Sprecherin: Okay, also ihr seid alle die Glücklichen, die es in den Talk von Linus geschafft haben. Der Talk heißt „Bullshit made in Germany – so hosten Sie Ihre De-Mail, E-Mail und Cloud direkt beim BND“.
Ja, viele von euch hören ja vielleicht regelmäßig den Podcast „Logbuch Netzpolitik“ mit Linus und Tim Pritlove. Und wer das tut, hat Linus da schon häufiger Mal reden hören über das Thema De-Mail und die anderen Sachen, um die es hier heute geht. Linus ist ja auch Experte auf dem Gebiet, macht das auch beruflich. War auch im Bundestag bei verschiedenen Anhörungen und Ausschüssen, im Innenausschuss und im Rechtsausschuss. Und davon erzählt er euch jetzt gleich mehr, und darauf freue mich sehr. Viel Applaus für Linus!
(Applaus)
Linus Neumann: Ja…
(Tafel mit Hund wird angezeigt, Publikum lacht)
Linus Neumann: Vielen Dank, dass ihr gekommen seid. Hört man mich?
Publikum: Ja!
Linus Neumann: Okay, wunderbar. Ja, eigentlich ist über den Vortrag alles gesagt worden. Wir können den eigentlich auch ausfallen lassen. Aber ich denke, ich mache es trotzdem mal. Ich will mich ein bisschen mit bundesdeutscher Sicherheitstechnik vor und nach Snowden auseinandersetzen. Und meine These ist eigentlich, dass dieses Davor und Danach eigentlich keine wirkliche Rolle spielt. Was ich dann mal versuche an vier Beispielen zu verdeutlichen.
Das Erste ist natürlich De-Mail, das Zweite ist dann E-Mail made in Germany. Das Schland Net darf natürlich nicht fehlen, und zuletzt erlaube ich mir noch ein paar Kommentare zur Deutschland-Cloud.
Die De-Mail-Sachen gingen eigentlich los zu einer Zeit vor Snowden. Ich habe ja schon, ich denke, im 2011 oder so Artikel dazu geschrieben. Damals war auch Harald Welte dann einmal in einem Ausschuss des Bundestages und hat ein Gutachten für den CCC abgeliefert. Man hatte eigentlich den Eindruck, dass dieses ganze Thema durch ist, doch plötzlich kochte es dann nochmal hoch. Wie es dazu kam, möchte ich dann jetzt gleich erklären.
Wir erinnern uns, De-Mail hat als Ziel, für einen sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet zu sorgen. Dafür haben wir uns ein eigenes Gesetz geschrieben, in dem dann die De-Mail-Dienste festgeschrieben wurden. Wenn man so darüber nachdenkt – ich meine, eigentlich leuchtet das ja ein, es ist irgendwie klar, dass man E-Mails jetzt nicht ernsthaft für gerichtsfesten und nachweisbaren Geschäftsverkehr ausführen kann. Insofern, es gibt viele Leute, die auch seit langer Zeit an dem Konzept E-Mail Kritik üben, die sich wünschen, dass man dafür irgendwann etwas Besseres entwickeln würde. Es gibt Leute, die haben das einfach mal in die Hand genommen und haben PGP gebastelt. Und die Bundesregierung hat dann auch etwas gemacht. Und man dachte, ah, vielleicht unterziehen sie jetzt mal SMTP und IMAP so ein bisschen einer Pflege, dass das irgendwie so ein tolles neues Ding wird, das irgendwie funktioniert. Und alles ging los 2009, als sie sagten, ja, wir machen einen akkreditierten Dienst-Anbieter, die müssen dem Nutzer ein sicheres elektronisches Postfach für einen sicheren Versanddienst für elektronische Nachrichten anbieten. Wunderbar, dann haben wir das Problem ja geklärt!
Im Jahr 2011 kam dann das De-Mail-Gesetz, in dem gesagt wurde, das ist das jetzt – also De-Mail, das ist jetzt das Sichere. Und dann… Moment… oh, ich dachte, da käme eine andere Folie, Entschuldigung! Und was haben sie gemacht? Sie sind ein paar Probleme von E-Mail angegangen, mit ihrem De-Mail, das muss man zugestehen. Da haben sie sich so gedacht, jeder kann eben die hasi69@yahoo.com registrieren, das heißt noch lange nicht, dass wir es auch wirklich mit dem hasi zu tun haben, wenn wir die E-Mail bekommen. Und das müssen wir irgendwie sicherstellen. Und natürlich könnten wir jetzt irgendwie Signaturen einfügen oder so. Und außerdem haben wir ein bisschen das Problem bei nachweisbarem Verkehr, schriftlichem Verkehr, dass…
(Publikum lacht)
Das ist blöd, da drüber darf man nicht lachen. Dass also, wenn ich einen Brief kriege, und der gefällt mir nicht, dann kann ich den einfach weglegen und sagen, dass ich ihn nie bekommen habe. Erst wenn ich ein Einschreiben bekomme, bin ich daran irgendwie festgenagelt. Das ist ein guter Tipp, kann man immer mal zur Anwendung bringen. Und diese beiden Probleme, haben sie sich gedacht, die lösen wir bei De-Mail so: Wer so eine De-Mail-Adresse registriert, der muss seinen Ausweis zeigen – wunderbar. Und außerdem verpflichten wir den Nutzer, diese De-Mails abzuholen. Und wir bieten einen kostenpflichtigen Dienst für den Absender an, eine Empfangsbestätigung zu bekommen. Zahlst du ein bisschen was drauf, hast du ein Einschreiben, wunderbar. Und derjenige, der die De-Mail bekommen hat – oder auch nicht bekommen hat – ist dann eben verbriefter Empfänger. Das war schon mein erster Grund zu sagen, na ja okay, so eine Adresse möchte ich eigentlich nicht haben.
De-Mail hat so ein weiteres kleines Problem, man kann kein Geld damit verdienen. Auch dafür haben wir eine intelligente Lösung gefunden: 39 Cent kostet eine De-Mail.
(Publikum lacht)
Es gibt Profi-Accounts, wo man auf Preise von 32 Cent runter kommt – und irgendwie so zehn umsonst oder so was, zehn gratis De-Mails. Und was natürlich aus der Sicherheitsperspektive kritisiert werden kann, dass das irgendwie so ein verteiltes System mit vielen konkurrierenden Anbietern ist. Und auch dafür gibt es eine Lösung – wir machen einfach eine teure Zertifizierung. Dann haben wir nur wenige Anbieter, und die konkurrieren eine Zeitlang miteinander, bis sie alle eingehen, und dann haben wir am Ende eigentlich ein zentrales System.
