[Musik] Herzlich willkommen auf der Bühne von "Bits und Bäume". Gerne könnt ihr eure Gedanken zu dem Vortrag und allem anderen unter dem Hashtag #BitsundBäume auch auf Mastodon publizieren. Noch zwei kleine organisatorische Ansagen, bevor wir mit dem Vortrag anfangen, auf den ihr euch alle schon so freut. Wenn ihr euch gestört fühlt durch laute Musik, bitte klärt das zuerst mit den verantwortlichen Wesen und ruft nicht die Security, den Himmel oder das Awareness-Team an. Zumindest, und selbst wenn ihr das versucht mit denen zu klären und ihr kommt zu keinem Kompromiss, ruft immer noch nicht den Himmel und das Awareness-Team an, weil die können euch nicht helfen. Aber ihr könnt dann die auf dem Deck, die 110 auf jeden Fall wählen, bitte nicht auf dem Mobiltelefon. Ansonsten möchte ich öfter hinweisen, dass am Sonntag keine Müllabholung gibt. Das bedeutet, wenn ihr Müll habt, der heute schon, also morgen früh schon abgeholt werden kann, dann schmeißt ihr ihn doch bitte heute schon weg. Das wäre echt super. Gut, dann freue ich mich total, hier Viktor und Yannick auf der Bühne zu haben. Die beiden beschäftigen sich mit IT-Forensik. Viktor arbeitet bei Reporter ohne Grenzen und Yannick beschäftigt sich auch damit und ist Aktivist. Ich arbeite da auch. Ach, du arbeitest da auch? Ja. Wow. Was du alles machst. Auf jeden Fall. Sie machen viele unterschiedliche Dinge und arbeiten beide bei Reporter ohne Grenzen. Ich freue mich sehr auf Ihren Vortrag "Zivile Forensik gegen staatliche Überwachung von Journalist*innen" und gebe Ihnen die Bühne frei und ihr gebt Ihnen einen wunderbaren Applaus. Danke für die Einladung. Wir erzählen heute mal so ein bisschen, was wir tun, wenn wir arbeiten. Und ich glaube, der Titel von dem Vortrag war so was wie "Zivile Forensik gegen staatliche Überwachung" in der Art. Und den Vortrag werden wir in zwei Teile teilen und zwar zum einen werden wir euch erstmal einen Überblick geben, warum unserer Erfahrung nach die Sicherheitslage von Journalist*innen oft relativ schlecht ist. Und dann werden wir vorstellen, was wir dagegen tun und was man dagegen tun kann. Ein kurzer Disclaimer ganz am Anfang. Reporter ohne Grenzen ist eine NGO und hat ein relativ präzises Mandat, und zwar Menschen zu unterstützen, die wegen ihrer Tätigkeit, in der sie Journalismus machen, von staatlichen Akteuren angegriffen werden. Das heißt, auch wenn es technisch große Parallelen gibt, können wir zum Beispiel nicht aktiv werden, wenn Aktivist*innen Probleme mit digitalen Angriffen und digitale Sicherheit haben. Allerdings sind wir natürlich trotzdem mit diesen Themen drin und genau vieles davon kann man übertragen, was wir gleich erzählen, aber nur so als Disclaimer, dass das, was Reporter ohne Grenzen macht, eine klare Ausrichtung ist, nur für Journalist*innen gedacht. Jetzt fange ich mal an, die Landschaft zu skizzieren, auf die wir da treffen, wenn wir uns die Degener, die global die Sicherheitslage von Journalist*innen angucken. Vor allem könnte man sagen, wir stecken mitten in der Digitalisierung und da ist manches gut gelaufen und vieles schlecht. Es gibt einfach viele Sachen, die nicht so ganz optimal sind. Das ist jetzt der erste Teil, dass ich einfach mal so eine Skizze werfe, von was da alles nicht so gut ist. Ein Problem ist zum Beispiel, dass immer wieder staatliche Akteure auf Zero Days stoßen und dann gibt es ein Loch im Staudamm und das Problem ist, dass staatliche Akteure, die allermeisten und die allermeisten Staaten aktuell anstatt das Loch zu schließen, sagen, geil, da ist ein Loch, suchen wir nach noch einem und nach einem und noch einem und das macht die ganze Welt eher unsicherer als sicherer und das ist inherent ein politisches Problem, das können wir in unserem Wirken überhaupt nicht beeinflussen und verändern, aber das führt dazu, dass die Situation eher schlechter als besser wird und dass wir eher und so weiter entfernen von einer Situation, in der man besonders gut Geräten mit dem Quellenschutz vertrauen kann. Dann haben wir das Problem, dass Cloud Office Anwendungen immer weiter verbreitet sind und in vielen Fällen auch eigentlich eine relativ gute Idee sein können, aber natürlich gibt es immer die Situation, dass deine Daten irgendwo anders liegen auf dem Computer von irgendwelchen anderen Menschen, von einem Unternehmen und natürlich kann man diesem Unternehmen nicht vertrauen, dass wenn da staatliche Akteure, wenn da staatliche Stellen ankommen, dass sie sagen nö, die Daten kriegt er nicht, weil die machen den Verdiener mit Geld, natürlich werden die sagen, ja klar kriegt er und je nachdem, welche Staaten dann fragen, entstehen dann schnell Konstrukte, in denen das dir dort auf die Füße fallen kann. Auf der anderen Seite ist das natürlich auch nicht unaufwendig, Infrastruktur selber zu vertreiben, selber zu hosten, da braucht man irgendwie ein IT-Team und bis du erstmal selbst gehostete eigene Infrastruktur auf dem Level hast, dass das auch sicher ist, dass das auch gepatcht wird, dass das gewartet wird, brauchst du auch wieder relativ viel Know-how und Personalkapazitäten und Geld und das ist glaube ich auch eine Sache, die wir aus unseren ersten Beratungserfahrungen erzählen können, dass das immer wieder daran scheitert, dass Menschen wissen, ok eigentlich ist es nicht so geil, dass wir Google Docs für alles benutzen oder irgendwas anderes, aber es geht irgendwie auch nicht so richtig anders, weil das Geld und die Ressourcen halt nicht dafür da sind, das sauber selber zu hosten und