Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Secrets Not Included: Cybersecurity, KI und Post-Quantum: Was jetzt auf uns zukommt
12 Plays1 day ago
In dieser Folge von Secrets Not Included wird’s bewusst breit, aber alles andere als oberflächlich: Daniel und Ole sprechen über den aktuellen Stand von Cybersecurity im KI-Zeitalter, über den wachsenden Druck auf Teams, schneller, sauberer und nachvollziehbarer zu patchen, und über die Frage, was Post-Quantum-Kryptografie jetzt ganz konkret für die Praxis bedeutet.
Es geht um langlebige Credentials, Zertifikatsrotation, mTLS, Legacy-Systeme, automatisierte Deployments und darum, warum saubere Pipelines heute kein Luxus mehr sind, sondern Mindeststandard. Dazu kommt die unbequeme Frage, wie sich Sicherheitsarbeit verändert, wenn KI nicht nur beim Finden von Schwachstellen hilft, sondern das Zeitfenster zwischen Fund, Exploit und Fix massiv verkürzt.
Eine Folge über alte Systeme, neue Bedrohungen und die Realität dazwischen: technisch, direkt und ohne Bullshit.
--
Ole ist Gründer der Moselwal Digitalagentur & OnlyOle und Beschäftigt sich mit Hyperautomatisierurng (auch mit KI), Sicherheit und CMS.
Daniel ist Geschäftsführer der xebro GmbH und sein Schwerpunkt liegt auf PHP, Symfony, E Commerce, DevOps und AWS.
Recommended
Transcript
Einführung in 'Secrets Not Included'
00:00:00
Kai Ole Hartwig
Willkommen zurück zu Secrets Not Included, dem Podcast mit Dani und Ole über DevSecOps.
00:00:06
Kai Ole Hartwig
Und in dieser Woche machen wir mal einen kleinen Rundumschlag zu Cybersecurity mit KI und ich glaube nochmal einen kurzen Ausflug Richtung Post-Quantum-Verstüß-Doc.
00:00:20
Daniel Langemann
Ja, genau.
00:00:21
Daniel Langemann
In der Vorbereitung hatten wir mehrere Themen rausgesucht und irgendwie konnten uns nicht für eins entscheiden, haben wir gedacht, machen wir alle.
00:00:30
Kai Ole Hartwig
Und welche Vorbereitung erstmal, Daniel?
Spontane Themenauswahl im Podcast
00:00:32
Kai Ole Hartwig
Lass mich...
00:00:35
Daniel Langemann
Ja, so die fünf Minuten vorher, wo wir uns links zu schmeißen und sagen, was wir wollen.
BSI-Updates zur Post-Quanten-Kryptographie
00:00:42
Daniel Langemann
Ja, also grundlegend, zumindest das Thema, was mir gerade im Kopf geblieben ist aus diesen fünf Minuten Vorbereitung, ist, dass Postquanten, und das Thema hatten wir ja auch schon, Postquantenverschlüsselung jetzt auch vom BSI behandelt wurde, beziehungsweise gesagt wurde, bis wann man theoretisch darauf komplett verzichten sollte.
00:01:05
Daniel Langemann
Jetzt weiß ich,
00:01:06
Kai Ole Hartwig
Ja, genau.
00:01:07
Kai Ole Hartwig
Da gab es ja so ein kleines Update jetzt die Tage.
00:01:11
Kai Ole Hartwig
Nicht, dass es die Information nicht vorher schon gab.
00:01:13
Kai Ole Hartwig
Ich glaube, vorher war sie
Erfahrungen mit alten Verschlüsselungsschlüsseln
00:01:14
Kai Ole Hartwig
sogar enger geknüpft.
00:01:14
Kai Ole Hartwig
Vorher hat das BSI gesagt, bis Ende 2030, jetzt sagen sie bis Ende 2031.
00:01:21
Kai Ole Hartwig
Ich habe nicht so genau die Quelle aus dem Artikel dafür gefunden.
00:01:25
Kai Ole Hartwig
Auf jeden Fall wurden die technischen Richtlinien aktualisiert in der Richtung, was das Verschlüsselungsverfahren angeht.
00:01:31
Kai Ole Hartwig
Und ich halte mir ja so ein bisschen an der Google-Timeline bis Ende 2029 weiter fest.
00:01:37
Kai Ole Hartwig
Ich finde, das ist schöner als 2030.
00:01:40
Daniel Langemann
Ja, definitiv.
00:01:40
Daniel Langemann
Achso.
00:01:40
Daniel Langemann
Ja, super.
00:01:40
Daniel Langemann
Jetzt fühle ich mich alt.
00:01:41
Daniel Langemann
Danke.
00:01:41
Daniel Langemann
Ja.
00:01:41
Kai Ole Hartwig
30, das fühlt sich so erwachsen an.
00:01:48
Kai Ole Hartwig
Ja, schau mal, das hier 1000 wird dann 30, also das, oder 29a.
00:01:55
Daniel Langemann
Ja, genau, genau.
00:01:58
Daniel Langemann
Ja, es hört sich auch schlimmer an, als es ist.
00:02:01
Daniel Langemann
Also für mich als Entwickler, wir hatten das letzte Mal schon im Podcast das Thema und ich habe dann angefangen zu überlegen, was ich eigentlich machen müsste, beziehungsweise ich bin ehrlich, ich habe einen Schlüssel, der 15 Jahre alt ist.
00:02:13
Daniel Langemann
Also als ich mit Computern angefangen habe, habe ich auch irgendwo mal...
00:02:17
Daniel Langemann
so mit PGP und solchen Sachen angefangen und GPG und sowas.
00:02:22
Daniel Langemann
Und da habe ich noch einen Schlüssel, den ich seitdem immer genutzt habe und richtig stolz darauf war, dass ich damals schon eine hohe Verschlüsselung, also eine Bitrate hatte.
Notwendigkeit der Schlüsselaktualisierung
00:02:30
Daniel Langemann
Und nach unserem letzten Gespräch ist mir so eingefallen, ja stimmt, du hast da noch was, was du tauschen müsstest.
00:02:36
Daniel Langemann
Und ich habe mir jetzt auch letzte Zeit
00:02:37
Kai Ole Hartwig
Ja, Thema langlebige Credentials, ne?
00:02:39
Kai Ole Hartwig
Mhm.
00:02:40
Daniel Langemann
Ja, genau.
00:02:42
Daniel Langemann
Langlebige Credentials.
00:02:43
Daniel Langemann
Und ja, den habe ich jetzt getauscht, weil ich halt einen Schlüssel auch zum Signieren nutze, zum Beispiel dieses Git-Comments-Signieren und sowas.
00:02:53
Daniel Langemann
Und das ist gar nicht so viel Arbeit.
00:02:56
Daniel Langemann
Also man denkt ja erstmal so, mein Gott, jetzt muss ich alles umbauen und tun und machen.
00:03:00
Daniel Langemann
das ist einen neuen Schlüssel generieren.
00:03:03
Daniel Langemann
Je nachdem, als Externer oder als Freelancer bist du manchmal in mehreren Projekten, dann musst du in mehreren GitHub, GitLab, was auch immer, da mal ein paar Sachen austauschen.
00:03:13
Daniel Langemann
Aber ich denke mal, bis 2030 dürfte die Timeline lang genug sein, dass das nicht den Stress ausartet.
00:03:20
Daniel Langemann
Mhm.