Und natürlich ein großes Problem bei E-Mail zu der Zeit auch, 2009 noch – viele Anbieter bieten unverschlüsselte Verbindungen an. Zu dem Thema kommen wir nachher nochmal. Und dann haben sie gesagt, okay, dann machen wir SSL durchgängig, also eine De-Mail wird niemals im Klartext übertragen. Und dann gibt es noch ein weiteres Problem bei E-Mail: Nicht jeder Nutzer unterstützt Ende-zu-Ende-Verschlüsselung, PGP oder S/Mime, was also zu einer sicheren Verschlüsselung führen würde. Was vor allem dazu führen würde, dass der Anbieter selber die De-Mails dann nicht lesen kann. Und auch dafür gibt es eine Lösung – das machen wir weiterhin nicht.
(Publikum lacht)
Dann gab es in den 90er Jahren auch noch ein Problem, das erkenne ich an, das waren E-Mail-Würmer. Irgend jemand hatte sich überlegt, ich glaube, davon war primär Outlook betroffen oder Outlook Express, da hat man gesagt, dass das doch super wäre, wenn man eine E-Mail schreiben könnte, indem man ein JavaScript rein schreibt, und der Empfänger bekommt das, und der Rechner von dem Empfänger füllt dann dieses Javascript aus. Und dann können wir etwas blinken lassen oder so. Ergebnis war natürlich, dass massenweise irgendwelche E-Mails kamen mit Viren, die dann das Outlook per Script befallen haben und andere Sachen geschickt haben. Also E-Mail-Würmer waren ein Problem. Und dann hat man sich gesagt, ach, dafür haben wir auch eine Lösung: Wir machen einfach einen Viren-Scan. Wir machen einen Viren-Scan beim Anbieter. Wer denkt, dass das eine gute Idee ist?
Zuhörer: McAfee!
(Publikum lacht, Applaus)
Linus Neumann: McAfee, ja, McAfee! Das Ding ist auf meinen Namen registriert. Wenn ich jetzt vorhabe, jemanden mit einem Virus zu befallen oder zu infizieren, dann mache ich das doch nicht mit einer Absender-Adresse, die auf meinen eigenen Namen registriert ist und wo ich zusätzlich auch noch 39 Cent zahle.
(Publikum lacht)
Es könnte sich nämlich herausstellen, dass es die 39 Cent doch wert ist. Für so einen Massenangriff ist das natürlich viel zu teuer. Wenn ich sage, mein Ziel ist es, ein großes Bordnetz zu bauen, dann kann ich das natürlich nicht über De-Mail machen, da zahle ich mich dumm und dämlich für. Wenn ich aber einen gezielten Angriff habe, für jemanden Sensibles, jemanden, wo ich sage, okay, der ist es mir wert – dass ich sogar 39 Cent ausgebe, um dem meinen Virus zuzustellen, und vielleicht noch so einen halben Nachmittag investiere, einen Virus zu basteln, den ich nur für diese eine Person bastele. Was der Viren-Scanner wahrscheinlich gar nicht kennt. Und ich dann auch noch die Möglichkeit habe, das vorher zu prüfen, weil ich es ja vorher fünf Mal an mich selber schicken und sehen kann, ob der Viren-Scanner von De-Mail das Virus findet oder nicht. Und dann schicke ich es an jemanden, der sagt, „och geil, auf Viren gescannt, kann ich ausführen“. Also, keine besonders gute Idee!
Außerdem gibt es natürlich andere Wege. Ich kann eine URL anstatt einer Datei De-mailen, ich kann eine E-Mail schicken, ich kann darauf hoffen, dass die Leute irgendeine Software downloaden, ich kann auf Flash oder Java setzen, das machen Generationen von Angreifern seit Jahren mit großem Erfolg. Das heißt, wozu das eigentlich führt, ist der Effekt, dem man so dem Fahrradhelm nachsagt – Risikokompensation. Ich bin ja geschützt, ich kann hier machen, was ich möchte. Und in Wirklichkeit hat man leider diesen Fahrradhelm am Knie, und wenn man auf die Schnauze… irgendwie so. Ich höre, der Vergleich hinkt – ich weiß!
Das heißt, wir haben am Ende ein System, das unverschlüsselt ist, denn es ist ja nur eine Transportverschlüsselung. Das heißt, auf den Servern selber, auf den De-Mail-Servern selber liegt die De-Mail unverschlüsselt. Beziehungsweise, sie sagen, sie speichern die verschlüsselt ab und haben den Schlüssel daneben liegen. Ich weiß, das ist ein sehr schönes Argument, das so anzubringen. Es gilt aber nun mal faktisch als unverschlüsselt, wenn man den Schlüssel hat. Es gibt nur wenige Anbieter, und darüber wird nur sensible Kommunikation abgewickelt.
Es ist außerdem natürlich auch ein Traum für Bundeskriminalamt und Bundesamt für Verfassungsschutz. Denn für die löst sich nebenbei auch noch die Spam-Problematik. Wir erinnern uns, wir hatten einige Zeit darunter zu leiden, dass bei E-Mails zu viel Spam war, so dass die ihre Filter ein bisschen überladen hatten. Das sollte sich natürlich bei De-Mail geklärt haben. In Wirklichkeit ist aber natürlich dieser Viren-Scan beim Anbieter einfach nur eine Ausrede oder ein Argument dafür, keine Ende-zu-Ende-Verschlüsselung zu machen. Denn wenn der Anbieter nicht hineinschauen kann in die Nachricht, dann kann er sie auch nicht auf Viren prüfen. Jetzt kann man also abwiegen, möchte ich einen unvollkommenen Virenschutz haben, oder möchte ich eine vertrauliche Kommunikation herstellen können. Na ja, das war dann irgendwann 2011, und danach passierte… nichts!
