Flurfunk - Attributionen, 75 Mio Ransom & CISO Compliance

Einen wunderschönen Montag, Max.

Einen wunderschönen Montag, ja. Ungewohnt. Keine Freitagnachmittag-Diskussion,

sondern ein fresher Monday-Morning-Diskussion.

Ja, ich habe, und man merkt, es ist Urlaubszeit, ich habe noch keine schockierten

Nachrichten heute bekommen, wo die neue Folge bleibt.

Das ist normalerweise der Standard, wenn ich Montagmorgens nichts poste,

aber die Leute scheinen irgendwie nicht im Auto zu hocken oder sonst irgendwo

und auf die Folge zu warten.

Tja, sitzen alle am Strand, schlürfen Cocktails, wobei man auch erwarten könnte,

dass die Leute dann da neue Podcast-Folgen hören.

Das erwarte ich auch und ich habe tatsächlich auch schon zwei,

drei Bilder bekommen von Leuten, die am Pool hocken und mir irgendwelche Screenshots

geschickt haben. Also das wird wohl auch gemacht, habe ich gehört.

Ich war letzte Woche in Saalbach-Hinterklemm, habe mich drei,

vier Tage lang sportlich zerstört in den Bergen auf verschiedenste Art und Weisen,

habe mir so eine kleine Hütte gemietet und habe jetzt wieder richtig Lust auf Podcast.

Sehr schön, hast du deinen Kopf ein bisschen freikriegen können.

Ja, den habe ich wirklich komplett gelehrt. Wenn du mal vorhast,

aufs Kitzbüheler Horn mit dem Fahrrad zu fahren, mach es einfach nicht.

Ich habe das in so eine sieben Stunden Tour eingebaut oder was das war, so in die Mitte.

Und das Ding hat dann, also das Ding hat auf ungefähr 8 Kilometern ungefähr

13 Prozent im Schnitt, was echt eklig ist und da ist so ein Mittelstück mit

8 Prozent, das fühlt sich dann an wie eine Abfahrt.

Am nächsten Tag bin ich dann ein bisschen länger laufen gegangen in den Bergen.

Ja, hat alles gut getan, aber wie gesagt, nicht, dass ich davor keine Lust gehabt

hätte, aber irgendwie geht man dann doch nochmal mit einer anderen Lockerheit rein.

Eben, genau. Der Körper muss einfach auch mal wieder ein bisschen ultimativ

an sein Limit gebracht werden, damit der Kopf dann dafür auch mal wieder ein

bisschen Kapazitäten für anderes hat.

Ganz genau, ganz genau.

Aber Saalbach-Hinterglemm liegt da nicht noch Schnee teilweise?

Nicht da, wo ich war. Also klar, wenn du jetzt hoch auf den Großglockner gehen

würdest, dann hättest du halt den Gletscher und da hast du dann manchmal auch

irgendwelche, besonders beim Laufen, müsstest du dann da oben manchmal über

irgendwelche Schneefelder oder so.

Das ist dann manchmal so ein bisschen tricky. Aber ich bin auch beim Laufen,

ich bin auf maximal 2,2 hochgegangen.

Da war das ganz normal Sommer.

Also da musste schon irgendwie auf 2,7, 2,8, 3,000 und dann sind das auch nur

irgendwelche Schneefelder vom Winter.

Ich hatte nur irgendwie, kennst du ja bestimmt Komoot, oder?

Mhm, na klar.

Es ist, ich hab seit zwei, drei Jahren das Gefühl, ich hab einmal ein Jahr nicht

Premium gemacht und seitdem wollen die mich umbringen.

Das Ding leitet mich über Wege, die sind keine Wege und da geht's jetzt nicht

darum, dass du mal durch ein tiefes Gras musst oder so, sondern die wollten

mich von dem einen Gipfel, auf dem ich morgens war,

ein ich wollt grad sagen Pfad, aber es war kein Kein Pfad, sondern einfach so

ein Geröllfeld mit irgendwie 70 Prozent runter, wo ich mir dachte,

nee, ich bringe mich jetzt nicht um.

