Linus Neumann

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Linus Neumann auf dem 30C3 in Hamburg (2013)

Linus Neumann (* 1983) ist ein deutscher Hacker und einer der Sprecher[1] des Chaos Computer Clubs (CCC). Der Diplom-Psychologe[2] lebt und arbeitet in Berlin. Bekannt ist er durch seine langjährige Autorenschaft beim Blog netzpolitik.org sowie den Podcast Logbuch:Netzpolitik, den er wöchentlich mit Tim Pritlove veröffentlicht. Ferner ist er Gründungsmitglied des Vereins Digitale Gesellschaft.[3] Für den CCC trat er mehrmals als Sachverständiger für IT-Sicherheit in Ausschüssen des Deutschen Bundestags auf.

IT-Sicherheit[Bearbeiten | Quelltext bearbeiten]

Hack der Bundestagswahl 2017[Bearbeiten | Quelltext bearbeiten]

Im September 2017, wenige Wochen vor der Bundestagswahl 2017, veröffentlichte das Wochenmagazin DIE ZEIT die Ergebnisse einer von Thorsten Schröder, Martin Tschirsich und Linus Neumann durchgeführten Analyse einer zur Erfassung und Auswertung der Bundestagswahl 2017 genutzten Software[4]. Vorangegangen waren Gerüchte, russische Hacker planten einen solchen Angriff. In einem vom Chaos Computer Club veröffentlichten Bericht attestierten die Hacker mehrere Angriffpfade zur Manipulation auf aggregierte und erfasste Wahldaten.[5]

Der Hersteller versuchte mit mehreren Updates, die Schwachstellen zu beseitigen. In einer weiteren Veröffentlichung des Chaos Computer Clubs wurden diese als ineffektiv, „unsinnig und nicht nachvollziehbar“ kritisiert.[6] Der Chaos Computer Club bot daher mit einer „Open Source Spende“ eine „Digitale Erste Hilfe“ an und bekräftigte damit die Forderung, von öffentlicher Hand bezahlte Software müsse auch öffentlich einsehbar und überprüfbar sein.

Der Hersteller stellte daraufhin die Bereitstellung von Updates für die Software ein. Die Bundestagswahl wurde in mehreren Bundesländern mithilfe der bemängelten Software durchgeführt.

IT-Sicherheitsgesetz[Bearbeiten | Quelltext bearbeiten]

Im Mai 2014 nahm er als Sachverständiger im Ausschuss Digitale Agenda des Deutschen Bundestags zu Fragen der IT-Sicherheit Stellung. In einem Grundsatzpapier[7] empfahl er die Qualitätssicherung von Open-Source-Software durch finanzielle Förderung von Auditierungen und Bug Bounties, sowie eine verstärkte Dezentralisierung von Sicherheitssystemen, für die eine Ende-zu-Ende-Verschlüsselung nicht mehr optional sei. Abschließend plädierte er für eine unabhängige und evidenzbasierte Sicherheitspolitik, bei der insbesondere grundrechtseinschränkende Maßnahmen hinsichtlich ihrer Wirkung evaluiert werden sollten.

Im April 2015 übte er als Sachverständiger im Innenausschuss des Deutschen Bundestages am resultierenden Gesetzesentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ausführliche Kritik. Insbesondere hob er hervor, dass keine Maßnahmen zum Schutz der Endnutzer ergriffen würden. Stattdessen werde deren Datenschutz noch weiter ausgehöhlt, indem Providern ein Freibrief zur Datenspeicherung ausgestellt werde. Dem Gesetz fehle das Potenzial, zu einer aktiven Erhöhung der IT-Sicherheit beizutragen. Stattdessen steigere es den Bürokratieaufwand, an dem aber in Unternehmen kein Mangel herrsche. Darüber hinaus führe das Vorschlagsrecht der Betreiber den gewünschten Effekt der geplanten, gesetzlich vorgeschriebenen „Sicherheitsstandards“ ad absurdum. Am Bundesamt für Sicherheit in der Informationstechnik (BSI) übte er grundsätzliche Kritik. Vorangegangen war die Enthüllung, dass die Behörde aktiv an der Entwicklung von Staatstrojanern – auch zum Einsatz gegen Deutsche Bundesbürger – beteiligt war.[8]