das führt einfach zu Dilemma-Tar, die oft nicht richtig gelöst werden können. Natürlich gibt es geopolitisch, kann man dann immer überlegen, je nachdem wo das Unternehmen sitzt und je nachdem wo der Staat sitzt, der da vermeintlich anfragt, werden die eher antworten oder nicht, kann man dann irgendwie Vermutungen anstellen, ob die dann richtig sind, das ist natürlich auch nicht klar und dann ist auch wieder die Frage, möchte man riskieren, dass man sich mit diesen Vermutungen irrt, aber das macht es auf jeden Fall kompliziert. Dann merkt, dass ist eigentlich alles total grundlegend, aber das sind die Sachen, die in der Realität die großen Probleme sind. Die generelle Digitalhygiene ist einfach weiterhin schlecht, also die generellen Aspekte mit, dass Menschen wissen, sichert Updates zu installieren, starke Passwörter zu benutzen, einfach so, was jetzt niemand hier irgendwie überraschen kann, aber dass die Versorgung, ich sag mal die Grundversorgung mit diesem Basiswissen in der Breite der Gesellschaft, merken wir immer wieder, tauchen uns immer wieder sehr alte Handys auf, die schon lange keine Sicherheitsupdates mehr kriegen oder wiederverwendete Passwörter und sowas. Also das ist immer noch eine Front und das kriegt man natürlich auch nicht mit der einen guten technischen Idee gelöst, sondern vermutlich für mehr besseren, sicheren digitalen Journalismus weltweit ist es mehr eine Sache von auch Training und Awareness und immer weiter daran arbeiten, das sind alles keine neuen Probleme, sich zu überlegen, wie man es schafft, Menschen das zu erklären, dass das wichtig ist, Menschen zu empowern und auch einfach diese Dilemma zu navigieren von eigentlich selbstgehosteter Infrastruktur, aber die muss dann natürlich auch geil sein, aber die darf nicht zu teuer sein und dann wird es sehr schnell sehr kompliziert. Dann haben wir ein Problem in der Welt, wie sie gerade ist, dass Spyware käuflich ist, also man kann einfach als staatlicher Akteur, kann man Unternehmen geben und da gibt es auch viele und sagen, hey, wir würden gerne, aus Sicherheitsgründen müssen wir hier mal Leute hacken, habt ihr so ein Straßentreuer-SS-Service-Angebot für uns und dann sagen die, ja klar, kostet X und verkaufen dir das. Die bekannteste Firma ist vielleicht die NSO Group, es gibt aber auch viele andere, die in vielen Fällen auch eigentlich Interesse daran haben, dass sie gar nicht so bekannt sind, weil ja, irgendwie, die oft in der Presseöffentlichkeit gar nicht als so die allergeilsten Jungs gesehen werden, aber das ist halt trotzdem ein Problem, dass im Prinzip Leute, die Geld dafür haben, kommen da ran und die stellen das eigentlich auch immer sehr blumig auf ihren Websites, da hey, hier, nö genau, Dataflow baut so Exploits, die sagen dann, ja, ja, genau, kommt zu uns und wir optimieren eure Exploits und machen die richtig sicher und alles prima. Was noch ein größeres Problem ist, das ist jetzt gar nicht die Remote-Situation, dass Forensik-Tools, um Handys aufzumachen, noch leichter verkäuflich sind, also da gibt es wirklich auch, gibt es im Prinzip Listenpreise und Kataloge, wo man sagen kann, ja, ich hätte gerne hier, ne, einmal irgendwie dieses Handy aufmachen. Die sagen dann natürlich, ja, die ganz heißen Exploits geben nur an staatliche Akteure und vielleicht an besonders geprüfte Unternehmen, aber letztlich, wenn Menschen Geld haben, ist es vermutlich sehr wahrscheinlich, dass Leute da dran kommen und das heißt, spätestens, wenn eine Person physisch verhaftet wird und der das Gerät abgenommen wird, ist es sehr wahrscheinlich, dass staatliche Akteure das auch machen können und zum Beispiel die Identitäten von den Quellen erfahren können, was dann wiederum natürlich ein riesiges Problem ist für zukünftige Quellen, weil die dann halt denken, nö, das erzähle ich jetzt nicht, weil ich da nicht dran glaube, dass meine Identität geschützt werden kann und das einfach, also ich glaube, kann man nochmal kurz irgendwie innehalten, was für eine Scheißsituation das ist, dass wir eigentlich nicht die Möglichkeit haben, mit normalen Geräten, mit denen wir so rumlaufen, da Sachen vor Staaten, die stark in die Pressefreiheit eingreifen und auch sonst Regeln überschreiten, gut genug schützen zu können und es auch keinen easy way out gibt, weil einfach so viel Geld in die Entwicklung von Exploits gesteckt wird und es so häufig passiert, dass Exploits entwickelt werden, die dann aber nicht gemeldet werden, also nicht schwachstellen, sondern eben weiterverkauft und das führt zu Problemen. Ein weiteres Problem ist, wir haben das das naiv-paranoid-Spektrum genannt oder naiv- übervorsichtig, könnte man es auch diplomatischer formulieren, es gibt ja im Prinzip pro-Sicherheitssituation, gibt es ja ein Spektrum von, wie kann man sich jetzt damit fühlen, also das eine ist ja so die empirische faktische Situation und das andere ist dann, wie fühle ich mich, wie vorsichtig bin ich und dann gibt es im Prinzip gibt es eigentlich erst mal zwei Enden und zwar das eine ist völlig naiv und bläubig zu sein, ach ja, warum sollten sie denn mich angreifen, das andere ist mega übervorsichtig zu sein und dann gibt es im Prinzip noch so eine Abzweigung, das ist der Fatalismus, der uns auch oft begegnet, das sind so ein bisschen Menschen, wo in vielen Fällen sie selber oder auch ihr Umfeld alle mit NSO-Pegasus aufgenommen wurden und die sind so, was soll ich denn machen, die kriegen eh alles, bin sowieso überwacht seit fünf Jahren, keine Chance und die haben es im