39C3 in Hamburg: Zwischen KI-Euphorie, Security-Realität und dem Wunsch nach einem Plan B

Am ersten Tag ist man erstmal damit beschäftigt, das System "Chaos Congress" zu verstehen: Räume, Wege, Formate, Assemblies, spontane Ecken. Das klingt banal, ist aber wichtig, weil der Congress nicht wie eine klassische Tagung funktioniert, bei der man sich einfach an ein von Dritten vorgefertigtes Programm hängt. Hier ist das Programm eher ein Angebot, und das eigentliche Lernen und Erfahren passiert oft dazwischen.

Gerade für KI- und Data-Science-Leute ist Tag 1 ein guter Reality Check: Man merkt schnell, wie stark viele Diskussionen am CCC von Security als Standardannahme geprägt sind. Nicht im Sinne von "alles ist kaputt", sondern im Sinne von: Wenn du etwas Neues erschaffst, baust du auch die Angriffsfläche mit. Das macht den Congress zu einem Ort, an dem KI nicht als abstraktes Tool diskutiert wird, sondern als Teil von Systemen, die ausgenutzt werden können oder Menschen aus Versehen ausliefern.

Trotzdem kamen die Vorträge dabei nicht zu kurz. Schon am ersten Tag ging es direkt los und wirklich Zeit zum Durchatmen war kaum vorhanden.

Tag 2 war der klassische "Input-Tag": viel Programm, viele Konzepte, viel Stoff, der erstmal sacken muss. Eine Szene, die hängen blieb: ein Beitrag aus dem Robotik-/Embodied-AI-Kontext, in dem gezeigt wurde, wie weit man mit Methoden kommt, die am Anfang fast "zu naheliegend" wirken. Keine Hollywood-Magie, eher bodenständige Schritte. Doch dann sah man plötzlich, wie tief der Kaninchenbau geht, wenn ein System an der falschen Stelle offen ist. Das war einer dieser Momente, wo man sich denkt: "Ja, das würde ich vermutlich genauso probieren, wenn mir ein 20.000-Euro-Gadget zur Verfügung stünde, das auch ohne Konsequenzen kaputtgehen dürfte." Der Witz ist aber nur die Verpackung; der Kern ist ernst: Wenn KI-Komponenten als Feature integriert werden, entstehen neue Angriffswege. Oft sind sie nicht mal exotisch, nur schlecht bedacht. Link

In diese Richtung passte auch ein wiederkehrendes Thema rund um "Agenten": KI-Systeme, die eigenständig Tools bedienen, Aufgaben ausführen, "für uns" klicken und handeln. Der Eindruck aus mehreren Beiträgen und Gesprächen war ziemlich klar: Die Technologie ist zwar da, aber die Rahmenbedingungen sind es nicht. Als Vergleich taugt das Konzept E-Mail ganz gut: Das System war nicht für heutige Missbrauchsrealität gebaut, und viele Schutzmechanismen kamen erst nach und nach. Bei Agenten sind wir wieder an so einem Punkt: wilder Westen, viel Motivation, wenig gelebte Hygiene und damit absurd hohes Missbrauchspotential. Link

Was dabei am meisten stört, ist nicht "KI an sich", sondern der Umgang damit: Es werden wieder Basics vergessen. Zum Beispiel die eigentlich triviale Regel, dass man private oder geheime Inhalte nicht gedankenlos in irgendeine API eines Unternehmens in Übersee kippt, nur weil es bequem ist. Und das schon gar nicht bei Anbietern, die in der Vergangenheit eher nicht dadurch aufgefallen sind, Datenschutz so zu "leben", wie es in den (oft eigenen) Bestimmungen steht (Microsoft als Beispiel). Dieser Seitenhieb ist humoristisch gemeint, aber das Risiko dahinter ist real: Bequemlichkeit ist oft die effektivste Trojaner-Funktion. 

Und dann waren da die Lightning Talks. Diese funktionieren genau so, wie man sie sich vorstellt: Eine Person hat ein Thema und will es teilen. Direkt, schnell, oft workshopartig und manchmal auch erkennbar ohne große Vorbereitung. Der CCC beschreibt das Format bewusst als offen und niedrigschwellig. Für "zufälliges Lernen" sind diese Lightning Talks ideal: Man geht rein, ohne große Erwartung, und kommt mit einem neuen Konzept raus. Ein Beispiel waren Tsetlin Machines (am ersten Tag). Vorher dem Autor unbekannt, offenbar eher Nische, aber mit genug Potential, dass im Hinterkopf direkt an Forschungsprojekte gedacht wird. Solche Fundstücke sind im akademischen Alltag oft wertvoller als die x-te "AI will change everything"-Folie, wie man sie sonst von den Konferenzen der letzten Monate gewohnt ist.

