1 00:00:07,410 --> 00:00:16,950 *35c3 Vorspannmusik* 2 00:00:16,950 --> 00:00:23,330 Herald: Nun folgt der Vortrag "Mehr schlecht als recht: Grauzone 3 00:00:23,330 --> 00:00:30,701 Sicherheitsforschung" mit Dominik und Fabian. Stellt euch vor ihr seid Forscher. 4 00:00:30,701 --> 00:00:35,790 Ihr wollt euch ein Stück Software genauer angucken, verstehen wie es funktioniert, 5 00:00:35,790 --> 00:00:39,870 und macht das, was üblich ist: Reverse Engineering. Dabei findet eine 6 00:00:39,870 --> 00:00:43,120 Sicherheitslücke. Wenn man so in den Programm-Schedule von diesem Kongress 7 00:00:43,120 --> 00:00:48,510 guckt, ist das jetzt nicht allzu unübliches was passiert. Aber plötzlich 8 00:00:48,510 --> 00:00:53,020 kommt Post vom Anwalt. Von dieser Geschichte erzählen uns die beiden 9 00:00:53,020 --> 00:00:59,140 Forscher Dominik und Fabian. Begrüßt sie und ihren Leidensweg mit einem großen 10 00:00:59,140 --> 00:01:02,809 Applaus. 11 00:01:02,809 --> 00:01:10,340 Dominik: Danke schön. Genau, wir halten, mein Kollege Fabian und ich halten einen 12 00:01:10,340 --> 00:01:18,140 Talk. Warum stehen wir hier? Hats gerade schon angedeutet, das hat irgendwas mit 13 00:01:18,140 --> 00:01:22,770 rechtlichen Dingen zu tun. Disclaimer vorweg: Wir sind keine Rechtsanwälte. 14 00:01:22,770 --> 00:01:30,440 *Applaus* D: Ich muss auch dazu sagen: Es sind nicht 15 00:01:30,440 --> 00:01:35,110 nur wir beide betroffen gewesen, es waren acht Leute insgesamt die rechtliche 16 00:01:35,110 --> 00:01:39,940 Turbulenzen verwickelt waren. Das waren zwei Gruppen komplett unabhängiger 17 00:01:39,940 --> 00:01:44,200 Forscher, einmal das Team, im Folgenden Team FAU, von der Friedrich-Alexander- 18 00:01:44,200 --> 00:01:48,430 Universität Erlangen. Das sind drei Leute von der FAU und mich, Ich bin inzwischen 19 00:01:48,430 --> 00:01:54,560 an der TU Berlin, und das andere Team, des Team TUM aus München, TU München, vier 20 00:01:54,560 --> 00:01:59,160 Leute inklusive Fabian. Und eigentlich einer noch von der TU Eindhoven, der wurde 21 00:01:59,160 --> 00:02:04,390 aber im Laufe des Prozesses irgendwie von der Gegenseite einfach ignoriert. Ja, ist 22 00:02:04,390 --> 00:02:07,720 okay, er hat sich nicht darüber beschwert. *Gelächter* 23 00:02:07,720 --> 00:02:11,561 D: Das einzige was wir gemeinsam haben ist, dass wir keiner Lösung trauen, die 24 00:02:11,561 --> 00:02:16,640 absolute Sicherheit bewirkt. Wer macht so was? Die sogenannte Antragstellerin, das 25 00:02:16,640 --> 00:02:20,950 ist eine Anbieterin von Sicherheitslösung. Das Versprechen ist: "Gib mir deine 26 00:02:20,950 --> 00:02:26,090 Software, ich mache sie sicher, egal wie böse das Betriebssystem ist." Schützt vor 27 00:02:26,090 --> 00:02:30,310 Malware, Man-in-the-Middle, Code Injektionen, Spyware. Also einfach vor 28 00:02:30,310 --> 00:02:34,500 allem. Und warum haben wir beide Gruppen uns das angeschaut? Wegen der relativ 29 00:02:34,500 --> 00:02:38,450 hohen Verbreitung im deutschen Markt, das war der Grund. Genau. Wie ist das Ganze, 30 00:02:38,450 --> 00:02:41,730 wie hat das angefangen? Wir haben das letztes Jahr angeschaut, und daraus ging 31 00:02:41,730 --> 00:02:46,460 dann so eine Veröffentlichung hervor. Langsam ging das los, erst einmal einen 32 00:02:46,460 --> 00:02:50,790 Artikel in der Süddeutschen ende letzten Jahres. Ihr seht rechts auf den Folien 33 00:02:50,790 --> 00:02:55,480 immer schön die Zeitleiste - Blau ist dafür das color coding des Team FAU, Grün 34 00:02:55,480 --> 00:03:01,720 ist die TU München. Wir haben das gemeldet und ohne weitere Details einen 35 00:03:01,720 --> 00:03:05,890 Zeitungsartikel veröffentlicht, und dann einen Monat später gab es einen Vortrag 36 00:03:05,890 --> 00:03:09,260 auf dem Kongress dazu, "Die fabelhafte Welt des Mobilebankings" von Vincent 37 00:03:09,260 --> 00:03:17,860 Haupert von der FAU in Nürnberg. Und darauf ausliegend haben wir dann ein Paper 38 00:03:17,860 --> 00:03:19,950 noch geschrieben, also ein wissenschaftliches Papier, das wir auf der 39 00:03:19,950 --> 00:03:24,760 DIMVA dieses Jahres vorgestellt haben, "Honey, I Shrunk Your App Security". Da 40 00:03:24,760 --> 00:03:27,940 haben wir dann nicht nur die Antragstellerin betrachtet, sondern auch 41 00:03:27,940 --> 00:03:32,200 noch das umliegende Umfeld. Also, wir haben uns auch nicht auf diese eine Firma 42 00:03:32,200 --> 00:03:35,680 verschossen, sondern wir haben uns dann auch noch ein bisschen den Markt 43 00:03:35,680 --> 00:03:38,870 angeschaut. Das war eigentlich so das von uns, und dann war es für uns auch vorbei 44 00:03:38,870 --> 00:03:46,720 das Thema. Deswegen kommt jetzt Fabian. Fabian: Ja, danke Dominik, das Problem an 45 00:03:46,720 --> 00:03:48,720 dieser ganzen Geschichte ist, das es leider ziemlich verzwickt ist, und es gibt 46 00:03:48,720 --> 00:03:52,590 zwei Zeitstränge, die quasi an einigen Stellen parallel ablaufen, ich erzähl euch 47 00:03:52,590 --> 00:03:56,160 jetzt, was gleichzeitig an der TUM geschah. Was passiert ist, ist dass ein 48 00:03:56,160 --> 00:04:00,300 Kollege von mir aus unserer Autorengruppe an der TUM sich die Elster-App für die 49 00:04:00,300 --> 00:04:04,040 Elektronische Lohnsteuererklärung angeschaut hat und festgestellt hat "naja, 50 00:04:04,040 --> 00:04:08,330 das was da drinne ist, dass sieht ziemlich nach dem aus, was der Vincent auf dem 34c3 51 00:04:08,330 --> 00:04:13,770 schon mal auf dem Talk erwähnt hat". So ist der allererste Kontakt zu Stande 52 00:04:13,770 --> 00:04:18,340 gekommen. Zu dem Zeitpunkt war das Paper auf der DIMVA gerade conditionally 53 00:04:18,340 --> 00:04:21,781 accepted, wenn ich mich richtig entsinne, und dann floss ein bisschen was von 54 00:04:21,781 --> 00:04:28,640 unserer Analyse in das Paper noch mit ein. Was wir außerdem gefunden haben ist ein 55 00:04:28,640 --> 00:04:32,980 sogenannte Whitebox-Kryptografie, die ein zusätzlicher Schutz-Baustein in der 56 00:04:32,980 --> 00:04:40,660 Software der Antragstellerin ist. Und wir hatten eigentlich, wir wollten uns das 57 00:04:40,660 --> 00:04:44,240 schon immer mal länger anschauen, und haben gedacht "okay, zu diesem 58 00:04:44,240 --> 00:04:47,010 akademischen Diskurs 'bringt Whitebox- Kryptographie etwas, bringt ist nichts' 59 00:04:47,010 --> 00:04:51,450 ohne jetzt genau zu wissen, was das genau ist" wollten wir was beitragen. Wir haben 60 00:04:51,450 --> 00:04:58,600 dann versucht, ein Paper zu veröffentlichen und haben ein Paper auf 61 00:04:58,600 --> 00:05:03,190 dem 12. USENIX-Workshop on offensive Technologies, der kurz WOOT'18, 62 00:05:03,190 --> 00:05:08,160 eingereicht und wir haben uns dann sehr gefreut, dass es conditionally accepted 63 00:05:08,160 --> 00:05:14,950 wurde, knapp einen Monat später. Haben wir tatsächlich nicht mit gerechnet. Dann sind 64 00:05:14,950 --> 00:05:19,210 wir überrascht worden das erste Mal so knapp, man sieht das hier an der 65 00:05:19,210 --> 00:05:24,900 Zeitleiste, ein paar Wochen nach dem wir das conditionally accepted bekommen haben, 66 00:05:24,900 --> 00:05:29,210 gab es eine E-Mail vom CTO der Antragstellerin mit dem Betreff 67 00:05:29,210 --> 00:05:33,570 "Responsible Disclosure violation", da sind das erste mal aus allen Wolken 68 00:05:33,570 --> 00:05:38,960 gefallen. Eigentlich, man muss dazu sagen, unsere Findings, das es eigentlich... Wir 69 00:05:38,960 --> 00:05:44,610 haben da zwar reverse engineering betrieben, aber es war eigentlich, wir 70 00:05:44,610 --> 00:05:47,620 haben nicht so direkt ein Sicherheitsleck da gefunden tatsächlich. Es ging 71 00:05:47,620 --> 