Thomas Strobl ist mir bislang zwei Mal sehr negativ aufgefallen. Einmal als Vorsitzender des Ausschusses für Wahlprüfung, Immunität und Geschäftsordnung, als er bei dem Wahlcomputer-Debakel erklärte, der Wahlprüfungsausschuss hätte festgestellt, Wahlen mit Wahlcomputern seien als sicher anzusehen und Karlsruhe ihn daraufhin eines besseren belehren durfte.

Das zweite Mal hatte er sich nicht mal 90 Minuten nach der Entscheidung zum Zugangserschwerungsgesetz nicht nehmen lassen, sogleich eine Ausweitung der Netzsperren auf Killerspiele zu fordern und, wie typisch für die Politiker der Koalition, auf eine technische Lösung für gesellschaftliche Probleme zu setzen.

Ein Blick auf Abgeordnetenwatch offenbart sogleich keine besonders grosse Diskussionsfreude, denn es gibt genau nur einen Eintrag vom 10. Juni dieses Jahres, bei dem er sich äussert, und zwar unter anderem mit dem hinlänglich bekannten Satz: “In jedem Fall sollte aber meines Erachtens in der Debatte, welche Maßnahmen zur Gewaltprävention ergriffen werden, die von den Bundesministern von der Leyen und Schäuble vorgeschlagene Sperrung von kinderpornografischen Seiten im Internet mit Blick auf Killerspiele neu diskutiert werden.”

Eine gute Woche später ist man dann offensichtlich schon etwas weiter, denn an jenem denkwürdigen 18. Juni erklärte er just gegenüber dem Kölner Stadt-Anzeiger: “Wir prüfen das ernsthaft…wir gehen nach Winnenden nicht zur Tagesordnung über. Wenn es einen Nachweis gibt, dass sich Killerspiele negativ auf das Verhalten Jugendlicher auswirken, dann kann das Internet kein rechtsfreier Raum sein.”

Vielleicht sollten diejenigen, die mit “wir” sind, bei der Gelegenheit auch Nachweise dafür finden, dass sich der momentane Zustand der Gesellschaft negativ auf die Jugendlichen auswirkt. Aber mal davon abgesehen sollte man sich wohl mal genauer ansehen, worüber wir eigentlich reden.

Spiele auf grossen und kleinen LAN-Parties oder E-Sports-Turniere sind mindestens genau absurd (oder eben nicht) wie Sportschiessen, Hürdenlauf, Curling oder Go, aber eben auch mit genauso denselben sozialen Chancen und Risiken. Dort treffen sich junge Menschen miteinander, um sich genauso wie bei anderen Sportarten und Spielen zu messen und die taktisch Klügsten und Geschicktesten zu ermitteln. Bisher gab es auch nicht besonders oft Nachrichten über Körperverletzungsdelikte und Sachbeschädigungen im Rahmen dieser Veranstaltungen. Und genauso wie Sportler trainieren wohl auch diese Spieler und schlagen damit unendlich viel Zeit tot. Das es auch hier Spiele geben mag, die einer eher zweifelhafte Ästhetik besitzen, kann ich nicht einschätzen. Ich kenne eigentlich nur welche, in denen man sich wie bei Schach gegenseitig umbringt.

Ein Argument in der Pro-Sperrdiskussion von Killerspielen ist, es gehe um Bewahrung der Jugendlichen vor Verrohung. Ähnlich wie bei der Kinderpornographie-Debatte, in der es eben nicht um Kindesmissbrauch geht, der bekämpft werden muss, ist die Jugendschutz-Diskussion im Internet darauf angelegt, die entsprechenden Wählerschichten, die nicht mehr mit ihren Kindern klarkommen, mit einem vermeintlich leicht zu verstehenden Thema zu punkten und politische Handlungsfähigkeit zu simulieren.

Das eigentliche Problem ist aber offensichtlich wohl eher, dass in Familien, in denen Kinder geschlagen werden oder struktureller Gewalt ausgesetzt sind, die Gewaltschwelle eine andere werden kann und diese Spiele die Jugendlichen vermutlich nicht automatisch zu Lämmern machen. Das Fass wird nicht wirklich aufgemacht, weil sich sowas nur mit sehr langfristigen Konzepten lösen lässt, die sich nur sehr schlecht bis gar nicht innerhalb einer Legislatur verkaufen lassen. Das ist nun einmal in der Politik die einzige Zeiteinheit, die Bedeutung besitzt.

Auch ist der Raum, in dem nicht nur Jugendliche ihrem Frust freien Lauf lassen können, dünn gesät, und Schreiräume haben sich irgendwie nicht wirklich durchgesetzt. Eine Menge Jugendarbeit, grade auch im Osten, hat sich der Staat von Rechten aus der Hand nehmen lassen, und mit einer Politik, die Jugendliche per se zur Gefahr für sich und andere erklärt ist auch nicht zu erwarten, dass da noch irgendwelchen sinnvollen Angebote für Jugendliche eines bestimmten Alters kommen.