(Publikum lacht, Applaus)
Und dann waren natürlich die De-Mail-Anbieter unglücklich. Die hatten bis dahin dann eben ihr ganzes Geld ausgegeben, um da eine De-Mail-Infrastruktur hinzustellen. Es gab einen sehr schönen Artikel auf heise von Detlef Borchers, glaube ich, geschrieben. Nachdem der CCC dann einige Gutachten zu diesem Thema verfasst hatte, wurden Journalisten eingeladen nach Frankfurt zum De-Mail-Center, wo dann gezeigt wurde, dass draußen solche Perimeter-Sperren sind gegen Bulldozer-Angriffe. Also, da wurde richtig Geld in die Hand genommen, um das sicher zu machen. Aber irgendwie wollte es keiner haben. Weil dieser schöne sichere, nachweisbare Geschäftsverkehr für jedermann – keiner ist darauf angesprungen. Ich kannte niemanden, der irgendwie De-Mail hatte oder so. Und was musste man machen? Ja, klar, es musste ein neues Gesetz her. Und zwar diesmal Gesetze, die De-Mail irgendwie zum Standard machen, indem es zur einfachsten und günstigsten Methode wird gegenüber einer Reihe von teureren und eventuell sogar überlegenen Methoden. Aber man will natürlich, dass letztendlich dann die niedrigste Einstiegsschwelle dann diejenige ist, auf die sich die Menschen einpendeln. Und das wurde dann 2013 mit den E-Government und dem E-Justice-Gesetz gemacht. Und das waren die Gesetze, zu denen ich dann auch in die Ausschüsse geladen wurde als Vertreter für den CCC.
Beim ersten ging es um das E-Government-Gesetz. Und dann habe ich dieses Gesetz-Ding bekommen, das war auch das erste Mal, dass ich so etwas – sage ich mal – mir mit der Bürde angeschaut habe, mich ernsthaft qualifiziert zu einem Gesetzestext äußern zu müssen. Und das auch noch in einem Ausschuss, wo mir Hans Peter Uhl gegenüber sitzt.
(Publikum lacht)
Und ich dachte, „oh, das wird schwierig, das wird schwierig“. Und dann habe ich diesen Gesetzestext bekommen. Und jetzt ist es so, die hatten in diesem Fall ein Problem. Sie standen jetzt wirklich vor einem Problem. Denn, so wie sie ihr schönes De-Mail-Gesetz formuliert hatten, genügte De-Mail nicht den Ansprüchen an Sicherheit, die sie in anderen Gesetzen für den Transfer von bestimmten Daten definiert hatten. Da stand drin, so und so, wenn das und das übertragen wird, muss das ordentlich verschlüsselt sein. Und jetzt mussten sie irgendwie einen Fix finden, weil ihr schönes De-Mail gar nicht passte, gar nicht ging! Also, es hätte gegen das Gesetz verstoßen, De-Mail zur Übertragung dieser Daten zu nutzen, weil es offenkundig nicht sicher genug ist. Aber es gibt natürlich für jedes technische Problem eine juristische Lösung. Und dann finden sich so schöne Sätze wie, „das Senden von Sozialdaten durch eine De-Mail-Nachricht an die jeweiligen akkreditierten Dienstanbieter – ba, ba, ba – zur kurzfristigen automatisierten Entschlüsselung zum Zweck der Überprüfung auf Schadsoftware – und so weiter – ist kein Übermitteln“.
(Publikum lacht, Applaus)
Ja, Problem gelöst – eine Entschlüsselung verstößt nicht gegen das Verschlüsselungsgebot! Das ist das, was dieser lange Satz, vor dem ich euch schonen möchte, heißt. Ungefähr so war dann auch mein Gesicht, weil ich mir tatsächlich nicht sicher war, ob ich den Satz richtig verstanden habe, aber es war dann tatsächlich so. Und dann kam ich also in diesen Innenausschuss und sagte, ja, hallo, ich habe mir das mal angeguckt, was Sie da geschrieben. Und ich halte das für gefährlich, was Sie tun. Sie sollten… das waren so meine Hauptargumente, man muss ja so argumentieren, dass die das vielleicht interessant finden, was man sagt, und zuhören. Ich wollte ihnen ja helfen! Also, dann habe ich gesagt, guckt mal, wenn ihr das jetzt macht, dann sind diese ganzen unverschlüsselten, sensiblen E-Mails auf den vier – oder jetzt sind es sogar nur drei – De-Mail-Servern, wo ihr dann euren Perimeter Schutz drumherum gebaut habt, das wusste ich zu dem Zeitpunkt nicht.
Was meint ihr denn, wie attraktiv diese Dinge als Angriffsziel werden für Angreifer? Wo ich weiß, der Inhalt dieser Nachricht ist so vertraulich, dass die Menschen 39 Cent ausgeben, um sich in Sicherheit zu wahren. Und das halte ich dann so aus Security-Perspektive durchaus für problematisch. Und dann wurde interessanterweise – das muss ich vielleicht noch kurz erklären: Wenn man in so einen Ausschuss geht und da als Sachverständiger hinkommt, ich dachte, dass diesem Wort irgendwie eine Bedeutung beikommt. Ich habe mich geehrt gefühlt. Ich dachte, super, die haben meinen Sachverstand anerkannt und mich deshalb eingeladen. In der Regel ist das so, dass da ein Theater stattfindet mit Leuten, die natürlich eingeladen werden, um das zu sagen, was sie dort sagen. Und da werden irgendwelche Berichter von irgendwelchen Verbänden eingeladen. Letztendlich ist das eine Gruppierung von Lobbyisten, die dann da letztendlich so dann drängt und sagt, das finden wir toll, das müssen wir unbedingt machen. Und dann wurde wörtlich von einem Sachverständigen gesagt, „dass in der Hacker-Szene die Überzeugung besteht, es gibt keinen Server auf dieser Welt, den ich nicht knacken kann, und deren Lieblingsobjekte die Geheimdienste, NASA und so weiter sind“. Das mag schon sein!
