriff auf diese Systeme hat um Verifizieren der Identitäten.

Da könnte man ja vielleicht demnächst mal ccc.de reloaden oder so.

Genau.

Genau, aber das ist ja Zukunftsmusik und wir sind, ich habe es noch nicht erwähnt, wir sind Ende Juli 2024, nur weil ich immer sehr gerne irgendwann sage, Falls wir uns irgendwie 2030 in irgendeinem Player befinden.

Donald Trump ist gerade ins Ohr geschossen worden.

Der Bundeskanzler heißt Olaf Scholz.

Das ist unsere Zeit jetzt, nur weil ihr das später mal hört.

Dann könnt ihr auf die Archive des ccc.de klicken.

Da steht dann die Meldung von der Kartocke.

Gerade redet schon.

Okay, gut.

Also dann reden wir nochmal ganz konkret über diese 200, nee, erstmal noch über die Unternehmen.

Also ihr habt eine Liste in der Pressemitteilung sozusagen nur eine kurze Übersicht gemacht, da war halt so DHL drin und Amazon, also schon große Dienstleister.

Ja, wir haben da relativ willkürlich rausgegriffen.

Aber fast alle von GAFAM sind da.

Also Google, Amazon, Facebook, Microsoft, Apple fehlt.

Telegram, Airbnb, FedEx und DHL haben wir als Beispiel.

Aber ihr hättet sicherlich auch noch mehrere hundert andere nehmen können bei der Menge, oder?

Ich will jetzt ganz willkürlich Tinder.

Wie viele davon haben sich denn tatsächlich auf MCTC gemeldet?

Also die sind ja sozusagen jetzt am Ende dieser ganzen Kette.

Einige.

Einige, ja.

Also so richtig, es ist jetzt auch nicht sinnvoll, die einzeln anzuzählen, weil die haben dort ein wirkliches Problem gehabt, wo sie sich darauf verlassen haben, dass ihr Anbieter dort schon nach Stand der Datenschutzgesetze und nach dem Stand der Technik diese Aufgabe umsetzen.

Aber ja, einige waren auch sehr jovial, haben gemeint, naja, wir kennen euch ja, wir gehen mal davon aus, dass wir jetzt nichts mehr davon hören, dass ihr die Daten wieder gelöscht habt.

Und einige waren aber auch schon so, kriegen wir von euch nochmal schriftlich, das müssen wir ganz dringend unseren Kunden schreiben und wir wollen jetzt wie eine rechtssichere und ich schwöre mit beiden Fingern oben, dass diese Daten für nichts Böses verwendet werden, gelöscht wurden.

Denn was man ja nicht mit Sicherheit sagen kann, ist, dass nicht vielleicht auch jemand anders, den wir nicht kennen und jemand Drittes natürlich auf ebenfalls dieselbe Idee gekommen ist und bei Identify Mobile oder anderen solchen Anbietern, aber jedenfalls könnten natürlich auch andere diese Daten haben.

Und wir können uns iemlich sicher sein, dass Identify Mobile das nicht gründlich geprüft hat, denn die haben sich an uns gewandt und auch so drei IP-Adressen mitgeteilt und einen bestimmten Zeitraum gefragt, wart ihr das?

Und im weiteren Sinne waren wir das, haben das bestätigt.

Allerdings fehlten da Zugriffe, von denen wir wissen und die, die eigentlich hätten finden müssen.

Das sind also ganz genaue, naja, so gut wie ihre IT-Sicherheit war, so gut war dann ihre Prüfung.

Ich glaube, es gibt da noch einen Punkt, der wirklich interessant und schwer nachvollziehbar ist.

Grant Hockel, wenn du dir so einen AWS-Account machst und dort darin Daten speicherst, ist es denn für mich möglich, wenn ich von dem Bucket weiß, mir so eine Liste der Dateien darin abzuholen?

Standardmäßig nicht, das muss man so konfigurieren.

Was?

Nein!

Das heißt, weißt du, wie leicht es ist, sowas umzukonfigurieren?

Kann man da per Maus rutschen?

Man muss schon weimal Maus rutschen.

Es sind wei Dinge.

Man muss einmal das Auflisten der Dateien erlauben.

Das waren jetzt hier Dateinamen, die man nicht raten kann.