00:05:53,639 eigentlich mehr um etwas vergleich mit der akademischen Welt. Wir haben trotzdem die 72 00:05:53,639 --> 00:05:57,050 Forschungsergebnisse, die wir hatten, und einen Vorabzug des Papers der Firma um die 73 00:05:57,050 --> 00:06:00,310 es da ging zur Verfügung gestellt, und haben dann, die waren natürlich nicht 74 00:06:00,310 --> 00:06:04,169 begeistert, und dann haben wir über verschiedene Aspekte unseres Papiers mit 75 00:06:04,169 --> 00:06:11,210 denen zehn Tage lang diskutiert. D: Hm, ja, Überraschung. Wir hatten ja zu 76 00:06:11,210 --> 00:06:13,479 dem Zeitpunkt, habe ich vorhin schon dargelegt, eigentlich abgeschlossen gehabt 77 00:06:13,479 --> 00:06:17,080 mit dem Thema, wir hatten unser Papier released, das ist so in der Wissenschaft 78 00:06:17,080 --> 00:06:20,580 üblicherweise, da hat man dann nicht mehr so viel damit zu tun. Und plötzlich 79 00:06:20,580 --> 00:06:24,910 flattert so ein Schreiben, offiziell aussehendes Schreiben, also erstmal eine 80 00:06:24,910 --> 00:06:30,130 Mail am Freitagabend, am Montag kam dann auch das per Post: "Bitte einmal 81 00:06:30,130 --> 00:06:36,260 unterschreiben". Im Volksmund wird das eine Abmahnung genannt. Worum ging es da? 82 00:06:36,260 --> 00:06:41,990 In E-Mails von der Rechtsanwaltskanzlei zur "Forderung der Abgabe einer 83 00:06:41,990 --> 00:06:47,021 strafebewährten Unterlassungserklärung", das muss ablesen. Mit der Frist von, also 84 00:06:47,021 --> 00:06:51,920 Freitag Abend kam das an, nur zwei Werktagen, was nicht sehr viel ist. 85 00:06:51,920 --> 00:06:56,380 Verstoß gegen, ja gegen was könnten wir verstoßen haben? Wir sind böse Hacker, 86 00:06:56,380 --> 00:07:02,199 deswegen wahrscheinlich irgendwas mit Hackersachen, genau, Urheberrecht, und 87 00:07:02,199 --> 00:07:07,050 natürlich waren wir auch noch Wettbewerber und haben unlauteren Wettbewerb betrieben. 88 00:07:07,050 --> 00:07:13,350 Wir haben uns gewundert. Die Forderungen waren folgendermaßen: kein Reverse 89 00:07:13,350 --> 00:07:17,681 Engineering mehr machen, also zumindest der Software der Antragstellerin, keine 90 00:07:17,681 --> 00:07:21,880 Schutzmaßnahmen umgehen, die die hier irgendwie, das ist ja irgendwie ihr Job, 91 00:07:21,880 --> 00:07:25,500 ne? Die machen Schutzmaßnahmen, wir dürfen die nicht mehr umgehen. Damit ist dann der 92 00:07:25,500 --> 00:07:31,560 Schutz perfekt. *Gelächter und Applaus* 93 00:07:31,560 --> 00:07:40,180 D: Nichts mehr veröffentlichen, und keine Software mehr erwerben oder besitzen, die 94 00:07:40,180 --> 00:07:47,630 entweder A oder B ermöglicht, also kein, hört auf mit eurem Job, ein Leben lang. 95 00:07:47,630 --> 00:07:52,289 Strafe je Verstoß 10 000 Euro. Also jedes mal, wenn ich IDA aus versehen irgendwo... 96 00:07:52,289 --> 00:07:57,620 Egal. Strafrechtliche Konsequenzen auch noch angedroht. Also so ein böser 97 00:07:57,620 --> 00:08:00,490 Nebensatz der sagt "ja übrigens, obwohl ihr hier vielleicht das unterschreibt, ihr 98 00:08:00,490 --> 00:08:04,280 könntet dann trotzdem noch auf anderem Wege belangt werden". Das fanden wir nicht 99 00:08:04,280 --> 00:08:09,110 so gut. Ich hatte jetzt die glückliche Situation: Easy, an der Uni, ich bin ja 100 00:08:09,110 --> 00:08:12,979 Forscher und so. Ich habe da angerufen "Ja, ich hab ein Problem, brauche die 101 00:08:12,979 --> 00:08:17,100 Rechtsabteilung." Und die Rechtsabteilung sofort: "Ja, überhaupt gar kein Problem, 102 00:08:17,100 --> 00:08:21,580 machen Sie sich keine Sorgen, Wir kümmern uns um das Thema." Damit bin ich fertig, 103 00:08:21,580 --> 00:08:22,580 danke für eure Aufmerksamkeit, ich gebe zurück an Fabian. 104 00:08:22,580 --> 00:08:32,941 *Gelächter und Applaus* F: Ja, jetzt wäre es ja schön gewesen, 105 00:08:32,941 --> 00:08:37,880 wenn das für uns auch so einfach gewesen wäre. Wir haben diesen schönen Brief in 106 00:08:37,880 --> 00:08:42,259 Form eines Vorabzugs per E-Mail an einem Freitag bekommen, ich glaube es war 107 00:08:42,259 --> 00:08:46,829 irgendwie so 15:00, 15:30 oderso. Wir saßen glücklicherweise noch in einer 108 00:08:46,829 --> 00:08:50,350 Besprechung meiner Chefin, meiner Professorin, die mein Promotionsprojekt 109 00:08:50,350 --> 00:08:54,399 betreut, und die hat dann gleich reagiert und mal die Rechtsabteilung angerufen. Na 110 00:08:54,399 --> 00:08:59,900 gut, Uni, ich weiß nicht, könnt ihr euch überlegen, was passiert, wenn mal mal um 111 00:08:59,900 --> 00:09:05,070 16 Uhr an einem Freitag da versucht irgendjemanden zu erreichen. Es war zum 112 00:09:05,070 --> 00:09:08,929 Glück tatsächlich noch jemand da, also es war noch jemand da der unsere Anfrage erst 113 00:09:08,929 --> 00:09:12,010 mal aufgenommen hat. Es hieß allerdings tatsächlich nur, dass der Herr 114 00:09:12,010 --> 00:09:15,860 Oberregierungsrat, der sich das anschauen könnte, der ist leider nicht mehr im Haus, 115 00:09:15,860 --> 00:09:19,809 ich gebe ihm das gleich am Montag. Ihr habt hier so einen kleinen Kalender, um zu 116 00:09:19,809 --> 00:09:23,959 sehen wie knapp das war: Also am 20. haben wir es bekommen, der 24. war die Frist - 117 00:09:23,959 --> 00:09:28,810 bis dahin sollten wir das Zurückschicken, unterschrieben, dann könnten wir 118 00:09:28,810 --> 00:09:32,100 vielleicht den zivilrechtlichen Forderungen entgehen, wurde uns 119 00:09:32,100 --> 00:09:36,259 versprochen in diesem Abmahnschreiben. Gut, am Wochenende ist da nichts passiert, 120 00:09:36,259 --> 00:09:39,290 wir mussten dann zähneknirschend ins Wochenende gehen, ohne etwas bewegen zu 121 00:09:39,290 --> 00:09:47,230 können. Am 23. und 24. haben wir dauernd mit der Rechtsabteilung telefoniert, 122 00:09:47,230 --> 00:09:54,360 mehrfach, oft. Und haben versucht, irgendwie denen zu erklären, was 123 00:09:54,360 --> 00:09:57,610 eigentlich passiert ist. Tatsächlich die sind erstmal aus allen Wolken gefallen, 124 00:09:57,610 --> 00:10:02,410 "Oh Gott was ist denn da schiefgelaufen?". Dann haben wir erstmal versucht zu sagen: 125 00:10:02,410 --> 00:10:05,529 Okay, was ist die Historie? Wir haben ja schon im Vorfeld eine Diskussion zu 126 00:10:05,529 --> 00:10:09,079 unserem Paper mit denen geführt, haben denen unser Paper gegeben, und dann gleich 127 00:10:09,079 --> 00:10:12,730 das nächste Problem: Naja das sind... Ich will jetzt hier Juristen nicht 128 00:10:12,730 --> 00:10:17,910 runtermachen, keineswegs, aber die haben halt ein anderes Fachgebiet, und wir 129 00:10:17,910 --> 00:10:20,949 machen unsere Forschung. Wir machen unsere Forschung da und sollen denen jetzt auf 130 00:10:20,949 --> 00:10:25,559 einmal erzählen, was unsere verschiedenen Analyse-Techniken bedeuten und wie das 131 00:10:25,559 --> 00:10:31,110 rechtlich einzuordnen ist. Das war sehr schwierig. Und die Rechtsabteilung hat das 132 00:10:31,110 --> 00:10:34,449 auch am Anfang nicht so locker gesehen. Die erste Reaktion war glaube ich "Oh 133 00:10:34,449 --> 00:10:39,709 Gott, wir informieren erst mal den Vizekanzler. Wir sehen da potenziell auch 134 00:10:39,709 --> 00:10:44,019 noch Schadenersatzforderungen auf uns zukommen, potenziell auch nach 135 00:10:44,019 --> 00:10:49,649 ausländischem Recht". Und das war nicht witzig. Wir haben dann um eine 136 00:10:49,649 --> 00:10:52,550 Fristverlängerung gebeten. Die Rechtsabteilung hat das netterweise für 137 00:10:52,550 --> 00:10:57,519 uns übernommen. Das ist ein Schreiben an den gegnerischen Rechtsanwalt. Wichtig ist 138 00:10:57,519 --> 00:11:01,649 eigentlich nur das fette: wir bitten um eine Fristverlängerung bis Dienstag den 139 00:11:01,649 --> 00:11:04,990 31. Juli. Wie ihr jetzt