Ein Beispiel: Vor einiger Zeit gab es hier in Bonn auf dem Hardtberg ein Projekt, bei dem alle möglichen Jugendinitiativen zusammen ein Projektwochenende gemacht haben, und wirklich alle haben dabei mitgemacht. Schade nur, dass die Ankündigen dazu vor allem auf Ämtern auslag - also Orten, in denen man, ausser dem Arbeitsamt, relativ selten Jugendliche antrifft. Wenig überraschend war daher auch, wie dieses Angebot angenommen wurde, nämlich gar nicht. Bei praktisch allen Projekten waren die Projektleiter unter sich, ohne, dass sich das Zielpublikum hat blicken lassen.

Studien, die sich mit der Entstehung von Gewalt auseinander setzen, sind in der Tat spannend. Ich habe allerdings keine Ahnung, wie diese Daten überhaupt ermittelt werden. Und ich frage mich auch, wie messbare Vergleiche gezogen werden können um den Einfluss von Familie, Schule und Medien von einander abzugrenzen. Aber vielleicht fehlt mir hier auch einfach nur das Vorstellungsvermögen. Vielleicht kann mich hier aber mal jemand bei Gelegenheit erhellen.

Merkwürdigerweise ist Deutschland das einzige Land, in dem die Diskussion so geführt wird. In den USA zum Beispiel wird “America Army” als Killerspiel sogar von der Armee instrumentalisiert, um zukünftige Krieger zu rekrutieren. Nicht, dass das besonders unterstützenswert ist, aber es zeugt eben von einer anderen Vorstellung, mit vorhandenen Chancen umzugehen. Die jungen Leute werden verstanden als Personen mit besonderen Fähigkeiten, auch wenn es bei dem Beispiel um eine Fähigkeit geht, die in einer Zivilgesellschaft komplett unerwünscht ist.

Jedenfalls sind sicher weder das Internet noch die Killerspiele der Grund, warum die Gewalt zunimmt (wenn das überhaupt wirklich so ist, was ich etwas bezweifle), und eine Sperre in dem Bereich noch weniger bewirken kann als bei Kinderpornoschutzblenden, zumal man hier eigentlich niemanden hat, den man kriminalisieren kann. Aber ich sehe auch nicht, dass da auch nur ein einziges sinnvolles Konzept existiert, um zu einer Politik der langfristigen Ziele zu finden, ja ich sehe nicht mal, dass überhaupt einigermassen genau definiert ist, was man denn dieses Ziel gesellschaftlich sein soll. Um die Kleinsten zu schützen gibt es für jedes existierende Betriebssystem mittlerweile zumindest Filtermöglichkeiten, auch wenn das im Detail ganz schön bescheuert mit diesen Filtern funktioniert. Denn anders als bei kulturellen Gütern der Vergangenheit von der Sendung mit der Maus vielleicht einmal abgesehen keinen Kanon im Internet gibt, weil sich die Dinge, die man gesehen haben sollte, einer ständigen Veränderung unterziehen und je nach Geschmack unterschiedlicher kaum sein könnten.

Nachdem ich nun fast ein Jahr nicht gebloggt habe ist es an der Zeit, mich doch mal wieder zu äussern. Die Ereignisse der letzten Wochen und Monate und nicht zuletzt die Abstimmung im Bundestag zum Zugangserschwerungsgesetz haben dafür gesorgt, dass sich viel angestaut hat. Das Gute an der ganzen Geschichte ist sicherlich, dass die Sprachlosigkeit und Resignation langsam einem “okay, ihr wollt es nicht anders” weicht. Was wir grade erleben ist vermutlich eine Art Morgendämmerung der deutschen “Internet-Community” - die absurderweise im Gegensatz zu den USA, Iran oder China nicht nur keine Rolle spielt, sondern hier ne Menge Verachtung findet. Aber selbst Leute, die sich früher eher unpolitisch bzw. politisch desinteressiert gezeigt haben, tun ihrem Unmut kund und fangen an, alle (vor allem kreativen) Register zu ziehen.

Wir alle haben im letzten Jahrzehnt verfolgt, was durch die Nutzung des Internets passiert ist. Während sich neue Geschäftsmodelle und erfolgreiche Dienste mit keinem oder krudem Geschäftmodell entwickelten, ist die Politik in Deutschland zu dem Thema trotz aller Lippenbekenntnisse stehen geblieben. Alle möglichen Lobbyverbände und Sicherheitswahnis planzten Politikern vor allem die Idee der Gefahr ein, die durch vermeintliche Raubkopierkillerterroristen aus dem Internet für die innere Sicherheit und die ohnehin kaputten Geschäftsmodelle entsteht. Die einzige Reaktion der Politik folgt der alten CDU-Maxime “Keine Experimente”, was sich letztendlich auch wieder in den aktuellen Wahlaussagen der grossen Parteien widerspiegelt. In Zeiten derartig einschneidender Veränderungen für unsere Gesellschaft und Ökonomie ist das die exakt falscheste Antwort, die es geben kann — es muss genau das Gegenteil passieren, um im digitalen Zeitalter anzukommen, die Krise zu überwinden und den Bürgern den Frust zu nehmen. Aber bei Politikern, die weder wissen was ein Browser ist noch eine Vorstellung davon haben, was das Internet neben Bombenbauanleitungen, Missbrauchsbildern und Shoppingangeboten darstellt, ist das nicht so richtig verwunderlich.