Am dritten Tag lag der Fokus weniger auf "noch mehr Vorträge", sondern auf den Menschen. Was treibt sie an? Warum investieren sie Zeit in Dinge, die sich nicht immer in Paper- oder Produktform auszahlen? Und wie reden sie über KI, Security, Politik und Alltag?

Die stärkste Szene war nicht in einem Saal, sondern im Flur: Eine Person stellte auf eigene Kosten große Mengen an Monitoren, Konsolen und Spielen bereit, damit vorbeikommende Kinder (und natürlich auch Erwachsene) eine Pause hatten. Komplett unentgeltlich, ohne Branding, ohne "ich will jetzt aber auch". Und dazu kaufte sie noch Süßkram in größeren Mengen, packte ihn in große Tüten um und erklärte ganz ruhig, wofür: Damit andere (zufällige und meist fremde) Congress-Teilnehmer diese auf dem Congress frei verteilen können. Einfach, um Menschen ein Lächeln zu schenken und den Verteilenden ebenfalls ein Gefühl der Gemeinschaft zu geben. Das ist schwer in Programmpunkte zu übersetzen, aber es beschreibt den "Geist" ziemlich gut: Hilfsbereitschaft und eine Kultur, in der das Geben normal ist. Das Konzept "Open Source" lässt grüßen.

Dass auch Familien vor Ort waren, verstärkte diesen Eindruck. Der Congress ist erstaunlich gut auch für Kinder unter 12 erlebbar, nicht als "Kinderbetreuung", sondern als echte Einladung zum Mitmachen: Retro-Games, Basteln (3D-gedruckte Katzenohren designen inklusive), LED-Anhänger löten und sogar die Möglichkeit, sich auf einem 10 m hohen Gemeinschaftskunstwerk zu verewigen. Das zeigt, wie niedrig die Schwelle sein kann, wenn man Technik nicht nur erklärt, sondern erlebbar macht.

Als guter Ort für eine Auszeit diente beispielsweise das Critical Decentralisation Cluster [CDC]: Leute, die aus Spaß an der Freude trockene Themen wie Kryptografie in Workshops runterbrechen. Dort gab es eine Hardware-Platine mit offenem Security-Modul, primär gedacht als digitale Visitenkarte zum Umhängen. Die Platine wurde nicht verkauft, sondern für eine Spende auf Materialkostenbasis abgegeben. Streng genommen war selbst das optional. Entscheidend war nicht das Gadget, sondern die Didaktik: viel Erklärung, kleine Workshops und nach zwei Stunden hatte man auch ohne Vorwissen verstanden, wie man Daten auf dem Chip speichert und Software dafür schreibt. Natürlich inklusive Einstieg in mobile Hardwareentwicklung auf ESP32-Basis, gelehrt direkt von den Menschen, die auch die Chips entwickelt haben. Es ist schwer, das an einer Uni so "leicht" hinzubekommen. Gerade deshalb ist es als Beobachtung wertvoll. Link

Am vierten Tag waren alle müde. Aber auffällig war: kaum genervt. Eher eine Mischung aus "platt" und Zufriedenheit. Ein Vorteil war, dass privat noch ein paar Tage drangehängt werden konnten, ohne den Stress, direkt wieder aus dem System rauszupendeln. Vielleicht sieht man dadurch auch klarer, wie der Congress endet: nicht mit "Panik", sondern mit einem pragmatischen "weiter so, aber smarter".

