Linus Neumann

Linus Neumann auf der Konferenz „Das ist Netzpolitik!“ (2019)

Linus Neumann (* 1983) ist Hacker, Berater für IT-Sicherheit und ein Sprecher[1] des Chaos Computer Clubs (CCC). Der Diplom-Psychologe[2] lebt und arbeitet in Berlin. Für den CCC tritt er regelmäßig als Sachverständiger für IT-Sicherheit in Ausschüssen des Deutschen Bundestags auf. Seit 2011[3] veröffentlicht er mit Tim Pritlove den wöchentlichen Podcast Logbuch:Netzpolitik. Trotz vielfältigem aktivistischen Engagement versteht er sich nicht als Netzaktivist.[4]

IT-Sicherheit

Software zur Erfassung von Wahlergebnissen (2017)

Im September 2017, wenige Wochen vor der Bundestagswahl 2017, veröffentlichte das Wochenmagazin Die Zeit die Ergebnisse einer von Thorsten Schröder, Martin Tschirsich und Linus Neumann durchgeführten Analyse einer zur Erfassung und Auswertung der Bundestagswahl 2017 genutzten Software.[5] Vorangegangen waren Gerüchte, russische Hacker planten einen solchen Angriff. In einem vom Chaos Computer Club veröffentlichten Bericht attestierten die Hacker mehrere Angriffpfade zur Manipulation auf aggregierte und erfasste Wahldaten.[6]

Der Hersteller versuchte mit mehreren Updates, die Schwachstellen zu beseitigen. In einer weiteren Veröffentlichung des Chaos Computer Clubs wurden diese als ineffektiv, „unsinnig und nicht nachvollziehbar“ kritisiert.[7] Der Chaos Computer Club bot daher mit einer „Open Source Spende“ eine „Digitale Erste Hilfe“ an[8] und bekräftigte damit die Forderung, von öffentlicher Hand bezahlte Software müsse auch öffentlich einsehbar und überprüfbar sein.[9]

Der Hersteller stellte daraufhin die Bereitstellung von Updates für die Software ein. Die Bundestagswahl wurde in mehreren Bundesländern mithilfe der bemängelten Software durchgeführt.

Bei den Landtagswahlen in Hessen im darauf folgenden Jahr 2018 kam es zu großflächigen Unregelmäßigkeiten und Ausfällen, für die das erfolgte Verbot des Einsatzes der bemängelten Software als Auslöser angeführt wurde.[10]

Erstes IT-Sicherheitsgesetz (2015)

Im Mai 2014 nahm Linus Neumann als Sachverständiger im Ausschuss Digitale Agenda des Deutschen Bundestags zu Fragen der IT-Sicherheit Stellung. In einem Grundsatzpapier[11] empfahl er die Qualitätssicherung von Open-Source-Software durch finanzielle Förderung von Auditierungen und Bug Bounties, sowie eine verstärkte Dezentralisierung von Sicherheitssystemen, für die eine Ende-zu-Ende-Verschlüsselung nicht mehr optional sei. Abschließend plädierte er für eine unabhängige und evidenzbasierte Sicherheitspolitik, bei der insbesondere grundrechtseinschränkende Maßnahmen hinsichtlich ihrer Wirkung evaluiert werden sollten.

Im April 2015 übte er als Sachverständiger im Innenausschuss des Deutschen Bundestages am resultierenden Gesetzesentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ausführliche Kritik. Insbesondere hob er hervor, dass keine Maßnahmen zum Schutz der Endnutzer ergriffen würden. Stattdessen werde deren Datenschutz noch weiter ausgehöhlt, indem Providern ein Freibrief zur Datenspeicherung ausgestellt werde. Dem Gesetz fehle das Potenzial, zu einer aktiven Erhöhung der IT-Sicherheit beizutragen. Stattdessen steigere es den Bürokratieaufwand, an dem aber in Unternehmen kein Mangel herrsche. Darüber hinaus führe das Vorschlagsrecht der Betreiber den gewünschten Effekt der geplanten, gesetzlich vorgeschriebenen „Sicherheitsstandards“ ad absurdum. Am Bundesamt für Sicherheit in der Informationstechnik (BSI) übte er grundsätzliche Kritik. Vorangegangen war die Enthüllung, dass die Behörde aktiv an der Entwicklung von Staatstrojanern – auch zum Einsatz gegen Deutsche Bundesbürger – beteiligt war.[12]