Während der letzten Monate ist mir irgendwann noch mal bewusst geworden, dass das Ende der Bonner Republik nicht nur das Ende des beschaulichen Miteinanders zwischen Politikern und der Presse bedeutete, sondern sich die deutsche Politik als Ganzes verändert hat, nicht zuletzt auch durch Dinge, die nicht mehr so richtig in ihrer Kontrolle lag. Es gibt mittlerweile eine viel stärkere Bestrebungen nach Kontrolle der Politiker und der politischen Prozesse, nicht nur in Deutschland. Der Wunsch der Bürger, mit ihren Volksvertretern in direktere Kommunikation über das Internet zu treten, hat mittlerweile, nicht zuletzt durch Abgeordnetenwatch, Twitter und Web2.0-Dienste, bemerkenswerte Dimensionen erreicht, die Politiker teilweise ziemlich unter Druck setzt und sie zu viel klareren Aussagen hinreisst als die, die in der Presse zu finden sind. Die Zeit, in der Politiker hemmungslos lügen können, ohne das man ihnen leicht auf die Schliche kommt sind schlicht vorbei.

Die offensichtliche Spaltung der Gesellschaft in die, die Internet benutzen und die, die es, wenn überhaupt, ausdrucken, wird uns in jedem Fall noch sehr lange beschäftigen. Fatal ist allerdings, dass vor allem die Koalition in den letzten Jahren viele Fehler gemacht haben, die sich noch jahrelang negativ auf die Gesellschaft auswirken werden — wohl vor allem, weil sie die Tragweite der Entscheidungen nicht absehen konnten oder wollten und vermutlich auch schlecht von Leuten beraten wurden, die zu allererst einmal kommerzielle Interessen und nicht die qualifizierte Entwicklung der Gesellschaft im Auge haben. Als Ergebnis hat es diese Koalition wie keine andere geschafft, nachhaltiges Misstrauen der Bürger gegenüber dem Staat zu erzeugen. Die Arroganz, in der das stattfindet, hat sich nicht zuletzt bei Diskussion und die Entscheidung zum Zugangserschwerungsgesetz gezeigt.

Informationstechnologie kann sehr komplex werden und braucht vor allem drei Dinge: Kompetenz, Vertrauen und Sicherheit. Das ist aber nichts, was man innerhalb kurzer Zeit mal eben schnellschnell entwickeln oder einfach so beschliessen kann. Diese Dinge brauchen Zeit, und jeder, der mal in komplexeren IT-Projekten involviert war, kennt das Problem. Es passiert aber praktisch genau das Gegenteil: In den Schulen sind die Schüler in grossen Teilen ihren Lehrern überlegen im Umgang mit Computern und Internet und die Weiterbildungsmöglichkeiten für Lehrkräfte sind der totale Witz. Die Ausbildung und Ausstattung von Polizisten, die Internet-relevante Aufgaben erledigen sollen, ist lächerlich und erzeugt bei IT-Pros in der Regel nur ehrliches, tiefes Mitleid. Die Diskussion, die das BSI, das als einzig technisch kompetente Stelle des Staates und als einer der wenigen neutralen Ansprechpartner für Bürger und KMU in Sachen IT fungiert, dazu bringen soll, technische Unterstützung für Geheimdienste und BKA zu leisten und zu helfen, den Bürgern auf die Festplatte und in die Kommunikation zu gucken, ist nicht grade das, was Vertrauen in die IT vergrössert hat. Für E-Government ist aber genau das nötig — nicht nur für Projekte wie Internetwachen und Stadtportale. Der zwar nett anmutende Versuch, Petitionen übers Internet zu ermöglichen und Streaming von Bundestagssitzungen zu ermöglichen ist bei genauerer Betrachtung kaum mehr als hilfloses Stümperwerk — und das im Jahr 2009. Die Projekte, deren Planung ich so kenne, sind teilweise so jämmerlich, dass ich heulen könnte ob der Verschwendung von Steuergeldern. Das letzte Glanzstück ist, den Bundesbeauftragten für Datenschutz und Informationsfreiheit mit der Bildung einer Kommission zur Prüfung der BKA-Sperrlisten zu beauftragen. Nicht nur, dass die Art und Weise unverschämt war, wie mit Schaar und seinem Amt verfahren wurde (Dörmann hat eine derartige Respektlosigkeit gezeigt, die mich sprachlos machte). Schaars Funktion ist die letzte im Bereich IT und Staat, die noch einigermassen Vertrauen (wenn auch keine Macht) benoß, und nun auf eine gradezu perverse Art ins Gegenteil verkehrt wurde.

