Forum: Offtopic Brickerbot legt unsichere IoT lahm - finde ich gut.

Korbinian G. schrieb:
> Manche jammern deswegen schon rum, dass das fiese und böse Cracker
> wären.

Rechtlich betrachtet sind es Kriminelle.

Selbstjustiz, eine Privatisierung der Rollen von Richter und Henker in 
Personalunion an jeden, der kann und möchte, finde ich auch unabhängig 
von der rechtlichen Einschätzung unangebracht.

Bei aller Robin Hood Romantik: Wo ist die Grenze?

Korbinian G. schrieb:
> Anders lernen es die Hersteller nicht, und ich hoffe, dass sich das
> rumspricht, welche Hersteller besonders schlampen.

Die eigentliche Frage ist aber noch nicht geklärt: bekommen betroffene 
Kunden ihr Geld vom Hersteller zurück?
Wenn ich erstmal eine aufwändige Klage mit Beweisen (die bei gebrickten 
Geräten wohl schwierig zu beschaffen sind) anstrengen muss, werde ich 
das als einzelner Kunde wegen ein paar smarten Glühbirnen nicht machen 
wollen.

Joe F. schrieb:
> Die eigentliche Frage ist aber noch nicht geklärt: bekommen betroffene
> Kunden ihr Geld vom Hersteller zurück?

... oder vom Händler? Ist ein Gerät, das solcherart lahmgelegt werden 
kann, ein Gewährleistungsfall, fällt das unter natürliches Risiko, oder 
zählt der Fall als unsachgemässer Einsatz?

So könnten Hersteller und Verkäufer je nach mitgelieferter Dokumentation 
argumentieren, dass so ein Gerät nicht frei ins Internet gehört, sondern 
nur hinter einer sach- und zeitgemässen Netzabsicherung eingesetzt 
werden sollte. Dann wären die aus dem Schneider und der Käufer der 
Geleimte.

Korbinian G. schrieb:
> Anders lernen es die Hersteller nicht, und ich hoffe, dass sich das
> rumspricht, welche Hersteller besonders schlampen.

Auf diese Weise werden die bösen Schlamper von dem Druck befreit, die 
unsicheren Geräte auf ein akzeptables Sicherheitsniveau zu bringen. 
Stattdessen können sie neue Geräte verkaufen, weil die alten ja von 
kriminellen Hackern geschrottet wurden...

Joe F. schrieb:
> Die eigentliche Frage ist aber noch nicht geklärt: bekommen betroffene
> Kunden ihr Geld vom Hersteller zurück?

Wohl kaum, wenn der Angriff nur möglich war, weil der Kunde das 
Standardpasswort unverändert liess, oder durch ein Trivialpasswort 
ersetzte. Bei einer Backdoor des Herstellers könnte das interessanter 
sein.

A. K. schrieb:
> Joe F. schrieb:
>> Die eigentliche Frage ist aber noch nicht geklärt: bekommen betroffene
>> Kunden ihr Geld vom Hersteller zurück?
>
> Wohl kaum, wenn der Angriff nur möglich war, weil der Kunde das
> Standardpasswort unverändert liess, oder durch ein Trivialpasswort
> ersetzte. Bei einer Backdoor des Herstellers könnte das interessanter
> sein.

Warum werden eigentlich keine richtigen schweren automatisch generierte 
randomierte Default Passworte standardmäßig vom Hersteller 
vorprogrammiert? Z.b. "73beda1x3r7". Das könnte ja in die Doku oder am 
Typenschild zur Sicherheit aufgedruckt bleiben. Das wäre bestimmt eine 
beträchtliche Verbesserung der Sicherheit.

Ich könnte mir Dutzend andere Möglichkeiten vorstellen solchen Mißbrauch 
zu unterbinden oder wesentlich schwieriger zu gestalten.

Sicherheit sollte kein "Afterthought" sein, sondern gehört von Anfang an 
miteinbezogen.

Eine einfache Verbesserung wäre auch eine temporäre falsche Passwort 
Lockout einzubauen sobald mehr als ein paar falsche Passworteingaben 
Versuche hintereinander gemacht werden. Wenn der Bot jedesmal 15. 
Minuten warten müßte dann lohnt sich das auch weniger. Oder einen 
permanenten Lockout zu haben bis man sich lokales Einloggen wieder 
legitimisiert.

Updates sollten nur lokal hardwaremäßig möglich sein.

Durch diese einfachen Verbesserungen könnte man der Baggage das Leben 
beträchtlich schwerer machen.

Gerhard O. schrieb:
> Durch diese einfachen Verbesserungen könnte man der Baggage das Leben
> beträchtlich schwerer machen.

Das ist ja genau der Kern der Kritik. Es wäre so einfach...
Der Grund für das Standardpasswort ist meist, dass in der Fabrik ein 
Endtest durchgeführt wird. Und da ist ein in die Testgeräte fest 
einprogrammiertes Passwort bequemer als jemanden ein aufgedrucktes 
(kompliziertes) Passwort eingeben lassen zu müssen.

Gerhard O. schrieb:

> Durch diese einfachen Verbesserungen könnte man der Baggage das Leben
> beträchtlich schwerer machen.

Ja. Das scheinen die Hersteller aber trotzdem nicht für nötig zu halten, 
also macht sie jemand mit der Brechstange drauf aufmerksam.

Dann gibts zwei Möglichkeiten:
- Die Hersteller machen die Dinger sicherer, Ziel erreicht.
- Die Kunden kaufen nach dem dritten Mal keinen smarten Mist mehr vom 
selben Hersteller - Ziel erreicht.

Die Lösung mit dem Zufallspasswort auf dem Typenschild betreibt die 
Telekom übrigens bei den Speedports. Das ist schon ein einigermaßen 
sicheres Passwort.

Gerhard O. schrieb:
> Warum werden eigentlich keine richtigen schweren automatisch generierte
> randomierte Default Passworte standardmäßig vom Hersteller
> vorprogrammiert? Z.b. "73beda1x3r7". Das könnte ja in die Doku oder am
> Typenschild zur Sicherheit aufgedruckt bleiben. Das wäre bestimmt eine
> beträchtliche Verbesserung der Sicherheit.

AVM macht das bei den Fritzboxen.

Der Normalsterbliche Käufer hat nicht das Wissen und nicht die 
Möglichkeiten die Sicherheit eines IoT-Gerätes festzustellen. Er ist in 
der ganzen Kette von der Entstehung bis zur Verwendung des Gerätes der 
Schwächste.