00:03:20
Kai Ole Hartwig
Ja, ich glaube, da ist es wichtiger auch zu verstehen, dass es natürlich auch sowas wie MTLS betrifft und dass da halt auch natürlich, wie bei allen Zertifikaten für TLS, die Laufzeiten reduziert werden sollten, müssen.
00:03:39
Daniel Langemann
Ja, also eher so ein Legacy-System.
00:03:41
Kai Ole Hartwig
musst du nicht zwingen, solltest du aber tun.
00:03:45
Kai Ole Hartwig
Und wenn du das heute halt machst, dann hast du halt durch die Rotation auch schon mal so einen Tacken mehr Sicherheit, gerade wenn du halt irgendwo nicht auf TLS 1.3 gehen kannst.
Automatisierung von Zertifikatserneuerungen
00:03:54
Kai Ole Hartwig
Ja, genau so.
00:03:58
Daniel Langemann
Als Betreiber, ja.
00:04:00
Daniel Langemann
Aber wenn du zum Beispiel, also ich gehe immer davon, natürlich von mir aus, und oft habe ich dann in solchen Projekten entweder CertBot laufen, wo ich schon fast vergesse, dass da Zertifikate sind und die automatisch erneuert werden.
00:04:13
Daniel Langemann
Und da dürfte der Aufwand auch recht gering sein.
00:04:17
Daniel Langemann
Oder AWS, CertManager ist ja genauso.
00:04:21
Daniel Langemann
Hast du einmal aufgesetzt und loll.
00:04:21
Kai Ole Hartwig
Ja, aber kann der Search-Bot tatsächlich dir intern eine Zertifikate neu machen?
00:04:27
Daniel Langemann
Also interne.
00:04:28
Kai Ole Hartwig
Ja.
00:04:30
Daniel Langemann
Soweit habe ich gar nicht gedacht.
00:04:31
Daniel Langemann
Ähm.
00:04:31
Daniel Langemann
Mhm.
00:04:33
Kai Ole Hartwig
Deswegen sage ich ja MTLS, dass das halt die Externen, die nach außen gehen, alles geschenkt, das ist gut automatisiert, automatisierbar.
Netzwerksicherheit und interne Zertifikate
00:04:44
Kai Ole Hartwig
Die internen sind auch gut automatisierbar, da muss man halt ein bisschen mehr, also da ist einfach
00:04:51
Kai Ole Hartwig
oder habe ich zumindest festgestellt, du musst über mehr Dinge nachdenken.
00:04:57
Kai Ole Hartwig
Wenn du natürlich sowas hast wie Franken-PHP im Worker-Mode, dann bekommt das nicht sofort mit, dass es ein neues Zertifikat hat.
00:05:07
Kai Ole Hartwig
Das ist doof, wenn ein Zertifikat irgendwie kurzlebig ist, ein paar Stunden, und dein Worker halt nicht jetzt so häufig neu startet,
00:05:10
Daniel Langemann
Ja.
Experimentieren mit kurzlebigen Zertifikaten
00:05:17
Kai Ole Hartwig
dann hast du auf einmal das Problem, dass der halt sagt, ich bekomme die Verbindung nicht mehr gebaut.
00:05:22
Kai Ole Hartwig
Das Zertifikat ist ja gar nicht gültig.
00:05:25
Kai Ole Hartwig
Das stimmt nicht überein, deswegen ja bei MTLS.
00:05:28
Kai Ole Hartwig
Das ist so ein Ding, da muss man tatsächlich aufpassen und da kann man schnell aufs Knie fallen, aber es ist jetzt auch nicht so, dass diese Probleme unlösbar wären.
00:05:39
Kai Ole Hartwig
Also man...
00:05:40
Kai Ole Hartwig
Und man merkt sie schneller.
00:05:41
Kai Ole Hartwig
Also wenn man so ein Zertifikat hat, dass da irgendwie 90 Tage rumfliegt und nach 90 Tagen stellt man fest, der Renew funktioniert gar nicht so erfolgreich und das wird natürlich dann sonntags abends oder so sein oder mitten in der Nacht oder wie es immer so ist.
00:05:54
Daniel Langemann
Ostermontag.
00:05:57
Kai Ole Hartwig
Montag wäre ja nicht so schlimm.
00:05:59
Daniel Langemann
Doch Ostermontag.
00:05:59
Kai Ole Hartwig
Montag ist man immerhin da.
00:05:59
Daniel Langemann
Wenn du frei hast, hast du das zweite Bierchen im Kopf und dann kommt so eine Nachricht.
00:06:03
Kai Ole Hartwig
Ja, genau, so.
00:06:03
Daniel Langemann
Mhm.
Automatisierung in Hosting und Zertifikatsmanagement
00:06:04
Kai Ole Hartwig
Immer ungünstiger Zeitpunkt, wo das passiert.
00:06:07
Kai Ole Hartwig
Und jetzt bekommst du, ich hab mal mit sechs Stunden rumexperimentiert, ne, Zertifikatsgültigkeit.
00:06:13
Kai Ole Hartwig
Also jetzt halte ich für übertrieben, aber so zum Ausprobieren und Rumspielen und Testen, ob so ein Renew schnell und zuverlässig funktioniert, war es cool.
00:06:22
Kai Ole Hartwig
Weil ich nach sechs Stunden gemerkt habe, nein, das funktioniert nicht.
00:06:24
Kai Ole Hartwig
So.
00:06:26
Daniel Langemann
Ja, aber besser als nach, weiß ich nicht, 30 Tagen oder nach längerer Phase.
00:06:31
Kai Ole Hartwig
Genau, dann habe ich da so ein paar Runden gedreht und dann funktionierte es auch.
00:06:32
Daniel Langemann
Ich bin da auch nicht drauf gekommen.
00:06:35
Kai Ole Hartwig
Ja, das war mein Unvermögen, dass ich natürlich nicht dran gedacht habe, dass der Worker da irgendwie noch was cachen könnte oder so.
00:06:46
Kai Ole Hartwig
Aber letztendlich kein unlösbares Problem, nur etwas, wo man halt dann vielleicht doch nochmal nicht einfach mal erneuert und vielleicht doch mal erst nachdenkt.
00:06:58
Daniel Langemann
Zumindest mal ausprobieren, ne?
00:06:58
Kai Ole Hartwig
Da hat dich der KI ein Stück weit zu weit vertraut, dass die Information richtig ist.
00:07:02
Kai Ole Hartwig
Nee, brauchst du nicht weiter bedenken.
00:07:04
Kai Ole Hartwig
Ist alles kein Thema.
00:07:07
Kai Ole Hartwig
Mein Freund, die liebe KI, da hast du dich gehört.
00:07:07
Daniel Langemann
Ja, gerade so Auto-Renew ist das gleiche Thema wie Backups, ne?
00:07:15
Daniel Langemann
Backups funktionieren nur, wenn du sie auch zurückspielen kannst und da würde ich genau das Gleiche sagen beim Zertifikat erneuern.
00:07:21
Daniel Langemann
Es funktioniert nur, wenn es wirklich automatisiert sich erneuert und auch dann wieder einspielt, ne?
00:07:28
Kai Ole Hartwig
Ja, und halt wirklich alle Schritte durchführt.
00:07:31
Kai Ole Hartwig
Also das Einspielen war kein Thema, das Erneuern war kein Thema, aber der Service, der da läuft, muss es natürlich dann auch aktiv verwenden und mitbekommen.