Zurück zur Debatte zum Zugangserschwerungsgesetz: Dort wurden einige aus meiner Sicht richtige und wichtige Fragen angerissen. So sagte Frau Krogmann, dass die Politik es versäumt hat, die Diskussionen zu führen, was der Staat im Netz darf und wie er sich einbringen muss. Es mag sein, dass diese Diskussion bei den Volksvertretern nicht erfolgt ist — an anderen Stellen, z.B. bei den jährlichen Veranstaltungen von CCC oder anderen Organisationen und diversen Pressepublikationen war und ist das sehr wohl ein grosses und vieldiskutiertes Thema. Aber es mutet schon bösartig an, diese angebliche Diskussion innerhalb von 3 Monaten genauso wenig zu führen und dann einfach eine Entscheidung zu fällen, die, im Detail betrachtet, nicht nur bürger- und verfassungsrechtliche Probleme schafft, sondern sogar ganz praktische. So sagte Frau Krogmann, es ginge auch darum, Nicht-Spezialisten davor zu bewahren, aus Versehen auf Links in Spammails oder auf Webseiten zu klicken. Ich frage mich aber ernsthaft, was mit genau diesen Leuten passiert, wenn sie auf Seiten kommen, die vorgeben, eine Stoppseite zu sein und eine Meldung der Art erscheint: “Sie haben versucht, auf eine Seite zuzugreifen, die Kinderpornographie beinhaltet. Wenn Sie einer Strafverfolgung und Hausdurchsuchung entgehen wollen, überweisen Sie bitte an das BKA unter folgendem Konto $$$”. Das heisst natürlich nicht unbedingt in allen Fällen, dass die Leute dann Geld überweisen. Aber das Misstrauen und die Irritation, die so erzeugt werden, wird sorgen dafür, dass eine sinnvolle Nutzung von Informationstechnologie genau dieser Leute über kurz oder lang auf der Strecke bleiben wird und sie zu internet-technischen Krüppeln erzogen werden. Ich möchte auch sehen, wie das BKA mit dieser Art von Phishing umgeht, wenn die technische Antwort in der Aufnahme dieser Seiten in eine Sperrliste besteht.

Eine Aussage von Frau Krogmann hat mich schlicht sprachlos gemacht: “Ich kann die Sorgen vor Zensurinfrastruktur verstehen. Diese Befürchtungen sind auch nicht grundlos”. Was wollte sie den Zuhörern eigentlich damit genau sagen? Das die Politik das auch so sieht? Das wir uns deswegen keine Sorgen machen müssen? Oder eben doch? So richtig relativiert hat sich diese Aussage nämlich nicht. Eine andere Aussage hingegen hat mich einfach nur sehr geärgert: “Ich wünsche mir, dass sich die Internetcommunity hier nicht verweigert hätte.”. Entschuldigen Sie Frau Krogmann, wenn die “Internet-Community” eins gemacht hat, so sind es Wege, wie mit diesem Problem besser verfahren werden kann. Ich persönlich habe selten eine derart breite und konstruktive Auseinandersetzung mit einem in der Tat unbequemen und schwierigen Thema in Blogs erlebt wie bei dieser Diskussion. Und wenn das BKA damit Schwierigkeiten hat, ISPs ausfindig zu machen, so kann es sich gerne bei den Perl-Skripten bedienen, die es mittlerweile zuhauf im Netz gibt, um vollautomatisiert nicht nur diese Dinge herauszufinden, sondern gleich noch Abusemails zu schicken.

Während der Aussprache gab es noch etwas Bemerkenswertes. Da in diesem Augenblick Audio und Video des Parlament TV asynchron war, kann ich nicht sagen, wer das von sich gegeben hat (ich weiss nur, es war eine Frau) und an wen es gerichtet war. Die Aussage war in etwa “Wer sagt ihnen, wie das Ergebnis der Sperren nach 2 Jahren aussieht?”. Man muss kein Hellseher sein, um das vorauszusagen. Vor allem die Hackercommunity beschäftigt sich seit Jahren mit dem Thema Zensur und Sperrung im Netz sowie der Umgehung, Erkennung von Umgehung, Erkennung dieser Erkennung usw. Die Antwort ist: Es funktioniert nicht, weil die Leute, die auf die Sperrseiten kommen, entweder mehr oder weniger subtil reingelegt wurden (das Thema CSRF und ungewollte Redirects wird jetzt hier nicht diskutiert, keine Angst) oder einfach mal gucken wollten, wie so eine Sperrseite denn nun in freier Wildbahn wirklich aussieht (was nach einer geheisten, geslashdotteten oder gediggten gesperrten Seite sicher zu der Jubelpersermeldung führen wird, man hätte erfolgreich Millionen von Zugriffen auf strafrechtlich relevantes Material geblockt).

Interessant in der ganzen Entwicklung sind ein paar Dinge, die die grossen Parteien betreffen, z.B. dass die CDU zwar die Partei gewesen ist, die das Gesetz ins Spiel gebracht hat und dafür sicher auch Verluste grade bei Jung- und Erstwählern hinnehmen wird, aber die SPD wird dafür sehr viel mehr bluten. Ich finde das aber in Ordnung, wenn eine Partei den Fehler begeht, so jemanden wir Dörmann zum medienpolitischen Sprecher zu machen. Die SPD wird sich bei den Wahlen sowie den Mitgliederzahlen vermutlich gesundschrumpfen wird auf sich auf sowas wie 15% einpegeln, bei den jungen Wählern vermutlich noch weniger. Was wir gesehen haben war der endgültige Beginn von Ende dessen, was man früher “Volksparteien” nannte. Und das finde ich gut so, auch wenn es natürlich einige Gefahren mit sich bringen könnte.