Prinzip einfach aufgegeben, was auch einfach gefährlich ist und genau, die überfürchtigte Seite sieht so aus, dass Leute im Prinzip, das Handy wird mal warm und so, okay, scheiße, ich wurde gehackt, das Gefühl, sie müssen jetzt was tun und das ist natürlich auch nicht gut, weil erstens geht es der Person dann nicht gut, weil sie sich Sorgen macht, obwohl das Handy nur kurz mal warm geworden ist, plus, dass wenn man zum Beispiel jetzt in die Breite sagen würde, als wir, falls sie gehackt wurde, kommt zu uns, dann kommt man in so einen Positivparadoxon, dass sich natürlich viel mehr Menschen melden, wo das Handy mal warm geworden ist, als Menschen melden, wo es tatsächlich einen Angriff gab, das macht so ein bisschen, dass in die Breite offen allen alles anbieten, macht es kompliziert. Die naive Seite sind so Sachen von "ich bin doch gar nicht wichtig" oder "die überwache mich eh komplett" und das Problem ist, das ist alles nicht gut, also alle Ecken, ich meine, im Leben, die goldene Mitte liegt immer irgendwo dazwischen, das führt alles zu gefährlichen Sicherheitsentscheidungen, könnte man sagen. In die Überversichtigkeit kommst du irgendwann in die Arbeitsunfähigkeit, wirst du irgendwann handlungsunfähig, in der Naivität wirst du total ungeschützt, im Fatalismus wirst du ungeschützt und gehst davon aus, dass du ungeschützt bist und das Ideal wäre irgendwo dazwischen und dass der Idealzustand wäre vermutlich, also woüber Menschen beibringen, wie man Threat Models sich überlegt und auch die eigene Sicherheitssituation besser einzuschätzen, Menschen zu helfen, eher da in der Mitte zu landen von ihrem Gefühl, also weder in einem Fatalismus noch in einer Überversichtigkeit, sondern in einem möglichst informierten "naja, vermutlich sollte ich da jetzt ein bisschen aufpassen, aber es bringt jetzt auch nichts, mir irgendwie 25 Handys zu kaufen und nach irgendwelchen komplizierten Systemen da SIM-Karten durchzuruhtieren und der Sicherheitsgewinn ist Null, aber auch nicht gut. Und was wir leider auch sehen ist, dass es nicht selten passiert, dass Menschen einfach Gefahren als Coping-Strategie ausblenden, also dass ich weiß nicht, wie viele von euch schon mit Menschen zu tun hatten, die richtig heißen Scheiß gemacht haben, ich glaube, das ist in manchen Fällen auch einfach, geht es dir besser damit, wenn du einfach sagst, ja, was da passiert, passiert halt und um so einen klaren Kopf zu behalten, das so ein bisschen auszublenden, was sicherlich auch gar nicht schlecht ist, wenn Menschen dadurch handlungsfähig werden und bleiben, aber natürlich auch dazu führen kann, dass sie ja dann entsprechende Schutzmaßnahmen nicht treffen, die eigentlich angemessen gewesen wären. Dann haben wir noch ein großes Problem, das ist oft... Oh, stimmt. Ja, genau, ich mach weiter, wir bleiben aber bei Problemen und genau gerade im Journalismus ist es so, dass es ganz unterschiedliche Arbeitsstrukturen gibt. Wenn ihr so eine Zeitung aufschlagt, denkt ihr eigentlich, alle, die da was schreiben, die sind da bei dieser Zeitung angestellt und haben ganz normalen Vertrag, es ist aber so, es gibt extrem viele selbstständige Journalist*innen, heißen dann oft "reie Journalist*innen" und die schreiben mal hier, mal da und die sind eben so wie auch IT-Freiberufler arbeiten die, also die kümmern sich selber um ihre Hardware und um ihre IT-Security und wo man woanders vielleicht ein ganzes Team für so eine Aufgabe hat, muss das alles eine Person machen und ja, das funktioniert dann oft eher schlecht. Genau, wenn man irgendwie wo angestellt ist, dann kriegt man eben zum Beispiel ein Dienstlaptop gestellt, ein Dienst-Handy und das sind dann schon meistens gute, moderne, aktuelle Geräte, da werden dann meistens die Updates installiert, wenn es richtig professionelles sind, die Geräte in Mobile Device Management integriert, dann kümmert sich ein Admin darum, dass die Updates installiert werden und eventuell kann man dann sogar als User gar nicht weitere Apps installieren, die vielleicht Surface Area für Exploits wären und das funktioniert schon ganz gut. Das hat auch manchmal Probleme, weil wenn ich keine eigenen Apps installieren kann und meine Quelle will aber jetzt unbedingt über Messenger X mit mir kommunizieren und kann ich nicht installieren, außer ich frag irgendwie das IT-Team und das Ticket zu bearbeiten dauert dann drei Wochen, dann ist die heiße Info schon wieder weg und dann passiert es natürlich oft, dass Leute irgendwie ausweichen, ihr Privathandy benutzen und dann so Sachen vermischen, das funktioniert auch überhaupt nicht gut, aber an sich wäre das gut und die gute Lösung dafür wäre eigentlich, da haben wir auch schon mit IT-Teams geredet, dass es spezifische Konzepte gibt für Investigativrechercheteams, die vielleicht auch extra Geräte kriegen und da muss dann auch nicht Windows installiert sein und da macht man sich einfach mehr Gedanken und das wäre natürlich gut. Das Problem vor allem bei Selbstständigen ist, wie funktioniert Incident Response? Das geht eigentlich gar nicht so, die Leute haben eigentlich fast nie ein Konzept, sie denken halt so "oh scheiße, meine Quelle ist aufgeflogen, vielleicht wurde ich gehackt und ich habe vielleicht andere Indikatoren, zu Indikatoren dazu kommen wir auch noch, aber was mache ich jetzt?" Und dann sind das vielleicht wir, aber ohne das gibt es dann kein System und das ist natürlich schlecht und da müsste es eigentlich bessere Lösungen für geben. Ja, ein großes Problem da draußen ist, wir haben sehr