auf diesem Kalender sehen könnt, das wäre jetzt genau 140 00:11:04,990 --> 00:11:13,240 eine Woche gewesen. Gekriegt: Einen Tag haben wir. Danke. Okay, also weiter 141 00:11:13,240 --> 00:11:15,920 hetzen. Wir müssen irgendwie mit unserer Rechtsabteilung klären, was wir jetzt 142 00:11:15,920 --> 00:11:19,110 machen können. Wir haben mit denen tatsächlich juristische Fachartikel 143 00:11:19,110 --> 00:11:25,899 gewälzt. Dann kam am 25. leider noch der nächste Brüller: "Wir können das 144 00:11:25,899 --> 00:11:29,930 Antwortschreiben leider nur vorbereiten, unterschreiben müsst ihr es selbst, wir 145 00:11:29,930 --> 00:11:33,999 können es als Uni nicht zurückweisen. Auf dem Briefkopf steht euer Name, ihr müsst 146 00:11:33,999 --> 00:11:37,709 es unterschreiben, die TUM ist nicht offiziell Prozesspartei bis jetzt." Da war 147 00:11:37,709 --> 00:11:42,769 auf unserer Seite erst einmal Stille. Wir konnten es nicht fassen. Wir mussten dann 148 00:11:42,769 --> 00:11:48,449 tatsächlich darauf eingehen und haben deren vorbereitetes Antwortschreiben dann 149 00:11:48,449 --> 00:11:52,399 selbst unterzeichnet und die Forderungen der Antragstellerin zurückgewiesen. 150 00:11:52,399 --> 00:11:56,899 D: Ganz kurz, erinnert mich daran, Ich habe es komplett vergessen. Das (verweist 151 00:11:56,899 --> 00:12:00,529 auf Slides) war natürlich nicht wie es war. Also, sie haben sofort gesagt "Ja es 152 00:12:00,529 --> 00:12:04,559 steht ihr Name drauf, good luck, have fun. Sie sollten sich dringend einen Anwalt 153 00:12:04,559 --> 00:12:12,410 nehmen. Geht uns nichts an." Also, das war dann Geil. Weiter: rechtlicher 154 00:12:12,410 --> 00:12:16,699 Hintergrund. Fabian. F: Okay. Also das was jetzt folgt, das 155 00:12:16,699 --> 00:12:20,959 wussten wir natürlich zu dem damaligen Zeitpunkt noch nicht, das ist das was wir 156 00:12:20,959 --> 00:12:24,629 jetzt über den, also das was jetzt noch alles kommt im Vortrag, da haben wir das 157 00:12:24,629 --> 00:12:28,740 so angesammelt an Wissen. Wie gesagt, Disclaimer: Wir sind keine Anwälte, aber 158 00:12:28,740 --> 00:12:33,179 ich versuche trotzdem mal so ein bisschen euch auseinander zu nehmen: Wo ist das 159 00:12:33,179 --> 00:12:37,959 Problem, juristisch, soweit wir es verstehen? Wir haben uns für unsere 160 00:12:37,959 --> 00:12:41,759 Analyse der Software, um die es da ging, verschiedener Methoden aus dem Reverse 161 00:12:41,759 --> 00:12:44,869 Engineering Baukasten-bedient. Der ist jetzt hier mal als Querbalken grün 162 00:12:44,869 --> 00:12:49,549 dargestellt. Und da ist zum Beispiel halt drin: dekompilieren, verschiedene 163 00:12:49,549 --> 00:12:53,990 statische Analyse-Techniken. Man kann das Programm zum Beispiel testen indem man es 164 00:12:53,990 --> 00:12:57,679 in einem Emulator ausführt und nicht direkt auf der Hardware, und den Emulator 165 00:12:57,679 --> 00:13:01,420 kann man dann ein bisschen pimpen an ein paar Stellen. Man kann das Programm auch 166 00:13:01,420 --> 00:13:04,660 einfach nur als Blackbox nehmen und einfach dem zuschauen, was es tut. Wenn 167 00:13:04,660 --> 00:13:07,860 man es im Debugger ausführt tatsächlich, dann sieht man auch wie sich die 168 00:13:07,860 --> 00:13:11,779 Registerwerte verändern. Disassemblieren tatsächlich wird auch durch den Debugger 169 00:13:11,779 --> 00:13:14,600 gemacht, tatsächlich ist das ja, man kann es auch bei Objectdump rein schmeißen. 170 00:13:14,600 --> 00:13:22,810 Juristisch ist es so: dekompilieren, never do it, das ist verboten. Nach 171 00:13:22,810 --> 00:13:27,720 verschiedenen Paragrafen aus dem Urheberrecht, und einen Teilanspruch, je 172 00:13:27,720 --> 00:13:31,881 nachdem welchen Anwalt man trifft, leiten die das auch her aus dem Gesetz gegen den 173 00:13:31,881 --> 00:13:34,889 unlauteren Wettbewerb, wo steht: man darf nicht mit technischen Maßnahmen 174 00:13:34,889 --> 00:13:42,369 Geschäftsgeheimnisse einer anderen Firma sich aneignen. Testen und beobachten 175 00:13:42,369 --> 00:13:46,670 wiederum tatsächlich ist völlig okay, das ist explizit erlaubt nach dem 176 00:13:46,670 --> 00:13:52,049 Urheberrecht. Und dankenswerterweise auch nicht ausschließbar nach den AGB. Bei den 177 00:13:52,049 --> 00:13:58,869 ganzen Zwischendingern ist es so: Joa. Also, je nachdem in welchem juristischen 178 00:13:58,869 --> 00:14:02,769 Fachartikel man da liest, wenn es denn da mal, und da gibt es nur ein paar davon. 179 00:14:02,769 --> 00:14:08,600 Wir haben gefragt, keiner konnte uns das so richtig sagen, wir mussten uns im 180 00:14:08,600 --> 00:14:11,699 Vorgang dann auch Anwälte nehmen, auch die meinten "Ja, das ist nicht abschließend 181 00:14:11,699 --> 00:14:17,670 geklärt nach unserer Meinung". Es gibt bei dem dekompilieren netterweise eine 182 00:14:17,670 --> 00:14:21,269 Ausnahme, das ist die Herstellung von Interoperabilität. Wie gesagt, ich bin 183 00:14:21,269 --> 00:14:25,179 wieder kein Jurist, aber ich vermute, das trifft zum Beispiel sowas wie Treiber- 184 00:14:25,179 --> 00:14:26,439 Entwicklung - ihr habt einen Closed- Source-Treiber und es gibt eine 185 00:14:26,439 --> 00:14:29,239 Schnittstelle, und ihr wollt jetzt ein Open-Source-Pendant dazu anbieten, oder es 186 00:14:29,239 --> 00:14:33,660 gibt irgendeine klar definierte Schnittstelle und aus Wettbewerbsgründen, 187 00:14:33,660 --> 00:14:37,769 damit der Wettbewerb bestehen kann, darf man im Notfall auch dekompilieren um 188 00:14:37,769 --> 00:14:44,379 herauszukriegen, wie diese Schnittstelle zu bedienen ist. In einem Emulator 189 00:14:44,379 --> 00:14:47,810 ausführen: Wir haben mal unsere Anwälte dann später gefragt, die meinen es ist 190 00:14:47,810 --> 00:14:51,860 wahrscheinlich eher verboten. Das müsst ihr euch jetzt mal auf der Zunge zergehen 191 00:14:51,860 --> 00:14:56,250 lassen: Also das ausführen, also die Begründung war dann: naja, das Programm 192 00:14:56,250 --> 00:15:00,509 läuft dann ja nicht mehr in seiner natürlichen Umgebung. 193 00:15:00,509 --> 00:15:07,629 *Gelächter* Schwierig. Und statische Analyse 194 00:15:07,629 --> 00:15:09,799 teilweise, wir haben auch juristische Fachartikel gelesen da war disassemblieren 195 00:15:09,799 --> 00:15:15,550 schon verboten. Also, wenn ihr im Hex- editor das Programm aufmacht und den 196 00:15:15,550 --> 00:15:18,790 Disassemblierer in eurem Kopf habt tatsächlich, ihr könnt dann aus den Hex- 197 00:15:18,790 --> 00:15:22,350 Ziffern die Opcodes herleiten, und selbst wenn ihr in eurem Kopf dekompilieren 198 00:15:22,350 --> 00:15:25,920 könnt, das ist fein. Wenn ihr aber ein Tool dafür benutzt, dass das automatisch 199 00:15:25,920 --> 00:15:35,809 macht, ist schwierig. Eigentlich war unser Ziel des Ganzen: Wir wollten eigentlich 200 00:15:35,809 --> 00:15:40,919 gerne mit der... Also, wir hatten kein Interesse an Streit. Wir haben gesagt "Na 201 00:15:40,919 --> 00:15:44,799 ja okay, was können wir denn machen ohne unsere wissenschaftliche Unabhängigkeit zu 202 00:15:44,799 --> 00:15:48,939 verlieren um das der Gegenseite so ein bisschen schmackhaft zu machen dass wir 203 00:15:48,939 --> 00:15:53,629 das Paper veröffentlichen?" Wir haben mit denen diskutiert, ein paar Formulierungen 204 00:15:53,629 --> 00:15:57,080 die wirklich einfach drin waren, die wissenschaftlich null Relevanz haben, wo 205 00:15:57,080 --> 00:16:01,029 man nicht sagen kann "Hey wir hätten uns da einen faulen Kompromiss gemacht" haben 206 00:16:01,029 --> 00:16:05,540 wir gestrichen. Aber das hat alles nichts gebracht. Letzten Endes haben wir trotz 207 00:16:05,540 --> 00:16:09,079 intensiver Diskussion mit