Das IT-Sicherheitsgesetz wurde im Juni 2015 vom Deutschen Bundestag unverändert beschlossen[9] und trat am 25. Juli 2015 in Kraft[10]

De-Mail[Bearbeiten | Quelltext bearbeiten]

Für den CCC war er 2013 als Sachverständiger für IT-Sicherheit im Innenausschuss[11] und im Rechtsausschuss[12] des Deutschen Bundestages tätig.[13]

In beiden Anhörungen kritisierte er das Absenken gesetzlich vorgeschriebener Sicherheitsniveaus für sensible Daten, um das De-Mail-Verfahren zulassen zu können. De-Mail selbst kritisierte er als ein System, dessen Sicherheit nicht seiner erhöhten Attraktivität als Angriffsziel entspricht. Dass es bis dato geltenden gesetzlichen Sicherheitsansprüchen nicht genügte, bestätige seine These. Seiner Kritik wurde medial mit ausführlicher Berichterstattung, seitens der Anbieter mit einer PR-Offensive[14] begegnet.

Die kritisierten Gesetze wurden wenige Zeit später vom Bundestag mit kleinen Änderungen beschlossen.

Mobilfunk[Bearbeiten | Quelltext bearbeiten]

Im Team des Sicherheitsforschers Karsten Nohl ist Neumann Projektleiter[15] der Initiative GSMmap.[16] Die Website informiert Nutzer weltweit über Schwächen von Mobilfunknetzen. Die Datenbasis dafür wird mit Hilfe von Open-Source-Software[17] mittels Crowdsourcing generiert.

Aufsehen erregte er im Herbst 2013, als er für ein TV-Team im Berliner Regierungsviertel das Abhören von Mobiltelefonen demonstrierte.[18] Vorangegangen war die Enthüllung, dass die US-Botschaft in Berlin als Stützpunkt für das Abhören des privaten Telefons von Angela Merkel diente.

E-Mail[Bearbeiten | Quelltext bearbeiten]

Im Dezember 2013 entdeckte er, dass Nachrichten des Verbundes E-Mail made in Germany entgegen den Aussagen der Anbieter weiterhin unverschlüsselt übertragen werden konnten, und warnte öffentlich davor.[19] Kurz darauf kündigten einige der Anbieter eine baldige Umstellung an. Allerdings hatte die Deutsche Telekom bereits in einer Pressemeldung vom August 2013 mitgeteilt, man wolle im Verbund E-Mail made in Germany ab Anfang 2014 aus Sicherheitsgründen konsequent nur noch SSL-verschlüsselte Mails transportieren.[20] Auf der Website der Initiative[21] sowie in Medienberichten[22] wurde ebenfalls darauf hingewiesen.

Die Umstellung erfolgte im April 2014.[23]

Algorithmen[Bearbeiten | Quelltext bearbeiten]

In einer Sachverständigenauskunft zum Entwurf des Gesetzes zur Modernisierung des Besteuerungsverfahrenswarnte er vor dem durch das Gesetz legalisierten Einsatz von Risikomanagementsystemen zur Identifikation von potenziellen Steuersündern nach ökonomischen Prinzipien. Diese könnten zu unbemerkten und sich schleichend verstärkende strukturelle Diskriminierungen oder „blinde Flecken“ im Prüfprozess[24] führen. Die von Neumann entwickelten Rahmenbedingungen für einen derartigen Einsatz flossen in einen Entschließungsantrag der Opposition ein, welcher jedoch abgelehnt wurde.