00:07:39
Daniel Langemann
Jetzt bin ich gerade am überlegen, ohne dass ich das Thema gegoogelt habe.
00:07:45
Daniel Langemann
Caching von Browser ist aber kein Problem bei dem Thema, oder?
00:07:47
Kai Ole Hartwig
So.
00:07:48
Kai Ole Hartwig
Ah, das ist ja dein internes Netzwerk, ist das der Browser da ja erstmal außen vor?
00:07:52
Daniel Langemann
Ach, stimmt, wir sind wieder noch beim Internen.
00:07:53
Daniel Langemann
Ich bin schon wieder extern.
00:07:54
Daniel Langemann
Mhm.
00:07:55
Kai Ole Hartwig
So, und beim Externen ist es ja auch, also war es ja schon immer relativ hilfreich bei solchen Themen, wenn die DNS-Rekords nicht zu lange Gültigkeit haben.
00:08:10
Daniel Langemann
Auch daran ist das gekoppelt, ne?
00:08:14
Kai Ole Hartwig
Also zumindest war es, kenne ich es halt so, dass wenn du eine lange Gültigkeit deines A- oder AAA-Rekords da hast, dann
00:08:25
Kai Ole Hartwig
hast du immer das Thema mit, ah, jetzt holt jemand nicht das neue Zertifikat, aber ich weiß nicht, ob das heute noch so tatsächlich das große Thema ist.
00:08:32
Kai Ole Hartwig
Eigentlich sehe ich es nicht mehr so, dass tatsächlich das Austauschen des öffentlichen Zertifikats am Browser noch wirklich Probleme macht.
00:08:44
Daniel Langemann
Dank den ganzen Automatisierungen habe ich mich dann, also wenig Probleme bis jetzt mitgehabt in den letzten Jahren, dass ich das fast vergessen habe, wie es funktioniert.
00:08:44
Kai Ole Hartwig
Das hat sich ja auch geändert.
00:08:45
Kai Ole Hartwig
Ja.
00:08:45
Kai Ole Hartwig
Ja.
00:08:51
Daniel Langemann
Ja, ja, ja.
00:08:52
Kai Ole Hartwig
Ja, das ist halt auch so ein Ding, es läuft einfach und wenn es dann mal nicht läuft, dann muss man so tief, tief in den Gehirnwindungen anfangen zu kramen und zu überlegen, wie war das denn früher?
00:09:06
Kai Ole Hartwig
Aber immerhin können wir, wir sind ja alt genug, wir können uns daran erinnern, wie es früher war.
00:09:10
Daniel Langemann
Wir sind alt genug, dass wir uns langsam nicht mehr daran erinnern können.
00:09:13
Daniel Langemann
Das lässt schon wieder nach.
00:09:13
Kai Ole Hartwig
Auch das
00:09:14
Daniel Langemann
Ja, ja, genau.
00:09:14
Daniel Langemann
Mhm.
00:09:15
Kai Ole Hartwig
Ja, aber stell dir vor, es ist besser zu wissen, dass man es vergessen hat, wie es funktioniert und dass die Lösung irgendwo in Stack Overflow von 2000 steht und die KI das garantiert indexiert haben wird, dass man zumindest sich daran erinnert, wo war es denn, an welcher Stelle, was haben wir kaputt gemacht vom Internet.
00:09:40
Daniel Langemann
Ja.
00:09:40
Daniel Langemann
Genau,
Auswirkungen des Quantencomputings auf Verschlüsselung
00:09:41
Daniel Langemann
wenn es nicht Caching war, war es DNS.
00:09:41
Daniel Langemann
Sehr gut.
00:09:42
Daniel Langemann
Ich sehe schon die ersten Beschwerden kommen, wenn man sich Chefs beschweren soll.
00:09:42
Kai Ole Hartwig
So, und dann gilt wie immer, es war der DNS.
00:09:43
Daniel Langemann
Meine Kollegen sagen nur noch, dass Caching und DNS war es.
00:09:44
Daniel Langemann
Ja, genau.
00:09:48
Kai Ole Hartwig
Ja, so.
00:09:50
Kai Ole Hartwig
Also alle Probleme gelöst.
00:10:04
Kai Ole Hartwig
Ja, einfach unseren Podcast zuschicken.
00:10:06
Kai Ole Hartwig
Bin ich schuld, ist okay, kann ich mit umgehen.
00:10:08
Kai Ole Hartwig
Genau.
00:10:13
Daniel Langemann
Ja, aber ich meine, das ist jetzt eine Baustelle, aber was gibt es noch für Baustellen, wo man theoretisch jetzt die, also wo man die, mein Gott, Dingens ändern sollte, also die Zertifikate beziehungsweise die Verschlüsselung ändern sollte, also jetzt außer für seine privaten Sachen, die man signiert, E-Mails, SSH-Schlüssel und sowas.
00:10:26
Kai Ole Hartwig
Ja, auch ganz klassische......
00:10:37
Kai Ole Hartwig
Ja genau, TLS in jeglicher Form, also auch für Mails und so, die Übermittlungsstrecke, sollte man daran denken, dass auch da Zertifikate natürlich sein müssen und Einstellungen sein müssen, dass halt die aktuellen Algorithmen verwendet werden.
00:10:43
Daniel Langemann
Mhm.
00:10:56
Kai Ole Hartwig
Und ansonsten ist es halt gerade so ein Ding, ich glaube, das habe ich beim letzten Mal auch schon gesagt,
00:11:03
Kai Ole Hartwig
Es wird Zeit, dass man anfängt, einfach Sachen zu machen und einfach Sachen machen bedeutet an zumindest vielen Stellen langsam, das wird nativ supported.
00:11:14
Kai Ole Hartwig
Es ist etwas, was man einschalten muss.
00:11:18
Kai Ole Hartwig
Und sowas wie Caddy unterstützt das auch schon relativ lange als App Server.
00:11:22
Daniel Langemann
Hm.
00:11:22
Daniel Langemann
Hm.
00:11:26
Kai Ole Hartwig
Das ist jetzt alles noch nicht so aufregend.
00:11:29
Kai Ole Hartwig
Wichtig ist, man fängt an, sich alles, wo Zertifikate und Schlüssel irgendwie eingesetzt sind, mal aufzuschreiben und dann mal so eine Liste zu machen und abzuhaken.
00:11:39
Kai Ole Hartwig
Ich würde mal behaupten, alles, was öffentlich ist, mal so als erstes schauen, dass der Webserver TLS 1.3 supportet und ausliefert und dann halt Hybridbetrieb erstmal, ja, das ist ja das Sinnvolle, dass man erstmal neu und alt supportet.
00:11:57
Kai Ole Hartwig
Und das machen aber auch die Systeme jetzt nach und nach.
00:11:59
Kai Ole Hartwig
Man muss nur updaten, das aktuell halten und einschalten.
00:12:03
Daniel Langemann
Bis jetzt.
00:12:03
Kai Ole Hartwig
Also, man muss da gar keine Angst vor haben.
00:12:06
Kai Ole Hartwig
Es ist nur besser verschlüsselt.