Den Käufer mit diesem Brickerbot zu f*cken ist daher höchst asozial.

Da habe ich übrigens vor geraumer Zeit etwas ähnliches gelesen bzgl. 
einer Miele Professional Geschirrspülmaschine.

Dort war es wohl möglich /etc/shadow auszulesen und anderes. Nun hat der 
Sicherheitsspezialist Kontakt zu Miele aufgenommen und die haben 
angeblich garnicht reagiert.

In der Bedienungsanleitung findet sich jedoch angeblich ein Hinweis, 
dass der LAN Anschluss nur von authorisiertem Personal in Betrieb 
genommen werden darf oder ähnliches. Andererseits ist das ja eigentlich 
dann eine Täuschung, wenn das Gerät als internetfähig beworben wird?

Jedenfalls zeigt das, dass hier irgendwo die Publicity fehlt. 
Höchstwahrscheinlich wissen noch nicht einmal die Verkäufer ob ein Gerät 
sicher sein könnte.

Andererseits hat ja jedes Gerät sein eigenes Netz. Sei es BLE oder ein 
WLAN, es ist ja vermutlich eher selten, dass man die in sein normales 
Netz einklinkt.


Was mich jedoch viel mehr Interessiert: Gibt es Hersteller, die 
(abgesehen von Linux), auf Open Source setzen und zB ihre Firmware 
zumindest mal veröffentlichen?

Bei der Menge an "Geeks"/"Nerds" die sich für IoT interessieren müsste 
die Entwicklung doch quasi von selbst gehen :D

Unsichere IoT Geräte werden früher oder später gehackt. Deshalb ist es 
gut, wenn diese zerstört werden, bevor sie grösseren Schaden anrichten.

A. K. schrieb:
> So könnten Hersteller und Verkäufer je nach mitgelieferter Dokumentation
> argumentieren, dass so ein Gerät nicht frei ins Internet gehört, sondern
> nur hinter einer sach- und zeitgemässen Netzabsicherung eingesetzt
> werden sollte. Dann wären die aus dem Schneider und der Käufer der
> Geleimte.

Das ist ja bei dem gegenwärtigen Wireless Hype gar nicht zu machen. Wenn 
jede bescheuerte LED Lampe drahtlos erreichbar ist, dann kann kein Kunde 
eine Firewall davor basteln, denn es ist alles erreichbar, ohne auch nur 
ein Kabel durchzuschneiden.
https://www.extremetech.com/electronics/163972-philips-hue-led-smart-lights-hacked-whole-homes-blacked-out-by-security-researcher

Timm T. schrieb:
> Ja, Selbstjustiz sollte viel stärker umgesetzt werden. Die Karre vom
> Nachbarn überschreitet die Abgasnormen? Zack, abgefackelt.

Es gibt grosse Unterschiede zwischen dem Internet und dem der echten 
Welt.

Wenn du in der echten Welt ein Auto nicht abschliesst, wird das keiner 
bemerken. Tust du das selbe im Internet, ist es schon nach Sekunden weg. 
Im Internet gibt es keine Distanz, und Angreifer sind meist anonym. Mal 
eben jedes Auto zu prüfen ist kein Problem. In der echten Welt müsste 
ein Angreifer persönlich zum Auto gehen, und nachsehen ob es nicht 
abgeschlossen wurde.

Ein weiterer unterschied ist, dass in der echten Welt gestohlene Autos 
nicht andere Autos stehlen können, im Internet ist das aber nicht so.

Stellen wir uns mal vor, die echte Welt wäre wie das Internet, und ein 
nicht abgeschlossenes Auto würde immer sofort gestohlen, um z.B. Leute 
zu überfahren. Wäre es dann nicht gut, wenn die nicht abgeschlossenen 
Autos vorher von anderen lahmgelegt würden?

Und mal ganz abgesehen davon, versuch mal eine Malware verbreitende und 
Gespräche aufzeichnende Glühbirne zu verhaften, das ist einfach nicht 
machbar. Und selbst wenn mal ein Malware oder Lampen Hersteller dafür 
gestraft würde, die Lampen würden Weitersenden, und anderen Herstellern, 
womöglich noch in anderen Ländern, wäre es egal.

Und Regulationen würden auch nichts helfen, denn der Hersteller kennt 
nicht alle Sicherheitslücken, und es ist unmöglich jede mögliche 
Schwachstelle von Geräten zu regulieren.

Und wenn man all dies beachtet, welche Alternativen gibt es dann noch?

Daniel A. schrieb:
> Und wenn man all dies beachtet, welche Alternativen gibt es dann noch?

Leben und leben lassen, wie im echten Leben. Paranioa hilft nicht 
weiter. Bewustheit und der Mut zur Lücke ist im realen Leben 
unabdingbar. Das Leben ist lebensgefärlich, für jedes Lebewesen. 
Sicherheit zum Prinzip erhoben ist das Ende der Evolution und damit 
jeden Lebens.

Namaste

Ehrlich gesagt: persönlich find ich die Aktion gut.
Gekaperte IoT-Geräte stellen auch für andere eine Bedrohung dar und 
gehören deswegen lahmgelegt.
Und so weckt man die Hersteller vielleicht mal auf.
Durch Regulierung oder Selbsterkenntnis tut sich nämlich erfahrungsgemäs 
eher wenig.
Ich würd würds sogar noch bevorzugen wenn sich der Bot selbstständig 
weiterverteilen würde.
So müsste sich in der Praxis jedes Gerät erstmal beweisen.
Eine Woche am Netz und noch alles i.O? => Feuertaufe bestanden.

Moralisch ist das natürlich höchst fragwürdig.
Selbstjustiz ist natürlich nicht in Ordnung.
Und der Geschädigte ist erstmal der unschuldige Endkunde, nicht der 
Hersteller.

Tja, wir leben in komplizierten Zeiten...

Was ist das rechtliche Kriterium, das "IoT-zeug" von anderen Geräten 
unterscheidet, die eingehende Verbindung zum Internet haben? Wann sollte 
man dürfen, wann nicht?

