Linus Neumann (* 1983) ist Hacker, Berater für IT-Sicherheit und ein Sprecher[1] des Chaos Computer Clubs (CCC). Der Diplom-Psychologe[2] lebt und arbeitet in Berlin. Für den CCC tritt er regelmäßig als Sachverständiger für IT-Sicherheit in Ausschüssen des Deutschen Bundestags auf. Seit 2011[3] veröffentlicht er mit Tim Pritlove den wöchentlichen Podcast Logbuch:Netzpolitik. Trotz vielfältigem aktivistischen Engagement versteht er sich nicht als Netzaktivist.[4]
Im September 2017, wenige Wochen vor der Bundestagswahl 2017, veröffentlichte das Wochenmagazin Die Zeit die Ergebnisse einer von Thorsten Schröder, Martin Tschirsich und Linus Neumann durchgeführten Analyse einer zur Erfassung und Auswertung der Bundestagswahl 2017 genutzten Software.[5] Vorangegangen waren Gerüchte, russische Hacker planten einen solchen Angriff. In einem vom Chaos Computer Club veröffentlichten Bericht attestierten die Hacker mehrere Angriffpfade zur Manipulation auf aggregierte und erfasste Wahldaten.[6]
Der Hersteller versuchte mit mehreren Updates, die Schwachstellen zu beseitigen. In einer weiteren Veröffentlichung des Chaos Computer Clubs wurden diese als ineffektiv, „unsinnig und nicht nachvollziehbar“ kritisiert.[7] Der Chaos Computer Club bot daher mit einer „Open Source Spende“ eine „Digitale Erste Hilfe“ an[8] und bekräftigte damit die Forderung, von öffentlicher Hand bezahlte Software müsse auch öffentlich einsehbar und überprüfbar sein.[9]
Der Hersteller stellte daraufhin die Bereitstellung von Updates für die Software ein. Die Bundestagswahl wurde in mehreren Bundesländern mithilfe der bemängelten Software durchgeführt.
Bei den Landtagswahlen in Hessen im darauf folgenden Jahr 2018 kam es zu großflächigen Unregelmäßigkeiten und Ausfällen, für die das erfolgte Verbot des Einsatzes der bemängelten Software als Auslöser angeführt wurde.[10]
Erstes IT-Sicherheitsgesetz (2015)
Im Mai 2014 nahm Linus Neumann als Sachverständiger im Ausschuss Digitale Agenda des Deutschen Bundestags zu Fragen der IT-Sicherheit Stellung. In einem Grundsatzpapier[11] empfahl er die Qualitätssicherung von Open-Source-Software durch finanzielle Förderung von Auditierungen und Bug Bounties, sowie eine verstärkte Dezentralisierung von Sicherheitssystemen, für die eine Ende-zu-Ende-Verschlüsselung nicht mehr optional sei. Abschließend plädierte er für eine unabhängige und evidenzbasierte Sicherheitspolitik, bei der insbesondere grundrechtseinschränkende Maßnahmen hinsichtlich ihrer Wirkung evaluiert werden sollten.
Im April 2015 übte er als Sachverständiger im Innenausschuss des Deutschen Bundestages am resultierenden Gesetzesentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ausführliche Kritik. Insbesondere hob er hervor, dass keine Maßnahmen zum Schutz der Endnutzer ergriffen würden. Stattdessen werde deren Datenschutz noch weiter ausgehöhlt, indem Providern ein Freibrief zur Datenspeicherung ausgestellt werde. Dem Gesetz fehle das Potenzial, zu einer aktiven Erhöhung der IT-Sicherheit beizutragen. Stattdessen steigere es den Bürokratieaufwand, an dem aber in Unternehmen kein Mangel herrsche. Darüber hinaus führe das Vorschlagsrecht der Betreiber den gewünschten Effekt der geplanten, gesetzlich vorgeschriebenen „Sicherheitsstandards“ ad absurdum. Am Bundesamt für Sicherheit in der Informationstechnik (BSI) übte er grundsätzliche Kritik. Vorangegangen war die Enthüllung, dass die Behörde aktiv an der Entwicklung von Staatstrojanern – auch zum Einsatz gegen Deutsche Bundesbürger – beteiligt war.[12]