00:12:13
Kai Ole Hartwig
Was dafür vielleicht noch ganz spannend ist, warum es halt jetzt so relevant ist und irgendwie mehr ins Bewusstsein kommt und auch das BSI ja jetzt eine Richtlinien aktualisiert, die sie jährlich aktualisieren,
Öffentliche Kommunikation und Quantencomputing-Bedrohungen
00:12:22
Kai Ole Hartwig
das ist jetzt nicht so ungewöhnlich, dass sie es tun, ist, man hat dazu auch noch ein Paper jetzt veröffentlicht, das noch nicht per Reviewed, wenn ich es richtig im Kopf habe, aber dass man tatsächlich zum Beispiel für die RSA 2000, schieß mich tot, 84 Bit, 48 Bit,
00:12:41
Daniel Langemann
48, 2048, ja.
00:12:41
Daniel Langemann
Ja, ja.
00:12:41
Daniel Langemann
Upsi.
00:12:42
Daniel Langemann
Mhm.
00:12:42
Kai Ole Hartwig
Ja, genau.
00:12:46
Kai Ole Hartwig
Erinnerung, ne?
00:12:47
Kai Ole Hartwig
Zwar irgendwie die Zahlen stehen da.
00:12:51
Kai Ole Hartwig
Dass tatsächlich unter 100.000 physische Qubits notwendig sind zum Entschlüsseln.
00:13:00
Kai Ole Hartwig
Und bisher war man halt davon ausgegangen, dass der Faktor höher ist, um mindestens eine Stelle.
00:13:08
Kai Ole Hartwig
Und damit halt die Wahrscheinlichkeit des Entschlüsselns natürlich gesunken ist.
00:13:13
Daniel Langemann
massiv gesunken ist.
00:13:14
Daniel Langemann
Also du brauchst ja viel weniger Ressourcen dafür, ja.
00:13:17
Kai Ole Hartwig
Ja, so.
00:13:17
Kai Ole Hartwig
Und damit ist... Genau.
00:13:18
Daniel Langemann
Das heißt aber auch, dass die Zeit zum Entschlüsseln viel kürzer wird.
00:13:22
Daniel Langemann
Oder?
00:13:23
Kai Ole Hartwig
Also der heutige Quantencomputer bräuchte immer noch relativ lange, weil er einfach nicht so viel Leistung hat bisher.
00:13:28
Daniel Langemann
Hm?
00:13:30
Kai Ole Hartwig
Aber das heißt, das Store now decrypt later, das Later jetzt näher gerückt.
00:13:39
Kai Ole Hartwig
Ja, weil du einfach die Leistungsfähigkeit der Maschine ist halt, muss nicht so hoch sein, wie angenommen bisher.
00:13:48
Kai Ole Hartwig
Ja, das heißt halt auch, wenn man sich den Fahrplan anschaut, dann sollte man vielleicht doch irgendwie Richtung Google tendieren, dass man sich so aus dem Zeitraum setzt, so sagt, bis Ende des Jahrzehnts haben wir das jetzt überall mal.
00:14:02
Kai Ole Hartwig
umgestellt.
00:14:02
Kai Ole Hartwig
Zumindest mal, wie gesagt, aus meiner Sicht ist erstmal alles, was öffentliche Kommunikation erfordert, das Hauptziel.
00:14:08
Daniel Langemann
Ich könnte mir auch vorstellen, dass viele Sachen automatisiert nebenbei passieren.
00:14:12
Daniel Langemann
Also wie lange besteht so eine Infrastruktur?
00:14:15
Daniel Langemann
Also alle paar Jahre wird die auch mal umgebaut, weil auf irgendeiner Messe oder Konferenz war halt wieder das nächste
Herausforderungen durch Altsysteme
00:14:21
Daniel Langemann
Hype-Thema.
00:14:21
Daniel Langemann
Dann dreht man mal wieder alles auf links.
00:14:25
Kai Ole Hartwig
Sagt das dem Windows-Server von 2000, der
00:14:31
Kai Ole Hartwig
immer noch in dem einen oder anderen Keller steht und kritische Infrastruktur betreibt.
00:14:36
Daniel Langemann
Oh Mann.
00:14:37
Kai Ole Hartwig
Also das Problem sind ja bei diesen Themen die Legacy-Sachen.
00:14:42
Daniel Langemann
Nicht ausschalten.
00:14:43
Daniel Langemann
Ja.
00:14:43
Kai Ole Hartwig
Also alles, was eigentlich heute schon einen großen roten Zettel dran hat, nicht ausschalten, nicht ändern, jeden Tag beten, dass es weiterläuft.
00:14:55
Kai Ole Hartwig
Oder wo man auch einfach weiß, da sind technische Schulden und die lassen sich nicht gut abbauen.
00:15:00
Kai Ole Hartwig
Diese Themen, da ist es natürlich jetzt heute wichtig, anzufangen zu planen, was machen wir denn?
00:15:06
Kai Ole Hartwig
Und halt auch am Tagesende die Budget sich zu schnappen, die Budget zu organisieren, zu haben, um damit einzusteigen.
00:15:14
Kai Ole Hartwig
Weil es sind nur noch drei, vier Jahre, bis man das irgendwie dann gelöst haben muss.
00:15:23
Kai Ole Hartwig
So, und jetzt kommen ja auch dann die ganzen Leute wieder, die sagen, ah ja, ich hoste hier noch ein Shop-System, PHP 7.4.
00:15:28
Kai Ole Hartwig
Nee, was 7.4?
00:15:33
Kai Ole Hartwig
5.4?
00:15:33
Kai Ole Hartwig
Oder irgendwie sowas Altes?
00:15:35
Daniel Langemann
Beides ist alt.
00:15:35
Daniel Langemann
Ja, ja.
00:15:38
Kai Ole Hartwig
Ja, ich erinnere mich nicht mehr so gut an den LinkedIn-Post von gestern.
00:15:41
Kai Ole Hartwig
Ich war kurzzeitig zu geschockt, um es wirklich zu merken.
00:15:45
Kai Ole Hartwig
Habe ich jetzt einfach in einen Container gepackt und kann ich jetzt weiter betreiben.
00:15:48
Kai Ole Hartwig
Weil der Hoster hat das abgeschaltet.
00:15:51
Kai Ole Hartwig
Oder schaltet jetzt das PHP ab.
00:15:52
Kai Ole Hartwig
Es muss 7.4 sein, hoffe ich, für den Hoster.
00:15:56
Kai Ole Hartwig
Also, und das sind natürlich genau die Systeme,
00:16:03
Kai Ole Hartwig
wo man halt sagen muss, okay, Freunde der Nacht, also ihr habt hier echte Themen, die ihr eigentlich vorgestern schon hättet anfangen müssen zu lösen.
00:16:13
Daniel Langemann
Mhm.
00:16:14
Kai Ole Hartwig
Ja, weil das die Bestandssoftware in einen Container packen, okay, ist ein netter Schritt, okay, dann packen wir halt ein Proxy davor, damit nach außen das irgendwie sicherer wird und so.
00:16:24
Kai Ole Hartwig
Also mir fallen da auch 1, 2, 3, 4, 15 Maßnahmen ein, die man machen kann, um das weiter zu betreiben.
00:16:31
Kai Ole Hartwig
Ähm,
00:16:34
Kai Ole Hartwig
Aber am Tagesende musst du wegkommen von deinem Legacy-System.
Geschäftsrisiken bei veralteten Systemen
00:16:40
Kai Ole Hartwig
Ja.
00:16:41
Daniel Langemann
Aber dann, ja, das Problem ist aber dann generell ein anderes.
00:16:44
Daniel Langemann
Also wenn du deine einzige Einnahmequelle oder dein Geschäftsfall sozusagen als Online-Shop nicht so supportest, dass du Legacy-Sachen und auch PHP-Versionen upgradest, dann... Und ich wundere mich, dass ich letzte Zeit immer davon lese, dass Magento-Shops und andere anfällig sind.