Daniel A. schrieb:
> Timm T. schrieb:
>> Ja, Selbstjustiz sollte viel stärker umgesetzt werden. Die Karre vom
>> Nachbarn überschreitet die Abgasnormen? Zack, abgefackelt.
>
> Es gibt grosse Unterschiede zwischen dem Internet und dem der echten
> Welt.
>
> Wenn du in der echten Welt ein Auto nicht abschliesst, wird das keiner
> bemerken. Tust du das selbe im Internet, ist es schon nach Sekunden weg.
> Im Internet gibt es keine Distanz, und Angreifer sind meist anonym. Mal
> eben jedes Auto zu prüfen ist kein Problem. In der echten Welt müsste
> ein Angreifer persönlich zum Auto gehen, und nachsehen ob es nicht
> abgeschlossen wurde.
>
> Ein weiterer unterschied ist, dass in der echten Welt gestohlene Autos
> nicht andere Autos stehlen können, im Internet ist das aber nicht so.
>
> Stellen wir uns mal vor, die echte Welt wäre wie das Internet, und ein
> nicht abgeschlossenes Auto würde immer sofort gestohlen, um z.B. Leute
> zu überfahren. Wäre es dann nicht gut, wenn die nicht abgeschlossenen
> Autos vorher von anderen lahmgelegt würden?

In der echten Welt, hast Du ziemliche Probleme, wenn mit Deinem nicht 
abgeschlossenen Auto der Dieb jemand überfahren hat. Es kostet auch 
schon Strafe, wenn Du das Auto nicht abschliesst.

Das wäre fürs Internet durchaus eine gangbare Methode. Man wird 
gesetzlich verpflichtet, sein Passwort zu ändern, wer das nicht tut, 
muss Strafe zahlen.

Gruss
Axel

Ich höre zur Thematik um Sicherheit bei IoT-Geräten, und auch bei 
Computern, regelmässig folgenden Spruch:

"Interessiert mich doch nicht, ob mein Gerät in einem Bot-Netzwerk ist 
oder nicht - solange ich nix davon merke und mein Gerät tut was es 
soll."

Entsprechend ist natürlich auch kein Druck auf die Hersteller da, sich 
um ordentliche Sicherheit zu bemühen, sie verkaufen ja die Geräte 
trotzdem. Somit wird die aktuelle Malware das Problem evtl., hoffentlich 
und nicht zuletzt leider, mal wieder über den Geldbeutel des 
Otto-Normalverbrauchers lösen.
Aber mit den Kandidaten, die obig zitierte Spruch bringen, habe ich 
ehrlich gesagt auch nicht allzuviel Mitleid...

c. m. schrieb:
> aber warum fragst du? kannst du dir keine eigenen ethisch vertretbaren
> vorgehensweisen erdenken? braucht du unbedingt jemanden der dir sagt was
> du darfst und was nicht?

Dann, wenn etwas per Gesetz verboten ist und kein anderes vorrangiges 
Gesetz es erlaubt. Ethik ist mir zu weit dehnbar.

Es wird immer jemanden geben, der unsichere Hardware ausnutzt. Bisher 
ist das einigen Herstellern schlicht egal, jüngstes Beispiel Miele [1], 
andere tragen dann den Schaden.

IoT-Botnetze legen inzwischen mal eben schnell Seiten wie Twitter, 
Netflix, Paypal, Spotify und Co lahm [2]. Da finde ich persönlich das 
bricken des betroffenen Geräts für die Allgemeinheit noch das beste 
Szenario.

Aber vor Allem der Nutzer des Gerätes selbst war bisher schon 
Leidtragender. Beispiel wäre hier, wenn Hacker dann über den 
Internetanschluss des IoT Nutzers illegale Inhalte ziehen oder 
verbreiten können. Auch bei einem unsicheren Babyfon/ Kamera wäre es mir 
lieber, jemand schaltet ein derartiges Gerät nur ab, statt fremde Kinder 
zu beobachten/ aufzuwecken/ ihnen Sachen zuzureden/ sie anzuschreien 
[3].

Hier sind die Hersteller in der Verantwortung. Der Nutzer weiß nicht, 
was "root-Zugang" und "telnet" bedeuten. Man kann auch nicht erwarten, 
dass der Nutzer die Firmware selbst untersucht und sicher macht. Leider 
sind feste Passwörter in der Firmware gang und gäbe [4]. Eine 
Möglichkeit, diese zu ändern hat der Nutzer (ohne Umschreiben der 
Firmware) nicht.


[1] 
https://www.theregister.co.uk/2017/03/26/miele_joins_internetofst_hall_of_shame/

[2] 
https://www.heise.de/security/meldung/DDoS-Attacke-legt-Twitter-Netflix-Paypal-Spotify-und-andere-Dienste-lahm-3357289.html

[3] 
https://www.heise.de/security/meldung/l-f-Wenn-der-Hacker-im-Babyfon-sitzt-2803839.html

[4] https://www.google.de/search?q=iot+firmware+hardcoded

Wenn sich das Image vom IoT weiter so entwickelt, werden clevere 
Hersteller ihre Produkte sicher bald erfolgreich mit einem großem 
Aufkleber "Garantiert IoT-frei" bewerben ;-)).

Gruß

Joe F. schrieb:
> Und da ist ein in die Testgeräte fest
> einprogrammiertes Passwort bequemer als jemanden ein aufgedrucktes
> (kompliziertes) Passwort eingeben lassen zu müssen.

Da muss doch niemand ein Passwort eintippen, man müsste doch einfach nur 
das Testing anpassen:

1.) Seriennummer vom Testgerät registieren
2.) Auf dem Testgerät einloggen
3.) Passwort in Zufallspasswort *) ändern und in Datenbank bei der 
Seriennummer hinterlegen
4.) Ausloggen
5.) Mit Passwort aus der Datenbank einloggen
6.) Testen

Werden weitere Tests durchgeführt, kann ich das dazugehörige Passwort 
aus der Datenbank lesen. Zudem kann ich beim verpacken über die 
Datenbank das passende Passwort ausdrucken und mit in die Verpackung 
legen.

*) Nein, NICHT aus der Seriennummer das Passwort generieren! NEIN! BÖSE!

Axel L. schrieb:
> Man wird
> gesetzlich verpflichtet, sein Passwort zu ändern, wer das nicht tut,
> muss Strafe zahlen.

Genau. Möglichst alles auf den Endkunden/Verbraucher abwälzen.
Das läuft dann unter dem Begriff "mehr Eigenverantwortung".

Dieter W. schrieb:
> Genau. Möglichst alles auf den Endkunden/Verbraucher abwälzen.
> Das läuft dann unter dem Begriff "mehr Eigenverantwortung".