Wie gesagt, das war vor Snowden – wenige Wochen. Aber danach kann man nicht einen vernünftigen Standard für einen Alltagsaustausch der Kommunikation etablieren. Der gute Mann hat natürlich das Thema verfehlt – Alltagsaustausch in der Kommunikation ist eine Facebook-Nachricht! Da brauche ich jetzt nicht noch eine De-Mail zu implementieren. Also habe ich gesagt, na ja, Freunde, passt auf, ich mache euch einen Vorschlag. Jeder E-Mail-Client unterstützt sogar S/Mime. Und ihr habt den Leuten doch gerade diese Personalausweise andrehen wollen, die sie auch nicht haben wollen. Und in diesen Personalausweisen ist eine Smart-Card, und da könntet ihr so ein Zertifikat drauf haben. Und dann könnten die Leute damit richtig schön ihre De-Mails verschlüsseln und signieren. Dann hättet ihr zwei Fliegen mit einer Klappe geschlagen. Und hättet zusätzlich auch noch ein sicheres De-Mail-System. Übrigens, kleiner Seiten-Hint, den habe ich denen aber nicht erzählt, sie hätten sich in dem Moment natürlich auch die ganze De-Mail-Sache knicken können. Weil, sobald jemand in der Lage ist, sein Dokument vernünftig zu signieren, ist es auch völlig egal, womit er es mir zusendet. Die kryptographische Signatur unter einem Dokument ist genau für diesen Zweck da. Dann wurde gesagt, dann mussten sie also jetzt irgendwie meinen Vorschlag der Ende-zu-Ende-Verschlüsselung ad absurdum führen und loswerden. Und dann sagten sie, ja, aber geht das auch auf dem Smartphone? Da habe ich gesagt: Ja!
(Publikum lacht, Applaus)
Und es stimmt, das ist übrigens ein Tipp: S/Mime, S/Mime-Zertifikat schön auf das iPhone laden. Gut, ich bin ja immer freundlich und auch aufrichtig zu den Menschen. Dann habe ich gesagt, dass ich das nicht für eine gute Idee halte. Und dann wurde gefragt, ja, mit der Ende-zu-Ende-Verschlüsselung, das müsste ich jetzt mal erklären, wie macht man das denn, wenn man dann in der Türkei in einen Internet-Shop geht, im Urlaub, und seine Ende-zu-Ende-verschlüsselte De-Mail abholen möchte? Die richtige Antwort ist natürlich, man macht es nicht!
(Publikum lacht, Applaus)
Na ja, ich habe dann so erzählt, und mir war auch klar – wenn erst mal so ein Gesetz an dem Punkt ist, in diesen Ausschüssen zu sein, dann, wie gesagt, das ist eigentlich nur so eine Theater-Veranstaltung, die da stattfindet. Und mir war klar, das Ding kriege ich auch nicht mehr gestürzt. Ich habe jetzt da meine Rolle ernst genommen und irgendwie versucht, Sachverstand anzuwenden. Aber das Ding war verloren. Übrigens, der junge Mann, der mir diese Frage stellte – als ich dann aus dem Ausschussraum raus ging und am Fahrstuhl stand, kam er zu mir und sagte: „Ich weiß, Sie haben Recht. Aber so ist das eben!“ Und ich dachte, na ja, okay, mmh, mmh, was willst du machen?
Wir erinnern uns, in diesen Innenausschuss – weil ich dachte, ja, das sind ja Leute, die interessieren sich für innere Sicherheit, denen erzähle ich einen vom Cyber-War und vom Cyber-Crime, damit kriege ich deren Gehör. Was mir da so ein bisschen gar nicht aufgefallen war, ist, dass ich mich die ganze Zeit so auf „sicher“ konzentriert habe, und nicht auf „nachweisbar“. Das ist denen auch aufgefallen, deswegen haben sie ein zweites Gesetz noch gemacht, das E-Justice-Gesetz. Wo sie sagten, in dem Fall müssen wir jetzt die ganzen Strafprozessordnungen umschreiben, so dass wir bei gerichtlicher Kommunikation in diesen Abläufen irgendwie De-Mail anwenden können. Und wie gesagt, jetzt ging es um nachweisbar. Also es geht darum, dass die De-Mail dann auch das Papier, auf dem sie ausgedruckt wird, wert ist. Und ich dachte wieder, oh, schwierig, jetzt sogar Jura-Text über Gesetze selber, das wird dann bestimmt nochmal schwieriger. Und die Sätze waren auch echt nochmal viel länger.
Und da wurde dann gesagt: Auch wenn es sich bei De-Mail um ein Transportmedium, bei der qualifizierten elektronischen Signatur – erkläre ich gleich – hingegen um ein dokumentenbezogenes Sicherungsmittel handelt, ist im Beweisrecht eine Gleichbehandlung beider Instrumente geboten, weil es sich bei der De-Mail-Nachricht auch um ein elektronisches Dokument im Sinne von § 371 handelt und die Absenderbestätigung dazu führt, dass die Nachricht mit einer qualifizierten elektronischen Signatur des Providers versehen wird.
(Publikum lacht, Applaus)
Steht da so, das ist jetzt sogar geltendes Recht!
Vielleicht mal kurz zur Erklärung, das Wort, was da gerade vorkam, die „qualifizierte elektronische Signatur“, das ist also eine tatsächliche, richtige kryptographische Signatur, die Dokument-gebunden angebracht wird. Das heißt, ich nehme einen Text, eine E-Mail oder sonst was, mache ein bisschen Magie und habe aufgrund von asymmetrischer Kryptographie die Möglichkeit, dass mein Empfänger feststellen kann, dass das Dokument, was ich ihm signiert gesendet habe, a) von mir signiert wurde und b) auf dem Weg nicht verändert wurde. Das ist ein sehr entscheidender Bestandteil von asymmetrischer Kryptographie, findet bei PGP sehr viel Anwendung, findet aber auch bei den anderen asymmetrischen Verschlüsselungsverfahren, da wird es genauso gemacht. Man signiert etwas, das gesamte SSLCA-Modell ist darauf aufgebaut, dass eine andere vertrauenswürdige Instanz signiert, dass diese Person sie ist. Und die signiert dann wiederum ihren Text. Und da kann man dann so eine Trust-Chain aufbauen, und das ist wunderbar. Also ich bin froh, dass es das gibt. Und jetzt wurde also gesagt, wir bauen diese Funktion zu signieren in den neuen Personalausweis rein. Geht auch mit anderen Sachen. Man kann das, wie ich dann lernte, auch bei seiner Bank irgendwie beantragen. Dann kriegt man auf den Smart-Card-Chip in seiner EC-Karte irgendwie ein Zertifikat, wunderbar! Das heißt, es geht irgendwie so ab, ich nehme ein Dokument, stecke meinen Personalausweis oder meine Signatur-Karte in ein Lesegerät, gebe den Geheimcode ein, um das Zertifikat da drin freizuschalten, bringe die Signatur an, und dieses Dokument ist dann von mir signiert – und mit gutem Recht genauso viel wert eine Signatur mit Tinte.