Nicht, dass ich glaube, die Piratenpartei wird dauerhaft eine wichtige politische Rolle spielen, aber sie wird es über die Zensurdebatte hinaus noch eine Weile, selbst wenn Köhler das Gesetz nicht unterschreibt und so ein wenig von dem Spin verloren geht. Aber das ist auch vollkommen egal. Es gibt noch so viele Themen, bei denen keine der etablierten Parteien eine ehrliche und glaubwürdige Aussage trifft, von der “Killerspiel”-Diskussion, die mal schlicht mehrere Millionen Menschen zu potenziellen Massenmördern verunglimpft, der Diskussion um den Bundestrojaner, Vorratsdatenspeicherung, der Aushöhlung des Datenschutzes usw. Der GAU der Demokratie durch die Einführung einer Zensurinfrastruktur und der unsäglichen Diskussion über die Verträge der Provider mit dem BKA hat aber gezeigt, was passieren kann, wenn sich die Politik so sehr von ihrer eigenen Manipulation in die Irre führen lässt und derartig laute Wortmeldungen auf breiter Basis ignoriert. Und das, was die Piratenpartei ist, ist schlicht ein Sammelbecken der Leute, die von den etablierten Parteien und ihrer Klientel aus den Industrieverbänden und Sicherheitsfanatiker die Schnauze voll haben — und das, ohne politisch besonders radikal zu sein.

Die Piratenpartei wird in den nächsten Wochen alle möglichen Anfeindungen zu spüren bekommen: “Pädopartei, Links- oder wahlweise Rechtsradikale, Stümper, Illusionisten, Hobbyisten, Spinner, Raubkopierer”. Vermutlich wird auch der Verfassungsschutz auf den Plan treten (alles andere wäre eine echte Überraschung). Neben Tauss werden auch andere Parteimitglieder und Kandiaten rausgepickt und in der Presse fertig gemacht — das wird man nicht verhindern können, denn politische Ränkespiele sind das Geschäft von CDU/SPD, der Bild und den anderen, die um Einfluss und Posten fürchten. Aber jeder Angriff wird genau das Gegenteil bewirken, und umso schlimmer und fieser die Anfeindungen, umso stärker wird diese Partei werden, denn die Leute, die nicht so dumm und alt sind wie beispielsweise das Stammwählerpotenzial der CDU, wissen das sehr genau zu deuten und werden wohl solche Anfeindungen eher als Grundlage für witzige Tanspis, Flyer oder andere Accessoires benutzen.

Die Piraten sind wohl die im Moment die einzige Partei, deren Programm man tatsächlich versteht (kein Wunder, passt ja auch auf eine Visitenkarte), und bei der man sehr genau sagen kann, wofür sie steht. Sie wird zudem im Gegensatz zu den anderen Parteien einen inhaltlich glaubwürdigen und sehr kreativen Wahlkampf hinlegen, der vermutlich sehr viele witzige Aspekte zu Tage fördert. Es wird wohl nicht zu den 5% reichen, aber, das ist nicht wirklich wichtig. Denn wenn sich die Kernforderungen dieser Partei irgendwo in zukünftiger Politik wieder finden ist genau das erreicht, was den Ziele dieser Partei entspricht. Es geht nicht um Macht, es geht um Veränderung. Wird es diese Änderungen nicht geben, werden Piraten die Etablierten weiter vor sich hertreiben, je nach weiteren Entscheidungen mit mehr oder weniger Power, denn das hat die politische Morgendämmerung der Netizen gezeigt: Das Internet wird auch in Deutschland zum wichtigsten Medium für politischen Protest, genau wie das in repressiven Ländern ist.

Ich bin in den Tagen nach dem Beschluss zum Zugangserschwerungsgesetzes in die Piratenpartei eingetreten und freue mich vor sehr auf den Wahlkampf zur Bundestagswahl im September — das erste Mal in meinen 23 Jahren als wahlberechtigter Bürger der Bundesrepublik Deutschland, dem es immer total fern lag, sich in irgendwelchen Parteien zu engagieren. Nicht, dass man in diese Partei eintreten muss, um sie zu unterstützen — was ja auch so ein Aspekt ist, den ich sehr schätze. Aber ich wurde dazu genötigt meine ganze Kraft noch stärker zu konzentrieren, die Weichenstellungen in der Netzpolitik der nächsten Jahre in dem Sinne zu unterstützen, dass in diesem Land eine wirklich qualifizierte Diskussion auf allen Ebenen geführt wird und entsprechende Entscheidungen auf den Weg gebracht werden. Naiv? Vielleicht. Aber ich bin nicht bereit, meine Zukunft und die meiner Kinder allein Regierenden zu überlassen, die nicht verstehen, was sie in dem Bereich anrichten und unterlassen. Ich bin nicht mehr bereit, die deutschen Politiker mit plakativer aber wertloser Scheinpolitik davon kommen zu lassen.

Ich weiss, dass ich noch viel lernen muss. Aber diese Zeit werde ich mir nehmen, getreu dem letzten Satz, den Tauss als Abgeordneter der SPD im Deutschen Bundestages zum Besten gab: “Nie kämpft es sich schlecht für Freiheit und Recht.”