Und auch beim Fahrradfahren. Ich bin morgens, ich hatte so ein Gravelbike dabei

mit so 42 Millimeter Reifen.

Aber selbst die erste Abfahrt auf Schotter war schon tricky.

Die ging so über 20 Prozent runter mit so dicken Geröll. Und,

ja, schon, habe ich mir auch gedacht, so auf dem Rückweg, nee,

komm, ich fahre lieber ein bisschen weiter durchs Tal und mache so die Schleife.

Und dann ist normalerweise der Trick, wenn du sagst, du fährst mit dem Gravelbike,

dann wählst du Rennrad aus, das hat dir eine etwas,

vom Untergrund der leichtere Route macht und dich dann nicht über diese Alm lenkt.

Nö, er lenkt mich natürlich trotzdem über die Alm. Das heißt,

er hätte mich mit dem Rennrad über diese Alm gelenkt, mit dem es mit dem Travelbike

schon echt tricky war, die Abfahrt.

Ja, da fragst du dich, glaube ich, immer eher, wer stellt diese Routen rein?

Weil die ganzen Dinger sind ja bei Komoot alle Community-driven.

Nicht nur. Nicht nur?

Es ist ja Kartenmaterial, offizielles, und dann Community-driven.

Dann ist die Frage, wer pflegt das Kartenmaterial Oder wer dann dahinter steht

und quasi bei den Routen nochmal mit angibt, was man da alles quasi fahren kann und was nicht.

Ich glaube nicht, dass da jemals jemand angegeben hat, dass man da mit einem

normalen Straßenrennrad drüber fahren kann.

Oder vielleicht ist es auch schon so targetet, dass sich eigentlich jemand loswerden wollte, Robert.

Ja, ich wollte gerade sagen, so ein Poisoning von den Daten könnte eine Idee sein.

Ich glaube aber tatsächlich, was öfters auch mal vorkommt ist,

Leute posten relativ ungenaue GPS-Daten, keine Ahnung, veraltete Uhren oder

sonst irgendwas, manchmal spinnt GPS auch einfach, das kennt man ja einfach,

dass das dann irgendwie so 10 Meter abweicht.

Aber ich glaube halt, oder meine Theorie ist, dass da halt auch einfach Learning-Algorithmen

darunter liegen, die das dann

aber halt mit einpflegen und daraus dann irgendwann dir eine Route machen.

Weil ich habe das Gefühl, und ich verwende Komoot sehr, sehr viel für die Routenplanung

oder um mich einfach mal umzuschauen, dass es schlechter wird.

Und ich habe so, also meine Theorie ist am ehesten, dass halt einfach durch

viele ungenaue Daten halt irgendwann dieses Modell einfach nicht mehr richtig funktioniert.

Das ist immer wieder bei dem ganzen AI-Thema, die AI kann nur so gut sein,

wie das Datenmodell, was drunter liegt.

Ja. Das könnte dann genau dazu führen, ja.

Ja, aber diese Story ist noch gar nicht zu Ende. Ich habe dann irgendwann,

habe ich halt einen anderen Ort, habe ich Hochfilzen ausgewählt,

dass er mich halt durch das Tal unten lenkt, weil das ist ja immer der Trick.

Klickst du dann an und dann lenkt er dich da rum.

Dann wollte er mich aber auf Teufel komm raus über die Bundesstraße leiten.

Ich meine, da unten gibt es ein perfektes Radnetz.

Ein perfektes Radnetz.

Aber nein, er will einen perfekt über die Bundesstraße leiten und wenn ich dann

die Bundesstraße weglege, will er mich wieder über die Alm leiten.

So in der Art, du fährst jetzt Bundesstraße und wenn du nicht Bundesstraße fährst,

fährst du über diese Alm.

Und irgendwann habe ich dann eine total crazy Sache gemacht.

Ich bin dann halt einfach nach Schildern gefahren und das hat funktioniert.

Crazy. Du bist quasi, das 90er Jahre Modell hast du angewandt.

Ja, das ist absolut krass. Ich war so, boah, fuck.