Die andere Variante wäre eine ETSI-Vorschrift, wie jene, deren Fehlen im 
Sommer mindestens alle neuen Handys verboten hätte. Auf die dann alle 
schimpfen wie über die Gurkenverordnung, weil die natürlich solche 
Geräte erheblich verteuert.

Ich würde auch alle Autos mit den gleichen Schlüsseln ausliefern lassen, 
das wäre bestimmt viel billiger und für den Händler einfacher zu 
handhaben.

Soll doch jeder selbst andere Schlösser einbauen (lassen) wenn ihm das 
nicht gefällt.

Joe F. schrieb:
> Der Grund für das Standardpasswort ist meist, dass in der Fabrik ein
> Endtest durchgeführt wird. Und da ist ein in die Testgeräte fest
> einprogrammiertes Passwort bequemer als jemanden ein aufgedrucktes
> (kompliziertes) Passwort eingeben lassen zu müssen.

Die Alternative für das Testgerät lautet nicht "jemanden ein Passwort 
eingeben lassen" sondern stattdessen für das Testgerät einfach 
Public-Key-Authentifizierung zu verwenden. Aber dazu müsste man 
mindestens eine Person auf der Gehaltsliste haben die vom aktuellen 
Stand der Technik schon mal was gehört hat und keine umgeschulten Bäcker 
mit PHP-"Erfahrung" und Webdesign.

A. K. schrieb:
> Wohl kaum, wenn der Angriff nur möglich war, weil der Kunde das
> Standardpasswort unverändert liess, oder durch ein Trivialpasswort
> ersetzte.

Mir kommt so'n Mist nicht ins Haus, daher meine Unkenntnis.

Wird auf die (fehlende) Sicherheit in der Bedienungsanleitung 
hingewiesen? Wenn ja, sind die Leut' selber schuld, wenn die BA nicht 
gelesen wird. Allerorts wird das "Gerät" einfach genommen und dran 
rumgemacht. Ohne vorher nachzulesen was Sache ist.
Wenn nicht, ist der Hersteller zur Verantwortung zu ziehen..

Timm T. schrieb:
> Pah, immer diese Doppelmoral! Wenn ein Bot ein IoT lahmlegt ist das gut,
> aber wenn ein Botnetz Twitter lahmlegt soll das plötzlich schlecht sein?

Der Bot legte das IoT-Zeug lahm bevor diese zu einem Botnetz werden 
können, die dann sinnvolle Anwendungen stören.
Ob Twitter sinnvoll ist, sei mal dahin gestellt. Eine Internetglühbirne 
sicher nicht.

Noch mehr Regelungen, Gesetze, Prüfungen und Prüfsiegel, umfangreiche 
DIN- und EN-Normen dafür, akkreditierte Prüflabore und "Experten" 
brauchen wir NICHT! Denn das funktioniert nicht.

Stattdessen schauen wir uns lieber mal an wie die Biologie das in den 
vergangenen Jahren gemacht hat um hochkomplexe robuste autonome 
Organismen hervorzubringen: Wer im Dschungel ohne ausreichend 
funktionierende Abwehrmechanismen unter seinem Stein hervorkriecht wird 
gefressen. Punkt. Alles was übrigbleibt darf sich fortpflanzen. Das 
Internet ist der Dschunel. Dort herrscht kein menschengemachtes Gesetz.

Bernd K. schrieb:
> Wer im Dschungel ohne ausreichend
> funktionierende Abwehrmechanismen unter seinem Stein hervorkriecht wird
> gefressen. Punkt.

Das Recht des Stärkeren? Bombe drauf und fertig?

Bernd K. schrieb:
> Das
> Internet ist der Dschunel.

Richtig. Und kein Kindergarten: "Der hat meine Glühbirne kaputtgemacht 
Mimimi."

A. K. schrieb:
> Das Recht des Stärkeren? Bombe drauf und fertig?

Ist nicht richtig, ist aber so. Da kannst du nix regeln. Gesetze gelten 
nur regional und nicht global. Entweder der Hersteller machts richtig 
und/oder der Anwender. Das kannst du regulieren, mehr nicht.

Hat mein Wasserwerk puttmacht! - Mimimi, bohr nen Brunnen
Hat das Stromnetz lahmgelegt! - Mimimi, da ist die Tretmühle!

A. K. schrieb:
> Hat mein Wasserwerk puttmacht! - Mimimi, bohr nen Brunnen
> Hat das Stromnetz lahmgelegt! - Mimimi, da ist die Tretmühle!

Ich meine, man kann auch mal hinterfragen, warum Wasserwerke, 
Stromnetze, Ampelanlagen, Warnsirenen etc. am Internet hängen müssen...
Das hat meiner Meinung nach genauso wenig Berechtigung wie der ganze IoT 
Schrott.
Klar, spart Kosten da man keine eigene Leitung legen muss, aber die 
Folgen sehen wir jetzt, da nützt auch Uschis Cyber-Truppe nüscht.

Wenn ich ein Gerät für Außenmomtage kaufe und es verträgt das rauhe 
Klima nicht dann geht es kaputt.

Internetanschluss ist Außenmontage. Das Klima dort ist rauh. Sehr rauh.

Joe F. schrieb:
> Ich meine, man kann auch mal hinterfragen, warum Wasserwerke,
> Stromnetze, Ampelanlagen, Warnsirenen etc. am Internet hängen müssen...

Sollte man. Aber das gibt niemandem das Recht, sie abzudrehen.

A. K. schrieb:
> Hat mein Wasserwerk puttmacht!

Wenn's schon in I-net hängen muss (warum auch immer), dann muss es 
abgesichert sein, also richtig abgesichert.
Der o.g. Bot hat nur den Müll 'rausgebracht.

Timm T. schrieb:
> Pah, immer diese Doppelmoral! Wenn ein Bot ein IoT lahmlegt ist das gut,
> aber wenn ein Botnetz Twitter lahmlegt soll das plötzlich schlecht sein?
> Twitter ist doch auch so eine Art Botnetz, nur mit organischem Anteil.

Ich habe nirgends behauptet, dass das Lahmlegen von IoT gut wäre, das 
mit der Doppelmoral musst du mir also noch mal genauer erklären.
Von all den Szenarien, die bei infizierter Hardware möglich sind, finde 
ich das schlichte bricken die für alle Beteiligten noch "angenehme" 
Variante. Lieber habe ich ein defektes Gerät, als jemanden der den 
Kindern in der Nacht irgendwelche Sachen zuflüstert, mich im Alltag 
überwacht oder andere Netzteilnehmer angreift. Besser wären sichere 
Geräte, die gleich gar keine Malware von jedem Skriptkiddie abbekommen, 
das steht außer Frage.