We just published the so-called “Fahrplan” for 25C3. Take a look.

Next week I will stay in Vienna to join Deepsec. Last year the conference was just amazing and I’m also looking forward to visit Metalab, one of my favorite hacker spaces. BeF and me will have a talk about ActionScript 3 obfuscation/de-obfuscation and other fun stuff with byte code. BeF released a new version of erlswf which is capable of disassembling AS3 and returning this disassembly as JSON. If you are interesting in those things you should check it out. BeF will hopefully blog about erlswf in detail (hinthint :)

During the last weeks I was one of the persons who looked through all the submissions (nearly 300!) for the 25C3. I was also involved into the decisions what talks will take place. I won’t tell much, but I think it will be interesting and much more focussed on technical topics rather than meta-blabla like the last years. BeF and me are going to speak about Flash stuff at 25C3 as well and we will also release a paper for the conference proceedings.

In November I will be at OWASP Germany 2008 in Frankfurt and talk about RIA security. I’m still not 100% sure what I will exactly talk about, but I think I will focus on difficulties one has to face when auditing complex RIA applications. Most people already know that I’m not a big fan of OWASP since it’s much to much vendor centric in my point of view (but, well, I don’t like to start a big rant here right now). Anyways, I’m looking forward to meet Alexios from n.runs and Martin at the conference.

Last month Stefan and me founded CGNSec. The idea is to meet security people and researchers from the Cologne/Bonn area to talk about unfinished ideas and projects as well as having some beers. Yesterday there was the second meeting and it was real fun. There were even some EZB guys from Frankfurt and we had some interesting conversations. I hope we will have some presentations from time to time, since there are quite some people with interesting stuff. I also hope that the MWCollect guys from Bonn are joining us next time.

Some personal notes: I got engaged with my girlfriend. Since she’ll go to Hamburg beginning of next year to join Henri Nannen Journalist School I will probably leave the Rhineland in between the next two years (well, not before she will finish). I really feel sad somehow, since I feel home here. But after her studies she will probably not coming back, so I will follow her sooner or later.

I joined a carnival society some months ago called “Beueler Stadtsoldaten”. The Rhenish Carneval is starting in a couple of days and I will have quite a couple of events where I will do some dancing (nothing to complicate really) - and I’m thinking about starting a blog or Soup where I like write about some experiences, post some photos and tell about all the dirty little things happen there. I will probably announce it using my Twitter account.

Last but not least a little advertising: End of November the book of Mario Heiderich, Christian Matthies, Johannes Dahse and me will be published by Galileo Press. It’s in German and it calls “Sichere Webanwendungen” (secure web applications). I was only responsible for everything related to Flash, so most of the work was done by the others. The nice thing is that it will be published only using my nick, not my real name :)

The next couple of weeks I’m going to speak at some interesting and completely different events. Next week I will be at re:publica in Berlin doing a tunneling workshop. Last year there was a screen at the entrance of re:publica showing the output of dnsniff. Some people got very pissed because of their passwords turning up in full HD quality. So Markus had the idea of this workshop and asked to do that in order to give the attendees a possibility to protect themself. The re:publica is going to be very big this year (800 attendees all together as far as I know) and a lot of old friends will show up I haven’t seen in a while.

The next event I’m going to visit is Bluehat v7 in Seattle. I’ve never been to the States before, so I’m really excited going there - especially because Microsoft is the reason which I still find very weird. I’ll give a presentation together with Manuel Caballero about Silverlight and how it compares to Adobe Flash security-wise. Only a few of the speakers of Bluehat are already known to me. Beside Lieutenant Dan and kuza55 I’m looking forward to got to know Sowhat. We tried to invite him to one of the past Chaos Communication Congresses but it was far more complicate than we thought because of problems with the visa. I’m also looking forward to got to know Billy Rios. I guess he and Nitesh will talk about Phishing.

In May I’ll be at PH-Neutral and give a presentation together with BeF entitled “SWF and the Malware Tragedy”. The talk is about static analysis of SWF bytecode and we hopefully have some more time to look into less known SWF bytecode obfuscation techniques. BeF and me also wrote a paper with the same title which is mainly about using Erlang programming language based erlswf for SWF bytecode analysis.

LSO, also known as Flash Cookies or Flash Shared Objects, are somewhat nasty: There are persistent across browsers, don’t get deleted on browser exit nor is there an obvious way for viewing and managing them. One possibility is to use NoScript, disable Flash entirely or disable read/write access to the directories where they get stored is another. But I personally find it interesting to see what sites are actually using those cookies for tracking. So a good solution for this specific issue would something to take back control and have an overview over those sites without giving them access to LSOs.

There is one simple solution and it is even supplied by Adobe itself: The Flash Player Settings Manager. It’s actually a Flash movie which is able to access the file system and store the settings.

I know, it is weird that it resides on Adobes website and it is far from being perfect at all since it would be much nice to have a real interface to it.

This week my workmate Stefan and me are going to join Deepsec, an “in-depth security conference” in Vienna. Deepsec looks very promising to me since there are a lot of talks I like to attend to, like the talks from Halvar Flake, Dave Aitel, Martin Johns, Alexander Kornbrust, David Litchfield or from Melanie Rieback. I will also give a talk, once again on Adobe Flash Security.