Man kann hier tatsächlich mit Schildern fahren und habe dann auch den zweiten

und dritten Tag mehr oder weniger analog gemacht und habe das auch einfach wieder für mich entdeckt.

Ja, das klingt total behämmert. Also wenn ich das jetzt hören würde,

würde ich mir auch denken, ja, dann lauf halt einfach nach Schildern.

Aber es ist halt manchmal echt das Problem, dass man sich da voll und ganz auf Technologie verlässt.

Ja, ist aber super, weil dann hast du auch zeitgleich, vielleicht unbewusst

auch für dich, was sehr Gutes für dein Hirn getan.

Denn dieses komplette Verlassen auf die digitalen Karten und das Durchnavigieren

werden, das tut was mit unserem Kopf oder beziehungsweise es tut nichts mit

unserem Kopf, weil wir verlassen uns ja total nur auf diese ganzen digitalen Helferlein.

Und es ist aber mittlerweile bewiesen, dass wenn du dich selber navigierst,

also dass wenn du selber quasi deine Route raussuchst und dazu gehört dann auch

mal nach Schildern zu fahren,

beziehungsweise auf dem Weg dazwischen bist ja doch immer noch auf ungewissem

Terrain quasi und dich mehr so auf Optiken eben zu verlassen,

dass das dein Hirn so beansprucht, dass es wirklich wie so eine,

ja keine Verjüngerungskur, aber definitiv was für das Training deines Kopfes tut.

Also hast du nicht nur deinen Körper gestellt, sondern auch noch dein Hirn stark.

Ja, und wie gesagt, das hat auch einfach gut getan, nicht ständig irgendwie

von der Uhr genervt zu werden oder vom Radcomputer, weil die nerven einen ja

auch echt, wenn du da teilweise mal 100 Meter von irgendeiner Strecke abweichst

oder so, die du da drauf gemacht hast, flippt das Ding aus.

Bitte drehen Sie um. Genau.

Wo wir gerade, war das eine Überleitung von mir? am Thema Karten sind.

Gehen wir doch zum Bundesamt für Kartografie und Geodäsie.

Wow. Das ist ein neues Hoch von Überleitung. Respekt.

Und ich muss tatsächlich sagen, also kannst du mir glauben oder nicht,

ich hatte das nicht geplant, aber gerade kam es mir so und dachte mir so liegt nahe.

Weil du dich hast nicht navigieren lassen übers Wochenende.

Ganz genau. Ganz genau.

Ja, also wie gesagt, auch wenn es nicht, wir hatten gerade für euch Zuhörer,

weil ich glaube, der Übergang ist jetzt nicht ganz so schön.

Wir hatten gerade so einen kleinen Wobbel in der Aufnahme.

Also ja, der Übergang war richtig, richtig geil, aber er war nicht geplant.

War es letzte Woche, dass diese News rauskam?

Ich glaube ja, letzte Woche Mittwoch oder sowas am 31., wenn ich es noch richtig im Kopf habe.

Genau, also im Grunde genommen geht es darum, dass Chinas Botschafter wegen

eines Cyberangriffs von Ende 2021 eben auf das Bundesamt für Kartografie und

Geodäsie einbestellt wurde.

Das ist das erste Mal seit, keine Ahnung wie viel Jahren, Jahrzehnten,

wie auch immer, dass ein chinesischer Botschafter einbestellt wird.

Das heißt, das hat auch eine ordentliche, zumindest politische Tragweite das Ganze.

Seit 1989.

Genau, seit 1989. Das ist durchaus ein bisschen her.

Und mir geht es gar nicht so sehr um diese Sache, weil darüber auch einfach

zu wenig bekannt ist und wahrscheinlich auch einfach zu wenig bekannt wird.

Worum es mir eigentlich mehr geht, ist, was es teilweise schon wieder für ein

Echo auch aus, ich würde mal in Anführungsstrichen sagen, der Community gab.

Also ich habe viel gelesen von, oh, das hat aber lang gebraucht, dass man das merkt.

Typisch IT-Security irgendwo in der Politik und sonst irgendwas. was.