Ist das ungefähr klar? Also genau, man kann damit signieren. Nun muss man sich überlegen, welchen Sinn Signaturen haben. Natürlich geht es darum, was eine bestimmte Person gemacht hat. Juristisch gesehen geht es aber um einen Identitätsbeleg gegenüber Dritten. Wenn mir jemand etwas unterschrieben hat, beispielsweise einen Vertrag, dann kann ich zu einem Dritten gehen, zum Beispiel zu einem Richter, und kann sagen, dass diese Person sich nicht an den Vertrag gehalten hat etc. Der Begriff dafür ist eine „Dokumentierte Willensbekundung“, die ich mit einer Signatur versehen muss.
Eine andere Funktion des Personalausweises ist es den Menschen zu erleichtern die Identität zu lesen; Man muss also nicht mehr auf den Personalausweis schauen, sondern man kann ihn an ein Lesegerät halten, gibt kurz den Code ein und dann überträgt der Ausweis die Daten, die in ihm gespeichert sind. Das dient natürlich nur zur einmaligen Identitätsfeststellung, weil derjenige weiter nichts bekommt. Er bekommt nur einmal die Daten der Person und ein Zeichen, dass der Ausweis nicht gefälscht ist. Es gibt also Ausweis zeigen und Unterschreiben.
Nun schauen wir uns mal an, was wir mit De-Mail machen. Bei De-Mail gehe ich also einmal hin, zur Post oder irgendwo anders, wo ich meinen Ausweis zeigen kann, und bekomme eine De-Mail-Adresse. Dann ist jede De-Mail, die ich schreibe, ein signiertes Dokument und gleichwertig mit der qualifizierten digitalen Signatur, was natürlich das hier absolut zum Absurdum führt. Um das mal mit einem Brief zu vergleichen, die Gerichtsfestigkeit einer De-Mail: Ich gehe irgendwann mal zur Post und zeige meinen Ausweis, schreibe einen Brief, werfe ihn in einen Briefkasten und schreibe hinten meinen Absender drauf. Dann kommt Magie und die Post unterschreibt jeden Brief für mich und ich wandere dann dort hin, wo ich hin muss. Das hat natürlich den Nachteil, dass jemand anderes zu dem Briefkasten gehen und etwas einwerfen kann. Blöd. Naja, ich dachte, wenn die Richter das hören, werden die kreidebleich.
Nur dann sagte Dr. Wolfram Viefhues: „Klageschriften kann man auch per Postkarte einreichen, eine Klageschrift, die im Briefumschlag ist, ist auch nicht in Geheimschrift abgefasst, sondern in Klartext.“ Mit anderen Worten: Ich soll den Ball mal ein bisschen Flacher spielen. Ich habe ihn dann mal darauf hingewiesen, dass wir demnächst auch Klagen über die web.de-Grußkarte, Facebook- oder Twitter-Nachricht einreichen können.
(Publikum lacht, Applaus)
Sie haben sich wirklich mit Händen und Füßen gegen diese Ende-zu-Ende-Verschlüsselung gewehrt und das Hauptargument war immer, dass es zu kompliziert sei. Ich möchte nochmal klarstellen, dass die Tatsache, dass viele Menschen keine Ende-zu-Ende-Verschlüsselung benutzen ist meines Erachtens zu großen Teilen darin begründet, dass es einfach nicht per default in jedem Email-Client drin ist. Vor allem PGP ist selten per default integriert, S/MIME hat sich noch nicht so herumgesprochen, aber es wird einfach nicht per default gemacht. Mit De-Mail hätte man die einmalige Gelegenheit gehabt, das richtig schön zu machen, dem Bürger sein eigenes Zertifikat zu geben und damit den Anteil der Verschlüsselten Kommunikation, die der Staat nicht lesen kann, schön signifikant zu erhöhen. Damit habe ich glaube ich auch erklärt, warum das nicht getan wurde.
(Publikum lacht, Applaus)
Ich habe mich darüber aufgeregt und irgendwann resigniert bis eines Tages so ein brauner Umschlag bei mir ankam. Da hab ich dann mal reingeschaut und es anfangs nicht verstanden, also habe ich ein bisschen weiter recherchiert. Gehen wir mal ein bisschen in der Zeit zurück, bis weit bevor es dieses Bürgerportalgesetz gab, mit dem der Grundstein für De-Mail gelegt wurde. 2001 meldete eine kleine Firma die Wortmarke „Dmail“ für Maschinen zur Sortierung von Briefen, Paketen etc. an. 2007 meldete das Bundesamt für Sicherheit in der Informationstechnik die Wortmarke „D-Mail“ für „Rechenmaschinen, DV-Geräte und Computer, Werbung, Geschäftsführung, Unternehmensverwaltung, Büroarbeiten, Telekommunikation…“ an. Jetzt gibt es natürlich ein Problem: Das BSI hat versucht eine Wortmarke anzumelden, die es schon gibt. Hier hätte das BSI es umbenennen müssen, deswegen haben sie 2008 dann „De-Mail“ angemeldet. Dann kam es zu einer vertraglichen Regelung zwischen dem Bundesministerium fürs Innere und der Firma Giersch Ventures, in der geregelt wurde, für was das Bundesinnenministerium die Wortmarke nutzen darf und wofür nicht. Darin wurden „Dienstleistungen, Transportwesen und Postdienstleistungen“ ausgeschlossen.
Das ist übrigens neu, das habe ich noch nie irgendwo erzählt. Das ist ein kleiner Auszug aus diesem kleinen Vertrag zwischen BMI und Giersch Ventures, wo eben eine bestimme Form der Nutzung von „De-Mail“ ausgeschlossen wird. Diese Form wäre eine De-Mail unverschlüsselt an meinen Anbieter zu schicken, der sie ausdruckt und an jemanden weitersendet, sodass ich einen Brief machen kann. Man könnte sagen einen Post-Brief. Man könnte sogar sagen ein E-Post-Brief.
(Publikum lacht, Applaus)
Hier wird es interessant. Es war natürlich allen klar, dass, sobald so etwas gesetzlich geregelt ist, mit einer Technik, mit der man Geld verdienen kann, auch Geld verdient werden wird. Die Post natürlich sehr unglücklich darüber, dass sie ihr Produkt E-Post-Brief nicht registriert bekommen könnte. Die haben dann diverse EU-Beschwerden gestartet und wollten das im Bundestag noch stoppen, weil sie sich massiv benachteiligt fühlten, weil sie diesen schönen E-Post-Brief hatten, der genauso sicher bzw. unsicher ist, aber ausgedruckt werden kann. Der darf einfach nicht De-Mail sein. Der Hintergrund ist einfach dieser Geheimvertrag, der mir zugespielt wurde. Die haben sich sogar noch so stark duchlobbyiert, dass im Gesetzestext festgelegt wurde „…oder vergleichbar sichere Verfahren…“. Alles das, weil das Bundesinnenministerium fürs Innere einen Geheimvertrag über das Markenrecht hat. Fand ich interessant.