Beside the conference there will be another nice great event in Vienna called Roböxotica, a festival for cocktail robotics. I am also looking forward to visit Metalab and meet some friends.

Last but not least we will visit Figlmüller to eat Wiener Schnitzel :)

I just want to remind you guys to submit your lecture puroposal for the upcoming 24C3 in between the next 3 days :)

TecChannel filed a charge against German BSI. BSI stands for “Bundesamt für Sicherheit in der Informationstechnik” (Federal Office for Information Security) and they are the central IT security service provider for the German government. The reason for the charge is BSIs distribution of BOSS (BSI OSS Security Suite), which is basically a Live CD containing Open Source security tools such as Nessus and John the Ripper.

It will be interesting to see what happens.

A couple of days ago we had a nice discussion at Netzladen about all the politicians deciding about IT-related topics without using computers themself. Thomas from the FAU came up with this little analogy:

Those politicians are just like racists: They fear what they don’t know.

Very good point!

A while ago Michael Kubert offered to host so-called “hacker tools” and prepares a self-accusation of delicts forbidden by 202c StGB to see what happens. He posted his offer in the comments of Stefan article about taking down MOPB exploits. Now he prepared a simple password cracking bruteforce tool himself and offered it for download. His self-accusation happend beginning that week at the local prosecution authority Mannheim. He is very confident that nothing will happen.

Although I think it’s one way to get some information regarding that shitty paragraph, I don’t think it will really help very much. In my point of view the worst thing is not 202c itself but its connection to 303b regarding “computer sabotage” which points to 129a “forming of a terrorist organization”. As I mentioned several times, I’m quite sure that no one will ever go to jail for 202c. It’s more likely that it 202c will be used to have a more easy way to do house searches, hoping to find something interesting.

129a for example is also such weird paragraph: No one was ever convicted by that one, but it was (and still is) heavily used for starting investigations against groups and individuals. The “benefit” is mainly, that a different police is doing this investigation, so it’s much more intensive than the usual investigation regarding “normal” criminals.

Anyways, we’ll see what will happen.

A “funny” side note: The German Minister of Interal Affairs, Wolfgang Schäuble, gave an interview to the newspaper [Tagespiegel][tagespiegel], where is talking about the internet as “the universal plattform of the holy war against the western world” and that the internet “is not only for communication but also advertising, university, training camp and think tank for terrorists”. The most interesting part of it is that the German government is preparing a law for accusing people being trained in terrorist training camps. So it seems that everybody using the internet obviously participated at such camp in one way or another.

This could be really funny, but, well, in fact it’s not.

After Phenoelit, Stefan Esser and Kismac also THC surrenders. I doubt that this was the last group moving their resources away from Germany.

By the way: Jan Münther of n.runs clarified the things in a post on FD regarding the discussion about the Sophos Antivirus UPX parsing vulnerability. He also stated very clearly what most security people in Germany think:

As of the recent German “anti-hacking-tool laws” - these really bug everyone around here. The biggest problem is the fuzziness of the actual punishable acts: The law implies that the “criminal energy” is basically contained within the tools themselves, which of course is an absurd thought that only someone with zero contact with the actual subject matter can come up with. However, due to these new rules nobody around here knows what the real deal is - is having nmap on your box dangerous now? Is having ping and telnet dangerous? What about metasploit, CANVAS or CORE Impact, or god beware, own exploits, possibly 0days?

202c just sucks balls.

Steven M. Christey from MITRE gave a good example on Bugtraq mailing list where the new “anti hacker laws” in Germany regarding publishing of exploits are back firing badly. Here’s his full posting:

Subject: n.runs, Sophos, German laws, and customer safety

The n.runs-SA-2007.027 advisory claims code execution through a UPX file. This claim is inconsistent with the vendor’s statement that it’s only a “theoretical” DoS:

   http://www.sophos.com/support/knowledgebase/article/28407.html

   ”A corrupt UPX file causes the virus engine to crash and Sophos
   Anti-Virus to return ‘unrecoverable error. leading to scanning being
   terminated. It should not be a security threat although repeated
   files could cause a denial of service.”

It is unfortunate that Germany’s legal landscape prevents n.runs from providing conclusive evidence of their claim. This directly affects Sophos customers who want to know whether it’s “just a DoS” or not. Many in the research community know about n.runs and might believe their claim, but the typical customer does not know who they are (which is one reason why I think the Pwnies were a good idea). So, many customers would be more likely to believe the vendor. If the n.runs claim is true, then many customers might be less protected than they would if German laws did not have the chilling effect they are demonstrating.

It should be noted that in 2000, a veritable Who’s Who of computer security - including Bruce Schneier, Gene Spafford, Matt Bishop, Elias Levy, Alan Paller, and other well-known security professionals - published a statement of concern about the Council of Europe draft treaty on Crime in Cyberspace, which I believe was the predecessor to the legal changes that have been happening in Germany:

http://homes.cerias.purdue.edu/~spaf/coe/TREATY_LETTER.html

Amongst many other things, this letter said:

   ”Signatory states passing legislation to implement the treaty may
   endanger the security of their computer systems, because computer
   users in those countries will not be able to adequately protect
   their computer systems… legislation that criminalizes security
   software development, distribution, and use is counter to that goal,
   as it would adversely impact security practitioners, researchers,
   and educators.”