der Antragsgegnerin das Paper dann finally 208 00:16:09,079 --> 00:16:13,119 zurückgezogen. Obwohl die WOOT uns signalisiert hat, also es kam 209 00:16:13,119 --> 00:16:16,079 zwischenzeitlich von der WOOT die eMail "Wir nehmen das an in der Fassung", es war 210 00:16:16,079 --> 00:16:19,370 also nicht mehr conditionally accepted, es war finally accepted zu dem Zeitpunkt. Wir 211 00:16:19,370 --> 00:16:22,929 haben gesagt wir bringen das dann irgendwann später vielleicht mal. Und dann 212 00:16:22,929 --> 00:16:25,779 sind wir in Urlaub gefahren und haben gehofft, Na ja, jetzt ist ja hoffentlich 213 00:16:25,779 --> 00:16:29,779 Ruhe. Oder? D: Das war dann auch, so ein Wochenende 214 00:16:29,779 --> 00:16:38,910 war Ruhe. Hier ist das unboxing-Video, was dann die nächste Woche ankam. (Sound aus 215 00:16:38,910 --> 00:16:51,759 dem Video: *Papier reißt* "Aah, zur Wiederverwendung eher schlecht, dafür sehr 216 00:16:51,759 --> 00:16:58,609 gehaltvoll") Ja, das war das Schreiben. (Video: An Inhalt, oder zumindest an Masse 217 00:16:58,609 --> 00:17:03,139 fehlt es nicht.) Das Schreiben vom Gericht, vom Nürnberger Landesgericht war 218 00:17:03,139 --> 00:17:07,890 sehr gehaltvoll. Und was war das dann? Sie haben versucht, eine einstweilige 219 00:17:07,890 --> 00:17:11,730 Verfügung zu erreichen. Das Gericht hat es aber nicht direkt akzeptiert, sondern hat 220 00:17:11,730 --> 00:17:19,240 gesagt "Das ist ein sehr komplexes Thema." Erstmal großer Wert und so, wir wollen das 221 00:17:19,240 --> 00:17:22,870 gerne, also man kann da als Gericht sagen "ja, das winken wir direkt durch, 222 00:17:22,870 --> 00:17:25,920 einstweilige Verfügung wird akzeptiert" und dann muss man dagegen klagen und so 223 00:17:25,920 --> 00:17:29,230 weiter, oder man sagt als Gericht, das würde man gerne mal verhandeln. Das hätten 224 00:17:29,230 --> 00:17:32,600 Sie gerne verhandelt, mit Anwaltszwang, also wir haben uns dann auch Anwälte 225 00:17:32,600 --> 00:17:37,730 genommen. Und volles Programm natürlich, und persönliches Erscheinen wird 226 00:17:37,730 --> 00:17:42,920 angeordnet. Dann sind wir alle nach ziemlich viel Schriftwechsel, also dann, 227 00:17:42,920 --> 00:17:45,660 man denkt so "Verhandlungen, da geht man hin und schaut mal was passiert". In 228 00:17:45,660 --> 00:17:50,760 Wirklichkeit war da mit unseren Anwälten wirklich Beschuss, also es gab seitenweise 229 00:17:50,760 --> 00:17:54,900 von der Gegenseite von uns irgendwelche Schreiben die das Recht interpretiert 230 00:17:54,900 --> 00:17:58,870 haben und dem Gericht versuchen, im Vorfeld schon mal klarzumachen, dass die 231 00:17:58,870 --> 00:18:02,050 jeweilige Gegenseite Quatsch redet. Jedenfalls nach diesen gesamten hin und 232 00:18:02,050 --> 00:18:08,380 her haben wir uns dann auch getroffen im Gerichtssaal, und war alles überfüllt. Die 233 00:18:08,380 --> 00:18:13,450 Richter haben gemeint "Naja, so eine volle zivil-Verhandlung hatten sie noch nie". 234 00:18:13,450 --> 00:18:17,440 Wir waren acht Leute, der komplette Lehrstuhl ist noch mit angereist aus 235 00:18:17,440 --> 00:18:26,510 Interesse. *Gelächter und Applaus* 236 00:18:26,510 --> 00:18:32,400 War sehr interessant, also es waren recht lange Verhandlungen, unser Anwalt hat mit 237 00:18:32,400 --> 00:18:36,330 zwei Stunden gerechnet, maximal, und es waren dann sieben. 238 00:18:36,330 --> 00:18:40,640 *Gelächter* Es war, also, und da waren natürlich sehr 239 00:18:40,640 --> 00:18:44,810 interessante Stilblüten mit dabei, die ich jetzt hier nicht zeitlich alle vorbringen 240 00:18:44,810 --> 00:18:50,640 will, aber solche Sachen wie, die Verteidiger, oder ne, waren ja keine 241 00:18:50,640 --> 00:18:53,561 Verteidiger, die Rechtsanwälte der Antragstellerin haben so Sachen 242 00:18:53,561 --> 00:18:58,320 losgelassen wie: "Es kann der Sicherheit der Software unserer Klientin ja nicht 243 00:18:58,320 --> 00:19:02,350 dienlich sein, wenn die Sicherheit in der öffentlichkeit diskutiert wird". 244 00:19:02,350 --> 00:19:06,780 *Gelächter* Genau, also das war interessant. Die 245 00:19:06,780 --> 00:19:09,300 Richter haben ihren Job tatsächlich verhältnismäßig, also wir hatten Glück 246 00:19:09,300 --> 00:19:14,470 dass sie sich wirklich darauf eingelassen haben auf das Thema, nicht nur Täter, wie 247 00:19:14,470 --> 00:19:17,670 Schreibtischtäter, sondern wirklich sich damit auseinandergesetzt haben. Die 248 00:19:17,670 --> 00:19:22,280 Schriftführerin ist irgendwann nach Hause gegangen weil sie Feierabend machen 249 00:19:22,280 --> 00:19:29,310 musste, und sieben Stunden später hat dann die, sieben Stunden später hat dann die 250 00:19:29,310 --> 00:19:33,660 dritte Richterin das niedertippen dürfen, die Schriftführerin war weg. Wir haben 251 00:19:33,660 --> 00:19:37,630 einen Vergleich geschlossen mit der Gegenseite. Wir haben uns darauf geeinigt, 252 00:19:37,630 --> 00:19:43,160 dass die Gegenseite erst mal alles zahlt. Das war uns sehr wichtig. Aber dafür haben 253 00:19:43,160 --> 00:19:46,830 wir zugestanden, dass wir in Zukunft Responsible Disclosure ihnen gegenüber 254 00:19:46,830 --> 00:19:51,340 einhalten. Wenn wir jemals wieder deren App anschauen, dann sagen wir erst mal 255 00:19:51,340 --> 00:19:53,790 Bescheid, "Wir haben eine neue Sicherheitslücke, wir geben Ihnen X Tage 256 00:19:53,790 --> 00:19:59,480 Zeit, die wir für angemessen halten." Daraufhin darf die Gegenseite dann sagen, 257 00:19:59,480 --> 00:20:03,770 "Ja, das ist uns nicht genug" oder "Wir brauchen mehr Infos" oder "ja, passt, wir 258 00:20:03,770 --> 00:20:10,000 fixen das", im Idealfall. Und wir dürfen dann die Kommentare der Gegenseite prüfen 259 00:20:10,000 --> 00:20:13,480 und dürfen entsprechend agieren, und, was uns besonders wichtig war: Wir dürfen 260 00:20:13,480 --> 00:20:18,030 weiterhin veröffentlichen, trotzdem, und sie tragen komplett die 261 00:20:18,030 --> 00:20:23,260 Verhandlungskosten. Sagen wir mal ein okay-es Ergebnis, nach dem Vergleich waren 262 00:20:23,260 --> 00:20:28,441 wir alle super durch, und es gab auch einen Heise-Artikel dazu, der rege 263 00:20:28,441 --> 00:20:34,680 kommentiert wurde. Also eigentlich gerade nochmal alles gut gegangen, oder? Also, es 264 00:20:34,680 --> 00:20:39,840 klingt jetzt so mittelgut. Acht Forscher wurden wochenlang, es ist echt Stress, wie 265 00:20:39,840 --> 00:20:43,900 gesagt, Papierkrieg bis zum Umkippen, lauter Sachen, die man noch nie hätte 266 00:20:43,900 --> 00:20:49,230 träumen lassen wollen können. Wir haben keinerlei Unklarheiten beantwortet, nur 267 00:20:49,230 --> 00:20:53,030 dadurch dass wir gesagt haben "Ja, wir nehmen den Vergleich an". Bis jetzt. Also, 268 00:20:53,030 --> 00:20:55,830 wenn wir gewonnen hätten, dann wäre dekompilieren trotzdem nicht legal 269 00:20:55,830 --> 00:20:58,790 gewesen, dann hätten wir nur gesagt "Wir haben nicht dekompiliert" oder so was, und 270 00:20:58,790 --> 00:21:02,630 das Paper von der TU ist weiterhin nicht veröffentlicht, das wird aber, also sie 271 00:21:02,630 --> 00:21:06,420 sind auf dem Weg, das kommt dann schon doch irgendwann, ist halt jetzt ein halbes 272 00:21:06,420 --> 00:21:11,440 Jahr später oder so. Was nehmen wir aus dem gesamten mit? Erst mal: keine Panik, 273 00:21:11,440 --> 00:21:14,870 aber... also, das ist so ein Standar-Ding, don't Panik. Aber ich habe natürlich zu 274 00:21:14,870 --> 00:21:17,970 wenig gepanikt. Ich habe am Freitag gedacht, ja, ist ja eh Wochenende, Montag 275 00:21:17,970 --> 00:21:24,200 wird es meine Uni schon richten. Äh, ne. *gelächter* 276 00:21:24,200 --> 00:21:27,430 Nicht