Und im weiten Schritt muss man das Herunterladen der Dateien erlauben.

Aber da klickt man einfach ein Häkchen und dann geht das?

Oder muss man ein Häkchen klicken und kriegt eine Monster-Terror-Warnung, ob man das wirklich möchte, mit etwas Rotem drin und muss dann da noch mal bestätigend draufklicken?

Da hören meine AWS-Kenntnisse leider auf.

Schade.

Da kommt nämlich eine große Monster-Terror-Warnung, wo man noch mal draufklicken muss, dass man das wirklich möchte.

Das heißt, da hat sich jemand echt hingesetzt und hat Sicherheitsfeatures, die in diesen Buckets standardmäßig dabei sind, absichtlich weggeklickt.

Und noch die Warnung ordentlich auch weggeklickt.

Und dabei, um das u tun, die Warnung ordentlich weggeklickt.

Ja.

Jetzt, also klar ist, nur für den Fall, den wir jetzt erstmal betrachten, da sind definitiv eine große Menge personenbezogener Daten betroffen, gar keine Frage.

Ist denn hier jemand ein Schaden entstanden und wer könnte gegebenenfalls dafür haftbar sein?

Das ist ja immer eine interessante Frage.

Also ist hier jemand ein Schaden entstanden?

Hm, auszuschließen ist es wohl nicht.

Genau, also ausschließen können wir es nicht.

Ich könnte deine WhatsApp-Nummer vielleicht geklaut haben, vorausgesetzt du hast WhatsApp.

Tut mir leid, Kantorke, no WhatsApp.

Vielleicht habe ich Finanztransaktionen in deinem Namen durchgeführt, weil ich ufällig dein Passwort schon hatte und nur noch die TAN brauchte.

Aber wer, naja, jetzt aber mal, also gut, man muss nicht unbedingt einen konkreten Schaden hier eigen, trotzdem kann man ja die Frage beantworten, wer wäre denn dafür haftbar?

Also wer muss sich dafür ur Verantwortung iehen?

Wir haben ja gesehen, das ist so eine Kette von Unternehmen, aber wer ist denn da eigentlich rechtlich verantwortlich?

Ich würde schon sagen, dass Schaden entstanden ist.

Würde ich auch sagen, aber...

Jetzt nicht unbedingt Dritten gegenüber, aber im Binnenverhältnis von Identify Mobile hoch Twilio hoch u den Nutzern von Twilio ist erstmal Reputationsschaden und generell Vertrauensschaden in dieses System entstanden.

Es gab Bergeweise von Nachrichtenverkehr wischen diesen Playern.

Das heißt, allein die Tatsache dieser, ich würde sagen, rücksichtslosen Fehlkonfiguration hat drin viel Arbeit erzeugt, die entstanden ist.

Und haftbar an der Stelle ist natürlich erstmal das Unternehmen, was dort nicht nach dem Stand der Technik gearbeitet hat.

Auf der anderen Seite wäre die Frage, ob sowas durch Prüfprozesse verhindert werden muss, ob dieses ewige Subcontracten, dieses Outsourcen, wie sagt man auf Deutsch?

Outsourcen, das ist mittlerweile verbreitet.

Auslagern.

Outsourcen von irgendwie noch einem und noch einem und noch einem Zwischenhändler, ob das nicht schon inhärent eine so schlechte Idee ist, dass es verboten gehörte?

Okay, jetzt hast du angesprochen, was wischen den Unternehmen ist.

Die können sich auf dem Zivilrechtswege ja behaken, wie sie wollen.

Aber was ich gemeint habe, sind die sozusagen Letztbetroffenen, die personenbezogene Daten, die am Ende sozusagen mit den Mobilfunkleuten usammenhängen, also mit natürlichen Menschen.

Und die sind ja von dieser Fehlleistung in enormem Maße vielleicht betroffen.

Also die Frage ist, ob da jetzt ein Schaden auch im Sinne der Datenschutzgrundverordnung besteht.

Wir haben ja auch Rechte, wir sind ja in Europa und war auch unmittelbar gegenüber dem Datenverarbeiter.

Was würdet ihr sagen?

Ich bin kein Jurist.

I'm not a lawyer.

Aber auf jeden Fall, die müssen das BIN 72 Stunden nach Kenntnis melden.