00:16:47
Kai Ole Hartwig
Trotzdem musst du... Ja, trotzdem musst du...
00:17:02
Daniel Langemann
Also ja, wenn die zehn Jahre lang nicht aktualisiert werden, dann...
00:17:06
Kai Ole Hartwig
Ja, genau.
00:17:07
Kai Ole Hartwig
Das ist ein anderes Problem im Kern.
00:17:11
Daniel Langemann
Das wird sich halt nur da zeigen.
00:17:14
Kai Ole Hartwig
Aber da zeigt es sich dann halt mal wieder.
00:17:16
Kai Ole Hartwig
Ja, das...
00:17:17
Daniel Langemann
Wäre jetzt interessant, ob es zum Beispiel in Zukunft, also ich bin wieder bei dem Externen und bei dem Shop gerade, wenn solche Altsysteme laufen, ob die Browser irgendwann hingehen und sagen, Edgy Badge, HTTP, alte Zertifikate, machen wir gar nicht mehr.
Containerisierung als vorübergehende Lösung
00:17:31
Daniel Langemann
Und auf einmal gibt HTTPS für deinen Shop nicht.
00:17:35
Daniel Langemann
Also...
00:17:35
Kai Ole Hartwig
Ja, das passiert glaube ich jetzt ja schon mit dem 1er TLS, bin ich richtig.
00:17:42
Daniel Langemann
Okay.
00:17:42
Daniel Langemann
Ja.
00:17:42
Kai Ole Hartwig
Also so langsam laufen, läuft deshalb auch dafür aus.
00:17:46
Kai Ole Hartwig
Das ist jetzt ja nicht so, dass alles ewig weiterlebt.
00:17:50
Kai Ole Hartwig
Irgendwann kommt der Punkt.
00:17:52
Kai Ole Hartwig
Deswegen sage ich ja, man könnte das jetzt noch so schalenmodellmäßig verpacken.
00:18:01
Kai Ole Hartwig
Und da Pflaster draufkleben, so Sachen gibt es.
00:18:05
Kai Ole Hartwig
Das ist ja auch nichts anderes als in den Container packen und weiterbetreiben.
00:18:07
Kai Ole Hartwig
Es ist ja auch nur ein Pflaster, das man draufklebt.
00:18:10
Kai Ole Hartwig
Ich finde, die Idee ist, ich verstehe die Idee, es ist aber halt keine Lösung.
00:18:16
Kai Ole Hartwig
Genau.
00:18:18
Daniel Langemann
Langfristig keine Lösung.
00:18:19
Daniel Langemann
Kurzfristig kann das definitiv eine sein.
00:18:21
Daniel Langemann
Also wir kennen das ja alle, wirtschaftlich läuft es bei allen nicht gerade toll gerade und kann ich vollkommen verstehen.
00:18:27
Daniel Langemann
Also das ist auch nicht abwertend gemeint, wenn wir darüber reden.
00:18:30
Daniel Langemann
Also es kann sein, dass man einfach sagt, nächstes Jahr Kollege ist ausgelastet, der dafür zuständig ist.
00:18:36
Daniel Langemann
Nächstes Jahr hätte er wieder Zeit, Projekt wäre da fertig.
00:18:38
Daniel Langemann
Dann ist das vollkommen legitim in meinen Augen zu sagen, wir machen das bis dahin und dann wird das angegangen.
00:18:44
Kai Ole Hartwig
Ja, und dann hat jemand GPT-54-Cyber oder Entropic-Mythos doch losgelassen aus dem
00:18:45
Daniel Langemann
Das passiert nur selten.
AI und Sicherheitsbedrohungen
00:18:55
Kai Ole Hartwig
Glasswing-Projekt.
00:18:55
Daniel Langemann
Mhm.
00:18:55
Daniel Langemann
Mhm.
00:18:55
Daniel Langemann
Mhm.
00:18:57
Kai Ole Hartwig
Und dann ist eine wandelnde Sicherheitslücke, auch wenn es ja defensive Modelle sein sollen, sollen,
00:19:12
Kai Ole Hartwig
auf einmal ein sehr attraktives, aktives Sicherheitsrisiko, das du mit dir rumschleppst.
00:19:19
Kai Ole Hartwig
Wir stehen ja gerade vor dieser kritischen Schwelle und ich sehe es als enorm kritisch an, dass das Project Glasswing zum Beispiel sehr unzugänglich ist.
00:19:33
Kai Ole Hartwig
also ich meine, jetzt sind wir beide nicht Google und haben Zugriff drauf.
00:19:38
Kai Ole Hartwig
OpenAI geht mit dem Cyber-Defense-Modell, das sie jetzt angekündigt haben, ein bisschen anderen Weg.
00:19:46
Kai Ole Hartwig
Ja, da kann man halt über ein spezielles Programm reinkommen und dann nutzen, so wie ich es gelesen habe.
00:19:54
Kai Ole Hartwig
Den Weg finde ich besser, dass Sicherheitsforscher und Cyber-Security-Menschen Zugriff darauf haben oder bekommen können.
00:20:01
Daniel Langemann
Und damit kannst du was machen?
00:20:02
Daniel Langemann
Also kannst du... Achso, ich lade meinen Code hoch und sage, guck mal, passt das oder passt das nicht?
00:20:04
Kai Ole Hartwig
Das ist das gleiche wie mit Antropic Mythos.
00:20:07
Kai Ole Hartwig
Du kannst deine Software auf Sicherheitslücken untersuchen.
00:20:18
Daniel Langemann
Ja, mhm.
00:20:18
Kai Ole Hartwig
Genau, jetzt würde natürlich hier Daniel, wie heißt er denn weiter...
00:20:22
Kai Ole Hartwig
der Curl-Erfinder, Maintainer, sagen, das liefert alles AI-Slop, ja, die haben ja ihr Bug-Bounty-Programm eingestellt, wegen zu viel AI-Slop, der da gekommen ist.
00:20:35
Daniel Langemann
Kann ich verstehen.
00:20:35
Kai Ole Hartwig
Angebliche Sicherheitslücken, die tatsächlich gar keine Sicherheitslücken waren.
00:20:36
Daniel Langemann
Mhm.
00:20:41
Kai Ole Hartwig
Das soll jetzt ja tatsächlich beim Mythos nicht so sein.
00:20:47
Kai Ole Hartwig
Auf der anderen Seite hat jemand anderes ein Paper auch veröffentlicht, der hätte mit GPT-4
00:20:52
Kai Ole Hartwig
wo auch diese Sicherheitslücken identifizieren können und finden können.
00:20:58
Kai Ole Hartwig
Also bin ich mir auch nicht so sicher, was die Veröffentlichung jetzt angeht.
00:21:02
Kai Ole Hartwig
Aber wenn das alles so stimmt, was in diesen Ankündigungen steht, dann haben wir halt einfach das Problem, dass Sicherheitslücken super schnell gefunden werden und letztendlich super schnell quasi instant ein Exploit dafür auch erzeugen.
00:21:17
Kai Ole Hartwig
da ist, also die Lücke ausnutzbar ist.
00:21:20
Kai Ole Hartwig
Und dann kommen wir in dieses riesen Schlamassel rein.
00:21:23
Kai Ole Hartwig
Wir sagen auf der einen Seite Lieferkettensicherheit.