Dann habe ich mir gedacht: „Hmm, von wem hat die Post sich denn beraten lassen?“ Die lassen jahrelang ein Produkt entwickeln, was sie eigentlich für den zentralen Marktbereich gar nicht vermarkten können. Es stellt sich heraus: Die wurden von BearingPoint beraten. Das steht auf der Webseite unter „Partner“: „BearingPoint berät Unternehmen und Organisationen aus den Bereichen Commercial Services…“ BearingPoint war ein großer Berater der Deutschen Post bei diesem E-Post-Brief. Wie sich durch eine Anfrage der Fraktion Die Linke herausstellte, war BearingPoint auch ein Berater der Bundesrepublik Deutschland bei der Formulierung des De-Mail-Standards. (Applaus). Ein Schelm wer böses dabei denkt. (Applaus). Versteht mich nicht falsch, ich finde das völlig ok, wenn man zwei Deppen findet die das gleiche kaufen, warum sollte man das nicht machen.
(Publikum lacht, Applaus)
Die Anfrage der Linken, in der alle Firmen, die irgendwie für die Bundesregierung im Bereich der IT-Sicherheit arbeiten, zeigt, dass BearingPont bei De-Mail, strategischen Projekten etc. beraten. Außerdem hat BearingPoint bei der E-Government-Initiative und dem neuen Personalausweis beraten.
Eine andere Firma, die bei De-Mail mitgearbeitet hat, welche sich auch durch die Anfrage der Fraktion Die Linke zeigte, war CSC. Das war in den letzten Wochen auch in den Nachrichten. CSC ist einer der wichtigsten Partner der US-Geheimdienste. Die entwickeln Spähprogramme für die NSA, eine Tochterfirma war an der Verschleppung von Khaled El-Masri 2004 beteiligt. Seit 2009 haben sie ein Auftragsvolumen 25 Millionen Euro für Beratungstätigkeiten im Bereich E-Pass und De-Mail von der Bundesrepublik bekommen. Also wurde das Sicherheitskonzept für unseren sicheren, nachweisbaren Verkehr von einem US-Geheimdienst-Subcontractor geschrieben.
Quizfrage: Kunden, die bei CSC De-Mail kauften, kauften auch: „e-Perso“ E-Pass auf jeden Fall, bei e-Perso bin ich mir nicht sicher. Ich gebe mal einen kleinen Tipp: (Pferd in schwarz-rot-gold erscheint) Die haben ein Code-Review beim Bundestrojaner gemacht. Der ist, wie wir wissen, von Digitas geschrieben, und den Code-Review hat CSC gemacht. Und die De-Mail haben sie uns auch noch gebracht. Aber das ist ja etwas anderes, das ist ja sicher, mit Virenscanner.
(Publikum lacht)
Kommen wir mal zum Ende: De-Mail, wie wir es jetzt haben geht nicht über die übliche Email-Sicherheit hinaus. Es ist unnötigerweise und absichtlich inkompatibel mit dem Rest der Welt. Eine De-Mail kann ich nicht an eine normale Email-Adresse schicken. Verschlüsselung nur auf dem Transportweg, das heißt, dass man auf den Servern weiter reinschauen kann. Es gibt nur wenige Server, sie aufgrund der Inhalte der Nachrichten eine erhöhte Attraktivität als Angriffsziel haben. Es hat rechtliche Nachteile und Risiken für die Nutzer. Und der einzige Grund, der das alles erklären kann, ist, dass das Ziel ist, die Wirtschaft in Deutschland zu fördern und die Abhörbarkeit der Kommunikation zu erhalten.
(Applaus)
Diese Gesetzte wurden so beschlossen. Ich habe irgendwann mal gesagt: „Keine Regierung ist so blöd, ihren Bürgen ein abhörsicheres Kommunikationsmedium zu geben.“ Das ist auch richtig so, also der Satz ist richtig.
(Applaus)
Sagt auch Edward Snowden, der wenige Monate danach mit seinen Leaks herauskam und sagte, dass die US-Anbieter alles lesen. Und auch da musste natürlich aus dieser Nachrichtenlage Kapital geschlagen werden und so kamen wir dann zur Email made in Germany. Ihr erinnert euch, das war großspurig angekündigt: Die großen deutschen Anbieter machen eine Sicherheitsinitiative und verschlüsseln alle Emails. Ich dachte: „Super! Und wie machen die das?“ Ja, sie setzen ein RFC um, den ersten gab es, glaube ich, 1999. Der RFC 2487 wurde dann 2002 nochmal durch RFC 3207 überholt. Die Idee also nun schon 15 Jahre alt, dass man die Übertragung zwischen zwei Email-Server tatsächlich verschlüsseln könnte.
(Applaus)
Das ist eine Grafik von der Webseite von Email made in Germany. Der Nutzer schreibt seine Email, die wird für den Transport verschlüsselt, kommt beim Email-Server an. Dieser Email-Server schickt dann seine vielen Tausend Emails auch verschlüsselt herum, bis sie dann am Ende auch wieder verschlüsselt abgeholt wird. Diesen letzten Teil machen wahrscheinlich die meisten Nutzer schon seit Jahren, weil es von den meisten Anbietern schon angeboten wird. Was das ganze ad absurdum führt, ist der Teil in der Mitte. Was nutzt es mir, wenn ich meine Nachrichten verschlüsselt an T-Online sende, wenn sie danach völlig unverschlüsselt durchs Internet geblasen werden, wo dann die NSA dranhängt. Das haben sie angemacht.
Man könnte sagen, dass es absolut unverzeihlich und sträflich ist, dass sie diese Verschlüsselung nicht anhatten, aber die machen da eine Werbekampagne draus. „Email made in Germany – die sichere Übertragung und Speicherung Ihrer Nachricht ist garantiert“ Und wenn man kein Email made in Germany hat, dann bekommt man Spam. „Diese Email wurde aus dem Sicherheitsverbund E-Mail made in Germany versendet…“ Das war so ein Futter, dass GMX unter seine Emails geschickt hat.