Beim besonderen Risiko auch ihre VerbraucherInnen informieren.

So sieht es aus.

Ich habe nicht davon gehört, dass sowas passiert ist.

Hätte es aber schon erwartet.

Und dann wollen wir vielleicht auch mal erwähnen, es gibt ja Bußgelder.

Auch übrigens, wenn man die Meldung den Aufsichtsbehörden unterlässt, die ist ja genauso hoch, die Geldbuße, wie die eigentliche Strafe nach der DSGVO, nicht wahr?

Und das sind 10 Millionen Euro beziehungsweise 2 Prozent des gesamten weltweiten Jahresumsatzes.

Also es sind ja durchaus hohe Geldbußen oder dieselbe auch für Nichtmelden und da könnte man sich ja schon mal fragen, ob die vielleicht doch lieber melden sollten.

Aber die Frist ist ja schon abgelaufen.

Nicht nur das.

Und ich glaube, das Risiko ist man umindest in Deutschland in manchen Bundesländern u klein.

Du meinst, weil die uständigen Behörden sich darauf nicht weiter kümmern?

Ich glaube, in Baden-Württemberg sind innerhalb eines Jahres 15.000 Euro usammengekommen an Bußgeldern.

Das ist ja lächerlich.

Aber wir wissen natürlich auf der anderen Seite auch, dass er durchaus im letzten Jahr den Trend gab, relativ hohe Bußgelder u verhängen, wo es möglich ist.

Also es gibt ja auch sehr aktive Datenschutzbehörden, nicht unbedingt in, also nicht hier so unbedingt, aber immerhin gibt es die ja.

Genau, aber wie sollen wir dahin kommen, wenn jetzt hier die betroffenen Unternehmen niemanden informieren, weder die Aufsichtsbehörden noch ihre Nutzerin, dann wird ja nichts passieren.

Ihr könntet ja, aber ihr habt sie ja nicht mehr.

Na gut, eventuell wird am Ende niemand fette Geldbußen ahlen müssen, weil der wiederum schade ist.

Das wäre ja eigentlich schön.

Potenziell waren es aber eigentlich alle.

Die Unternehmen wurden jetzt informiert, in welchem Zeitraum auch diese Daten einsehbar waren.

Die könnten ja nachgucken, welche von ihren Kundinnen sie in der Zeit über ihre Zwei-Faktor-Auslösungen informiert haben, über neue Passwörter, einmal links und ähnliches.

Und könnten da jetzt eigentlich auch alle anschreiben.

Könnten, aber auch u viele Datenschutzbehörden, glaube ich, vertrauen einem Unternehmen, wenn das Unternehmen sagt, Sagt, ja, ja, wir haben die Logdaten geprüft, da ist nichts abgeflossen.

Oder sie formulieren es andersrum.

Es deutet nichts darauf hin, dass Daten abgeflossen sind.

Ja, genau.

Also, klar.

Aber, also, ich will nochmal, nur falls das nicht ganz klar war.

Also, das Interessante ist ja, dass ihr Live-Zugriff hattet.

Denn in der Regel sind diese Einmalpasswörter ja für einen bestimmten Zeitraum.

Das haben wir vielleicht noch nicht erwähnt.

Das Interessante ist ja, dass ihr sozusagen in dem Moment, wo die abgeschickt werden, die schon sehen konntet, nicht wahr?

Fast.

Also, die Daten wurden in Intervallen geschrieben.

Aber das war ein festes Intervall.

Das heißt, ich glaube sogar 30 Minuten.

Aber wenn wir dann wei Minuten vor diesen 30 Minuten unseren weiten Faktor anfragen, dann haben wir danach noch drei Minuten Zeit, den auch einzugeben.

Okay, das haben wir vielleicht auch noch nicht erwähnt.

Also der Großteil hat halt schon noch...

Passworts bedürft.

Also ihr hättet oder böswilliget ihr sowieso nicht, aber jemand anders böswilliget, hätte ja nicht mit allen diesen Inhalten der SMS-Wart konkret anfangen können, ohne nicht die Passworte u haben.

Korrekt?

Nee, das nicht.

Aber es gibt ja sehr viele Daten, Lex.

Es waren hier sehr viele SMS.

Ich glaube, das skaliert gut.