Das IT-Sicherheitsgesetz wurde im Juni 2015 vom Deutschen Bundestag unverändert beschlossen[13] und trat am 25. Juli 2015 in Kraft.[14]

IT-Sicherheitsgesetz 2.0 (2021)

Auch das zweite IT-Sicherheitsgesetz kritisierte Neumann als Sachverständiger im Innenausschuss des Deutschen Bundestags. Insbesondere hob er den "zweifelhaften Umgang mit Schwachstellen" hervor, warnte vor überbordenden Befugnissen zum Eingriff in IT-Systeme. Das „IT-Sicherheitskennzeichen“ bezeichnete er als "Ressourcenverschwendung" und kritisierte einen "falscher Fokus" auf sogenannte „Unternehmen im besonderen öffentlichen Interesse.“ Ausführlich kritisierte er das Konzept „nicht vertrauenswürdiger Anbieter.“

De-Mail

Im Jahre 2013 vertrat Linus Neumann als Sachverständiger für IT-Sicherheit den CCC im Innenausschuss[15] und im Rechtsausschuss[16] des Deutschen Bundestages.[17]

In beiden Anhörungen kritisierte er das Absenken gesetzlich vorgeschriebener Sicherheitsniveaus für sensible Daten, um das De-Mail-Verfahren zulassen zu können. De-Mail selbst kritisierte er als ein System, dessen Sicherheit nicht seiner erhöhten Attraktivität als Angriffsziel entspricht. Dass es bis dato geltenden gesetzlichen Sicherheitsansprüchen nicht genügte, bestätige seine These. Seiner Kritik wurde medial mit ausführlicher Berichterstattung, seitens der Anbieter mit einer PR-Offensive[18] begegnet.

Die kritisierten Gesetze wurden wenige Zeit später vom Bundestag mit kleinen Änderungen beschlossen.

Mobilfunk

Im Team des Sicherheitsforschers Karsten Nohl ist Neumann Projektleiter[19] der Initiative GSMmap.[20] Die Website informiert Nutzer weltweit über Schwächen von Mobilfunknetzen. Die Datenbasis dafür wird mit Hilfe von Open-Source-Software[21] mittels Crowdsourcing generiert.

Aufsehen erregte er im Herbst 2013, als er für ein TV-Team im Berliner Regierungsviertel das Abhören von Mobiltelefonen demonstrierte.[22] Vorangegangen war die Enthüllung, dass die US-Botschaft in Berlin als Stützpunkt für das Abhören des privaten Telefons von Angela Merkel diente.

E-Mail

Im Dezember 2013 entdeckte er, dass Nachrichten des Verbundes E-Mail made in Germany entgegen den Aussagen der Anbieter weiterhin unverschlüsselt übertragen werden konnten, und warnte öffentlich davor.[23] Kurz darauf kündigten einige der Anbieter eine baldige Umstellung an. Allerdings hatte die Deutsche Telekom bereits in einer Pressemeldung vom August 2013 mitgeteilt, man wolle im Verbund E-Mail made in Germany ab Anfang 2014 aus Sicherheitsgründen konsequent nur noch SSL-verschlüsselte Mails transportieren.[24] Auf der Website der Initiative[25] sowie in Medienberichten[26] wurde ebenfalls darauf hingewiesen.