00:21:26
Daniel Langemann
Auf der anderen Seite müssen wir...
00:21:28
Kai Ole Hartwig
Die erhöhen wir gerade dadurch, dass wir aktiv das Patchen zurückstellen, weil wir festgestellt haben, ah, okay, die MPM-Packages und ja auch andere Pakete, die werden aktiv manipuliert.
00:21:41
Kai Ole Hartwig
Da besteht ein enormes Sicherheitsrisiko, wenn wir sofort einspielen.
Schnelle Patches vs. vorsichtige Updates bei AI-Bedrohungen
00:21:49
Kai Ole Hartwig
Auf der anderen Seite sagen wir jetzt aber, oder haben wir jetzt auf einmal die Situation, dass KI-Modelle sehr, sehr schnell Sicherheitslücken identifizieren und es dann halt auch eine Ausnutzbarkeit gibt über KI-Modelle, die vielleicht aber gar nicht selber in der Lage sind, einen erfolgreichen Fix dafür zu schreiben.
00:22:08
Kai Ole Hartwig
Das sind ja zwei Paar Schuhe.
00:22:09
Kai Ole Hartwig
Sachen finden, ausnutzen und fixen sind ja irgendwie drei unterschiedliche Aufgaben.
00:22:16
Kai Ole Hartwig
Ähm,
00:22:17
Kai Ole Hartwig
Und sagen eigentlich, okay, jetzt haben wir die Sicherheitslücke, es ist bekannt, wie sie ausgenutzt werden kann, jetzt müssen wir sofort patchen.
00:22:25
Kai Ole Hartwig
Sagen aber in den Automatisierungstools, nee, wir warten jetzt x Einheiten, bis wir das tun.
00:22:31
Daniel Langemann
Sieben Tage.
00:22:33
Kai Ole Hartwig
So, und jetzt clasht ja gerade die komplette Geschichte.
00:22:38
Kai Ole Hartwig
Wir hatten, ich glaube, vor zwei Wochen oder letzte Woche oder so über die Lieferkettensicherheit ja erst gesprochen,
00:22:50
Kai Ole Hartwig
einspielen.
00:22:53
Kai Ole Hartwig
Ist das jetzt mit dem Ding noch der richtige Weg?
00:22:55
Kai Ole Hartwig
Ich weiß es nicht.
Innere Netzwerksicherheit und Bedrohungen
00:22:57
Daniel Langemann
Gute Frage, also keine Ahnung, weil einerseits musst oder willst du natürlich schnell genug sein, damit du nicht ausnutzbar bist.
00:23:06
Daniel Langemann
hängt jetzt ein bisschen davon ab, wovon man spricht.
00:23:08
Daniel Langemann
Es gibt ja zumindest Online-Shops, sage ich mal, wo du auch Updates bekommst.
00:23:13
Daniel Langemann
Die haben ihre Release-Zyklen mit allem drum und dran.
00:23:17
Daniel Langemann
Die weiß ich gar nicht, ob die so schnell sind.
00:23:19
Daniel Langemann
Also die werden ja auch nicht täglich releasen, dass du sagst, guck mal, da ist was rausgekommen, sondern die haben dann auch längere Release-Zyklen, wo du mit sieben Tagen, sagen wir mal, noch halbwegs safe bist.
00:23:28
Kai Ole Hartwig
Ja.
00:23:30
Daniel Langemann
Abhängigkeiten, die du mit Composer installierst, gerade unser Entwickler-
00:23:36
Daniel Langemann
Gilde würde ich jetzt mal sagen, wir wollen natürlich näher dran sein.
00:23:41
Daniel Langemann
Wenn wir was bauen und dann Sachen produzieren, ausliefern, die andere dann nutzen, also auf der anderen Seite von der Shop-Entwicklung zum Beispiel sitzen, dann wollen wir natürlich möglichst aktuell sein.
00:23:51
Daniel Langemann
Und da bist du dann problematisch, wenn du sagst, ich warte da sieben Tage, plus der Kunde wartet auch nochmal Tage, dann hast du dann, wenn du Pech hast, so zwei, drei Monate irgendwie, bist du da so ein Patch mal rausgekommen.
00:24:02
Kai Ole Hartwig
Ja, auf der anderen Seite gibt es halt immer noch den starken Trend zu sagen oder wiedererstarken Trend zu sagen, Sicherheitslücken, die wir kennen, sind auch Gefahren, die wir abwehren können.
00:24:14
Daniel Langemann
Mhm.
00:24:15
Kai Ole Hartwig
So, das ist jetzt halt natürlich eine sehr unterschiedliche Philosophie.
00:24:20
Kai Ole Hartwig
Ich bin ja eher derjenige, der sagt, schnell patchen, möglichst Zero CVEs.
00:24:28
Kai Ole Hartwig
Ähm,
00:24:30
Kai Ole Hartwig
Versus, naja, Sicherheitslücken an sich sind nicht schlimm.
00:24:35
Kai Ole Hartwig
Auch wenn sie high oder kritisch sind, heißt das nicht, dass wir jetzt aktiv das System verändern, sondern dann müssen wir halt schauen, dass wir vor dem System Veränderungen machen.
00:24:44
Daniel Langemann
Also Intrusion Detection und andere Sachen meinst du, oder?
00:24:48
Kai Ole Hartwig
Ja.
00:24:49
Daniel Langemann
Oder Firewall-Regeln, beziehungsweise zum Beispiel sowas.
00:24:51
Kai Ole Hartwig
Ja, die Kiste ist ja tief, in die man da greifen kann.
00:24:53
Daniel Langemann
Mhm.
00:24:58
Kai Ole Hartwig
Und man muss ja auch bewerten, wenn das System gar nicht direkt von außen zugreifbar ist, wie realistisch ist jetzt das Ausnutzen der Sicherheitslücke?
00:25:09
Kai Ole Hartwig
So, ja, ich sag ja, ich bin auch eher Team, okay, lass uns bitte die Sachen immer schnell patchen, weil selbst wenn es die Datenbank ist oder mein Key-Value-Store, du kommst indirekt dran und wer sagt denn nicht, dass es dann halt doch irgendwo noch eine andere Lücke gibt, mit der du die Lücke dann ausnutzen kannst.
00:25:30
Daniel Langemann
Das und ich bin immer zu unkreativ, was das Ausnutzen von Sachen betrifft.
00:25:35
Daniel Langemann
Also selbst Intranets, habe ich mal mitbekommen, haben Mitarbeiter von Franchise-Unternehmen versucht, das System auszunutzen, das war in einem Intranet.
00:25:45
Kai Ole Hartwig
ja, das müssen doch nicht mal von Franchise-Unternehmen sein, das können deine eigenen Leute sein und das sind auch deine eigenen Leute, das kenne ich auch.
00:25:52
Daniel Langemann
Ja, genau.
00:25:54
Daniel Langemann
Oder dass auch irgendwelche schützenswerten Daten leicht abrufbar sind, wo du sagst, das darf auch in einem Intranet nicht sein.
00:26:03
Daniel Langemann
Auch wenn es verboten ist, darauf zuzugreifen, habe ich leider alles schon gesehen.
00:26:08
Daniel Langemann
Und so wie du sagst, es muss nur eine zweite Lücke irgendwo sein.
00:26:12
Daniel Langemann
Es muss nur jemand in das Intranet kommen.