Ja, für jemanden, der Böses möchte.

Ja, auf der einen Seite, wenn dann in so einer Kurznachricht drinsteht, möchten Sie Ihre Überweisung an den Erwachsenen-Spielzeug-Versand über 500 Euro bestätigen, dann nehmen Sie die sechsstellige Nummer.

Ist schon auch vom Inhalt her...

Kann jemandem um Schaden gereichen, allerdings auch nur jemand mit einer sehr prüden Erhaltung.

Naja, natürlich.

Also klar, die Inhalte sind auf jeden Fall auch für die Privatsphäre von Menschen relevant, klar.

Also ist ja, glaube ich, unbestritten.

Okay, gibt es da jetzt noch ein Kapitel 2 für die Beschreibung dieses Sicherheits...

Also, kommt da noch mehr?

Ich würde hier erstmal einen Haken dran machen.

Also mal gucken, ob Identify Mobile sein Geschäftsmodell irgendwie anfasst, ob vielleicht doch irgendwelche Unternehmen nochmal Leute informieren, aber erstmal würde ich hier nichts Großes erwarten.

Naja, dann müssen wir ja natürlich in medias res gehen, wie ihr euch gedacht habt schon.

Dann jetzt müssen wir darüber reden, was...

Also, das ist ja spezielle Kritik auch, die er sich daran auch festmacht.

Jetzt müssen wir darüber reden, wie wäre es denn besser?

Was gehört total, sollte überhaupt nicht mehr gemacht werden?

Und wohin sollte es gehen?

Ich denke mal, das sind wir jetzt den Hörern auch schuldig, oder?

Vielleicht bevor wir dorthin gehen, nochmal hervorheben, auch wei Faktor über SMS ist sehr viel besser, ein sehr viel besserer Schutz gegen Accountdiebstahl als nur das Passwort.

Aber das würdest du ja für E-Mail auch sagen.

Also da geht es ja nicht um die eigentliche SMS, da würdest du sagen, dass wei Faktor besser ist und nicht nur die SMS meinen.

Korrekt?

Genau.

Ja, was muss denn nun geschehen, meine Herren?

Was muss geschehen?

Es ist immer so einfach, Dinge einfach u sagen.

Was ich ja vorhin schon andeutete, war, dass dieses ewige Subunternehmertum eigentlich eine Fehlentwicklung ist.

Wir haben über Vertrauensanker geredet und diese Vertrauensanker kann man und darf man eigentlich nicht so beliebig weiterreichen und vor allem nicht dem günstigsten Anbieter die Krone als umindest Reinguckendürfer für so einen Vertrauensanker mit in die Hand drücken.

Warum hat er dann vielleicht so günstige Preise?

Woran spart er denn nicht wahr?

Die alte Leier, die wir kennen an der IT-Sicherheit, wird ja nicht immer uletzt gespart, sondern oft uerst.

Ja, dann wenn die Teilhabe von einfach einem so großen Teil der Menschen in Europa am digitalen Datenverkehr dann endlich so weit ist, sind diese mehrfach verschlüsselten Push-Notifications schon ein Weg, den man gehen kann.

Aber mit der App-Zwang verbunden, meinst du?

Oder meinst du auch Hardware?

Das geht.

Über Hardware.

Man könnte sich vorstellen, mobile Tokens mit einem.

Betriebssystem, was geordert ist, anzubieten, indem sich Konglomerate usammenfinden, sich darauf einigen, wie so ein einheitliches Format aussieht, um solche Push-Nachrichten dann auch entgegennehmen u können auf günstigen Geräten, die vielleicht bezuschusst werden können, um dort eine Sicherheit u erzeugen, die es so nicht gibt.

Okay, das ist aber jetzt schon eine relativ ferne Zukunft, wenn sich da wir hier usammenfinden müssen.

Lass mich doch spinnen dürfen.

Nein, nein, ja, aber okay.

Aber die Idee kommt ja daher, was wir vorhin ansprachen, ist, wenn jede Firma ihre eigene Lösung daraus bringt, alle Push-Notifications unterschiedlich aussehen, wenn das nicht standardisiert ist, ist es natürlich auch hart verwirrend und wird auf jeden Fall dazu führen, dass es Copycat-Apps gibt, die sich da versuchen reinzudrängeln, um dann solche Zwei-Faktor-Push-Tokens abzugreifen, wenn dieses Interface nicht brauchbar ist.