Quizfrage: Wo ist die unverschlüsselte Email? A: Absender B: Telekom C: web.de D: Empfänger.
(Applaus)
E: A, B, C und D.
(Publikum lacht, Applaus)
Quizfrage: Wie sah es denn vorher aus? Ich habe mir es erlaubt, die Grafik etwas zu ändern. Statt sich zu schämen, macht man halt eine Werbekampagne. Als ich vor zwei Tagen an diesen Folien saß, habe ich mich gefragt, ob sich denn überhaupt etwas geändert hat. Also, genau, wer hat denn noch Zugriff? Der Bundesnachrichtendienst, das Bundeskriminalamt, e-plus…
(Publikum lacht)
Als ich mir mal angeschaut habe, ob diese Emails made in Germany überhaupt verschlüsselt sind, stellte ich fest, dass sie das nicht sind. Man ist weiterhin in der Lage seine Emails made in Germany unverschlüsselt abzuholen. Ich habe hier mal in einem kleine Net-Cat-Ding hingeschrieben, was das macht. Es stellt eine Verbindung zu dem IMAP-Server von T-Online her, sagt „Hallo, ich bin folgender Nutzer:…“, dies ist meine Email-Adresse, dies ist mein Passwort, liste mal bitte die Folder, die es hier gibt, gehe mit mir in den Folder „Inbox“, in den Posteingang, dann sage ich: „Hole mir bitte Nachricht Nummer 2“ und Log mich wieder aus. Das Gleiche bei GMX.
Wenn ich jetzt noch genug Zeit hätte, hätte ich euch das noch live demonstriert, aber ich glaube, dass ihr mir das auch so glaubt, ich habe euch ja den Code gegeben. Also Emails made in Germany können nach wie vor unverschlüsselt gesendet und abgeholt werden und dieses Siegel, was da dran steht, ändert überhaupt nichts. Das finde ich auch nicht in Ordnung. Ah, das ist eine alte Folie, das ist eine normale Email, dich ich nicht von dem Email made in Germany gesendet habe.
Also, was haben wir bei Email made in Germany? Wir setzen fast 20 Jahre alte Standards um, viele Jahre waren die Emails nicht verschlüsselt. Sie sind es sowieso nur auf dem Transportweg. Das wäre mit anderen Anbietern genauso möglich. Gmail macht es beispielsweise seit jeher. Und wir machen es noch nicht einmal richtig, denn unverschlüsseltes Abholen der Emails ist noch immer möglich. Ich weiß nicht, was ich dazu noch sagen soll, ich bin mit dem Thema am Ende.
(Applaus)
Ich muss allerdings sagen, dass diese Entdeckung, dieser Fund schon irgendwie schockiert hat. Ich hätte den beteiligten Unternehmen wirklich zugetraut, dass sie dieses Sicherheitsversprechen auch wirklich einlösen. Kurz zum Grund, warum das so ist, meine Meinung, warum sie diese unverschlüsselten Verbindungen noch immer machen. Sie haben viele Jahre den Nutzern erklärt, ihre Email-Clients so zu konfigurieren, dass die es eben unverschlüsselt machen. Wenn sie jetzt von einem Tag auf den anderen diese unverschlüsselten Verbindungen ausschalten, dann knöpfen sie natürlich ein paar Leute von ihrer Kommunikation ab und das sorgt wiederum für Anrufe am Helpdesk und für unglückliche Kunden. Ich weiß nicht, ob die Kunden langfristig glücklicher sind, wenn ihre Emails unverschlüsselt durchs Netz fliegen, aber naja. Ich bin da echt ziemlich schockiert von.
Anders Thema: Das Schlandnet. Dieses magentafarbene „T“, das kommt in allen vier Themen immer sehr prominent vor. Schlandnet ist schwierig zu erklären, ich habe das oft versucht und auch Clemens hat sich daran probiert. Ich werde es jetzt mal vereinfacht und pointiert darstellen. Als das Internet gelegt wurde, wurden diese Kabel in der Erde vergraben. Das wurde primär von Leuten gemacht, die im In-der-Erde-vergraben-Business sind.
(Publikum lacht, Applaus)
Und Leute, die im In-der-Erde-vergraben-Business sind, haben in der Regel ein so großes Business, dass sie sich nicht an Ländergrenzen halten. Die verlegen ein Rohr von hier nach dort, durch drei Länder durch, da legen wir jetzt ein bisschen Glasfaser mit hinein, dann haben wir Internet. Das heißt, dass die Kabel für unser Internet sich selten an Ländergrenzen halten. Alles was Internet ist, muss ja miteinander verbunden sein und dafür gibt es sogenannte „Commercial Internet Exchanges“.
In Deutschland haben wir einen ganz schönen in Frankfurt. Der gilt, glaube ich, sogar als einer der größten weltweit, oder ist der größte weltweit, wo also alles, was irgendwie Internet macht, ob es ein Rechenzentrum ist, ob es ein Email-Provider ist oder irgendwas, das mit dem Internet verbunden sein muss, die haben in der Regel ein Kabel nach Frankfurt liegen. Und dort ist dann der DE-CIX, wo alles zusammen kommt. Dort haben alle ein Kabel hingelegt und machen so etwas wie wir hier: Sie stecken Kabel aneinander. Jetzt könnte man ja denken, dass das alles wunderbar ist. Was hier passiert, ist, dass alle irgendwie aneinander gesteckt sind und ihre Datenpakete hinschicken können, wo sie wollen.
Jetzt haben sich aber einige Anbieter gedacht, dass sie so groß sind, dass Andere einen größeren Vorteil davon haben, wenn sie sich mit dem Anbieter verbinden, als der Anbieter einen Vorteil hat sich mit ihnen zu verbinden. Genau das macht die Deutsche Telekom. Die hat viele Kunden und sagt, dass wer mit ihr verbunden werden möchte, peeren möchte, der möge bitte dafür zahlen. Und übrigens, wenn du ein Kabel zum DE-CIX hast, bringt das nichts, denn wir sind in Klein-Buxtehude.
Ach, du brauchst ein Kabel dahin? Kein Problem, denn wir sind im Loch-Grabe-Business, wir geben dir das Kabel. Wenn ein Anbieter eine Verbindung zur Deutschen Telekom braucht, weil er ein Rechenzentrum aufmacht oder einen Server hat, und mit der Deutschen Telekom am DE-CIX peeren möchte, dann sagen die: „Klar, kein Problem. Wie viel hast du denn?“ Das ist die Standartantwort der Telekom: ¥€$!