A. K. schrieb:
> Aber das gibt niemandem das Recht, sie abzudrehen.

Aber die rohe Kraft die da draußen herrscht könnte sie abdrehen. Und 
hoffentlich tut sie es wenn sie kann, und lieber früher als zu spät.

Bernd K. schrieb:
> Wenn ich ein Gerät für Außenmomtage kaufe und es verträgt das rauhe
> Klima nicht dann geht es kaputt.
>
> Internetanschluss ist Außenmontage. Das Klima dort ist rauh. Sehr rauh.


Das Blöde ist halt, dass zwar "für Außenmontage" draufsteht aber es 
stimmt leider in vielen Fällen nur mit starken Einschränkungen.

Erst durch Nachbesserung seitens des Anwenders wird das Gerät dafür 
tauglich und wie das geht muss er selbst herausfinden.

Man muss diesen ganzen Mist ja nicht kaufen.
Wer halt zu faul ist, das Licht
oder was auch immer selbst einzuschalten - Pech gehabt.
Das muss der mündige Bürger/Kunde alles selbst wissen.

Korbinian G. schrieb:
> Persönlich finde ich die Aktion eigentlich sehr gut.

Auch wenn mein Fahrrad nicht gepanzert ist,

finde ich es nicht gut, wenn irgendwelche Vandalen es in Klump hauen,

bloss weil es eben möglich war es zu beschädigen.

In einer Welt der Korbinains möchte ich nicht leben.

Bernd K. schrieb:
> Wer im Dschungel ohne ausreichend
> funktionierende Abwehrmechanismen unter seinem Stein hervorkriecht wird
> gefressen. Punkt. Alles was übrigbleibt darf sich fortpflanzen.

Nicht alles, was hinkt, ist auch ein Vergleich ;-)

Wenn der Hersteller nur das auf den Markt werfen dürfte, was "im 
Dschungel überlebt", DANN wäre das ok

Erste Maßnahme im Internet: Jede E-mail kostet den Absender einen Cent. 
Nach einem Monat sind alle Bot Betreiber pleite und wir können wider zur 
Tagesordnung übergehen.
Die paar Cent die der Spaß bei sinnvoller Nutzung kostet wäre sicher gut 
angelegt.


mfg
Michael

der "selbstreinigungseffekt" des Internet of Shit

● J-A V. schrieb:
> Man muss diesen ganzen Mist ja nicht kaufen.
> Wer halt zu faul ist, das Licht
> oder was auch immer selbst einzuschalten - Pech gehabt.
> Das muss der mündige Bürger/Kunde alles selbst wissen.

Naja, dem Endkunden kann es ja mitunter egal sein. Er merkt es 
vielleicht nicht einmal das seine 5 Geräte teil eines Botnets sind und 
gerade irgendwas DDosen. Wieso sollte der Kunde etwas ohne IoT kaufen 
wenn das mit IoT in der Werbung so glänzt und genau das selbe für ihn 
tut?

Michael B. schrieb:
> Auch wenn mein Fahrrad nicht gepanzert ist,
> finde ich es nicht gut, wenn irgendwelche Vandalen es in Klump hauen,
> bloss weil es eben möglich war es zu beschädigen.

Deswegen schließt du dein Fahrrad ja in der Garage ein.

Wenn du dein Fahrrad ungesichert am Hauptbahnhof stehen lässt wird es am 
nächsten Tag entweder Schrott oder weg oder beides sein.
Das ist zwar immer noch eine Straftat und nicht i.O. von den Tätern aber 
es wird keinen, auch dich nicht, verwundern.
Die Versicherung wird dir nichts bezahlen und die Polizei wird kurz 
schmunzeln und dich weiterschicken.

Nun, ungesicherte IoT-Geräte stehen praktisch dauerhaft am Berliner 
Bahnhof Zoo, sinnbildlich.
Die räumliche Nähe trügt dich, physikalisch steht das Ding bei dir am 
Schreibtisch, logisch dagegen steht es irgendwo im Freien und sendet ein 
Leuchtfeuer an Einladungen für ungebetene Gäste in die Nacht.

So, hier endet jetzt der Vergleich.
Während du bei deinem Fahhrad noch selber in der Pflicht und in der Lage 
bist dieses zu sichern ist bei IoT der Hersteller mindestens mit in der 
Pflicht.
Der gemeine Endanwender hat keine Chance so ein Teil sicher zu kriegen 
bzw. überhaupt dessen Unsicherheit zu erkennen.
Klar, er kann Passwörter ändern etc. aber solange der Hersteller das 
Ding schon nicht richtig dicht kriegt ist das alles vergebene Liebesmüh.

Timm T. schrieb:
> Und deswegen ist es in Ordnung, sie zu zerstören?

So ist die harte böse Welt da draußen nun mal. Das ist doch keine Frage 
dessen ob das "in Ordnung" ist oder nicht, das ist nun mal einfach so, 
Punkt aus. Wackelige Sonnenschirme werden beim nächsten Sturm 
weggerissen. Ist das in Ordnung?

Wenn es schneit wird die Straße glatt. Wenn man nicht aufpasst macht der 
Straßengraben oder der nächste Baum oder der Gegenverkehr das Auto 
kaputt. Ist das in Ordnung? Oder ist das einfach normal?

Ich denke das ist normal und man muss sich damit arrangieren. Oder man 
lernt wie der Hase da draußen läuft und hört auf es zu provozieren.

Konkret bedeutet das: keine nicht wetterfesten Internet-Things kaufen 
und ins Internet hängen.

c. m. schrieb:
> Timm T. schrieb:
>> Oh, gut dass Du mal eben für alle entschieden hast, steuerbare
>> Glühlampen sind nicht sinnvoll.
>>
>> Millionen von Nutzern der Philips Hue sehen das zwar anders. Hätten sie
>> mal Dich vorher gefragt.
>
> warte, hast du grade gesagt "millionen fliegen können nicht irren..."?

Seien wir froh, dass es Firmen gibt, die in solche Ideen und Projekte 
Geld investieren. Und solange es Millionen Menschen gibt, die das 
kaufen, haben wir Jobs.