Zweitens werden sie schauen, dass sie dann gleichzeitig, wenn anzunehmen ist, dass ein Zwei-Faktor-Code von einer Bank kommt, dass sie dann selber in der Transaktion nochmal sagen, oh wir schicken auch einen, gib mal den Code ein, den du gerade bekommst und dann darauf spekulieren, dass die Nutzerin an der Stelle sich vertippt und den falschen Code an die falsche Stelle reinkopiert.

Das heißt, wenn das weiter so ein Wildwuchs gibt, dass alle ihre eigenen Apps mit allen ihren eigenen Mechanismen und mit unübersichtlichen, was an welcher Stelle reinkommt und dir vielleicht auch noch bequem angeboten wird, möchtest du aus deinen Nachrichten gerade mal diesen Zwei-Faktor-Code reinkopieren?

Wir haben vorhin das schon angesprochen.

Es sieht schon so aus, als wenn es genau dahin geht.

Also das ist so ein bisschen meine Alltagserfahrung.

Also mir scheint, das ist der Trend.

Interessant.

Also was würde man denn, also jetzt hast du es so ein bisschen aus der Anbieterperspektive auch beschrieben, aber was würde man denn jemandem empfehlen, der u dieser digitalen Welt dazugehören will?

Also weißt du, was sollte man besser lassen und was ist umindest empfehlenswert, vielleicht nicht perfekt?

Das ist echt schwierig gerade u sagen, weil wie gesagt, dort erst mal dieses Problem beinhaltet ja schon mal, dass es meistens um digitale Dienste geht, für die man sich dort nachweisen muss, dass man man selber ist.

Damit hängt ja schon einmal genau diese digitale Teilhabe, hängt dort schon dran, dass es eine direkte Folge ist.

Du möchtest Online-Banking machen, also musst du auch irgendwie noch mit Online umgehen.

Aber überall, wo es Geld u klauen gibt, sind natürlich auch die Cyberkriminellen unterwegs, um genau diese Patterns u ergründen, um u schauen, wie dort die einfachen Ziele am einfachsten abzugrasen sind.

Okay, das ist dann aber auch genau kein Tipp, oder?

Also das bedeutet, dass letztlich die Welt, wie wir sie jetzt erstmal haben, müssen wir so akzeptieren.

Es wird weiterhin noch eine ganze Reihe SMS geben.

Das ist dann letztlich für den normalen Klicker kein Tipp.

Ja, bloß der normale Klicker, der was tut.

Also das ist ja ein weites Feld von deiner App, mit der du deinen Tretroller draußen ausleihen kannst bis hin u deiner, keine Ahnung, bist du in einer Bank oder in einer Krankenversicherung.

Also wenn man um Beispiel Anbieter hat, die mehrere Varianten anbieten, was ja bei Banken relativ häufig ist.

Die haben ja, wenn sie wei Faktor Authentifizierung haben, dann bieten sie ja umindest immer eine Alternative noch an.

Also gibt es da was, wo du sagen würdest, da würde ich hinraten?

Ich würde erstmal sagen, auch wenn es ganz doll bequem ist, sein Online-Banking u Hause u machen, sein Banking per App u machen, wenn man sich damit nicht wohl fühlt, wenn man sich darin nicht sicher fühlt, ist vielleicht der Besuch bei der nächsten Filiale doch erstmal noch für die nächsten wei, drei Jahre angezeigt.

Ich glaube, da gibt es was dazwischen.

Wir können ein bisschen Geld ausgeben, damit schließen wir dann viele aus und mehr auf Hardware-Token setzen, über die wir am Anfang gesprochen haben.

Oh, da müssen wir aber auch über Nachhaltigkeit reden, nicht wahr?

Die muss man ja auch alle produzieren und haben und da sind ja viele Millionen.

Und nicht verlieren.

Und wenn man einen verliert, sollte man den weiten schon zu Hause haben.

Ja, aber Smartphone kannst du auch verlieren.

Und das andere wären App-basierte Codes.

Aber da hast du ja wieder genau dasselbe Problem.

Ah, okay.

Aber wo würdest du denn hingehen?