Beim "Vibe Coding" arbeitet man faktisch längst mit Agenten: Tools wie Claude Code oder Codex schreiben nicht nur Code, sie führen auch Schritte aus (Dateien ändern, Commands starten, Tests laufen lassen, externe Quellen einbeziehen). Genau deshalb sind Agenten-Angriffe so effektiv: Sobald ein Agent Inhalte von außen verarbeitet (Webseiten, Issues, Doku), kann er in Richtung "mach mal eben X" gedrückt werden. Genau dieses X ist im Zweifel ein riskanter Command oder ein unerwünschter Code-Change. Die vielen manuellen Bestätigungen sind daher kein UI-Makel, sondern ein Sicherheitsgurt: Sie holen die Kontrolle zurück zum Menschen, bevor der Agent wirklich handelt. Konsequenz: externe Inhalte wie untrusted Input behandeln, Rechte klein halten, und Änderungen lesen wie einen fremden PR. Leider vergisst man diesen Fakt sehr schnell, und viele drücken nach der 50ten Rückfrage fast schon von selbst auf "alles genehmigen".

Inhaltlich hat besonders ein Security-Thema geerdet: Netzwerk-Kryptografie in populären mobilen Ökosystemen, etwa im Kontext chinesischer App-Ökosysteme. Oder auch: wie schnell ein "das wird schon TLS sein" in der Praxis zerbröseln kann.

Wichtig: Das folgende soll ausdrücklich keinen politischen Diskurs darstellen. Plausibler ist, dass in anderen Markt- und Regulierungskontexten Sicherheitsanforderungen anders gewichtet werden und dadurch unsichere Implementierungen entstehen können, ohne dass dahinter zwingend Böswilligkeit steckt. Sinngemäß passt hier Hanlon’s Razor: Nicht sofort Absicht unterstellen, wenn sich etwas auch durch Pragmatismus, Zeitdruck oder Inkompetenz erklären lässt. Die Konsequenz ist nicht Panik, sondern ein besseres Threat Model: mehr Prüfungen, klarere Grenzen für sensible Daten und weniger blindes Vertrauen. Link

Die Leitlinie, die hängen blieb, klingt erstmal hart, ist aber gesund: Vertraue keiner Implementation, die du nicht selbst entwickelt hast, und selbst der eigenen solltest du nicht blind vertrauen, weil du nicht unfehlbar bist. Gleichzeitig gilt: ruhig bleiben. Übertreiben hilft nicht. Naiv sein aber auch nicht.

Und damit landet man fast automatisch bei einem Thema, das sich als Schlussklammer anbietet: "Digital Independence". Der Gedanke, der im "Känguru-Format" humoristisch verpackt wurde, ist im Kern ernst: Wir hängen an Infrastrukturen, die wir nicht kontrollieren, und an Entscheidungen, die woanders getroffen werden. Das muss kein Kulturkampf gegen große Firmen sein. Was funktioniert, sind kleine, realistische Schritte im eigenen Radius. Ein Plan B, der sich gut anfühlt. Und der beginnt oft bei Kommunikation: Signal statt WhatsApp, Matrix statt Teams. Kommunikation hält Workflows zusammen. Wer Kommunikation kontrolliert, kontrolliert langfristig noch viel mehr. Wenn hier Alternativen aufgebaut werden, entsteht Spielraum. Privat und vielleicht irgendwann auch institutionell, etwa als Angebot an einer Universität für alle, die nicht komplett vendor-locked sein wollen. Link zur Initiative

Mitgenommen wird aber nicht nur Müdigkeit, sondern auch ein großer Pool an Vorträgen, die vor Ort dann doch verpasst wurden. Das gehört beim C3 einfach dazu: Man kann nicht überall gleichzeitig sein, egal wie gut der Plan vorher aussah. Zum Glück sind die meisten großen Talks als Aufzeichnung verfügbar.

Für "mal eben schnell" landet man dabei auf YouTube, klar. Aber genau da fängt der Digital-Independence-Gedanke an, plötzlich praktisch zu werden. Es gibt einen Plan B, der überraschend gut funktioniert: media.ccc.de. Gleiche Vorträge, aber ohne Werbung, ohne Algorithmus-Autopilot, ohne dass man sich dabei fühlt, als hätte man doch nichts aus der Zeit vor Ort mitgenommen. Dass es so angenehm ist, sollte einem eigentlich zu denken geben. Wenn schon beim Vorträge-Schauen eine Alternative gut tut, wie tief stecken wir dann erst bei den wirklich wichtigen Workflows drin?

Und trotzdem bleibt: Video ist nur die Konserve. Der Teil, der nicht aufgenommen wurde, ist mindestens genauso wertvoll. Menschen lernt man nicht über eine Playlist kennen, und gegen einen Bildschirm kann man nicht nachfragen, weiterdenken oder Hintergründe aufklären.