Machen wir uns nichts vor, nicht alle Ings können die nächste Generation 
Herzschrittmacher entwickeln. Und wenn man sich die Beiträge hier so 
durchliest, scheint das noch das Einzige zu sein, was moralisch, ethisch 
und wirtschaftlich akzeptiert weden würde.

Gruss
Axel

Timm T. schrieb:
> Und deswegen ist es in Ordnung, sie zu zerstören? Hallo, gehts noch? Nur
> weil andere "Böse" die kaputtmachen können, darf jetzt jemand "Gutes"
> kommen und die vorher kaputtmachen?

Nein.
Aber ich brauch mich nicht wundern wenn was passiert.
Ferner muss der Hersteller das Gerät so auslegen dass es den rauen 
Bedingungen am Bestimmungsort standhält.
Ein Industrieschalter ist ja auch robuster weil es in der Produktion 
anders zugeht als im heimischen Esszimmer.

Die gebrickten Geräte sind eher ein notwendiges Opfer um ein Umdenken 
einzuläuten.

c. m. schrieb:

> es gibt einen grund warum "recht" und "gesetz" zwei worte sind.

Ja: Legislative und Judikative sind nach Gewaltentrennung disjunkt.

> selbstjustiz ist die natürliche folge einer untätigen politik und
> infolgedessen untätigen justiz.

NEIN! Selbstjustiz ist, wenn der Mob seinen niedrigen Instinkten freien 
Lauf läßt und dabei Recht über Bord wirft.

Das mit Gefasel von untätiger Politik zu rechtfertigen, ist billig und 
gefährlich. Hör auf!

Timm T. schrieb:
> Le X. schrieb:
>> Nun, ungesicherte IoT-Geräte stehen praktisch dauerhaft am Berliner
>> Bahnhof Zoo, sinnbildlich.
>
> Und deswegen ist es in Ordnung, sie zu zerstören?

Mit einem Fahrrad kann man keinen großen Schaden anrichten. Ersetze das 
Fahrrad durch "nicht ordnungsgemäß gesicherten LKW" und der Vergleich 
paßt wieder. Natürlich wäre es besser, wenn jemand diesem LKW die 
Benzinleitung durchschneidet, bevor ein Irrer ihn kapern kann, um damit 
Unschuldige zu überfahren.

Und nur damit wir uns recht verstehen: mir wäre es auch lieber, wenn es 
eine zivilisierte Möglichkeit gäbe, diesen ganzen IoT-Schrott aus dem 
Netz zu nehmen. Aber der ist nicht in Sicht. Das Internet wird sich 
selbst retten müssen. Genau so, wie es um Zensur herum routet, wird es 
Schädlinge mit Gewalt vernichten müssen. Das ist vielleicht nicht 
"schön" oder "ethisch korrekt", aber das ist das Leben generell nicht.

Kein Ponyhof

Tja Tim,
 wie der Volksmund sagt: "Gib dem Pöbel Macht und er zeigt seinen 
Charakter."

 Ich bin ja leidenschaftlicher Anarchist. Aber gerade die Anarchie 
bedarf des des guten Benehmens und der Gewaltlosigkeit. Zweier Dinge 
also welche der Staat nie zulassen wird, da er selbst ja die Gewalt 
verkörpert, welche neben sich nichts duldet auch und gerade ihr 
Gegenteil die Gewaltlosigkeit nicht. Mann kann sagaen der Staat gebiert 
die Gewalt des Pöbels zur Rechtfertigung der Eigenen.

Namaste

Timm T. schrieb:
> Ich bin tief beeindruckt, welche gesellschaftlichen Abgründe sich hier
> auftuen. Bisher habe ich Bürgerwehren immer für eine Randerscheinung
> gehalten, aber wenn ich sehe wie hier der Selbstjustiz, der Aufhebung
> des staatlichen Gewaltmonopols und der Missachtung von Eigentumsrechten
> des Wort geredet und Beifall geklatscht wird - impressive.

Ja, die Sammlung von Asozialen auf mikrocontroller.net ist schon 
beeindruckende.

Timm T. schrieb:
> Hätten sie
> mal Dich vorher gefragt.

Hahm'se aber nicht.
Wozu ist eine "Hue" gut? Damit ich mit einem Googlefon(genau so ein 
Müll) Licht anmachen kann?

O-Ton Philips: "Schließen Sie bis zu 50 Lampen an und steuern Sie sie 
über Ihr Smart-Gerät"

Auf der Herstellerseite konnte ich kein "Smartgerät" entdecken. Nur 
Dummfaule, die im Liegen das Licht an und ausknipsen. Das ginge auch mit 
einer normalen Fernbedienung.

"Nur weil Sie nicht zu Hause sind, bedeutet das nicht, dass Sie die 
persönliche Beleuchtung nicht verwenden können."

Klasse. Echter Nutzwert. Kopfklatsch.

Nicht falsch verstehen. Intelligente Steuerung von Haus und Hof ist 
sinnvoll. Dafür braucht's aber keinerlei Internetanbindung. Und falls 
für bestimmte Dinge doch, dann aber abgesichert.

Frei nach Schulz: Ich wiederhole, eine I-Glühbirne ist zu nichts nutze 
sondern ein Sicherheitsrisiko, auch für mich als Nichtnutzer!

Sicherheit
 ist eine Illusion. Die Frage lautet: Wieviel Unsicherheit ist 
tolerabel, und welches Verhalten ist tolerabel. Nicht jede Glübirne ist 
ein AKW. Allerdings können aus der Vernetzung neue Risiken enstehen und 
wenn das so ist muss man das neu überdenken.

 Das allerdings rechtfertigt keinen Vanadalismus, weder in der vituellen 
noch in der realen Welt, egal ob staatlich geordnet oder anarchisch 
selbstverwaltet. Letzteres darf als der gegenwärtige Zustand des 
Internets in der westliche Hemisphäre angenommen werden. Freilich 
versuchen die Staaten ihre Macht auch hier auszubreiten, hinken damit 
aber der Wirtschaft und deren Bestrebungen weit hinterher. Gerade die 
dezentrale Struktur des Netzes macht es für umfassende Kontrolle schwer 
regulierbar und angreifbar für dezentrale (dislozierte) Botatacken.
jeder Versuch es durchzuregulieren zerstört seinen liberalen 
Grundansatz.

Namaste

c. m. schrieb:
> erläutere welche niederen instikte die hacker getrieben hat unsichere
> IoT geräte zu bricken.