00:26:13
Daniel Langemann
Und dann ist aus diesem internen Netz auf einmal ein öffentliches Netz geworden.
00:26:17
Daniel Langemann
Ja.
00:26:18
Kai Ole Hartwig
ich sage jetzt mal, die Lahnbuchse im Patientenzimmer.
00:26:21
Kai Ole Hartwig
Ja, aber tatsächlich tatsächlich ist dein Interesse, also ich habe häufiger oder ich sichere häufiger
00:26:22
Daniel Langemann
Ja, bring your own device.
00:26:24
Daniel Langemann
Guck mal, ich habe da schöne Browser-Erweiterungen installiert.
00:26:26
Daniel Langemann
So eine Leiste.
00:26:45
Kai Ole Hartwig
kritische Informationen aus Intranetz weg für die weitere Verwendung für Menschen, die andere Dinge als ich in der Uni sich angeschaut haben, als ich das bei Internetsachen mache.
00:26:50
Daniel Langemann
Ja.
00:27:02
Kai Ole Hartwig
Weil halt dann doch das Vertrauen in der Organisation zu den Leuten, mit denen man jeden Tag zu tun hat, größer ist,
00:27:12
Kai Ole Hartwig
als zu völlig Fremden.
00:27:14
Kai Ole Hartwig
Verständlicherweise auch irgendwie.
00:27:16
Kai Ole Hartwig
Aber dann sind halt die Sicherheitsregeln dann vielleicht doch nicht ganz so hoch.
00:27:22
Daniel Langemann
Also zumindest das Bewerten macht definitiv Sinn.
00:27:24
Daniel Langemann
Also wie groß ist der Impact?
00:27:27
Daniel Langemann
Was für Daten sind das?
00:27:28
Daniel Langemann
Wie schützenswert oder weniger schützenswert ist das?
00:27:31
Daniel Langemann
Sind das
00:27:32
Kai Ole Hartwig
Genau, und dann verzögert man halt auch eher mal die Updates in den internen Systemen als mit den externen Systemen, weil man sagt, ah ja, komm, da kommt ja so keiner ran, das ist ja nur bei uns abrufbar und dann ist es halt schon, dann ist es als nächstes über das VPN abrufbar und und wie es halt so immer ist und das ist halt so das Ding, klar, dein Intranet wird jetzt bestimmt nicht, also da wird der Angriff von jetzt den
00:27:50
Daniel Langemann
Ja, kennt ihr.
AI und zukünftige Sicherheitsstrategien
00:28:00
Kai Ole Hartwig
jetzt neuen Modellen, KI-Modellen eher unwahrscheinlich sein.
00:28:05
Kai Ole Hartwig
Hoffe ich.
00:28:06
Daniel Langemann
Ich bin auch gerade überlegen.
00:28:07
Kai Ole Hartwig
Dass man jetzt nicht sich überlegt, ah, wir integrieren hier sowas in unser System.
00:28:11
Kai Ole Hartwig
Aber wenn du jetzt ein Safehouse-Ki-Modell hast,
00:28:11
Daniel Langemann
Ja, warte mal.
00:28:12
Daniel Langemann
Also Open Claw, brauchst du nur einen fleißigen Mitarbeiter, der Open Claw irgendwo installiert hat?
00:28:18
Daniel Langemann
Root-Rechte, gib ihm.
00:28:18
Kai Ole Hartwig
Ja, du musst ja nur ein Modelllokal installieren, wenn du die passenden Devices im Netzwerk hast oder halt ein VPN und darüber geht jemand rein mit einem Device, das nicht von dir ist.
00:28:22
Daniel Langemann
Und das Ding... Ist ja Standard heutzutage.
00:28:28
Kai Ole Hartwig
Bring your own device.
00:28:31
Kai Ole Hartwig
Ob das jetzt zulässig ist oder nicht zulässig ist, ist ja erstmal hingestellt.
00:28:32
Daniel Langemann
Hm.
00:28:35
Kai Ole Hartwig
Das ist vielleicht möglich und die Möglichkeit eröffnet halt dann deine Problembaustelle.
00:28:44
Kai Ole Hartwig
Auch lokale kleine Modelle werden immer leistungsfähiger.
00:28:49
Kai Ole Hartwig
du musst jetzt nicht das riesige Modell haben, wenn du veraltete Software hast, wird das ein kleines Modell, das eher genauso schnell finden und ausnutzen können wie ein großes.
00:29:02
Kai Ole Hartwig
Und ehrlicherweise auch KI von großen Beratungsunternehmen, die da draußen sind und ihre Agenten und Chats und Tassen nicht gesehen verkaufen, sind halt extrem schlecht gesichert.
00:29:09
Daniel Langemann
Es gibt immer mehr an den Nachrichten.
00:29:15
Kai Ole Hartwig
Zum Teil noch nicht mal Passwörter drauf und so weiter.
00:29:19
Kai Ole Hartwig
Man muss sich einfach bewusst sein, die Systeme stecken voller Fehler.
00:29:30
Kai Ole Hartwig
Egal, welche Software.
00:29:31
Kai Ole Hartwig
Egal, ob es Cobaltzelle oder Open-Source-Software ist.
00:29:36
Kai Ole Hartwig
In Open-Source-Software kannst du sie selber finden und beheben, in kommerzieller, proprietärer Software nicht.
00:29:44
Kai Ole Hartwig
Aber keine Angst, deine KI kann das Reverse-Engineeren und wird das im Zweifelsfall ausnutzen.
00:29:51
Kai Ole Hartwig
Und jetzt gerade mit Glasswing, also Mythos und GPT-5.4 Cyber-Systeme,
00:29:51
Daniel Langemann
Mhm.
00:29:59
Kai Ole Hartwig
Ist das ein realer werdendes Szenario, dass wir uns halt darauf einstellen müssen, dass Sicherheit Sicherheit interessanterweise weiter von Menschen verantwortet werden muss, wir aber alle viel, viel schneller werden müssen und gleichzeitig viel mehr Informationen reviewen müssen, verarbeiten müssen, prüfen müssen, ob wir jetzt zum Beispiel ein Update unbedenklicherweise einspielen oder nicht.
00:30:24
Daniel Langemann
Genau, das ist
Automatisierung in Softwareentwicklungspipelines
00:30:25
Daniel Langemann
das Problem.
00:30:25
Kai Ole Hartwig
Also ob das Update unbedenklich ist und wir es dann einspielen.
00:30:27
Kai Ole Hartwig
So, jetzt verständlicher, glaube ich.
00:30:29
Kai Ole Hartwig
Ja, das Backband-Tipp-Programm wurde geschlossen, weil da so viel AI-Slope gekommen ist.
00:30:29
Daniel Langemann
Ja, aber genau, also gerade dieses Reviewen und du hast ja vorhin auch gesagt, Curl Bibliothek akzeptiert auch viele Sachen nicht mehr mit dem Bug-Bounty-Programm.
00:30:38
Daniel Langemann
Und da sehe ich... Ja, ja.
00:30:42
Daniel Langemann
Genau, und da sehe ich auch das Problem.
00:30:44
Daniel Langemann
Du kannst zwar durch KI auch solche Sachen vorfiltern lassen und auch vorreviewen lassen, was auch Sinn macht.
00:30:51
Daniel Langemann
Also auf der anderen Seite bei Pull-Requests solche Sachen einfach schon mal vorlaufen lassen.