viele ungepatchte Geräte, das ist jetzt hauptsächlich in diesem selbstständigen Bereich, den ich euch eben gezeigt habe und ja, ihr seht hier die Verbreitung von Android-Versionen von Android 4 bis Android 11, ich erinnere mich auch noch an Android 4, das war echt lange her, aber da laufen immer noch Geräte draußen rum, die haben das installiert und rechts seht ihr, wann diese Android-Versionen keine Sicherheitsupdates mehr gekriegt haben, also alles ab Android 10 ist End of Life und potentiell, ja, einfach exploitable und von außen übernehmbar und das sind jetzt so, wenn man zusammenrechnet, circa 30 Prozent aller Handys. Ja, also das ist auch global sehr unterschiedlich dann, natürlich ist es schwieriger mit einem Einkommen, weiß ich nicht, im Sudan als Journalistin sich ein neues Gerät zu kaufen als in Deutschland und wir arbeiten mit Journalisten in der ganzen Welt zusammen und ja, aber 30 Prozent ist einfach viel zu viel, das ist eine völlige Katastrophe und bitte, bitte verwendet keine Handys, die keine Sicherheitsupdates kriegen und lasst auch eure Freundinnen bitte nicht solche Handys verwenden und wir sind ja hier bei Bits und Bäume, es geht auch um Nachhaltigkeit, ich finde das auch immer echt furchtbar, aber man kann diese Geräte halt leider wirklich nur noch verwenden für irgendwelche anderen Projekte wie zum Beispiel gab es mal so Vogelbeobachtungsprojekte, wo man alte Smartphones spenden konnte, das ist eine gute Lösung, aber sonst muss man die leider einfach entsorgen und das ist einfach nicht verantwortlich. Genau, hier hat noch mal jemand geschätzt, das sind sogar 40 Prozent, das ändert sich natürlich, Android 11 wird auch nicht ewig unterstützt werden und genau das Problem sind eben die Hersteller von den Smartphones, die teilweise nicht lang genug Updates bereitstellen. Ein weiteres Problem, weniger ein IT-Sicherheitsproblem, aber wollten wir auch einmal darauf hinweisen, ist digitale Gewalt gegen Journalist*innen, gab hier auch eine Studie der Uni Leipzig, dass Hate Speech im Internet zunimmt und statt Geräte zu hacken und Leute damit an ihrer Arbeit zu hindern, ist es auch oft so, dass einfach so Hetzkampagnen, Hate Speech koordiniert wird, um ungeliebsame Journalist*innen zu stören und genau dann werden vielleicht auch deren Twitter- Accounts gesperrt, weil Leute ganz oft auf Melden drücken oder teilweise passiert Doxing, also werden private Informationen geleakt. Genau und das führt natürlich auch dazu, dass Leute ihre Arbeit einstellen oder sich mehr damit beschäftigen als mit der Arbeit, die sie eigentlich machen wollen und wenn euch das mehr interessiert, dann bleibt ihr einfach sitzen und 17 Uhr spricht Anne Roth zur digitale Gewalt, die ist auf jeden Fall die bessere Expertin als wir. Genau, aber wir kommen jetzt auch mal zu unseren Gegenmaßnahmen, was wir machen. Digital Security Lab haben wir im letzten Sommer gegründet und man kann sich einfach an uns wenden, wenn man denkt, man wurde einem digitalen Angriff ausgesetzt, hauptsächlich suchen wir eben nach Staatsdrianern, aber teilweise auch andere Sachen, wie mein Account wurde übernommen und ich weiß nicht, wie das passiert ist, ich hatte sichere Passwörter, etc. Und die Sache, warum wir das machen, ist, dass ja digitale Angriffe, wie zum Beispiel, ich habe einen Staatsdrianer auf dem Handy, das ist eigentlich unsichtbar, das bekommst du ja nicht mit, sondern du merkst dann erst vielleicht so, oh Scheiße, meine Quelle ist aufgeflogen und wurde verhaftet oder sowas und weil das so im Verborgenen geschieht, versuchen wir eben durch IT-Forensik Berichte zu schreiben, das öffentlich zu machen und nachweisbar, um dann eben auch die Verantwortlichen dafür zur Verantwortung zu ziehen, zu kritisieren und das hat man nach dem Pegasus-Projekt, wo wir jetzt nicht beteiligt waren, uns gibt es erst danach, auch sehr gut gesehen, dass die NSO Group jetzt eigentlich keine gut angesehene Firma ist, also wenn man da jetzt arbeiten würde und jetzt zum Camp kommt, dann, weiß ich nicht, würde man sich schon schämen und vielleicht rausgeschmissen werden und darum geht es und deswegen machen wir das und natürlich wollen wir auch schauen, dass andere das leichter machen können und dann suchen wir zum Beispiel sogenannte Indicators of Compromise, also Datenpunkte, die man forensisch auf Geräten finden kann, um dann leichter nachzuweisen, ja, das ist ein Staatsdrianer und da gibt es so Beispiele von anderen, zum Beispiel gab es mal einen Exploit, der hat so funktioniert, dass man Kalenderinvite bekommen hat und dann hat die Kalender-App halt einen Bug gehabt und dadurch konnte man die Kalender-App übernehmen und dann am Ende irgendwann Staatsdrianer aufspielen und alle diese Kalendereinträge, die waren halt zu irgendeinem Datum, weiß ich nicht, 1985, 1. Mai, 18 Uhr und wenn man dann so einen Kalendereintrag hat, dann weiß man, oh, ich habe einen Staatsdrianer und solche Indicators of Compromise teilt man dann in der IT-Security-Community und dann muss man vielleicht gar nicht zu einem Digital Security Lab gehen, sondern kann das einfach selber machen und leichter Staatsdrianer finden und noch besser wäre es natürlich, wenn wir dann solche Zero Days, also unveröffentlichte Sicherheitslücken finden und nachvollziehbar können, wie die funktionieren, können die an die Hersteller melden und dann werden die geschlossen und dann ist die IT-Landschaft sicherer für alle. Was wir auch machen, ist Sicherheitsberatung für Redaktionen und Einzelpersonen, also