blind Sachen unterschreiben natürlich. Ich glaube dass ist auch 277 00:21:27,430 --> 00:21:30,520 obvious. Wenn wir den ersten Wisch unterschrieben hätten, dann hätten wir 278 00:21:30,520 --> 00:21:36,020 einfach unsere Jobs an den Haken hängen können. Kompletter Käse. Die Uni-Juristen 279 00:21:36,020 --> 00:21:43,260 sind keine IT-Experten, also selbst da an den Unis wo sie das gemacht haben war's 280 00:21:43,260 --> 00:21:47,950 nicht so leicht, das denen zu vermitteln. Die FAU zum Beispiel, da die Juristen 281 00:21:47,950 --> 00:21:54,820 haben sich hervorgetan, die waren Positiv zu erwähnen. Ja, wie auch immer. Nicht 282 00:21:54,820 --> 00:21:58,740 übertreiben in Publikatoinen, das ist so ein bisschen gegen uns selbst. Wir 283 00:21:58,740 --> 00:22:02,860 tendieren dazu in der Wissenschaft immer alle so "voll gut, was wir gemach haben" 284 00:22:02,860 --> 00:22:06,360 und so weiter. Wenn wir Sachen rein schreiben die am Schluss vielleicht 285 00:22:06,360 --> 00:22:12,130 rechtlich belangen, verwerflich sind dann problematisch, und auch warum den 286 00:22:12,130 --> 00:22:14,830 Firmennamen groß in den Titel packen wenn man es nicht muss oder so etwas könnte man 287 00:22:14,830 --> 00:22:18,200 sich dann für die Zukunft überlegen ob man das wirklich will und das Wichtigste 288 00:22:18,200 --> 00:22:24,910 natürlich: never decompile. Niemals jemals einen decompiler verwenden. Kein F5 mehr, 289 00:22:24,910 --> 00:22:30,120 Taste gleich rausreißen aus der Tastatur. Glücklicherweise: Die Beweislast liegt 290 00:22:30,120 --> 00:22:36,100 beim Gegner. Falls doch jemand mal ausrutscht auf der Maus oder der Tastatur: 291 00:22:36,100 --> 00:22:40,740 Die Beweislast liegt beim Gegner. Nicht reinschreiben. Also wenn man wirklich ein 292 00:22:40,740 --> 00:22:44,120 Papier oder sowas veröffentlicht: Man hat nicht dekompiliert. Hat man einfach nicht. 293 00:22:44,120 --> 00:22:47,910 Problem ist: Es gibt irgendwie wieder Ansprüche, also wenn ein Verdacht besteht 294 00:22:47,910 --> 00:22:51,551 dann könnten da auch wieder... Das geht jetzt auch zu tief ins Detail. Never 295 00:22:51,551 --> 00:22:56,320 decompile. Dann haben wir uns einige Fragen gestellt, die jetzt im verlauf der 296 00:22:56,320 --> 00:22:57,710 Fabian noch ein bisschen beantworten möchte. 297 00:22:57,710 --> 00:23:05,070 Fabian: Bevor wir jetzt zum Ende des talks und zum Resume kommen, wir haben natürlich 298 00:23:05,070 --> 00:23:07,990 uns selber während des Prozesses schon einige Fragen gestellt und auch von 299 00:23:07,990 --> 00:23:12,930 außerhalb welche bekommen. Das best-of möchte ich euch jetzt nicht vorenthalten. 300 00:23:12,930 --> 00:23:18,520 Natürlich, naja, wenn die Richter... Das muss man klar sagen, während es 301 00:23:18,520 --> 00:23:22,467 Gerichtsprozesses haben sich die Richter sehr tief in die Karten schauen lassen, haben 302 00:23:22,467 --> 00:23:27,710 der Gegenseite quasi wortwörtlich gesagt: "Also Leute, vor dieser Kammer habt ihr 303 00:23:27,710 --> 00:23:31,560 mit euren Forderungen keine Chance. Das könnte vergessen." Da kann man sich 304 00:23:31,560 --> 00:23:35,040 natürlich jetzt fragen: Warum haben wir das dann nicht einfach durchgezogen 305 00:23:35,040 --> 00:23:39,840 sondern uns verglichen? Na ja, ich habe euch mal so ein bisschen aufgemalt. Was 306 00:23:39,840 --> 00:23:43,136 wir ja gekriegt haben... das ist der Instanz-Weg, wir haben jetzt ein 307 00:23:43,136 --> 00:23:46,603 einstweilige-Verfügungs-Verfahren gehabt. Das ist das worum es bei uns ging. Die 308 00:23:46,603 --> 00:23:50,170 Abmahnung haben wir gekriegt, die haben wir alle unabhängig voneinander 309 00:23:50,170 --> 00:23:53,730 zurückgewiesen. Und dann geht der Weg, weil es ein einstweiliges-Verfügungs- 310 00:23:53,730 --> 00:23:56,350 Verfahren ist, erst einmal zum Landgericht, dann zum Oberlandesgericht 311 00:23:56,350 --> 00:24:02,890 wenn die Gegenseite Berufung oder Revision geht. Und danach gibts auf jeden Fall erst 312 00:24:02,890 --> 00:24:06,400 einmal beim einstweiligen Verfahren eine Entscheidung. Davon unberührt ist aber 313 00:24:06,400 --> 00:24:09,920 noch ein eigentliches Verfügungs-Verfahren das ist quasi, also einstweilig ist das 314 00:24:09,920 --> 00:24:14,950 Eilverfahren. Ich habe mal gehört, ich hoffe es stimmt, in Bayern muss man zum 315 00:24:14,950 --> 00:24:18,380 Beispiel auch einen Monat nach Kenntnis als Firma des Vorfalls einreichen sonst 316 00:24:18,380 --> 00:24:21,350 ist es offensichtlich nicht mehr eilig wenn man einen Monat damit wartet bis man 317 00:24:21,350 --> 00:24:25,670 zu Gericht geht. Unabhängig davon kann man noch mal versuchen die gleichen Ansprüche 318 00:24:25,670 --> 00:24:29,550 in einem normalen Verfügungs-Verfahren durchsetzen. Einstweilige ist einfach nur 319 00:24:29,550 --> 00:24:36,980 die Eilig-Geschichte. Das eben der Zustand eingefroren wird. So, wo waren wir denn 320 00:24:36,980 --> 00:24:41,073 jetzt? Wir haben die erste Stufe dieser fünfstündigen Pyramide, die haben wir 321 00:24:41,073 --> 00:24:46,730 quasi gezündet. Wir waren beim Landgericht haben auch auf ein Urteil, also waren da 322 00:24:46,730 --> 00:24:49,650 und hätten es auf ein Urteil ankommen lassen können, es wäre wahrscheinlich in 323 00:24:49,650 --> 00:24:53,510 unserem Sinne ausgegangen. Die meisten Fälle von denen wir wissen, und von denen 324 00:24:53,510 --> 00:24:58,320 auch die TUM-Anwälte wussten oder von unserem Team die Anwälte wussten, die 325 00:24:58,320 --> 00:25:01,900 enden schon bei der Abmahnung. Die meisten Firmen haben null Interesse da dran, in 326 00:25:01,900 --> 00:25:05,610 einem öffentlichen Rechtsstreit die Sicherheit ihrer Software zu diskutieren. 327 00:25:05,610 --> 00:25:15,470 War bei uns nicht so. Mit dem Vergleich, darin enthalten ist eine 328 00:25:15,470 --> 00:25:19,320 Abgeltungsklausel. Das bedeutet: Alle Ansprüche sind erledigt, völlig egal ob 329 00:25:19,320 --> 00:25:22,760 sie berechtigt sind oder nicht. Damit kann man nicht in Berufung oder Revision gehen. 330 00:25:22,760 --> 00:25:27,910 Das heißt wir haben dem Gegner die vier Stufen, die noch hätten gezündet werden 331 00:25:27,910 --> 00:25:37,300 können, alle erspart, haben wir uns erspart. Dem Gegner auch. Wobei wir 332 00:25:37,300 --> 00:25:40,600 vermuten, dass wir am Ende die gewesen wären, die den vielleicht etwas kürzeren 333 00:25:40,600 --> 00:25:47,550 Atem gehabt hätten. Und wie gesagt, dieser Vergleich für uns ist in unserem Sinne. 