Aktivismus[Bearbeiten | Quelltext bearbeiten]

Netzneutralität[Bearbeiten | Quelltext bearbeiten]

Neumann ist Verfechter von Netzneutralität. Für diese bestritt er mit dem Verein Digitale Gesellschaft mehrere Kampagnen[25], zuletzt gegen die Pläne der Telekom die Verbindungen von DSL-Flatrates nach einem bestimmten Volumen zu drosseln (ohne dabei Telekom-eigene Dienste einzuschließen).[26] Unter anderem rief er Eigner von Telekom-Aktien dazu auf, ihr Stimmrecht dem CCC zu übertragen[27] und organisierte eine Plakat-Aktion am Hauptversammlungsgebäude.[28][1]

Medien-Guerilla[Bearbeiten | Quelltext bearbeiten]

Trotz einer Aufzeichnung[29] bestreitet Neumann, Anmelder der satirischen Pro-Guttenberg-Demonstration in Berlin gewesen zu sein, zu der sich die Hedonistische Internationale bekannte. Im gleichen Jahr berichtete er beim Chaos Communication Congress unter falschem Namen von der Aktion.[30]

In einem Artikel über die „Gratis-Bild“ des Axel-Springer-Verlags schilderte Neumann, wie man einen Widerspruch gegen die Zustellung mit maximalem Arbeitsaufwand für den Verlag verbinden könnte.[31] Seiner „Anleitung“ folgten viele Tausend Leser,[32] so dass zeitweilig das E-Mail-System des Verlags zusammenbrach. Der Verlag warf ihm das Auslösen einer Mailbombe vor.[32] Im Laufe der Ermittlungen stellte sich jedoch heraus, dass der Springer-Verlag nicht nur gegen das Datenschutzrecht verstoßen hatte, sondern auch nicht den Tatsachen entsprechende Behauptungen über Absprachen mit dem Landesdatenschutzbeauftragten getätigt hatte. Dies brachte wiederum dem Verlag ein Aufsichtsverfahren ein.[33]

Publikationen und Vorträge[Bearbeiten | Quelltext bearbeiten]

Netzpolitik.org[Bearbeiten | Quelltext bearbeiten]

Im August 2010[34] begann er, für das Blog netzpolitik.org zu schreiben und wurde kurz darauf zum ersten fest angestellten Redaktionsmitglied.

Logbuch:Netzpolitik[Bearbeiten | Quelltext bearbeiten]

Im Oktober 2011[35] startete er zusammen mit Tim Pritlove den Podcast „Logbuch:Netzpolitik“. In den für gewöhnlich ein- bis zweistündigen Beiträgen diskutiert er mit Tim Pritlove Themen der Netzpolitik insbesondere im deutschsprachigen Raum.[36] Der wöchentlich erscheinende Podcast finanziert sich über Spenden und feierte im April 2014 die 100. Folge mit Gast Hans-Christian Ströbele.[37]

Chaos Communication Congress[Bearbeiten | Quelltext bearbeiten]

  • Politik Hacken[30] auf dem 28. Chaos Communication Congress
  • Netzaktivisten! Ist das alles, was wir drauf haben?[38] auf dem 29. Chaos Communication Congress
  • Bullshit made in Germany[39] auf dem 30. Chaos Communication Congress
  • Jahresrückblick des CCC 2013[1] auf dem 30. Chaos Communication Congress
  • Jahresrückblick des CCC 2014[40] auf dem 31. Chaos Communication Congress
  • Jahresrückblick des CCC 2015[41] auf dem 32. Chaos Communication Congress
  • Jahresrückblick des CCC 2016[42] auf dem 33. Chaos Communication Congress

Chaos Communication Camp[Bearbeiten | Quelltext bearbeiten]

  • Politische Lösungen für technische Probleme? IT-Sicherheit per Gesetz[43] auf dem Chaos Communication Camp 2015

re:publica[Bearbeiten | Quelltext bearbeiten]

  • Die Trolldrossel: Erkenntnisse der empirischen Trollforschung[44] auf der re:publica 2013
  • On our fear and apathy towards smartphone attacks[45] auf der re:publica 2014