Die Umstellung erfolgte im April 2014.[27]

Algorithmen

In einer Sachverständigenauskunft zum Entwurf des Gesetzes zur Modernisierung des Besteuerungsverfahrens warnte er vor dem durch das Gesetz legalisierten Einsatz von Risikomanagementsystemen zur Identifikation von potenziellen Steuersündern nach ökonomischen Prinzipien.[28] Diese könnten zu „unbemerkten und sich schleichend verstärkende strukturelle Diskriminierungen oder ‚blinde Flecken‘ im Prüfprozess“[29] führen. Die von Neumann entwickelten Rahmenbedingungen für einen derartigen Einsatz flossen in einen Entschließungsantrag der Opposition ein, welcher jedoch abgelehnt wurde.

Aktivismus

Netzneutralität

Neumann ist Verfechter von Netzneutralität. Für diese bestritt er mit dem Verein Digitale Gesellschaft mehrere Kampagnen,[30] zuletzt gegen die Pläne der Telekom die Verbindungen von DSL-Flatrates nach einem bestimmten Volumen zu drosseln (ohne dabei Telekom-eigene Dienste einzuschließen).[31] Unter anderem rief er Eigner von Telekom-Aktien dazu auf, ihr Stimmrecht dem CCC zu übertragen[32] und organisierte eine Plakat-Aktion am Hauptversammlungsgebäude.[33][1]

Medien-Guerilla

Trotz einer Aufzeichnung[34] bestritt Neumann, Anmelder der satirischen Pro-Guttenberg-Demonstration in Berlin gewesen zu sein, zu der sich die Hedonistische Internationale bekannte. Im gleichen Jahr berichtete er beim Chaos Communication Congress unter Pseudonym von der Aktion.[35] 10 Jahre später im Mai 2021 gab er zu, der Anmelder gewesen zu sein.[36]

In einem Artikel über die „Gratis-Bild“ des Axel-Springer-Verlags schilderte Neumann 2012, wie man einen Widerspruch gegen die Zustellung mit maximalem Arbeitsaufwand für den Verlag verbinden könnte.[37] Seiner „Anleitung“ folgten viele Tausend Leser,[38] so dass zeitweilig das E-Mail-System des Verlags zusammenbrach. Der Verlag warf ihm das Auslösen einer Mailbombe vor.[38] Im Laufe der Ermittlungen stellte sich jedoch heraus, dass der Springer-Verlag nicht nur gegen das Datenschutzrecht verstoßen hatte, sondern auch nicht den Tatsachen entsprechende Behauptungen über Absprachen mit dem Landesdatenschutzbeauftragten getätigt hatte. Dies brachte wiederum dem Verlag ein Aufsichtsverfahren ein.[39]

Publikationen und Vorträge

Netzpolitik.org

Im August 2010[40] begann er, für den Blog netzpolitik.org zu schreiben und wurde kurz darauf zum ersten fest angestellten Redaktionsmitglied.[41]

Logbuch:Netzpolitik

Im Oktober 2011[42] startete er zusammen mit Tim Pritlove den Podcast „Logbuch:Netzpolitik“. In den für gewöhnlich ein- bis zweistündigen Beiträgen diskutiert er mit Tim Pritlove Themen der Netzpolitik insbesondere im deutschsprachigen Raum.[43] Der wöchentlich erscheinende Podcast finanziert sich über Spenden und feierte im April 2014 die 100. Folge mit Gast Hans-Christian Ströbele.[44]

Chaos Communication Congress

  • Politik Hacken[35] auf dem 28. Chaos Communication Congress
  • Netzaktivisten! Ist das alles, was wir drauf haben?[45] auf dem 29. Chaos Communication Congress
  • Bullshit made in Germany[46] auf dem 30. Chaos Communication Congress
  • Jahresrückblick des CCC 2013[1] auf dem 30. Chaos Communication Congress
  • Jahresrückblick des CCC 2014[47] auf dem 31. Chaos Communication Congress
  • Jahresrückblick des CCC 2015[48] auf dem 32. Chaos Communication Congress
  • Jahresrückblick des CCC 2016[49] auf dem 33. Chaos Communication Congress
  • Jahresrückblick des CCC 2017[50] auf dem 34. Chaos Communication Congress
  • Der PC-Wahl-Hack[51] auf dem 34. Chaos Communication Congress
  • Du kannst alles hacken – du darfst dich nur nicht erwischen lassen[52] auf dem 35. Chaos Communication Congress
  • Jahresrückblick des CCC 2018[53] auf dem 35. Chaos Communication Congress
  • Hirne Hacken – Menschliche Faktoren der IT-Sicherheit[54] auf dem 36. Chaos Communication Congress
  • Hirne Hacken: Hackback Edition auf dem 37. Chaos Communication Congress