334 00:25:47,550 --> 00:25:52,280 Wir wollen sowieso eigentlich responsible disclosen dass uns im Laufe des Verfahrens 335 00:25:52,280 --> 00:25:55,350 immer wieder mal vorgeworfen wurde "na ja, die Kommunikation war ich jetzt nicht so 336 00:25:55,350 --> 00:26:01,490 gut." Das tut uns leid, aber war halt ein Missgeschick. Was auch nicht, also zum 337 00:26:01,490 --> 00:26:03,780 Beispiel: Man könnte auch einen Gutachter bestellen, Verfügungsverfahren ist viel 338 00:26:03,780 --> 00:26:06,320 länger, das kann sich über Jahre hinziehen, man muss auch nicht gleich 339 00:26:06,320 --> 00:26:10,200 machen da gibts Verjährungsfristen, und so weiter. Wir wollten dann nicht auf einer 340 00:26:10,200 --> 00:26:15,380 tickenden Zeitbombe sitzen bleiben. Jetzt gibt es natürlich das nächste Problem: 341 00:26:15,380 --> 00:26:18,950 Kann man IT-Sicherheitsforscher jetzt denn durch rechtliche Schritte zum Schweigen 342 00:26:18,950 --> 00:26:25,930 bringen? Hm, Schwierig. unsere Meinung. Jein. Also. bei uns hat es irgendwie nicht 343 00:26:25,930 --> 00:26:32,090 funktioniert. Also wir haben uns das Recht erkämpft unsere Forschung jetzt gerade auf 344 00:26:32,090 --> 00:26:37,350 Seiten der TUM, also dass wir es immer noch veröffentlichen können, wenn wir das 345 00:26:37,350 --> 00:26:41,350 wollen. Wir haben kein NDA unterzeichnet, wir können hier mit euch heute über den 346 00:26:41,350 --> 00:26:45,570 Vorfall sprechen und tun das auch um die Awareness für dieses Problem zu steigern, 347 00:26:45,570 --> 00:26:49,350 damit euch hoffentlich nicht so etwas ähnliches passiert wie uns. Auf der 348 00:26:49,350 --> 00:26:53,500 anderen Seite hatten wir schon das Gefühl, da das alles so ungeklärt ist, besonders 349 00:26:53,500 --> 00:26:58,620 diese verschiedenen Nuancen der Analysen, dass man eigentlich ja irgendwie immer 350 00:26:58,620 --> 00:27:01,830 einen Grund konstruieren kann der rechtlich für einen Juristen scheinbar ja 351 00:27:01,830 --> 00:27:06,081 auch plausibel zu klingen scheint, sodass man sagen kann "naja, Anspruch ist 352 00:27:06,081 --> 00:27:09,890 vielleicht berechtigt" und dann ist der Forscher, wenn er keinen Bock hat durch 353 00:27:09,890 --> 00:27:13,000 einen wahnsinnig lange Instanz-Weg zu gehen, eigentlich immer mundtot machen. 354 00:27:13,000 --> 00:27:19,191 Und der psychische Druck ist enorm, das sage ich, euch das war einer der 355 00:27:19,191 --> 00:27:25,070 stressigsten, vielleicht der stressigste Sommer in meinem Leben. Wer vertritt denn 356 00:27:25,070 --> 00:27:31,090 Uni-Sicherheitsforscher? Eigentlich haben mich viele Leute gefragt "Naja Leute, ihr 357 00:27:31,090 --> 00:27:35,860 seid doch Arbeitnehmer. Ihr seid alle abhängige Forscher, ihr habt ja ne Uni, 358 00:27:35,860 --> 00:27:38,130 also wieso kümmert sich eigentlich nicht die Uni darum, warum müsst ihr das 359 00:27:38,130 --> 00:27:46,510 machen?" Warum das geht, das kann ich euch rechtlich leider nicht komplett 360 00:27:46,510 --> 00:27:51,350 auseinander nehmen, es gibt da zwei im bayerischen Beamtenrecht, oh Gott ich 361 00:27:51,350 --> 00:27:57,559 glaube Abschnitt 8 Absatz 2, 3 in Verbindung mit 2(1), lasst mich lügen. Ihr 362 00:27:57,559 --> 00:28:00,440 seht schon wie sehr ich mich mit diesem Scheiß beschäftigen musste obwohl ich kein 363 00:28:00,440 --> 00:28:08,690 Jurist bin. Aber beantragt haben wir das, eine Antwort haben wir dazu heute noch nicht. 364 00:28:08,690 --> 00:28:12,170 Im schlimmsten Fall muss das ins bayerische Wissenschaftsministerium rauf, 365 00:28:12,170 --> 00:28:15,240 um eine Aussage zu kriegen ob das geht oder nicht, aber das ist tatsächlich auf 366 00:28:15,240 --> 00:28:21,450 TUM-Seite bis heute ungeklärt. Wie geht man als Forscher mit Nebentätigkeiten um? 367 00:28:21,450 --> 00:28:25,300 Mehrere von uns haben ein kleines Gewerbe nebenbei in dem sie zum Beispiel 368 00:28:25,300 --> 00:28:30,350 Pentesting oder allgemeine IT-Tätigkeiten, die man halt so macht, dass wir das 369 00:28:30,350 --> 00:28:35,200 irgendwie abrechnen können und ordentlich abrechnen kann. Wenn jetzt, das ist 370 00:28:35,200 --> 00:28:39,450 tatsächlich ja in der Abmahnung aktiv passiert, vonseiten einer Firma 371 00:28:39,450 --> 00:28:44,990 konstruiert werden kann "Na Ja, deine Firma, das ist ein Konkurrent, der steht 372 00:28:44,990 --> 00:28:49,850 ja im Wettbewerb mit mir und unterliegt dann viel strengeren Regeln." Das finde 373 00:28:49,850 --> 00:28:55,070 ich sehr kritisch. Also zum Glück haben die Richter tatsächlich gesagt: "Na ja, also, 374 00:28:55,070 --> 00:28:58,650 stellen die jetzt ein Konkurrenzprodukt her? Nein.". Aber trotzdem, der Vorwurf 375 00:28:58,650 --> 00:29:07,320 steht natürlich erstmal im Raum. Was wäre schön zu haben, was würde, was hätten wir 376 00:29:07,320 --> 00:29:12,110 gewünscht zu haben? Es wäre natürlich kurzfristig erst mal cool wenn man das 377 00:29:12,110 --> 00:29:16,220 ganze Risiko von dem Unternehmen verklagt zu werden irgendwie versichern könnte 378 00:29:16,220 --> 00:29:19,720 sodass man, wenn der Worst Case eintritt, dass man da wirklich jemanden hat er will 379 00:29:19,720 --> 00:29:22,990 sich nicht einigen und er will dich durch die vollen fünf Instanzen durchschicken, 380 00:29:22,990 --> 00:29:28,730 dass man das irgendwie abfangen kann und dass man das nicht auf private Rechnung 381 00:29:28,730 --> 00:29:34,930 machen muss. Man kriegt vielleicht mal Geld wieder bei Gericht wenn man Recht 382 00:29:34,930 --> 00:29:38,870 kriegt, aber die Anwälte, jedenfalls unsere, die wir engagiert haben, die 383 00:29:38,870 --> 00:29:43,300 wollten natürlich monatlich bezahlt werden. Man kann ja auch mal eine Instanz 384 00:29:43,300 --> 00:29:47,030 verlieren. Da wäre es natürlich cool, man hätte irgendeine Art 385 00:29:47,030 --> 00:29:50,650 Rechtschutzversicherung. Keiner von uns hatte eine. Nächstes Problem: Das sind 386 00:29:50,650 --> 00:29:53,930 Sachen aus dem Urheberrecht, das ist ja ein Copyright-Verfahren, das ist wohl, 387 00:29:53,930 --> 00:29:58,020 haben uns unsere Anwälte gesagt, "selbst wenn es eine gehabt hätten, Urheberrecht 388 00:29:58,020 --> 00:30:01,960 ist meistens ausgeschlossen." Das liegt an den ganzen Filesharing-Geschichten, 389 00:30:01,960 --> 00:30:07,100 normalerweise fallen nämlich die alle darein. Und wenn man wegen unlauteren 390 00:30:07,100 --> 00:30:10,290 Wettbewerb verklagt wird weil man nebenbei eine Firma hat, dann braucht man ja 391 00:30:10,290 --> 00:30:13,460 eigentlich, also Gewerbe ist dann auch irgendwie gerne ausgeschlossen bei der 392 00:30:13,460 --> 00:30:15,700 Rechtsschutzversicherung. Also tatsächlich haben sie genau die beiden Punkte 393 00:30:15,700 --> 00:30:20,780 getroffen, wo es weh tut. Okay es wäre gut wenn es da eine Versicherung geben würde, 394 00:30:20,780 --> 00:30:23,840 die auch für Sicherheitsforscher so ein Risiko versichern würde. Unterstützung 395 00:30:23,840 --> 00:30:29,580 durch Forschungsinstitute. Auch vor allen Dingen, also wir hätten durch die Uni 396 00:30:29,580 --> 00:30:34,980 Unterstützung gebraucht. Ich hatte schon den Eindruck tatsächlich dass da durchaus 397 00:30:34,980 --> 00:30:40,450 viele Leute waren die bemüht waren uns zu helfen und die die das auch versucht haben 398 00:30:40,450 --> 00:30:44,270 aber die dann irgendwie über einen Paragraphen gestolpert sind, sodass sie es 399 00:30:44,270 --> 00:30:48,080 nicht machen konnten. Und es hat sich an einigen Stellen tatsächlich auch leider 400 00:30:48,080 --> 00:30:52,510 das Gefühl gehabt es gibt so einen Unwillen im System der hat sagt "Naja, das 401 00:30:52,510 --> 00:30:57,270 fassen wir lieber nicht an." Da bräuchte man eine klare Bekennung zu Forschern, 402 00:30:57,270 --> 00:31:01,640 halt auch externen Forschern, weil nur den Mitarbeitern, das hätte jetzt Dominik zum 403 00:31:01,640 --> 00:31:04,030 Beispiel nichts gebracht und vor allen Dingen auch Studenten, wenn die auf so 404 00:31:04,030 --> 00:31:08,460 einer Arbeit mit drauf stehen. Sowas wie Rechtsschutz und Mithaftung wäre 405 00:31:08,460 --> 00:31:11,750 interessant. Vielleicht gibt es eine Mithaftung tatsächlich, aber ihr wollt ja 406 00:31:11,750 --> 00:31:14,940 auch als Arbeitnehmer einer Uni nicht unbedingt gleich eure eigene Uni 407 00:31:14,940 --> 00:31:20,200 verklagen, oder? Also, das haben wir kurz überlegt, aber einen mehr-Fronten-Krieg 408 00:31:20,200 --> 00:31:23,785 gegen eine Firma und unseren Arbeitgeber das ist nicht so cool. Dann natürlich wäre 409 00:31:23,785 --> 00:31:29,200 *Gelächter* Dann wäre natürlich 410 00:31:29,200 --> 00:31:37,020 auch noch cool eine rechtliche Basis für Sicherheitsforschung zu haben, die viele 411 