Also AdGast hat ja so ein bisschen gesagt, naja, so richtig die perfekte Lösung ist natürlich nicht da, aufgrund der Unterschiedlichkeit.

Was würdest du denn empfehlen?

Kommt drauf an.

Also wenn ich bei irgendeinem beliebigen Webshop was kaufe, dann kann ich da auch ein Passwort nutzen, was auch du kennen darfst, weil der Account im besten Fall gar nicht angelegt wird, hinterher direkt gelöscht wird.

Ich möchte nur was bestellen.

Wenn es um einen Server geht, wo ich mich einloggen möchte, dann nehme ich gerne ein Hardware-Token.

Die Abstufung wäre sozusagen auch die Wichtigkeit des Dienstes und wie sie von der IT-Sicherheit u betrachten ist.

Also würde ich es wahrscheinlich auch beantworten.

Bei einigen Banken kriegt man ja wirklich noch sein HBCI-Terminal, wo teilweise noch draufsteht, um welchen Betrag, in welche Richtung das da gerade geht.

Und dann muss man seine Karte reinstecken.

Die kann man eventuell auch für seine Krankenkasse und für das BEA und für den EPA noch mitbenutzen.

ELEKTRONISCHEN PERSONALAUSWEIS und mit anderen ist das ANWALS.

S.

Besonders elektronische Anwaltspostfachleute.

D.

Und immer, wenn ich dieses Zeug brauche, dann sind Gerät und ich nicht am gleichen Ort.

S.

Und Karten auch nicht, ja.

Ja, das sind halt auch so, das sind oft Lösungen, wo ich immer den Eindruck habe, die Leute denken, man ist nur bei einer Bank Kunde, man reist nie, das nervt halt tierisch, dass sie sich nicht einigen können.

Diese Lesegeräte allein schon sind ja clunky, sind alle mit USB-A noch.

Naja, nicht alle, okay.

Ah, also wie die dann irgendwie alle Standards können und in dem man dann auch alle Karten drauflegen und reinstecken kann.

Ja, aber jetzt sind wir in diesem, jetzt meckern wir darüber, wie ist Modus.

Dann hol dir keine alten Leute in die Sendung, wenn du mich gerahnt hören möchtest.

Naja, nee, also so ein bisschen finde ich sollten wir, okay, dann muss ich nochmal urück auf das, was Kantorke vor ein paar Minuten sagte.

Also immer noch ist es wegen meiner, seinen Mobiltelefon u registrieren und SMS als weiten Faktor u haben, immer noch besser als gar keinen.

Aber für viele Dienste gibt es ja gar keinen, gar keinen mehr, weil die ja einfach, die haben ja Vorschriften, die sie erfüllen müssen, die müssen wei Faktor authentifizieren.

Und das sind war nicht alle, aber ich glaube auch die, die nicht müssen machen, das sind um großen Teil mittlerweile.

In der PSD2 ist ja alles für Banken und die, die Banken, ähnliche, oh Gott, jetzt fehlt mir der Henrik, so als Telefonjoker, aber für alle die Größere, wo es um Geldgeschäfte geht, können Versicherungen sein.

Es ist inzwischen wingend, dass du diese PSD2-Anforderungen da erfüllst.

Und dann ist eine SMS halt trotzdem, was jetzt hier an diesem konkreten Beispiel gezeigt wurde, wahrscheinlich für viele der gängige Weg einfach schlicht.

Als dass sie verschiedene Hardware-Token haben.

Ist schon auch immer noch mal besser als nicht und ist schon mal noch besser als vielleicht irgendein E-Mail-Dienst, wenn du damit nicht umgehen kannst.

Aber wenn du das so diversifizierst und nicht wingend alles am selben Endgerät ankommt, was dann das Problem ist, wenn du Online-Banking über deinen Browser auf deinem Telefon machst und dann auf demselben Telefon die SMS reinkommt und auf demselben Telefon die E-Mail landet, dann ist der so ein einmal von irgendjemandem hopsgedommenes Telefon, wenn du dir so ein ganz...

Ja gut, aber das ist schon ein relativ großer Angriff, wenn jemand das gesamte Telefon einsehen kann.

Das ist ja jetzt auch nicht...

Das kommt auf den Hersteller an.

Also wie...

Ja, okay, wenn du jetzt ein uraltes Android...