Chaos Communication Camp

  • Politische Lösungen für technische Probleme? IT-Sicherheit per Gesetz[55] auf dem Chaos Communication Camp 2015

re:publica

  • Die Trolldrossel: Erkenntnisse der empirischen Trollforschung[56] auf der re:publica 2013
  • On our fear and apathy towards smartphone attacks[57] auf der re:publica 2014

Sonstige Tätigkeiten

Neben seinem Studium der Psychologie gab Neumann ab 2008 zusammen mit dem Illustrator Roland Brückner die werbefinanzierte Kinderbuch-Reihe Mumpelmonster heraus.[58]

Im Jahr 2019 trat er als Sprecher des Kulturvereins Kulturkosmos Müritzsee auf, welcher unter anderem das Musikfestival Fusion veranstaltet.

Weblinks

Commons: Linus Neumann – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

  1. a b c 30C3: Jahresrückblick des CCC
  2. netzpolitik.org
  3. LNP001 State of the Union. Abgerufen am 14. Januar 2021 (deutsch).
  4. Tim Pritlove, Linus Neumann: LNP376 Elektionsstörungen. (m4a; opus, oga, mp3) In: Logbuch:Netzpolitik. 14. Januar 2021, abgerufen am 14. Januar 2021 (1:32:00-1:32:17): „Also ich sag's jetzt hier, ich bin kein Netzaktivist, und damit habt ihr eine Quelle, damit ihr das da rauslöschen könnt.“
  5. Die Bundestagswahl kann manipuliert werden. DIE ZEIT Artikel von Kai Biermann und Holger Stark, 7. September 2017.
  6. Analyse einer Wahlsoftware Bericht des Chaos Computer Clubs
  7. Open-Source-Spende: CCC schließt größte Schwachstelle in PC-Wahl Pressemitteilung des Chaos Computer Clubs
  8. CCC | Open-Source-Spende: CCC schließt größte Schwachstelle in PC-Wahl. Abgerufen am 26. November 2018 (englisch).
  9. CCC | Offener Brief: Public Money? Public Code! Abgerufen am 26. November 2018 (englisch).
  10. Frankfurter Rundschau: Hessenwahl: Wahlchaos in Hessen hat Folgen. In: Frankfurter Rundschau. (fr.de [abgerufen am 26. November 2018]).
  11. Linus Neumann: Effektive IT-Sicherheit fördern. Chaos Computer Club
  12. Andre Meister: Geheime Kommunikation: BSI programmierte und arbeitete aktiv am Staatstrojaner, streitet aber Zusammenarbeit ab. In: netzpolitik.org
  13. Bundestag beschließt das IT-Sicherheitsgesetz. In: bundestag.de
  14. Stefan Krempl: IT-Sicherheitsgesetz tritt in Kraft. In: heise online
  15. Innenausschuss des Deutschen Bundestages, Protokoll der 100. Sitzung (online)
  16. Rechtsausschuss des Deutschen Bundestags, der 123. Sitzung (online)
  17. netzpolitik.org
  18. heise.de
  19. Mobile Network Attack Evolution (engl.)
  20. gsmmap.org
  21. opensource.srlabs.de
  22. stern TV Abhoertest: Lauschangriff im Zentrum der Macht. stern TV, 29. Oktober 2013, archiviert vom Original (nicht mehr online verfügbar) am 11. Oktober 2017; abgerufen am 9. Mai 2015.
  23. Chaos Computer Club warnt vor Mogelpackung „E-Mail made in Germany“ https://www.ccc.de/de/updates/2013/bullshit-made-in-germany
  24. Deutsche Telekom, WEB.DE und GMX starten Initiative „E-Mail made in Germany“. Pressemitteilung der Deutschen Telekom vom 9. August 2013.