Aus dem gleichen Grund wie der TÜV-Mann mein Auto gebrickt hat! Saukerl!
Und hat noch Geld verlangt!
Wo ist der Staat wenn man ihn mal braucht? Ach nee, stimmt ja..

Winfried J. schrieb:
> Nicht jede Glübirne ist
> ein AKW

Wenn so eine Birne kaputtgeht ist mir das sowas von egal. Die Birne ist 
ein Problem, wenn sie das I-Net stört.

c. m. schrieb:
> welcher ansatz zur problemvermeidung würde wohl funktionieren? ich denke
> letzterer, du kannst aber gerne dagegen argumentieren und uns asozialen
> erklären warum ein hackverbot die bessere vorgehensweise ist.

Anmerkung:
Ein "Hackverbot" existiert natürlich bereits.
Niemand denke ich bezweifelt hier dass es rechtlich mindestens 
fragwürdig ist was der Bot da treibt.

Aber es passiert halt trotzdem.
Da hilft alles Augen verschließen und Moralpredigen nix, da draußen 
gehts dreckig zu und ein Gerät was da sauber arbeiten soll muss robust 
und sicher sein.
Was daran asozial ist auf diese Tatsache hinzuweisen muss ich nicht 
verstehen.

Winfried J. schrieb:
> Das allerdings rechtfertigt keinen Vanadalismus, weder in der vituellen
> noch in der realen Welt, egal ob staatlich geordnet oder anarchisch
> selbstverwaltet.

Ich rechtfertige keinen Vandalismus.
Das Hacken ist moralisch fragwürdig und rechtlich wohl eine 
Sachbeschädigung.
Aber der Vandalismus ist vorhanden und, mit einem Schritt zurück und 
Blick aufs Gesamte, kann ich dem Vandalismus zumindest einen positiven 
Aspekt abgewinnen.

Wir bricken ja die Geräte gar nicht, aber es wird eben jemand geben, der 
es macht, genau wie wir keine Fahrräder klauen, aber es trotzdem 
passiert, weil es eben immer welche gibt, die es tun, auch wenn es 
verboten ist.

Und im wunderbaren Wireless Web kann das eben jeder tun, ohne auch nur 
Spuren zu hinterlassen, der Anreiz wird dadurch sicher nicht kleiner.
Ob es rechtens oder nicht ist, ist dabei zweitrangig, denn nicht jeder 
richtet sich nach Recht und Gesetz.

Die Geräte können zuviel und der Anwender zu wenig.
Das fing mit Windows-PC an geht über Android zu IoT. Alles anfällig für 
Malware und die Anwender haben keine Ahnung..

Timm T. schrieb:
> staatlichen Gewaltmonopols

Wo ist's denn? Der Sicherheits-TÜV für Glühbirnen?

Fra N. schrieb:

> Wenn so eine Birne kaputtgeht ist mir das sowas von egal. Die Birne ist
> ein Problem, wenn sie das I-Net stört.

Dieses Internet ist doch noch Neuland. Warte noch ein paar Jahre dann 
haben wir die volle Regulierungswut der Behörden auch dort. Und dann 
darfst du nur zugelassene und zertifizierte Geräte dranhängen.
Natürlich nur mit Klarnamen, Steuernummer, Bankverbindung und 
Bonitätsnachweis.

Axel L. schrieb:
> Das wäre fürs Internet durchaus eine gangbare Methode. Man wird
> gesetzlich verpflichtet, sein Passwort zu ändern, wer das nicht tut,
> muss Strafe zahlen.

Super Plan, damit ist dann das Benutzerpasswort geändert. Und der 
undokumentierte root-Zugang mit dem Standardpasswort "root"?

https://www.heise.de/security/meldung/Smart-Home-c-t-findet-versteckte-Mikrofone-und-unsichere-Web-Frontends-3673101.html?wt_mc=rss.security.beitrag.rdf

c. m. schrieb:
> oder indem man
> gesetzlich verbietet und durchsetzt das solche geräte verkauft werden?

wie willst Du das machen?

CE-Zeichen? Interessiert die Chinesen nicht. Einfuhrstop für alles was 
aus China kommt?

Und wie stellt sich aus Sicht eines europäischen Hestellers diese 
Prüfung auf Sicherheit dar? Nochmal ne 5-stellige Summe für ein noch 
zweifelhaftes Papier für jedes popelige Gerät, ansonsten bleibt alles 
wie es ist, nur die Kosten steigen?

Wir haben jetzt schon zuviel unnütze Bürokratie die für NICHTS gut ist, 
wir ersticken schon fast daran, alles wird davon gelähmt und gebremst. 
Wir brauchen nicht noch mehr davon.

Bernd K. schrieb:
> Wir haben jetzt schon zuviel unnütze Bürokratie die für NICHTS gut ist,
> wir ersticken schon fast daran, alles wird davon gelähmt und gebremst.
> Wir brauchen nicht noch mehr davon.

Da hast du vollkommen recht.
Ein weiteres Zertifikat bringt hier niemanden weiter.
Das sorgt nur dafür dass der Minimalaufwand, der zum Erhalt dieses 
Zertifikats notwendig ist betrieben wird.
In der Regel: eine Summe Geld abdrücken damit ein unabhängiger Gutachter 
grünes Licht gibt.

Sinnvoller wäre es doch, wenn der Hersteller ein eigenes, echtes 
Interesse daran hätte saubere Geräte anzubieten.
Z.B. weil er durch negative Publicity dazu gezwungen wird.
Geräte die die rauen Umweltbedingungen nicht ertragen und nach der 
Inbetriebnahme reihenweise bricken werden dann irgendwann vielleicht 
nicht mehr gekauft.

Passend dazu:
https://www.heise.de/security/meldung/Smart-Home-c-t-findet-versteckte-Mikrofone-und-unsichere-Web-Frontends-3673101.html?wt_mc=rss.security.beitrag.rdf

Leider ist das Thema in den Mainstreammedien noch nicht hinreichend 
angekommen.

Bürokratie? Nö, das Produkthaftungsgesetz reicht doch. Das Ding geht 
nicht weil's unsicher ist? Zurück an den Hersteller, der darf 2x Porto 
berappen und, da eine Nachbesserung unmöglich ist weil die Geräteserie 
defekt, die Kohle rausrücken.

Nach 2-3 Mal ist der Hersteller entweder pleite oder einsichtig.