man kann sich einfach an uns per E-Mail wenden und wenn man einfach mal einen Check braucht, so hey, ich habe hier ein heißes Projekt, könnt ihr mit mir noch mal durchgehen, ob das, was ich tue, angemessen ist für meine Bedrohungslage und dann vermitteln wir Trainer, die das dann machen oder wir machen das auch selber direkt. Ein sehr großes Problem, was wir immer haben, hier dieses Meme, hängt bei uns im Büro, weil es wirklich auch vorkommt, wenn die Journalist*innen zu uns kommen, dann wollen die eigentlich meistens hören, mein Gerät ist sicher, ich kann weiter arbeiten, das ist auch total nachvollziehbar und logisch, aber das geht natürlich nicht, weil wir können halt durch IT-Forense keine negativen Befunde produzieren, also wir können uns nicht ein Gerät anschauen und dann sozusagen sagen, ja wir haben jede eins und jede null umgeguckt und da war keine Malwert, das geht nicht und ja es gibt halt auch einfach immer neue Methoden, neue Exploits, die vielleicht nicht bekannt sind, man kann nicht alles angucken oder vielleicht versteckt sich die Melbe einfach so gut, dass es gar nicht möglich ist, weil bei modernen Handys kann ich auch nicht einfach den Flash auslöten und auslesen, weil die Daten sind verschlüsselt und da kommt man nicht ran, im Prinzip geht das nicht, wir können nur sagen, wenn wir was finden, da war was und wie ich gerade erklärt habe, wollen wir ja eben Melbe finden und dann eben einen Bericht veröffentlichen, die Zero Days Patchen, IOCs veröffentlichen und die Journalist*innen wollen aber genau das Gegenteil, also haben wir eigentlich, kommen wir gar nicht so gut zusammen oft, weil wir gar nicht das liefern, was die von uns wollen, aber natürlich macht das schon Sinn, wenn die zu uns kommen, wir haben am Ende beide was davon, genau aber das fragen wir uns dann immer, so meine Quelle ist sicher, ja kann ich weiter arbeiten, so, nee muss trotzdem vorsichtig sein. Ja, wie kontaktiert man uns und wann am besten? Natürlich, wenn man eine hohe Bedrohungslage hat, zum Beispiel recherchiert man zu, weiß ich nicht, im Kriegsgebiet, in der Ukraine oder so und macht sich da unbeliebt, zum Beispiel wurde man auch festgenommen, wenn man festgenommen wird, wird eigentlich immer einem alle technischen Geräte abgenommen oder wenn nur die technischen Geräte beschlagnahmt werden, zum Beispiel bei einer Hausdurchsuchung, wenn man die dann wiederbekommt, können wir uns die angucken, weil wenn man physischen Zugriff hat, ist es für Sicherheitsbehörden natürlich nochmal deutlich leichter, Staatsgranne aufzuspielen, als wenn man das remote machen muss und die Exploits dafür sind günstiger, also wird das eventuell so auch häufiger gemacht. Dann gibt es natürlich noch technische Indikatoren, das ist aber schwierig, also es gibt dann eben so Sachen wie, mein Akku wird warm, aber das ist natürlich ein schlechter Indikator, weil ich glaube unsere Akkus waren alle ziemlich warm hier und wir können jetzt nicht von allen vom Camp die Handys checken, aber es gibt natürlich so Sachen wie deine E-Mail-Adresse von deinem Google-Account, die Wiederherstellungsadresse wurde geändert oder von deinem Facebook-Account oder so und dann weiß man natürlich, wenn man das nicht wahrt, dann war es wer anders und dann schreibt man uns mal eine E-Mail und dann gucken wir uns das an. Genau, also wenn ihr jemanden kennt, der im Bereich Journalismus arbeitet, schreibt uns gerne eine E-Mail lab@reporterohnegrenzen.de oder mail@lab.rsf.org. Wenn es keine Journalistinnen sind, könnt ihr uns trotzdem fragen, vielleicht kennen wir eine andere NGO, die weiterhilft und da würden wir uns darüber freuen. Wieso geht es nicht weiter? Ah ja. Genau, jetzt zum Mitmachpart des Vortrags. Unser Auftrag an euch, gründet bitte mehr Security Labs. Wir machen nur Journalismus und macht doch zum Beispiel mal ein Security Lab für Klimaschutz, Aktivismus oder weiß ich nicht, das wäre sicherlich auch gut. Teilt bitte eure IOCs, es gibt coole Projekte wie zum Beispiel die MISP-Plattform, wo es extra Software und Datenbanken dafür gibt oder postet es einfach irgendwo ins Internet, das hilft. Und bitte haltet gegen Staatsprojaner-Marketing, also es wird ja massiv Propaganda betrieben zu sagen, wir brauchen Staatsprojaner, weil wir müssen irgendwie organisierte Kriminalität bekämpfen oder sowas und das ist ja überhaupt kein großer Grundrechtseingriff, weil wir machen nur Telekommunikationsüberwachung und der Blödsinn mit, wir nennen das irgendwie Quellen-TKÜ, Quellen-TKÜ Plus oder auch Online-Durchsuchungen oder solche Späße und habe auch ein Beispiel mitgebracht. Konstantin Notz, der netzpolitische Sprecher der Grünen hat mal gesagt, Staatsprojaner seien wie ein Seil, also so einfach ein Werkzeug und damit kann man in Deutschland Schiffe festmachen und in Saudi-Arabien Dissidenten aufknüpfen und deswegen ist das in Deutschland beim BKA gut und in Saudi-Arabien schlecht. Das ist natürlich Blödsinn, weil für die Staatsprojaner brauchst du einfach unveröffentliche Sicherheitslücken, die du zuhalten musst und wenn Deutschland die nutzt, dann kann Saudi-Arabien die auch nutzen. Also Staatsprojaner sind wirklich kein Seil, Staatsprojaner sind eigentlich eher wie Massenvernichtungswaffen, die man völkerrechtlich ächten sollte, die sollte es nicht geben und wir sollten einfach schauen, dass sie in der Gesellschaft nicht vorkommen. Genau, ich weise gerne auch Strafverteidiger*innen darauf hin, wenn sie aus Akten sehen, dass eventuell irgendwo ein Staatsprojaner eingesetzt