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b c 30C3: Jahresrückblick des CCC
  2. https://netzpolitik.org/author/linus/
  3. Mitgliederliste Digitale Gesellschaft e.V.
  4. Die Bundestagswahl kann manipuliert werden. DIE ZEIT Artikel von Kai Biermann und Holger Stark, 7. September 2017
  5. Analyse einer Wahlsoftware Bericht des Chaos Computer Clubs
  6. Open-Source-Spende: CCC schließt größte Schwachstelle in PC-Wahl Pressemitteilung des Chaos Computer Clubs
  7. Linus Neumann: Effektive IT-Sicherheit fördern. Chaos Computer Club
  8. Andre Meister: Geheime Kommunikation: BSI programmierte und arbeitete aktiv am Staatstrojaner, streitet aber Zusammenarbeit ab. In: netzpolitik.org
  9. Bundestag beschließt das IT-Sicherheitsgesetz. In: bundestag.de
  10. Stefan Krempl: IT-Sicherheitsgesetz tritt in Kraft. In: heise online
  11. Innenausschuss des Deutschen Bundestages, Protokoll der 100. Sitzung PDF-Datei
  12. Rechtsausschuss des Deutschen Bundestags Protokoll Nr. 123 PDF-Datei
  13. https://netzpolitik.org/2013/innenausschuss-des-bundestages-sachverstandige-zum-entwurf-des-e-government-gesetzes/
  14. https://www.heise.de/newsticker/meldung/Rechenzentrum-fuer-De-Mail-Besuch-im-Kaefig-1845273.html
  15. http://media.ccc.de/browse/congress/2013/30C3_-_5449_-_en_-_saal_1_-_201312271715_-_mobile_network_attack_evolution_-_karsten_nohl_-_luca_melette.html
  16. https://gsmmap.org
  17. https://opensource.srlabs.de
  18. stern TV Abhoertest: Lauschangriff im Zentrum der Macht. stern TV, 29. Oktober 2013, abgerufen am 9. Mai 2015.
  19. Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany" http://ccc.de/de/updates/2013/bullshit-made-in-germany
  20. Deutsche Telekom, WEB.DE und GMX starten Initiative "E-Mail made in Germany". Pressemitteilung der Deutschen Telekom vom 9. August 2013
  21. Website der Kampagne Initiative "E-Mail made in Germany" Verschlüsselung (Memento vom 12. August 2013 im Internet Archive)
  22. "E-Mail Made in Germany": SSL-Verschlüsselung für (fast) alle. In: heise.de, 9. August 2013
  23. T-Online, Freenet, Web.de und GMX.de: Deutsche E-Mail-Anbieter stellen auf Verschlüsselung um. In: spiegel.de
  24. Linus Neumann: Sachverständigenauskunft zum Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens. Deutscher Bundestag / Chaos Computer Club, 13. April 2016, abgerufen am 23. September 2016.
  25. Netzaktivisten! Ist das alles, was wir drauf haben?; Halbes Netz – Kampagne gegen Vodafone
  26. http://www.hilf-telekom.de/
  27. CR189 Das Ende der Flatrates http://chaosradio.ccc.de/cr189.html
  28. Offline demonstrieren gegen #Drosselkom-Pläne. In: netzpolitik.org
  29. Pro-Guttenberg-Solidaritätskundgebung https://www.youtube.com/watch?v=gD5rBF5HNAw
  30. a b 28C3 Vortrag "Politik Hacken"
  31. Gratis-Bild: Den Springer-Verlag effektiv zurücktrollen. In: netzpolitik.org
  32. a b https://www.lawblog.de/index.php/archives/2012/07/12/gratis-bild-springer-wirft-verweigerern-straftaten-vor/
  33. Berliner Datenschutzbeauftragte antwortet auf Axel-Springer-Mail. In: netzpolitik.org
  34. Die Bevölkerung hat ein Recht darauf zu erfahren,… In: netzpolitik.org
  35. Logbuch: Netzpolitik 001 "State of the Union"
  36. Logbuch:Netzpolitik Hintergrund
  37. LNP100 Gehört schon zum Establishment
  38. Netzaktivisten! Ist das alles, was wir drauf haben?
  39. Bullshit made in Germany
  40. Jahresrückblick des CCC 2014
  41. Jahresrückblick des CCC 2015
  42. Jahresrückblick des CCC 2016
  43. Politische Lösungen für technische Probleme? IT-Sicherheit per Gesetz
  44. Die Trolldrossel: Erkenntnisse der empirischen Trollforschung
  45. On our fear and apathy towards smartphone attacks. In: re-publica.de

Weblinks[Bearbeiten | Quelltext bearbeiten]

 Commons: Linus Neumann – Sammlung von Bildern, Videos und Audiodateien