  25. Website der Kampagne Initiative "E-Mail made in Germany" Verschlüsselung (Memento vom 12. August 2013 im Internet Archive)
  26. "E-Mail Made in Germany": SSL-Verschlüsselung für (fast) alle. In: heise.de, 9. August 2013.
  27. T-Online, Freenet, Web.de und GMX.de: Deutsche E-Mail-Anbieter stellen auf Verschlüsselung um. In: spiegel.de
  28. Linus Neumann: Einsatz von Risikomanagement-Systemen im Vollzug des Steuerrechts: Sachverständigenauskunft zum Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens. (PDF) 16. April 2016, abgerufen am 27. Februar 2018.
  29. Linus Neumann: Sachverständigenauskunft zum Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens. (PDF) Deutscher Bundestag / Chaos Computer Club, 13. April 2016, abgerufen am 23. September 2016.
  30. Netzaktivisten! Ist das alles, was wir drauf haben?; Halbes Netz – Kampagne gegen Vodafone
  31. Archivlink (Memento vom 7. Januar 2014 im Internet Archive)
  32. CR189 Das Ende der Flatrates https://chaosradio.ccc.de/cr189.html
  33. Offline demonstrieren gegen #Drosselkom-Pläne. In: netzpolitik.org
  34. Pro-Guttenberg-Solidaritätskundgebung https://www.youtube.com/watch?v=gD5rBF5HNAw
  35. a b 28C3 Vortrag "Politik Hacken"
  36. Linus Neumann, Tim Pritlove: LNP394 Da war ein Hacker drin. In: logbuch-netzpolitik.de. 25. Mai 2021, abgerufen am 25. Mai 2021 (bei 02:02).
  37. Gratis-Bild: Den Springer-Verlag effektiv zurücktrollen. In: netzpolitik.org
  38. a b lawblog.de
  39. Berliner Datenschutzbeauftragte antwortet auf Axel-Springer-Mail. In: netzpolitik.org
  40. Die Bevölkerung hat ein Recht darauf zu erfahren,… In: netzpolitik.org
  41. LNP212 Alles voll mit Sexbombe. Abgerufen am 26. November 2018 (deutsch).
  42. Logbuch: Netzpolitik 001 "State of the Union"
  43. Logbuch:Netzpolitik Hintergrund
  44. LNP100 Gehört schon zum Establishment
  45. Netzaktivisten! Ist das alles, was wir drauf haben?
  46. Bullshit made in Germany
  47. Jahresrückblick des CCC 2014
  48. Jahresrückblick des CCC 2015
  49. Jahresrückblick des CCC 2016
  50. Jahresrückblick des CCC 2017
  51. Der PC-Wahl-Hack
  52. Du kannst alles hacken – du darfst dich nur nicht erwischen lassen
  53. Jahresrückblick des CCC 2018
  54. Hirne Hacken – Menschliche Faktoren der IT-Sicherheit. Abgerufen am 3. Januar 2020.
  55. Politische Lösungen für technische Probleme? IT-Sicherheit per Gesetz
  56. Die Trolldrossel: Erkenntnisse der empirischen Trollforschung
  57. On our fear and apathy towards smartphone attacks. In: re-publica.de
  58. Max Winde, Michael Seemann: WMR56 – Lassen Sie das bitte los! (mit Linus Neumann und Rosa Luxus). Podcast-Folge. 13. Januar 2013, abgerufen am 6. Januar 2024 (ab 1:38:48).

Auf dieser Seite verwendete Medien

Linus Neumann, Konferenz "Das ist Netzpolitik!".jpg
Autor/Urheber: Jason Krüger, Lizenz: CC BY-SA 4.0
Linus Neumann als Redner auf der Konferenz „Das ist Netzpolitik!“ 2019 in Berlin