If I recall correctly, we were assured by representatives that such an outcome would not occur.

- Steve

Thanks to Steve for pointing it out.

The new location of “The Turkey Curse” is http://blog.fukami.io. All requests to the old location are redirected.

Tinic Uro, an engineer at Adobe working on the Flash Player, blogged about the announcement that Adobe will support H.264 and AAC with the Flash Player.

Reading the blog post, I was very upset reading this part at the end of the article:

I am not in a position able to explain to you why we will not allow 3rd party streaming servers to stream H.264 video or AAC audio into the Flash Player. What I can tell you is that we do not allow this without proper licensing. Refer to Adobe’s friendly Flash Media Server sales staff for more information.

Someone on the OSFlash mailing list came up with the entry in Wikipedia regarding H.264:

Conversely, shipping a product in the U.S. which includes an LGPL H. 264 decoder/encoder would be in violation of the software license of the codec implementation. In simple terms, the LGPL and GPL licenses require that any rights held in conjunction with distributing and using the code also apply to anyone receiving the code, and no further restrictions are put on distribution or use. If there is a requirement for a patent license to be sought, this is a clear violation of both the GPL and LGPL terms. Thus, the right to distribute patent-encumbered code under those licenses as part of the product is revoked per the terms of the GPL and LGPL.

But a server isn’t encoding/decoding anything, just streaming. More interesting, there is an announcement of the MPEG LA back from 2003:

Decoder-Encoder Royalties

• Royalties to be paid by end product manufacturers for an encoder, a decoder or both (”unit”) begin at US $0.20 per unit after the first 100,000 units each year. There are no royalties on the first 100,000 units each year. Above 5 million units per year, the royalty is US $0.10 per unit.
• The maximum royalty for these rights payable by an Enterprise (company and greater than 50% owned subsidiaries) is $3.5 million per year in 2005-2006, $4.25 million per year in 2007-08 and $5 million per year in 2009-10.
• In addition, in recognition of existing distribution channels, under certain circumstances an Enterprise selling decoders or encoders both (i) as end products under its own brand name to end users for use in personal computers and (ii) for incorporation under its brand name into personal computers sold to end users by other licensees, also may pay royalties on behalf of the other licensees for the decoder and encoder products incorporated in (ii) limited to $10.5 million per year in 2005-2006, $11 million per year in 2007-2008 and $11.5 million per year in 2009-2010.
• The initial term of the license is through December 31, 2010. To encourage early market adoption and start-up, the License will provide a grace period in which no royalties will be payable on decoders and encoders sold before January 1, 2005.

Participation Fees

• Title-by-Title – For AVC video (either on physical media or ordered and paid for on title-by-title basis, e.g., PPV, VOD, or digital download, where viewer determines titles to be viewed or number of viewable titles are otherwise limited), there are no royalties up to 12 minutes in length. For AVC video greater than 12 minutes in length, royalties are the lower of (a) 2% of the price paid to the licensee from licensee’s first arms length sale or (b) $0.02 per title. Categories of licensees include (i) replicators of physical media, and (ii) service/content providers (e.g., cable, satellite, video DSL, internet and mobile) of VOD, PPV and electronic downloads to end users.
• Subscription – For AVC video provided on a subscription basis (not ordered title-by-title), no royalties are payable by a system (satellite, internet, local mobile or local cable franchise) consisting of 100,000 or fewer subscribers in a year. For systems with greater than 100,000 AVC video subscribers, the annual participation fee is $25,000 per year up to 250,000 subscribers, $50,000 per year for greater than 250,000 AVC video subscribers up to 500,000 subscribers, $75,000 per year for greater than 500,000 AVC video subscribers up to 1,000,000 subscribers, and $100,000 per year for greater than 1,000,000 AVC video subscribers.
• Over-the-air free broadcast – There are no royalties for over-the-air free broadcast AVC video to markets of 100,000 or fewer households. For over-the-air free broadcast AVC video to markets of greater than 100,000 households, royalties are $10,000 per year per local market service (by a transmitter or transmitter simultaneously with repeaters, e.g., multiple transmitters serving one station).
• Internet broadcast (non-subscription, not title-by-title) – Since this market is still developing, no royalties will be payable for internet broadcast services (non-subscription, not title-by-title) during the initial term of the license (which runs through December 31, 2010) and then shall not exceed the over-the-air free broadcast TV encoding fee during the renewal term.
• The maximum royalty for Participation rights payable by an Enterprise (company and greater than 50% owned subsidiaries) is $3.5 million per year in 2006-2007, $4.25 million in 2008-09 and $5 million in 2010.
• As noted above, the initial term of the license is through December 31, 2010. To encourage early marketplace adoption and start-up, the License will provide for a grace period in which no Participation Fees will be payable for products or services sold before January 1, 2006.

So I don’t get why Adobe cares about OS media server. Isn’t it the problem of content providers?

The only thing I can think: Patents suck!