00:31:37,020 --> 00:31:39,960 oder am besten alle Analysen die man als Sicherheitsforscher so macht irgendwie 412 00:31:39,960 --> 00:31:43,106 erlaubt. Also, wir sind da ja mit irgendwelchen Copyright, das ist sowieso 413 00:31:43,106 --> 00:31:47,710 schon eigentlich ein bisschen wahnsinnig, mit irgendwelchen Copyright-Klagen 414 00:31:47,710 --> 00:31:52,600 überzogen worden. Frag mich bitte nicht genau aus, aber soweit ich weiß gibts seit 415 00:31:52,600 --> 00:31:57,400 2016 da im Digital Millennium Copyright Act, das ist das Entsprechung zum 416 00:31:57,400 --> 00:32:01,710 Urheberrechtsgesetz in den USA, eine explizite Ausnahmeregelung für 417 00:32:01,710 --> 00:32:06,320 Sicherheitsforschung. Wenn die da wäre, könnte man vielleicht viele rechtliche 418 00:32:06,320 --> 00:32:11,170 Fragen gleich im Keim ersticken und hätte auch mehr Sicherheit, wenn man mit Juristen 419 00:32:11,170 --> 00:32:13,940 drüber redet, die sich jetzt nicht, also diese ganzen Nuancen in der 420 00:32:13,940 --> 00:32:16,320 Sicherheitsforschung der Analysen, die das eigentlich gar nicht so genau beurteilen 421 00:32:16,320 --> 00:32:23,770 können. Gut, das wars von unserer Seite, wir stehen euch jetzt für Fragen zur 422 00:32:23,770 --> 00:32:28,520 Verfügung. D: Danke schön. 423 00:32:28,520 --> 00:32:31,420 *Applaus* 424 00:32:31,420 --> 00:32:43,900 Herald: Vielen Dank erst einmal für diese Vorstellung dieses Leidensweges, das ist 425 00:32:43,900 --> 00:32:49,630 ja wirklich erschreckend. Genau, wir kommen zur Q&A. Wer Fragen hat kommt bitte 426 00:32:49,630 --> 00:32:55,760 an eins der Mikros. Meine Lieblingsansage ist immer: Fragen, Punkt 1, bestehen aus 427 00:32:55,760 --> 00:33:01,000 einem Satz mit einem Fragezeichen am Ende. Zweitens, wenn in in ein Mikro redet 428 00:33:01,000 --> 00:33:05,380 wirklich nah ran, nicht in den Mund stecken aber kurz davor. Der Nachredner 429 00:33:05,380 --> 00:33:10,860 wird es euch danken. Und für alle die ganz dringend wohin müssen: bitte macht das so 430 00:33:10,860 --> 00:33:14,809 leise wie irgendwie möglich damit ihr nicht den Rest stört. Und damit kommen wir 431 00:33:14,809 --> 00:33:17,700 zu den Fragen und beginnen direkt beim Mikro Nr. 2. 432 00:33:17,700 --> 00:33:23,070 Mikro 2: Danke für die aufregende Story. Vergleich mit einseitiger Kostenübernahme 433 00:33:23,070 --> 00:33:28,970 ist ja nicht der Standard. Meine Frage wäre: könnt ihr wenigstens beschreiben wie 434 00:33:28,970 --> 00:33:32,710 hoch die Kosten waren, die die Gegenseite übernehmen musste, jetzt die 435 00:33:32,710 --> 00:33:34,670 Gerichtskosten und die Kosten eurer Anwälte? 436 00:33:34,670 --> 00:33:38,410 F: Also da gibts so eine rechtsanwaltliche Gebührentabelle, die bestimmt nicht 437 00:33:38,410 --> 00:33:41,510 rechtsanwaltliche Gebührentabelle heißt sondern irgendwie anders. Es gibt bestimmt 438 00:33:41,510 --> 00:33:46,330 einen coolen juristischen Begriff dafür, und nach der wird das berechnet, und nach 439 00:33:46,330 --> 00:33:49,010 dem Teil sind auch die Kosten abgerechnet worden. 440 00:33:49,010 --> 00:33:54,490 D: Streitwert 200.000 Euro am Schluss. F: Genau. Also, wir hatten auch erst mal 441 00:33:54,490 --> 00:33:57,360 Angst bei diesem Streitwert, der so wahnsinnig hoch ist. Tatsächlich bei einer 442 00:33:57,360 --> 00:33:58,770 einstweiligen Verfügung wollen sie eigentlich nur diese 443 00:33:58,770 --> 00:34:02,220 Unterlassungserklärung haben, "hey, wir dürfen das nicht mehr", bei Androhung 444 00:34:02,220 --> 00:34:05,010 einer Strafe, und diese Streitwert- Geschichte, danach berechnen sich 445 00:34:05,010 --> 00:34:09,730 eigentlich nur die Kosten für Gericht und die Anwälte. Soweit ich weiß. 446 00:34:09,730 --> 00:34:14,500 H: Mikrofon Nr. 1 Mikro 1: Eine Frage, die ihr mit Ja oder 447 00:34:14,500 --> 00:34:18,569 Nein beantworten könnt: Hatte es für einen von euch acht noch berufliche 448 00:34:18,569 --> 00:34:23,589 Konsequenzen? D: Ja. Nicht mich, aber ja. 449 00:34:23,589 --> 00:34:28,329 F: Okay, also wir sind zwei verschiedene Teams, deswegen teilen wir das so... 450 00:34:28,329 --> 00:34:32,210 D: Für eins von acht ja. F: Okay, eins von acht, also auf unserer 451 00:34:32,210 --> 00:34:35,129 Seite, nicht dass ich wüsste. Also keine direkten beruflichen Konsequenzen. Also 452 00:34:35,129 --> 00:34:39,089 nervlich auf jeden Fall, also auch schon so dass man sich überlegt, hey, will man 453 00:34:39,089 --> 00:34:44,270 so ein Projekt nochmal anschieben? Aber ich persönlich bin froh, dass ich 454 00:34:44,270 --> 00:34:46,829 durchgefochten habe bis zum Schluss. Ich bin auch mit dem Vergleich zufrieden. 455 00:34:46,829 --> 00:34:54,009 H: Mikrofon Nr. 3 Mikro 3: Hi. Haben Eure Anwälte mal die 456 00:34:54,009 --> 00:34:58,930 Frage beantwortet, ob das was da im juristischen Text als dekompilieren steht 457 00:34:58,930 --> 00:35:04,369 auch wirklich das ist, was wir als Techniker darunter verstehen. Ist es 458 00:35:04,369 --> 00:35:09,880 wirklich F5 drücken oder ist es mehr so dass kompilierte Programm in eine andere 459 00:35:09,880 --> 00:35:12,369 Form überführen. D: Irgendwie sowas in der Richtung. 460 00:35:12,369 --> 00:35:17,189 Deswegen sagen wir Grauzone. Sicherheitsforschung. Dekompilieren ist 461 00:35:17,189 --> 00:35:21,180 auf jeden Fall böse. Deswegen hat wir diese schönen Grafiken. Es könnte alles 462 00:35:21,180 --> 00:35:24,579 irgendwie mit drunterfallen, übersetzen in andere Formen. 463 00:35:24,579 --> 00:35:29,819 F: Also wenn du ganz viel Lust hast 69e tatsächlich aus dem Urheberrechtsgesetz 464 00:35:29,819 --> 00:35:32,279 das ist tatsächlich der Dekompilierungsparagraf, der allerdings 465 00:35:32,279 --> 00:35:35,609 erst mal die Ausnahmen regelt wo man noch dekompilieren darf. Da steht tatsächlich 466 00:35:35,609 --> 00:35:40,400 als Überschrift ganz groß dekompilieren und es wird nicht näher bestimmt, was jetzt 467 00:35:40,400 --> 00:35:46,049 genau dekompilieren ist. Ich gehe davon aus, also das weiß ich tatsächlich jetzt 468 00:35:46,049 --> 00:35:50,210 nicht das ist was genau jetzt für den Juristen dekompilieren ist. Also wie 469 00:35:50,210 --> 00:35:52,759 gesagt wir haben einen juristischen Fachartikel gelesen da war Disassemblieren 470 00:35:52,759 --> 00:35:54,859 schon dekompilieren. D: Und genau diese Frage kann unser 471 00:35:54,859 --> 00:35:58,291 Rechtsanwalt nicht beantworten. Das müsste dann quasi das Gericht entscheiden. 472 00:35:58,291 --> 00:36:02,640 F: Also da kam von unserer Seite ganz klar die Ansage: Wir kennen keine Referenz 473 00:36:02,640 --> 00:36:06,309 Urteil dazu. Wir haben keine Datenbasis dass wir sagen können Hey so wird das dann 474 00:36:06,309 --> 00:36:15,390 schon ausgehen. Das müsste man mal klären. Juristisch. Alles was wir ihnen sagen 475 00:36:15,390 --> 00:36:19,739 können sind nur Meinungen. Das kann jeder Richter anders sehen und entscheiden wie 476 00:36:19,739 --> 00:36:24,670 er möchte. H: Haben wir eine Frage aus dem Internet? 