Heinz L. schrieb:
> Bürokratie? Nö, das Produkthaftungsgesetz reicht doch. Das Ding geht
> nicht weil's unsicher ist? Zurück an den Hersteller,

Wenn du das Gerät selbst importierst, dann kannst du natürlich 
versuchen, dem Hersteller gegenüber in China das dortige 
Produkthaftungsgesetz in Stellung zu bringen. Ich nehme an, du bist 
damit ausreichend vertraut.

Wenn du das Gerät über einen deutschen Händler beziehst, dann ist der 
Importeur zuständig, nicht der Hersteller.

Nicht nur Brickerbot kann einen erwischen, wenn man seinen Internet-Kram 
nicht richtig durchkonfiguriert:
https://www.muenchen.tv/webcam-ueberfuehrt-waffen-und-marihuanafreak-aus-allach-216677/

Es wurden sogar schon internetfähige Vibratoren gehackt und konnten aus 
der ferne gesteuert werden. Kaum zu denken was da alles passieren kann!

https://www.elektormagazine.de/news/iost-gefahrliche-sache

Matthias x. schrieb:
> Es wurden sogar schon internetfähige Vibratoren gehackt und konnten aus
> der ferne gesteuert werden.

Das könnte aber auch ein Feature sein ;-)

Matthias x. schrieb:
> internetfähige Vibratoren

mit WLAN-Kamera?

Laut dem Link von C.M.: Ja.

Timm T. schrieb:
> "Solide Kenntnisse von Programmiersprachen (C/C++, C#)"
>
> Nee, so wird das nix.

Du musst deinen Feind kennen, wenn du ihn besiegen willst.

Hi

Das wird der Preis sein, wenn ich unbedingt meinen Toaster von Hawaii 
aus ansteuern will.

Wenn ICH Das schon hinbekomme, also mit 'Knöbsche drügge am Handy' meine 
heimische Elektro-Anlage anzusteuern, was hindert 'den Rest der Welt', 
genau die gleichen Knöpfe zu drücken?

So lange jeder ohne Vorkenntnisse so Zeug in Betrieb nehmen kann, wird 
die Sicherheit, mit Sicherheit, den Bach runter gehen.

MfG

Patrick J. schrieb:
> Wenn ICH Das schon hinbekomme, also mit 'Knöbsche drügge am Handy' meine
> heimische Elektro-Anlage anzusteuern, was hindert 'den Rest der Welt',
> genau die gleichen Knöpfe zu drücken?

The Big Bang Theory, Staffel 1, Folge 09. :D

Le X. schrieb:
>> Auch wenn mein Fahrrad nicht gepanzert ist,
>> finde ich es nicht gut, wenn irgendwelche Vandalen es in Klump hauen,
>> bloss weil es eben möglich war es zu beschädigen.
> Wenn du dein Fahrrad ungesichert am Hauptbahnhof stehen lässt wird es am
> nächsten Tag entweder Schrott oder weg oder beides sein.

Aber nur weil es Asis wie dich gibt.

Normale Leute lassen auch ein nicht-abgeschlossenes Fahrrad unangetastet 
rumstehen.

In vernüftigen Gegenden muss man das Fahrrad nicht in die Garage 
stellen.

Leider überwiegen die Gegenden voller Asis, auch im Internet.

Die unvernünftige Gegend ist z.B. der Berliner Bahnhof Zoo.

Die vernünftige Gegend ist auf dem Land, dort steht Haus und Hof die 
ganze Zeit offen und es kommt nichts weg.

Michael B. schrieb:
> Aber nur weil es Asis wie dich gibt.

Du bist putzig, Süßer.
Mehr will ich mich mit dir nicht abgeben.

Michael X. schrieb:
> Dieses Internet ist doch noch Neuland. Warte noch ein paar Jahre dann
> haben wir die volle Regulierungswut der Behörden auch dort. Und dann
> darfst du nur zugelassene und zertifizierte Geräte dranhängen.
> Natürlich nur mit Klarnamen, Steuernummer, Bankverbindung und
> Bonitätsnachweis.

Ersetze Jahre mit Monate: https://t.co/VoXV7iTgnq

So ist es.

 Der Traum der großen Freiheit nach dem "Kalten Krieg", der nie ein 
Kalter war, haben ausgerechnet die "Sieger" nichts schlaueres zu tun 
gewusst, als neue heiße Kriege auf der Ganzen Welt anzuzetteln, nur um 
sich jetzt zu wundern, dass sie nun Sicherheit nur mehr durch Opfern von 
Freiheit erringen können, und selbst das ist mehr als fraglich.

 Wie dem auch sei wer Freiheit auf Kosten der Freiheit Anderer begierd 
büßt halt mit der Eigenen.


 Aber eigentlich war die große Freiheit wohl nie wirklich gewollt und 
eher ein historischer Unfall der Achtziger, den es nun zu beenden gilt. 
Hoffnung habe ich allerdings, das dieß nicht der Letzte seiner Art 
bleibt.

Namaste

Das Problem ist doch eigentlich nur der,
dass die Waffen schliesslich verkauft werden müssen.

Was würde bloss ohne die Waffenindustrie werden?
Da bräche schliesslich ein ziemlicher Teil des BIP weg.

Das Militär wird auch immer digitaler
und dort produziert man seine Elektronik nun auch nicht selbst.

Na???
Wer profitiert nicht alles vom Militär,
wenn auch nur indirekt als Abnehmer von Technik/Elektronik/Software?

Winfried J. schrieb:
> Aber eigentlich war die große Freiheit wohl nie wirklich gewollt und
> eher ein historischer Unfall der Achtziger, den es nun zu beenden gilt.

Das Prinzip ist uralt: "Mit Speck fängt man Mäuse"... Der Hintergedanke 
ist das alte "Divide et impera" oder "Nation Building" auf Neusprech...

Uhu U. schrieb:
> auf Neusprech...

1984 - Doppelplusgut

Warum nimmt man nicht einfach die Internetsicherheit mit in die 
Konformitätsbewertung auf? CE-Zeichen nur was sicher ist.

Stefan H. schrieb:
> Warum nimmt man nicht einfach die Internetsicherheit mit in die
> Konformitätsbewertung auf? CE-Zeichen nur was sicher ist.

Weil du dann die Anforderungen an "was sicher ist" konkret und 
nachvollziehbar spezifizieren musst. Mach das mal. Und zwar so, dass 
etwas, was in Shanghai konform verschifft wird, auch bei Ankunft in 
Rotterdam noch konform ist. Ohne dabei zur Witznummer zu werden.