wurde, dann leitet das weiter an Leute, die sich das forensisch angucken, vielleicht finden wir Sicherheitslücken, vielleicht können wir IOCs produzieren, weil natürlich gibt es meistens eine Anklage, wenn man einen Staatsprojaner hatte, weil das ist ja in den meisten Ländern die Legitimation dafür, also zumindest in Deutschland oder Europa oder anderen solchen Ländern. Ja, wenn ihr noch irgendwie Forensik-Expert*innen seid, gerade iOS und Android, dann meldet euch gerne bei uns, wir sind immer an Austausch interessiert oder wenn ihr Tipps braucht, teilen wir gerne unser Wissen und sprecht uns da gerne einfach an, warum eigentlich Android und iOS, das ist auch eine unserer Beobachtungen, Staatsprojaner auf Computern, wie so damals, als der CCC irgendwie ozapft ist, analysiert hat, das gibt es eigentlich kaum noch, weil das macht auch Sinn, sich die Smartphones anzuschauen, die Leute lesen ja auch ihre E-Mails meistens auf dem Smartphone und auf dem Smartphone haben sie sonst auch Daten, die sie nicht auf dem Rechner haben, aber andersherum ist das eher selten geworden, bei uns hier vielleicht nicht, aber so bei Journalist*innen ist das auf jeden Fall unser Eindruck und deswegen macht es einfach total viel Sinn, die Smartphones anzugreifen. Ja, ich glaube, das war's und wir haben noch einen Fragenteil. Ach so, genau, Reporter ohne Grenzen ist ein gemeinnütziger Verein, man kann da Mitglied werden oder Fördermitglied, das unterstützt natürlich unsere Arbeit, die Arbeit der Kolleginnen und ansonsten, bisher hatten wir keine Veröffentlichungen, wo wir mal was gefunden oder analysiert haben, aber das holen wir nach, bleibt gespannt. Hab ich schon wieder ausgemacht, nee. Ja, vielen Dank an euch beide, Janik und Viktor, für euren Talk. Für eure Fragen habe ich hier einen wunderbaren Engel mit einem Mikrofon, nachdem es jetzt eine größere Menge ist, durch die es schwierig ist, immer drüber zu stolpern, wäre es total lieb, wenn ihr zu diesem Engel hingehen würdet und euch in eine Schlange anstellt, falls ihr es mehr als eine Person Fragen habt, um diese dann in das Mikrofon zu sprechen, damit auch das Internet was hat von euren Fragen. Wie viele Leute seid ihr in dem Lab und wie viele Klient*innen hattet ihr jetzt, seit ihr existiert? Also wir sind drei Leute aktuell und wir haben gerade auch ein paar Stellen ausgeschrieben für Werkstudierende, die uns bei der Arbeit unterstützen, schaut euch die gerne auf der Webseite an. Genau, wie viele Fälle hatten wir, das hast du neulich erst beantwortet. Ja, das ist immer die Frage, wie man das definiert. Wir kriegen von relativ vielen Menschen Daten, das hat sich auch erst so ein bisschen, wie gesagt, im letzten Sommer hat das alles erst so langsam angefangen, das steigt, dreistellig ist es auf jeden Fall, aber es ist halt die Frage, wo man einfach in wenigen Fällen, gucken wir uns Sachen dann sehr tief an und in vielen Fällen guckt man sich Sachen an und ist so, ok, da ist jetzt, da haben wir keine Indikatoren, wir wissen nicht, wonach wir suchen sollen und dann ist es nicht so spannend, davon gibt es relativ viel. Wenn das Android veraltet ist, wie sehr kann man sich auf den Custom-Room verlassen? Das ist eine sehr gute Frage, die Antwort ist leider wenig, gerade der Nachhaltigkeitsaspekt, man liest auch oft, wenn ihr keine Updates mehr kriegt, könnt ihr ja irgendwie Lineage-Wires installieren und dadurch das länger benutzen, das stimmt leider nur bedingt, weil du die Betriebssystem-Updates dadurch kriegst und da werden natürlich auch Sicherheitslücken geschlossen, aber was du nicht kriegst, sind, also in fast allen Fällen, sind Updates zu den Treibern, weil da eigentlich, zum Beispiel wenn du einen Sock von Qualcomm kaufst, dann sagt Qualcomm halt, wir machen drei Jahre Updates und danach ist halt nicht mehr und wenn es dann da einen Bug gibt, dann hast du eigentlich eher, also dann steht da zwar ein Security-Update-Level in deinen Einstellungen, aber eigentlich ist es nicht richtig da. Hi, ich hätte auch noch eine Frage zu dem Thema, habt ihr Erfahrung mit den einzelnen Herstellern, ob die Updates zurückhalten oder einzelne Hersteller-Updates länger ausspielen? Also du meinst, dass ein Smartphone-Hersteller ein Update zurückhält, weil ein staatlicher Akteur die Sicherheitslücken ausnutzen will? Nein, also ich meine mehr, dass wenn ich jetzt zum Beispiel ein eher billiges Smartphone kaufe, dass dann der Hersteller das Qualcomm-Update einfach nicht ausliefert, weil es teuer kostet Geld, muss geportet werden und so weiter. Es ist ein sehr diverser Markt und das läuft in sehr vielen Fällen relativ schlecht und die Empirie zeigt, ich hätte das nicht gedacht, dass ich mal hier auf einer Bitz und Bäume-Bühne stehe und Gutes über dieses Unternehmen sage, aber dass die Google macht das ziemlich gut. Google, iPhone, Samsung, OnePlus sind glaube ich so die Spitzenreiter an "Wir liefern lange Updates". So, gibt es weitere Fragen? Ja, eine interessante Frage hätte ich vielleicht noch. Ihr habt das Problem mit den freien Journalistinnen angesprochen, die ja ihre Hardware selber managen. Habt ihr auch mal in Internetrouter geschaut? Also die sind ja in Deutschland überall im Einsatz und da gibt es nicht so viele Modelle, die voneinander abweichen, weil ein Hersteller den Markt ja ganz schön dominiert und das sehe ich persönlich immer auch als möglichen Angriffspunkt. War schon mal irgendwie Untersuchungen unternommen? War bis jetzt kein, also bis jetzt sind uns da keine Fälle