Das IT-Sicherheitsgesetz wurde im Juni 2015 vom Deutschen Bundestag unverändert beschlossen[13] und trat am 25. Juli 2015 in Kraft.[14]
IT-Sicherheitsgesetz 2.0 (2021)
Auch das zweite IT-Sicherheitsgesetz kritisierte Neumann als Sachverständiger im Innenausschuss des Deutschen Bundestags. Insbesondere hob er den "zweifelhaften Umgang mit Schwachstellen" hervor, warnte vor überbordenden Befugnissen zum Eingriff in IT-Systeme. Das „IT-Sicherheitskennzeichen“ bezeichnete er als "Ressourcenverschwendung" und kritisierte einen "falscher Fokus" auf sogenannte „Unternehmen im besonderen öffentlichen Interesse.“ Ausführlich kritisierte er das Konzept „nicht vertrauenswürdiger Anbieter.“
De-Mail
Im Jahre 2013 vertrat Linus Neumann als Sachverständiger für IT-Sicherheit den CCC im Innenausschuss[15] und im Rechtsausschuss[16] des Deutschen Bundestages.[17]
In beiden Anhörungen kritisierte er das Absenken gesetzlich vorgeschriebener Sicherheitsniveaus für sensible Daten, um das De-Mail-Verfahren zulassen zu können. De-Mail selbst kritisierte er als ein System, dessen Sicherheit nicht seiner erhöhten Attraktivität als Angriffsziel entspricht. Dass es bis dato geltenden gesetzlichen Sicherheitsansprüchen nicht genügte, bestätige seine These. Seiner Kritik wurde medial mit ausführlicher Berichterstattung, seitens der Anbieter mit einer PR-Offensive[18] begegnet.
Die kritisierten Gesetze wurden wenige Zeit später vom Bundestag mit kleinen Änderungen beschlossen.
Mobilfunk
Im Team des Sicherheitsforschers Karsten Nohl ist Neumann Projektleiter[19] der Initiative GSMmap.[20] Die Website informiert Nutzer weltweit über Schwächen von Mobilfunknetzen. Die Datenbasis dafür wird mit Hilfe von Open-Source-Software[21] mittels Crowdsourcing generiert.
Aufsehen erregte er im Herbst 2013, als er für ein TV-Team im Berliner Regierungsviertel das Abhören von Mobiltelefonen demonstrierte.[22] Vorangegangen war die Enthüllung, dass die US-Botschaft in Berlin als Stützpunkt für das Abhören des privaten Telefons von Angela Merkel diente.
E-Mail
Im Dezember 2013 entdeckte er, dass Nachrichten des Verbundes E-Mail made in Germany entgegen den Aussagen der Anbieter weiterhin unverschlüsselt übertragen werden konnten, und warnte öffentlich davor.[23] Kurz darauf kündigten einige der Anbieter eine baldige Umstellung an. Allerdings hatte die Deutsche Telekom bereits in einer Pressemeldung vom August 2013 mitgeteilt, man wolle im Verbund E-Mail made in Germany ab Anfang 2014 aus Sicherheitsgründen konsequent nur noch SSL-verschlüsselte Mails transportieren.[24] Auf der Website der Initiative[25] sowie in Medienberichten[26] wurde ebenfalls darauf hingewiesen.
In einer Sachverständigenauskunft zum Entwurf des Gesetzes zur Modernisierung des Besteuerungsverfahrens warnte er vor dem durch das Gesetz legalisierten Einsatz von Risikomanagementsystemen zur Identifikation von potenziellen Steuersündern nach ökonomischen Prinzipien.[28] Diese könnten zu „unbemerkten und sich schleichend verstärkende strukturelle Diskriminierungen oder ‚blinde Flecken‘ im Prüfprozess“[29] führen. Die von Neumann entwickelten Rahmenbedingungen für einen derartigen Einsatz flossen in einen Entschließungsantrag der Opposition ein, welcher jedoch abgelehnt wurde.