Okay, aber also...

Wir reden ja gerade...

Zumindest ist es ja auch eine Hürde, ja.

Es ist schon eine Hürde, aber dann hast du deine gesamte digitale Identität dort gerade über dieses eine Gerät.

Gebündelt und musst dann damit auch klarkommen, dass diese Mehrfaktor-Authentifizierung auch wieder an genau der gleichen Stelle unterhöhlt werden können.

Du vertraust einfach nur noch einem einzelnen Gerät, wo du nicht weißt, ob du es unter Kontrolle hast, vollständig.

Ich bin gar nicht sicher, ob Banken E-Mails überhaupt anbieten, noch.

Weiß ich nicht, wir reden aber nicht nur von Banken, oder?

Nee, nee, nicht, also es ist verbreitet, aber ich glaube, Banken dürfen es nicht mehr oder machen es nicht mehr.

Also das, was wir da diskutieren, ist sicherlich ein Problem.

Das Problem, Was, ich will nicht sagen größer, aber häufiger vorkommt, ist wahrscheinlich das Problem, dass auch das Handy manchmal verloren geht, gesperrt ist, was auch immer, gerade nicht verfügbar ist.

Oder kein Netz hat.

Was mache ich dann?

Das heißt, kein Netz ist nicht unbedingt ein Problem.

Bei den App-basierten Lösungen, die hängen teilweise einfach nur von einem gemeinsamen Seed-App oder von der Zeit.

Das funktioniert auch in Deutschland in der Bahn.

Aber man muss sich, wenn man solche App-basierten Lösungen nutzt, Gedanken darüber machen, was mache ich denn, wenn ich dieses Handy verliere und darauf vorbereitet sein.

Das heißt, ich muss um Beispiel u Hause irgendwo, wo ich auch meine anderen Backups vielleicht pflege, Backup-Token für meine Accounts speichern.

Ja, man wird schon viele, glaube ich, auch technisch überfordert.

Also generell, glaube ich, das Backupen vom Mobiltelefon ist weniger verbreitet als bei Computern, die so auf dem Schreibtisch stehen, ist mein Eindruck.

Einige Dienste verbieten dir auch schlicht, das von deinem Telefon woanders nochmal hinzuspeichern.

Oh, ja, tatsächlich.

Apple, ja.

Ich habe den Apple.

Nein, nicht nur Apple.

Auch er?

Echt?

Da wusste ich gar nicht.

Also einige Dinge, die in der Secure Enclave oder dann im TNT vom Android drin sind, kannst du nicht rausholen.

Das heißt, Backup ist auch nicht trivial.

Also ich nutze so eine Zwei-Faktor-App unter Android.

Da kann ich was exportieren.

Das kann ich irgendwann wegspeichern.

Und wenn mein Handy flöten geht, kann ich das woanders hin.

Ja, aber ist das eine allgemeinkompatible Lösung?

Schwerlich, oder?

Ja, okay.

Ja, umal man ja auch davon ausgehen muss, dass die Lösungen, die man in der Praxis jeden Tag benutzt für die verschiedenen Dienstleistungen, eben nicht alle gleich sind.

Und man unterschiedliche technische Wege gehen muss, nicht wahr?

Das auf jeden Fall.

Also ist es manchmal auch nervig, schon wieder so einen weiten Token eingeben u müssen.

Ja, ja, ja.

Dann auch noch die ganzen, wir haben ja von dieses Aus-Nachrichten-Kopieren, wo dann gleich du in der einen App bist und dich dann im Betriebssystem fragt, ob du nicht gleich aus der jüngst angegangenen SMS den Sechsziffern-Code da reinkopieren möchtest.

Ist total convenient, aber kann auch nach hinten losgehen.

Auf der anderen Seite, wenn auf deinem Sperrbildschirm, ohne dass du dich gegenüber deinem Telefon überhaupt authentifizieren musst, wenn dort gleich der Inhalt der SMS angezeigt wird oder wenn andere Nachrichten angezeigt werden, hast du auch quasi keinen Schubzettel, Schutzniveau, dann jeder, der ein Telefon mitnimmt, kann sich dann diese SMS ustellen und gleich anzeigen lassen.