Und also, oh Gott. Ich könnte mich bei sowas und ich mittlerweile,

ich reg mich einfach nicht mehr auf, wenn es irgendwie geht.

Aber das ist so, und entschuldigt jetzt wirklich mal diesen Begriff, das ist so dumm.

Und das ist so weit weg von der Thematik, dass ich es wirklich nicht in Worten ausdrücken kann.

Es geht hier nicht drum, dass man es jetzt gerade bemerkt hat.

Und wenn man ein bisschen mehr als Wenn man jetzt eine fucking Überschrift einfach

mal lesen würde, dann würde man das auch bemerken.

Es geht hier gerade um die politische Dimension, dass man eine Attribution geschafft hat,

was erstmal nicht einfach ist, was extrem schwierig ist, überhaupt eine saubere

Attribution zu machen, was auch ein sehr langwieriger Prozess ist,

besonders wenn man es richtig machen will. Womit wir zum zweiten Punkt kommen.

Es geht hier gerade um einen politischen Vorgang, damit an die Presse zu gehen

und einen offiziellen Vorgang, einen chinesischen Botschafter einzubestellen.

Das heißt erstmal, so eine Attribution muss einfach richtig,

richtig gut sein und richtig, richtig konkret. redet.

Und da geht es nicht darum, dass man irgendwo ein Artefakt findet und dass man

dann sagt, oh, das war jetzt der chinesische Staatsdienst, sondern da geht es

darum, dass das eine unglaubliche politische Dimension hat.

Und überhaupt so ein Attributionsverfahren zu machen, in dem Falle war,

glaube ich, das Auswärtige Amt federführend.

Das ist natürlich immer so ein bisschen eine Debatte in Deutschland, wer macht das?

Das ist nicht immer so ganz einfach, aber,

Und das ist einfach eine viel größere Debatte und damit dann auch noch an die

Presse zu gehen, den Botschafter einzubestellen, das gab es noch nicht oft, besonders wegen Cyber.

Es gab diesen SPD-Angriff oder auf die SPD vor ein paar Jahren,

wo auch ein Attributionsverfahren lief und auch an die Presse gegangen wurde.

Das sind unglaubliche politische Tragweiten und darum geht es gerade.

Es geht gerade nicht darum, dass das nach drei Jahren bemerkt wurde.

Ja, genau. Also es ist einfach wichtig, dass man sich immer wieder in Erinnerung halten muss,

dass wir hier von Politik reden und hier kann man nicht vorschnell agieren.

Hier kann man nicht einfach vorpreschen mit, okay, wahrscheinlich ist es der

und der wegen den und den Daten und deswegen, Hackbacks hatten wir auch schon

mal, glaube ich, in der Folge,

was sowieso auch schon gar nicht geht, aber gehen wir jetzt dann auf die zu

und machen die dafür verantwortlich?

Nein, da wird mit richtig und muss auch wirklich mit richtig viel Fingerspitzengefühl agiert werden,

weil ich meine, wenn wir uns anschauen, mal kurz rüber über den großen Teich

wieder gewisse Politiker in Anführungszeichen agieren und da tagtäglich irgendwelche

neuen Vorwürfe oder so raushauen,

das tut uns halt allen nicht gut. Also das ist auch nochmal so ein Thema.

Wir müssen wirklich ganz haarscharf und detailliert wissen, basierend auf Fakten

und Evidenzen, wem wir was nachweisen können oder eben attributieren können.

Und erst dann geht, sage ich mal so ein bisschen, auch wieder diese riesige

politische Maschinerie los, weil auch das ist nicht so easy.

Da musst du auch durch mehrere Hürden durchspringen und durch mehrere Instanzen

durchgehen, bis das mal dann auch wirklich bei den Richtigen ankommt.

Von daher, dass man da jetzt grundsätzlich mal was macht und dass man jetzt mal sagt, nee,

wir sind uns hundertprozentig sicher und dementsprechend gehen wir jetzt dann

auch auf die entsprechenden politischen Parteien zu,

um uns darüber jetzt, ich sag mal, auszutauschen, beziehungsweise auch eben

auch wieder auf einem ganz anderen politischen Level darüber zu sprechen,

was man jetzt damit dann auch macht.