(Applaus)
Das ist über die letzten zehn Jahre in Deutschland passiert und hat dazu geführt, dass die ganzen Anbieter ja trotzdem die ganzen tollen Telekom-Kunden haben wollen. Sie möchten ja irgendwie ihre Inhalte zu den vielen Nutzern bringen. Also gehen die folgenden Weg: Sie machen einen Peering-Vertrag mit Level(3). Level(3) ist wiederum so groß, dass selbst die Telekom kleiner ist und sagt bei uns gibt es Internet. Punkt.
Die sagen, dass wenn sie dein neues Internet sind, dann gibt es alle Verbindungen, auch die zur Deutschen Telekom, die interessanterweise in Deutschland teurer gewesen wäre. Das heißt für den deutschen Anbieter, dass er, um mit den deutschen Telekom-Kunden vernünftig verbunden zu sein, lieber einen kleinen Umweg geht. (Über die NSA)
(Publikum lacht)
Die Leitungsgeschwindigkeit korreliert nämlich nicht wirklich mit der physikalischen Distanz. Es ist vielleicht eine Millisekunde mehr, dafür hat er aber eine vernünftige Anbindung an die Telekom-Kunden. Diese Politik der Telekom hat dazu geführt, dass sich ein Schlandnet nicht automatisch ergeben hat, unabhängig davon, ob Schlandnet eine gute Idee ist oder nicht. Aber es ist der Telekom zu verdanken, dass wir keines haben. Nun, jetzt könnte man denken, dass die Telekom nicht sehr glücklich über diese entgangenen Kunden ist. Es wäre natürlich schöner, wenn sie direkt bei der Telekom zahlen würden, aber das tun sie ja nichts, weil es ja ein unregulierter Markt ist und die Leute sich aussuchen können, mit wem sie peeren.
Wenn wir ein Schlandnetz hätten, und sagen würden, dass alles innerhalb von Deutschland geroutet werden muss, dann gibt es eine große Firma in Deutschland, die sehr davon profitieren würde. Das ist die Telekom. Die wird natürlich sagen was sie immer sagt: Machen wir! (¥€$!) Die internationale Konkurrenz ist dann ja weg. Jetzt hat der DE-CIX, an dem irgendwie halb Europa peert, aber auch Probleme, denn es halten sich Gerüchte, dass dort sowohl deutsche als auch US-amerikanische Geheimdienste an den Kabeln schnorcheln. Ein Schlandnet sähe dann irgendwann einfach so aus. Auch da haben wir keinen Gewinn, wir haben die gleiche Situation wie vorher, es ist nur jemand anderes, der uns abhört.
Also Fazit zum Schlandnetz: Es löst keine Probleme sondern zentralisiert sie. Es widerspricht den physikalischen Gegebenheiten der Leitungen, denn die liegen nicht so, dass sie an den Ländergrenzen enden. Es erhält bzw. erhöht die Überwachungsmöglichkeiten für deutsche Dienste. Und es erhöht die Marktmacht und den Umsatz der Deutschen Telekom. Außerdem die die bisherige Politik der Deutschen Telekom Hauptgrund dafür, dass sich kein Schlandnet ergeben hat.
Letztes Thema: Cloud. Ursprünglich wollte ich dieses Thema sehr viel ausführlicher behandeln, aber die anderen Themen sind doch ganz nett. Eigentlich ist zu der Cloud nur eines zu sagen, das hat Frank Rieger vor wenigen Wochen dem Rene Obermann von der Deutschen Telekom persönlich gesagt: „Ihre Daten sind woanders und Sie wissen nicht, wo. Davon halte ich prinzipiell nichts.“
(Publikum lacht, Applaus)
An dieser Stelle gilt eigentlich das Wort des Gelehrten und das Thema ist damit eigentlich behandelt.
Die Situation für Cloud in Deutschland ist natürlich echt schlimm. Es gibt einfach keine nennenswerten Cloud-Anbieter. Die deutschen Geheimdienste sitzen da und sagen „Mist, schau mal da bei den Amis.“ und die deutschen Kunden Anbieter sitzen da und sagen „Mist, wir haben keine Kunden“ Auch da wieder das große magentafarbene „T“, auf diesen Cloud-Zug aufzuspringen. Cloud war echt der heiße Scheiß und alle machen es außer der in Deutschland.
Vor zwei oder drei Jahren bin ich dann zum ersten Mal auf Bemühungen des Bundesamts für Sicherheit in der Informationstechnik, dem Wirtschaftsförderungsorgan der Bundesrepublik Deutschland in diesem Bereich, gestoßen, wo dann gesagt wurde, dass ein Eckpunktepapier „Cloud“ gemacht wird. Da machen wir dann so Kriterien und so drei Checkmarks muss man mindestens haben und wenn man noch zwei mehr hat, dann kann man seinen Dienst nicht Silber sondern Bronze nennen und dann ist das eine Cloud der Klasse C+ oder so, sodass dann eine relativ einfache T-Systems-Cloud daran schreiben kann „Platinum“, super, deutsch und deutsch und deutsch. Das habe ich mir dann angeschaut und mich vor einem Jahr schon so ein bisschen darüber lustig gemacht und mich geärgert, weil natürlich auch hier der eine entscheidende Punkt, der eine Cloud akzeptabel macht ist, wenn ich eine Ende-zu-Ende-Verschlüsselung da rein baue. Das heißt, dass ich Dateien, die ich in die Cloud werfe und verschlüssle sie vorher auf meinem Rechner, und zwar so, dass der Cloud-Anbieter dieses Passwort nicht hat, sodass ich den Cloud-Anbieter zu einer Festplatte degradiere. Das ist das, was ich mit meinen Dateien mache.
Ich war jahrelang Dropbox-Nutzer. Jetzt habe ich mir gedacht, dass mir das Geld dafür zu schade ist, ich habe einfach alle Dateien, die ich da hineinblase, vorher verschlüsselt, sodass ich auch mit jedem Cloud-Anbieter arbeiten kann. Das wäre ein super Standard gewesen, wenn das BSI geprüft hätte, ob das vernünftig gemacht wird und dann könnt ihr einen auf Deutschland-Cloud machen. Haben sie aber nicht. Dann habe ich mich gefragt, wer die denn beraten hat.
(BearingPoint)
(Applaus)
Auch hier wieder die Anfrage der Linken.