aufgetaucht und das ist natürlich auch deutlich weniger heiß als das Smartphone, weil das Smartphone, da ist ja typischerweise das gesamte digitale Leben drauf. Wenn du einen Router aufmachst, dann hast du in einem langweiligen Homesetup, hast du halt eine Art "Man in the Middle"-Angriff und dann das ist also ganz andere Skala an Explosionen. Ist bis jetzt uns nicht aufgetaucht, dass es da irgendwie Indikatoren für gab. So, ich betrachte euch scharf und ziele in meinem Kopf bis drei. Ah, Bewegungen. Scharfes Anblicken hat geholfen. Ich habe noch eine Frage, ja, weil ich weiß nicht, ob ihr das sagen dürft. Gibt es jetzt gewisse Staaten, die was jetzt wohl öfters halt so Trojaner findet? Also, ganz allgemein kann man sagen, dass die Staatstrojaner-Verteilung der Welt sehr ungleich ist. Also das ist auch so ein bisschen so eine Sache. Wir sind ja sitzen ja in Deutschland und was bei uns oft fällt, ist die Phrase "Deutschland ist kein Staatstrojanerland", weil jetzt im internationalen Vergleich das doch recht selten in Deutschland angewendet wird und passiert und in anderen Ländern sehr, sehr viel häufiger. Das sind natürlich auch interessante Vorausbedingungen, um jetzt auf die Jagd nach Staatstrojanern zu gehen, mit einem riesigen Dunkelfeld. Weil du kannst also immer nur von so kleinen Dingen, wo du irgendwas gefunden hast, kannst du ein bisschen hochschätzen sagen, ah ja, da haben wir zehn Fälle gefunden. Aber ich glaube, alle sind sich eigentlich einig, dass das Dunkelfeld riesig ist. Sicherlich auch bei Android-Überwachungssoftware, dass Dunkelfeld riesig ist und eigentlich hat niemand irgendeine Ahnung und es kann auch niemand irgendeine seriöse Statistik aufstellen, von welchen Ländern sind jetzt hier die Däulsten. Natürlich gibt es dann Reports und dann kann man zeigen, ok, hier wurden Sachen eingesetzt. Aber es ist sehr wahrscheinlich, dass es da draußen doch noch deutlich mehr gibt. Hi, ich habe zwei Fragen und zwar, welcher, ihr habt ja verschiedene Hersteller wahrscheinlich schon untersucht, könnt ihr das immer rausfinden, welcher Hersteller sozusagen, zwei Hersteller ihr untersucht, ihr quasi findet? Und die Anschließendfrage, welcher Hersteller, also NSO haben wir jetzt schon gehört und ein paar andere, welcher ist der Böseste, wenn man so will? Ja, also das, es fällt mir jetzt schwierig, die Gegend an da aufzustellen. Der kompetenteste vielleicht? Der gefährlichste vielleicht, ja. Ja, ich, nee, also die sind natürlich alle schon mal auf der Internet, Anti-Internet-Freiheitsgala schon mal ganz da oben, weil sie halten halt Sicherheitslücken zurück und die sollte es einfach nicht geben. Ich glaube, das macht nicht so viel Sinn und auch wenn eine Firma geschlossen wird oder wenn jetzt zum Beispiel die USA kauft nicht mehr bei NSO ein, weil es gegen US-Staatsbürger benutzt wurde, dann kaufen die halt woanders ein, das ist im Prinzip egal, also irgendwer baut das Zeug, wenn es Staaten gibt, die das kaufen. Und genau zur Frage, ob man das analysieren kann, von welchem Hersteller das war, spannend ist ja vielleicht auch welches Land hat mich gehackt, das ist eigentlich spannender als der Hersteller meistens, glaube ich, aber das geht halt immer nur bedingt, weil natürlich kann ich ja die Spuren, die ich hinterlasse, bewusst so legen, dass man denkt, es sei wer anders gewesen. Also zum Beispiel kann ich ja kyrillische Zeichen irgendwie in meinem Sourcecode verwenden, das heißt dann ja aber natürlich nicht, dass es in Russland war oder man sieht dann oft in Reports auch, ja das wurde irgendwie zu, da war irgendwie 10 Uhr früh in dem Land, deswegen war da Arbeitszeit und nachts wird nicht gehackt oder so, weiß ich nicht, ich muss mich hier nur abends am Camp umgucken, ist Quatsch. Aber manchmal kann man Educated Guests geben, aber manchmal auch nicht. Also es gibt manche Fälle, wo dann einfach Leute witzige Sachen machen, zum Beispiel ich glaube es gab eine Situation, wo Amnesty ein Report veröffentlicht hat, wo sie eine Liste an Domains getrackt haben und am Tag danach sind die alle offline gegangen. So und da konnten sie dann halt durch diese Kausalikette relativ gut zeigen, okay wir haben hier diesen Satz an Handys, die haben alle E-Mails gekriegt oder SMS gekriegt mit diesem Link in dieser Domain und wenn die alle nach unserem Report offline gehen, dann haben wir uns vermutlich nicht geirrt, so da kann man Glück haben, aber it depends. Ich wollte noch fragen, Android und IOS, also Google und Apple brüsten sich ja auch damit, Journalist*innen zu schützen und zu unterstützen und geben ja auch Forensik Toolkits raus, werdet ihr von denen direkt unterstützt oder läuft da keine Kooperation? Also das Problem ist, das ist eigentlich immer in einem Kräfteverhältnis zwischen Privacy und Forensik, weil für uns natürlich teilweise es interessanter wäre, mehr Daten aus den Geräten rauszukriegen, um besser zu verstehen, was da in der Vergangenheit passiert ist und natürlich ist auch je mehr Daten ein Gerät aufzeichnet, was in der Vergangenheit passiert ist, desto besser kann eine Polizei, die da Daten rauskratzt, nachvollziehen für Straferfolgung, was in der Vergangenheit passiert ist. Das ist so, das wird sich glaube ich nie auflösen, ich würde sagen es ist okay, obwohl wir aktuell schon bei IOS Geräten deutlich besser in die Vergangenheit gucken können als bei Android Geräten und da kann man natürlich hoffen, dass sich das vielleicht in Zukunft nochmal verändert, aber da sind glaube ich noch Potenziale, dass