Da sind wir alle in unseren Jobs so weit von weg,

dass man eben, wie du sagst, eigentlich nicht jetzt mit irgendwelchen wieder

Floskeln da rauskommen sollte, mit von wegen,

warum nicht schon längst und da hätte man doch schon viel früher was machen

müssen, nee, nee, nee, das ist eine ganz andere Maschinerie,

die da am werkeln ist und da sind wir alle so weit von weg,

dass wir uns da nicht erlauben sollten,

so voreilig und ohne,

Ohne wirklich zu wissen, was dahinter steht, da gleich dann wieder einfach nur

irgendwelche Sachen rauszuteilen, auch wenn es Klicks und Views wieder generiert.

Ja, und das heißt ja auch nicht, dass man nicht Dinge kritisieren kann,

dass man nicht eine Meinung zu Dingen haben kann und vielleicht auch mal eine

Meinung dazu haben kann, dass manche Dinge auf Bundesebene nicht gut laufen.

Ich glaube, das ist kein Geheimnis, auch was dieses ganze Thema,

wer trägt für was Verantwortung und so weiter.

Das kann man alles kritisieren, das kann man alles blöd finden,

aber man sollte sich halt schon manchmal fragen, bevor man irgendwas teilt und

einfach mal wieder im Grunde genommen seinem eigenen Bias entsprechen will.

Und man ja auch weiß, das ist immer dieses typische Phishing for Likes,

also da kommt schon immer irgendjemand und klickt dann wieder,

gefällt mir und nochmal, das heißt ja auch nicht, dass ich da alles in Schutz

nehme, was da läuft, aber es ist halt, also die Sachen, die ich gelesen habe, sind halt einfach,

grenzdebil, sorry, das hat nichts mit irgendeiner Realität zu tun und da muss

man auch einfach sagen, das sind Leute, die lesen, glaube ich,

nicht mal eine Überschrift komplett,

Weil wie gesagt, um diese ganze Thematik ging es gar nicht.

Aber gut, an sich, ich finde es einen spannenden Vorgang, weil es wie gesagt

nicht oft vorkommt, dass überhaupt an die Öffentlichkeit gegangen wird.

Ein Attributionsverfahren ist glaube ich auch nicht so super häufig,

aber da bin ich jetzt auch nicht der letzte Experte drin.

Dass man damit dann aber auch mit dem Ergebnis tatsächlich hausieren geht,

ist nochmal was anderes und hat auch einfach nochmal eine andere Dimension,

besonders in der aktuellen weltpolitischen Lage.

Was das Ganze dann für Auswirkungen hat, was genau passiert ist,

ganz ehrlich, ich habe keine Ahnung und deswegen werde ich darüber auch nicht reden.

Und was ich sowieso total spannend finde, jetzt mal davon abgesehen,

dass wir hier einen akuten Fall haben,

wo wirklich auch eine Bundesanstalt oder eben ein Bundesamt gehackt wurde,

um an irgendwelche Daten ranzukommen, die mit Sicherheit durchaus kritisch sind,

weil sie eben auch sehr viel unserer kritischen Infrastruktur,

sag ich mal, preisgeben beziehungsweise dokumentieren.

Was mir jetzt aus unserer Diskussion gerade wieder in den Kopf gesprungen ist,

da gab es doch vor ein paar Wochen auch eine große Mitteilung,

ich muss es wieder raussuchen ich habe es jetzt in der Zwischenzeit noch nicht finden können,

da hat eine deutsche.

Nachrichtenagentur, und ich weiß leider gerade nicht mehr, welches war,

sich doch auch wieder auf den Weg gemacht, hier so Telemetriedaten von Data Brokern zu erwerben.

Und hat dann über den Data Broker,

nur weil sie bei denen quasi angeschrieben haben und sie wären an Daten interessiert,

hat ihnen der Data Broker ja irgendwie schon mehrere Gigabyte an an Meta-Location-Daten

mitgegeben, die halt gesammelt werden über,

Werbung in Apps oder bestimmte Apps, die halt deine Location tracken und so