477 00:36:24,670 --> 00:36:29,789 Signal Angel: Es stellt sich die Frage, es wurde im Vortrag angemerkt, dass die 478 00:36:29,789 --> 00:36:36,630 Studenten und Forscher ein Recht auf Versicherung haben sollten. Es ist weniger 479 00:36:36,630 --> 00:36:42,800 so eine klare Frage, als: Hätten nicht alle Recht darauf eine Versicherung zu haben, 480 00:36:42,800 --> 00:36:47,690 wenn sie ihre eigene Software, die Sie verwenden, auf Sicherheit überprüfen 481 00:36:47,690 --> 00:36:50,660 wollen. F: Das war so gemeint die Forderung: Es 482 00:36:50,660 --> 00:36:53,390 wäre erst mal schön eine Versicherung gäbe, die es dann versichern würde 483 00:36:53,390 --> 00:36:56,670 D: Also kurzfristig. F: Also kurzfristig. Das wäre erst mal 484 00:36:56,670 --> 00:37:00,809 schön. Wir kennen kein. Wir haben uns gefragt: Schließen wir erst mal eine 485 00:37:00,809 --> 00:37:04,570 Rechtsschutzversicherung ab, als das Schreiben reingekommen ist. Die nicht mehr 486 00:37:04,570 --> 00:37:08,809 den Schaden bezahlt, der jetzt gerade eingetreten ist. Aber für zukünftige Fälle 487 00:37:08,809 --> 00:37:12,099 wäre das ja sinnvoll gewesen. Wir haben uns dann also ein bisschen informiert und 488 00:37:12,099 --> 00:37:15,571 sind auf diese Probleme gestoßen. Selbst wenn wir eine Rechtsschutzversicherung 489 00:37:15,571 --> 00:37:21,180 gehabt hätten, hätten wir vielleicht das gleiche Problem gehabt. Naja ist nicht 490 00:37:21,180 --> 00:37:23,369 abgedeckt durch die Police, könnt ihr selber zahlen. 491 00:37:23,369 --> 00:37:27,569 D: Natürlich stimme ich dem Internet dann auch zu. Es wäre das was man also man 492 00:37:27,569 --> 00:37:32,960 sollte sich das dann selbst anschauen dürfen. Aber das ist das Recht das muss 493 00:37:32,960 --> 00:37:36,660 geändert werden vielleicht H: Mikrofon Nummer zwei bitte. 494 00:37:36,660 --> 00:37:43,661 Mikro 2: Der CCC macht ja auch so was wenn jemand Daten findet oder wie auch immer 495 00:37:43,661 --> 00:37:49,599 ran kommt, dass sich da dann mit einschaltet. Habt ihr den CCC bei euch 496 00:37:49,599 --> 00:37:53,559 auch mit angesprochen und wenn ja wie ist das gelaufen und und aus gegangen? 497 00:37:53,559 --> 00:37:59,039 D: Da hatten wir wechselnde Erfahrungen. Ich hab recht eng mit dem CCC kommuniziert 498 00:37:59,039 --> 00:38:05,460 gehabt und war ziemlich gute. Wir hatten auch unsere Anwälte über den CCC empfohlen 499 00:38:05,460 --> 00:38:12,260 bekommen. JBB war zum Beispiel sehr zwei Daumen hoch wenn man mal sowas hat. 500 00:38:12,260 --> 00:38:17,609 Aber das ist halt irgendwie bei acht Leuten verzwickt gewesen das zu kommunizieren. 501 00:38:17,609 --> 00:38:21,980 F: Also auf unserer Seite tatsächlich ist das so ein bisschen. Ich will jetzt dem 502 00:38:21,980 --> 00:38:24,759 CCC das nicht vorwerfen. Es kann doch einfach nur ein Kommunikationsproblem auf 503 00:38:24,759 --> 00:38:28,040 unserer Seite gewesen sein. Aber tatsächlich bei uns ist von der 504 00:38:28,040 --> 00:38:33,560 Ausgestaltung der CCCler nicht ganz so viel angekommen. Der Herr Jäger, die 505 00:38:33,560 --> 00:38:38,329 Kanzlei JBB, der die Nürnberger Forschungsgruppe vertreten hat in dieser 506 00:38:38,329 --> 00:38:43,440 Sache, der wollte uns nicht auch mit vertreten. Das war einfach Pech dass die 507 00:38:43,440 --> 00:38:46,800 Gegenseite uns vor ein Gericht gezerrt wo wir eigentlich völlig separat voneinander 508 00:38:46,800 --> 00:38:50,400 geforscht haben. Der wollte potenzielle Interessenkonflikte vermeiden, weil wir ja 509 00:38:50,400 --> 00:38:55,180 doch sehr heterogen sind und dann hat er gesagt: "Naja ich empfehle euch einen 510 00:38:55,180 --> 00:39:00,170 Kollegen." Tatsächlich. Aber ja. Das war dann halt schon sehr sehr weit weg. 511 00:39:00,170 --> 00:39:07,389 H: Mikrofon Nummer 1 Mikro 1: Vielen Dank für den Talk erst mal 512 00:39:07,389 --> 00:39:10,740 und die Frage bei den ganzen zurückgebliebenen Unklarheiten und ja auch 513 00:39:10,740 --> 00:39:14,569 so einer klagewilligen Antragstellerin was ja wohl auch nicht selbstverständlich ist. 514 00:39:14,569 --> 00:39:17,920 Wäre es nicht voll sinnvoll gewesen das einmal durch zu klagen um irgendwie ein 515 00:39:17,920 --> 00:39:21,200 Grundsatzurteil zu bekommen oder einen Präzedenzfall und die Kosten die dabei 516 00:39:21,200 --> 00:39:24,930 entstehen, die natürlich gefährlich sind, nicht eher solidarisch zu tragen. 517 00:39:24,930 --> 00:39:30,190 D: Meiner Meinung nach hätten wir am Schluss nur bewiesen gehabt dass man uns 518 00:39:30,190 --> 00:39:34,790 nicht beweisen kann dass wir dekompiliert haben. Das wäre das, was am Schluss dabei 519 00:39:34,790 --> 00:39:38,550 hätte raus kommen können. Medienwirksam wäre es vielleicht sinnvoll gewesen zu 520 00:39:38,550 --> 00:39:41,720 verlieren, aber da hatte absolut niemand Lust drauf. 521 00:39:41,720 --> 00:39:49,450 F: Also meintest du jetzt tatsächlich dass die Gegenseite das versucht das bis zum 522 00:39:49,450 --> 00:39:52,099 Ende durch zu klagen um das irgendwie zu gewinnen und sich nicht zu einigen oder 523 00:39:52,099 --> 00:39:55,109 worauf bezog sich die Frage? D: Ja schon auf uns. 524 00:39:55,109 --> 00:39:59,470 Mikro 1: Die Frage bezieht sich darauf ob diese Praktiken die bei dieser 525 00:39:59,470 --> 00:40:01,500 Sicherheitsforschung angewendet werden nicht dann doch durch die Gerichte so 526 00:40:01,500 --> 00:40:04,540 eingeordnet werden ob das legal ist oder nicht weil so bleibt ja das jein. 527 00:40:04,540 --> 00:40:07,690 F: Ja das ist richtig. Das Problem ist dass die Komponente die man dabei nicht 528 00:40:07,690 --> 00:40:12,220 ganz vergessen darf. Das sind acht Forscher, die alle auch im Leben noch was 529 00:40:12,220 --> 00:40:15,479 anderes vorhaben. Einige waren zu dem Zeitpunkt der Klage zum Beispiel schon gar 530 00:40:15,479 --> 00:40:21,260 nicht mehr bei uns an der TU. Du stehst mit dieser riesigen Autorengruppe da vor 531 00:40:21,260 --> 00:40:24,119 Gericht und das musst du über zwei oder drei Jahre. Wir haben versucht alle 532 00:40:24,119 --> 00:40:28,249 Entscheidung im Konsens zu treffen. Das habe ich einen Sommer lang war ich quasi 533 00:40:28,249 --> 00:40:33,210 Telefonzentrale für die Münchner Seite der Autorengruppe und es war ein Vollzeitjob 534 00:40:33,210 --> 00:40:37,490 weil jeder überall wo anders war und das versuchen irgendwie über Jahre hinaus 535 00:40:37,490 --> 00:40:43,160 zusammenzuhalten ist ein Albtraum. Das ist ein wahnsinnig psychologischer Druck und 536 00:40:43,160 --> 00:40:46,369 du weißt da auch vom Gericht. Du versuchst ja erst einmal die niedrig hängenden 537 00:40:46,369 --> 00:40:50,049 Früchte zu nehmen. Also zum Beispiel in dem Schreiben der gegnerischen 538 00:40:50,049 --> 00:40:53,559 Rechtsanwälte - da waren formale Fehler drin. Da fehlt mal ein Paragraph 539 00:40:53,559 --> 00:40:56,069 tatsächlich. Du liest das Dokument und stellst fest 540 00:40:56,069 --> 00:40:59,920 D: Ne Seite. F: Stellst fest da fehlen Absätze. Das 541 00:40:59,920 --> 00:41:05,161 Dokument ist nicht schlüssig an sich. Rein formal. Natürlich fängst du nicht erst mal 542 00:41:05,161 --> 00:41:08,132 in den Brunnen der Dekompilierung ganz tief hinabzusteigen. Du sagt erst einmal 543 00:41:08,132 --> 00:41:13,210 Hey Leute, da fehlen Seiten - wie viel Mühe gebt euch denn mit euren Schreiben? Das 544 00:41:13,210 --> 00:41:18,430 ziehst du ihm ja als erstes mal um die Ohren. Und ob dann am Ende wir wirklich 545 00:41:18,430 --> 00:41:24,289 uns jetzt auf das Dekompilierungs-Ding da gestürzt hätten. Das ist völlig, völlig 546 00:41:24,289 --> 00:41:29,200 offen. H: Gut, Zeit ist um. Wer noch Fragen hat. 547 00:41:29,200 --> 00:41:32,890 Ihr beide seid vielleicht ja noch einen Moment hier vorne erreichbar. Wer noch 548 00:41:32,890 --> 00:41:37,140 eine Frage loswerden will, kommt einfach nach vorne. Ansonsten war's das und damit 549 00:41:37,140 --> 00:41:39,973 wünsche ich mir noch einmal einen großen Applaus für die beiden. 550 00:41:39,973 --> 00:41:52,366 *Applaus* 551 00:41:52,366 --> 00:42:08,754 *Abspannmusik* 552 00:42:08,754 --> 00:42:16,000 Untertitel erstellt von c3subtitles.de im Jahr 2020. Mach mit und hilf uns!