Privacy-freundlich Daten, die sehr wenig mit Nutzungsverhalten zu tun haben, aber sehr interessant sind für eventuelle Kompromittierungen, die irgendwie länger aufzuheben. Also was es gibt, wo man sich bei Apple für bedanken kann, ist der Lockdown-Mode bei iPhones. Wenn man ein iPhone hat, macht das an. Also man hat oft bei, wenn man Apps oder Betriebssystem entwickelt, so eine Entscheidung, die man treffen muss zwischen Sicherheit und Schnelligkeit oder komfortablen Sachen und zum Beispiel der Just-in-Time-JavaScript-Compiler im Browser auf iPhones wird dann deaktiviert, dadurch laden Webseiten ein bisschen langsamer, aber man hat deutlich weniger Angrifsoberfläche und was Apple auch schon gemacht hat, ist, dass sie bei iPhones die Lockdown-Mode enabled hatten, die Leute informiert haben, als sie dann mitbekommen haben, dass jemand versucht hat, einen Exploit einzusetzen, der dann fehlgeschlagen ist und das natürlich super, weil dann können die Leute sagen, oh ich gehe zu Reporter ohne Grenzen und die machen dann eine forensische Analyse und können mir genau sagen, was ist passiert. Wir wissen ja alle, man soll nicht einfach irgendwas aus dem Internet aus seinem Gerät installieren. Jetzt ist aber auch so Dinge, die wir jetzt häufig viel besser halten, so was wie der F-Droid-Store, letztlich was, wo irgendjemand Dinge hoch lädt, seien wir ehrlich, wer liest schon den ganzen Quellcode, wie sehr ist das etwas, das genutzt wird oder etwas, dass man, also ich installiere manchmal schon so fröhlich drauf los aus dem F-Droid-Store und ich glaube, ich bin nicht alleine. Ist das etwas, wo man vorsichtig sein muss oder ist, keine Ahnung, die offizielle Store immer noch gefährlicher? Ich würde nur kurz reingreischen, um zu sagen, dass wir die drei Personen, die da stehen, noch abarbeiten und ansonsten die Fragerunde schließen. Ich glaube, da sind wir fast nicht die ganz richtigen für diese Frage. Das ist ja eher eine sehr allgemeine Frage, die schon länger diskutiert wird, wer liest wirklich Sourcecode von Open Source Apps und wenn wir dann gerne sagen, ja, da könnte man dann die Sourcecode lesen und findet die Sicherheitslücken. In der Praxis passiert das ja teilweise dann auch nicht. Ich glaube, Heartbleed war so ein großes Beispiel, wo irgendwie der Bug da eigentlich jahrelang eben im öffentlichen Sourcecode war und dann hat halt keiner gefunden. Also du hast natürlich trotzdem App-Sandboxes auf Android zum Beispiel. Aber wenn wir uns so im Bereich Journalismus umgucken, dann muss man auch sagen, es wird wenig Open Source Software eingesetzt, so von Anwendungssoftware. Ja, genau, es gibt Leute, keine Ahnung, die benutzen Outlook, haben die Adobe Suite, um irgendwie Layout zu machen, wie man sich das so vorstellen. Ja, hallo. Soweit ich informiert bin, ist Journalismus oder Medien in Deutschland ja kritis und damit ab einer bestimmten Größe reguliert, oder? Okay, ich wollte fragen, was aus regulatorischer Sicht, ob das eher das, was bisher läuft, ob ihr das für hilfreich haltet und ich meine, es gibt viele kleine, also die überwiegende Anzahl an Medienunternehmen werden, irgendwelche kleinen Zeitungen, Radiosender, was weiß ich was sein oder eben ein Heerscharen von freien Journalist*innen, da greift das vermutlich nicht. Also regulatorisch habt ihr, habt ihr euch damit beschäftigt, was es gibt und was es geben sollte, könnte und ob das hilfreich ist? Also das ist auch nicht unser Scope. Also da wirst du ein großes Unternehmen mit einer großen IT und dann ist ja im Prinzip egal, ob du Journalismus machst oder was anderes. Wir sind mehr auf diesen Einzelgeräte, Zero Days, sowas unterwegs und ja. Es schien vorher so, als wenn ihr sagt, Freie sind meistens miserabel geschützt und Festangestellte ziemlich gut. Ich habe beide Hüte auf, ich bin mal frei und mal auch Festangestellt und mein Gefühl ist, dass ich in meinem Festangestelltenverhältnis angreifbarer bin, weil ich doch auch abhängig bin von dem Sicherheitsverhalten meiner Kolleginnen und Kollegen und auch davon, ob die IT, also die Erfahrung ist, IT in großen Häusern reagiert halt auch extrem langsam, wenn man sagt, hier ist irgendwas komisch. Also da muss man schon echt hinterher sein. Habt ihr sowas mit berücksichtigt in dieser Analyse oder also würdet ihr tatsächlich sagen, Freie sind schlechter geschützt? Also das in einer Absolutheit hier zu sagen, würde ich mich niemals trauen. Das sind mehr so Erfahrungswerte von Dingen, die häufiger mal passiert. Natürlich ist das viel komplexer als so pauschal zu sagen, das ist so, das ist so. Die IT in einem großen Haus, die kann richtig gut sein, die kann auch schlecht sein. Einzelpersonen können richtig gut wissen, was sie tun. Einzelpersonen können ein zehn Jahre altes Android-Handy benutzen. Oder andersrum gefragt, habt ihr, ihr seht ja auch Fälle, dass eben Angriffe durch ein Netzwerk von dem Unternehmen kommen und dann bei einem Einzelnen raus oder ist das wirklich eher so mein Handy ist im Fokus und egal, ob ich das privat habe oder über ein Verlag, wird halt nur daran gearbeitet? Also mir wären jetzt keine Fälle und Angriffe der letzten Zeit bekannt, wo über ein Angriff auf das Gesamtnetzwerk dann Zugriff auf Daten, die eigentlich nur auf einem einzelnen Geräte liegen sollten, passiert sind. Okay, danke. Dann verändert sich mein Gefühl vielleicht. Vielen Dank. Gut, dann vielen Dank. Unsere Zeit hier ist abgelaufen. Bitte nochmal einen herzlichen Applaus für unsere beiden Speaker, Victor und Janik. [Applaus] [Musik]