Das heißt, dort könnte man vielleicht nochmal in seinen Einstellungen nachschauen, ob man die Vorschau von den eingehenden Nachrichten nicht vielleicht für SMS zumindest, also die meisten Menschen benutzen ja ernsthaft SMS nicht mehr als Messenger.

Das ist ja so, die ganzen jungen Leute nehmen ja, was nehmen die alle?

Signal, Freema, WhatsApp.

Und damit verschieben wir das Problem wieder u nutzerinnen und schöner wäre es wenn betriebssystemhersteller das dann so bauen würden genau das wei faktor auf sms vielleicht gar nicht erst angezeigt werden auf dem sperrbildschirm naja bloß aber dann hast du wieder also ich möchte diese diese komische duopol auch nicht in der ukunft weiter haben also dann damit stärkst du ja diese beiden platze schon weiter ja das ist ja eigentlich auch nicht was wir wünschen also vielleicht nicht aber wenn die erst mal dinge noch für ihre Kundschaft, die sie da gerade haben, nicht schlimmer macht, ist auch schon mal was gewonnen.

Ja, das stimmt.

Aber also sich u verlassen auf diese beiden großen Konzerne, dass sie die Betriebssysteme dahingegen anfassen, das finde ich als Empfehlung.

Damit bin ich auch nicht happy.

Einfach.

Nein, nein, nein.

Und nochmal, wer sind deine Vertrauensanker?

Wenn dein Telefon ist, mit dem du dich da draußen ausweist, musst du es auch pflegen.

Damit meinst du den Betriebssystemhersteller, der bei dir identisch mit dem Hersteller ist.

Ich meine jetzt unsere Hörerinnen da draußen.

Wenn eure Mobiltelefone eure Vertrauensanker sind, mit denen ihr euch da draußen in der Welt guckt, ob vielleicht noch ein einziger usätzlicher Vertrauensanker, mit dem ihr später wieder bootstrappen könnt, noch irgendwo im Kästchen liegt, dass ihr dann nicht total aufgeschmissen seid, weil jeder kennt das, Telefon ist, keine Ahnung, irgendwo rausgefallen, verloren gegangen, kaputt gegangen, man kommt nicht mehr dran.

Das sind so diese Schwarzstartfähigkeiten, einmal in sich u gehen, zu üben, was würde wohl passieren.

Klar, ich mache Backups, aber habt ihr mal Restore gemacht?

Habt ihr mal geguckt, wie ihr euch dann wieder an den Harn aus dem Sumpf iehen könnt, wenn euer Endgerät hops gegangen ist?

Ja, wir können da keine gute Lösung präsentieren, aber umindest ein paar dieser Hinweise, ja, das stimmt.

Das lässt mich natürlich auch ein bisschen unzufrieden urück.

Wollen wir nicht doch nochmal beim positiven Ende haben über die gute Utopie, wie es denn sein sollte, reden?

Naja.

Alle Menschen sind nett ueinander und wir brauchen keine Passwörter.

Ja, ja, ja.

Also, okay, das ist auch nicht...

Also das Problem wird uns ganz sicherlich viele Jahre begleiten, da habe ich glaube ich keine Zweifel dran.

Dann muss ich dieses Chaos Radio leider auf dieser Note beenden.

Wir müssen Markus Richter hier an dieser Stelle grüßen, von dem wir gehofft hätten, dass er ein anderes Ende findet.

Markus Richter ist sonst der Moderator des Chaos Radio, den wir hier aufgrund seiner Urlaubstätigkeit heute vermissen.

Aber ich glaube, so richtig werden wir keinen technischen Weg gefunden, da ein positives Ende u finden.

Ja, da können wir nur sagen.

Dann danken wir an der Stelle mal Konstanze Kurz für die Moderation.

Dem Kantorkel, dass er es aus dem weiten Berlin hierher geschafft hat.

Und dem Danimo, der heute für uns die Regler geschubst hat.

Und der ganzen Chaos Radio Crew, die sich hoffentlich in den nächsten Wochen sogar noch erweitert.

Wir werden vielleicht ein paar mehr.

Mal gucken.

Und das nächste Mal erwartet euch, weil wir im Wechsel vom Chaosradio immer die dicken Bretter haben, eine Folge von Dicke Bretter und damit beenden wir mit lieben Grüßen das Chaosradio 293.

Music.