Aktivismus
Netzneutralität
Neumann ist Verfechter von Netzneutralität. Für diese bestritt er mit dem Verein Digitale Gesellschaft mehrere Kampagnen,[30] zuletzt gegen die Pläne der Telekom die Verbindungen von DSL-Flatrates nach einem bestimmten Volumen zu drosseln (ohne dabei Telekom-eigene Dienste einzuschließen).[31] Unter anderem rief er Eigner von Telekom-Aktien dazu auf, ihr Stimmrecht dem CCC zu übertragen[32] und organisierte eine Plakat-Aktion am Hauptversammlungsgebäude.[33][1]
Medien-Guerilla
Trotz einer Aufzeichnung[34] bestritt Neumann, Anmelder der satirischen Pro-Guttenberg-Demonstration in Berlin gewesen zu sein, zu der sich die Hedonistische Internationale bekannte. Im gleichen Jahr berichtete er beim Chaos Communication Congress unter Pseudonym von der Aktion.[35] 10 Jahre später im Mai 2021 gab er zu, der Anmelder gewesen zu sein.[36]
In einem Artikel über die „Gratis-Bild“ des Axel-Springer-Verlags schilderte Neumann 2012, wie man einen Widerspruch gegen die Zustellung mit maximalem Arbeitsaufwand für den Verlag verbinden könnte.[37] Seiner „Anleitung“ folgten viele Tausend Leser,[38] so dass zeitweilig das E-Mail-System des Verlags zusammenbrach. Der Verlag warf ihm das Auslösen einer Mailbombe vor.[38] Im Laufe der Ermittlungen stellte sich jedoch heraus, dass der Springer-Verlag nicht nur gegen das Datenschutzrecht verstoßen hatte, sondern auch nicht den Tatsachen entsprechende Behauptungen über Absprachen mit dem Landesdatenschutzbeauftragten getätigt hatte. Dies brachte wiederum dem Verlag ein Aufsichtsverfahren ein.[39]
Publikationen und Vorträge
Netzpolitik.org
Im August 2010[40] begann er, für den Blog netzpolitik.org zu schreiben und wurde kurz darauf zum ersten fest angestellten Redaktionsmitglied.[41]
Logbuch:Netzpolitik
Im Oktober 2011[42] startete er zusammen mit Tim Pritlove den Podcast „Logbuch:Netzpolitik“. In den für gewöhnlich ein- bis zweistündigen Beiträgen diskutiert er mit Tim Pritlove Themen der Netzpolitik insbesondere im deutschsprachigen Raum.[43] Der wöchentlich erscheinende Podcast finanziert sich über Spenden und feierte im April 2014 die 100. Folge mit Gast Hans-Christian Ströbele.[44]
Netzaktivisten! Ist das alles, was wir drauf haben?[45] auf dem 29. Chaos Communication Congress
Bullshit made in Germany[46] auf dem 30. Chaos Communication Congress
Jahresrückblick des CCC 2013[1] auf dem 30. Chaos Communication Congress
Jahresrückblick des CCC 2014[47] auf dem 31. Chaos Communication Congress
Jahresrückblick des CCC 2015[48] auf dem 32. Chaos Communication Congress
Jahresrückblick des CCC 2016[49] auf dem 33. Chaos Communication Congress
Jahresrückblick des CCC 2017[50] auf dem 34. Chaos Communication Congress
Der PC-Wahl-Hack[51] auf dem 34. Chaos Communication Congress
Du kannst alles hacken – du darfst dich nur nicht erwischen lassen[52] auf dem 35. Chaos Communication Congress
Jahresrückblick des CCC 2018[53] auf dem 35. Chaos Communication Congress
Hirne Hacken – Menschliche Faktoren der IT-Sicherheit[54] auf dem 36. Chaos Communication Congress
Hirne Hacken: Hackback Edition auf dem 37. Chaos Communication Congress
Chaos Communication Camp
Politische Lösungen für technische Probleme? IT-Sicherheit per Gesetz[55] auf dem Chaos Communication Camp 2015
re:publica
Die Trolldrossel: Erkenntnisse der empirischen Trollforschung[56] auf der re:publica 2013
On our fear and apathy towards smartphone attacks[57] auf der re:publica 2014
Sonstige Tätigkeiten
Neben seinem Studium der Psychologie gab Neumann ab 2008 zusammen mit dem Illustrator Roland Brückner die werbefinanzierte Kinderbuch-Reihe Mumpelmonster heraus.[58]
Im Jahr 2019 trat er als Sprecher des Kulturvereins Kulturkosmos Müritz auf, welcher unter anderem das Musikfestival Fusion veranstaltet.
↑Tim Pritlove, Linus Neumann: LNP376 Elektionsstörungen. (m4a; opus, oga, mp3) In: Logbuch:Netzpolitik. 14. Januar 2021, abgerufen am 14. Januar 2021 (1:32:00-1:32:17): „Also ich sag's jetzt hier, ich bin kein Netzaktivist, und damit habt ihr eine Quelle, damit ihr das da rauslöschen könnt.“