00:30:56
Daniel Langemann
Jetzt mit den anderen Modellen, die du genannt hattest, denke ich mal, wird das auch alles noch besser, was da dann theoretisch schon in der Vorarbeit passiert.
00:31:04
Daniel Langemann
Aber irgendwann muss ja da ein Mensch sitzen und sagen, ich entscheide, ich sage ja oder nein.
00:31:08
Daniel Langemann
Also egal, ob es jetzt in der Supply Chain ist, also dass der irgendwelche Bibliotheken baut, die irgendwo eingebunden werden oder auf der anderen Seite, die haben Entwickler, die am Online-Shop sitzen und da Features bauen und sich darauf verlassen müssen, dass die ganzen Sachen, die da mit reinkommen, kannst du ja auch nicht alles reviewen.
00:31:08
Kai Ole Hartwig
Ja.
00:31:28
Daniel Langemann
Also da kommst du ja gar nicht mehr zum Arbeiten.
00:31:31
Daniel Langemann
Mhm.
00:31:32
Kai Ole Hartwig
Ja, und deswegen bin ich ja wieder so ein riesiger Fan von Renovate, um jetzt wieder Name-Dropping zu machen, ja, als Depender-Bot kann das aber genauso, ähm, als dass Dependencies darüber upgedatet werden.
00:31:39
Daniel Langemann
Sponsor.
00:31:39
Daniel Langemann
Also...
00:31:47
Kai Ole Hartwig
Ja, und dann ist es wenigstens jedes Ding einzeln nachvollziehbar.
00:31:49
Kai Ole Hartwig
Ja, das ist ein automatisierter Prozess und hey, ja, du kannst ja einstellen, das Update muss erstmal so und so viele Stunden alt sein oder Tage oder Wochen, Monate, Jahre, Jahrzehnte, ähm,
00:32:03
Kai Ole Hartwig
Und dann ist es aber halt nicht so unkontrolliert mit, ah ja, ich mache mal NPM-Update oder Composer-Update.
00:32:09
Daniel Langemann
Ja.
00:32:09
Kai Ole Hartwig
So, dann kommt da so eine Latte rein.
00:32:12
Kai Ole Hartwig
Das prüft doch ehrlicherweise niemand.
00:32:16
Kai Ole Hartwig
Deswegen am besten nicht der Mensch macht die Updates, sondern der Bot.
00:32:22
Kai Ole Hartwig
Und der sorgt dafür, dass das, was nach den Regeln ist, geupdatet wird.
00:32:27
Kai Ole Hartwig
Und dann hast du es nachvollziehbar einzeln drein gelaufen, mit deiner Pipeline geprüft.
00:32:35
Kai Ole Hartwig
Was deine Pipeline dann macht, ist halt dein Thema und welche Maßnahmen du da halt drein machen möchtest.
00:32:38
Daniel Langemann
Ja, aber was man sagen muss ist, genau, du brauchst eine Pipeline.
00:32:43
Daniel Langemann
Also so gewohnt, wie wir daran sind, also gewisse Sachen, die früher schon nicht schlecht waren und Qualitätsstandards erhöht haben, werden jetzt einfach heutzutage nicht nur Standard, sondern Mindestmaß, was du haben musst.
00:32:58
Daniel Langemann
Du brauchst eine Pipeline, du brauchst Tests in unterschiedlichsten Ausführungen, damit du überhaupt hinterherkommst.
00:33:04
Daniel Langemann
Also so viel wie möglich automatisieren, damit du, also KI sorgt nicht dafür, also dass wir
00:33:05
Kai Ole Hartwig
Ja.
00:33:12
Daniel Langemann
weniger langweilige Sachen machen, aber wir müssen drumherum viel mehr automatisieren, um die ganzen Sachen entscheiden zu können.
00:33:18
Daniel Langemann
Du musst, wenn du dann solche Updates machst, automatisiert zum Beispiel auch Abhängigkeiten installierst.
00:33:24
Daniel Langemann
Ja, dann laufen natürlich Unit-Tests, du hast hoffentlich auch vielleicht Smoke-Tests, die dann sagen, dass der Shop nicht abgeschmiert ist nach dem Update oder das Testsystem noch läuft, damit du automatisiert deployen kannst.
00:33:34
Daniel Langemann
Da laufen nochmal Smoke-Tests.
00:33:36
Daniel Langemann
weil ansonsten brauchst du das zehnfache an Leuten, wenn du das alles noch von Hand machst.
00:33:41
Daniel Langemann
Und das, was vor fünf Jahren noch so hieß mit, ja, man muss ja nicht überall ein Schleifchen dran machen und darf es nicht übertreiben, ist heutzutage wirklich Mindestanforderungen, die du brauchst, mit allen, komplette Pipeline, mit Linting, mit Tests, die ausgeführt werden und, und, und, und.
00:34:00
Daniel Langemann
Und natürlich auch Renovate und solche Sachen.
00:34:01
Kai Ole Hartwig
Absolut.
00:34:03
Daniel Langemann
Da kommst du heutzutage, glaube ich, nicht mehr dran vorbei.
00:34:03
Kai Ole Hartwig
Und das macht ja auch den Einstieg eigentlich in dieses ganze Thema viel komplexer.
00:34:09
Kai Ole Hartwig
Wer kann sich heute noch leisten, ohne Pipeline zu arbeiten?
00:34:14
Kai Ole Hartwig
Und vor allem ist das Ding ist ja auch...
00:34:15
Daniel Langemann
Ich will kein Name-Dropping machen.
00:34:17
Daniel Langemann
Ich habe es erlebt.
00:34:18
Daniel Langemann
Also auch heute.
00:34:19
Daniel Langemann
Also ich kann es nicht verstehen.
00:34:22
Daniel Langemann
Vielleicht ist es auch so, dass man als Entwickler so irgendwann die Scheuklappen auf hat.
00:34:26
Daniel Langemann
Das gibt es heutzutage noch.
00:34:28
Daniel Langemann
Das ist nicht unmöglich.
00:34:29
Kai Ole Hartwig
Ja, mir ist das klar, dass es das noch gibt, aber mal so aus betriebswirtschaftlicher Sicht gesehen, welches Unternehmen kann sich heute noch leisten,
00:34:29
Daniel Langemann
Ja.
00:34:40
Kai Ole Hartwig
nicht in der Softwareentwicklung, ja, ganz egal welches System, aber nicht zu automatisieren und die Nachvollziehbarkeit auch zu haben, ja, Richtung auch CAA-Gedachtnis 2 und die ganzen Regulierungen, die ja auch
00:34:50
Daniel Langemann
Mhm.
00:34:50
Daniel Langemann
Mhm.
00:35:00
Kai Ole Hartwig
zum Teil in Kraft sind, also in Kraft, also in Kraft treten müssen, oder mal wieder in verspätet in Kraft treten, aber das ist ja ein anderes Thema, aber allein um der Regulierung gerecht zu werden und aber auch um den ganzen Anforderungen, die ja auch immer wieder steigen durch die Vorgaben und technischen Richtlinien des BSIs, jetzt mit IT-Grundschutz++ auch und solchen Dingen, die da ja rausgekommen sind, ähm,
00:35:29
Kai Ole Hartwig
sind wir ja in der Situation, dass die Sachen mehr auditierbar sein müssen, mehr nachvollziehbar sein muss.
00:35:36
Kai Ole Hartwig
Natürlich entsteht dabei auch wieder sehr, sehr viel Papierkrieg an sich.
00:35:40
Daniel Langemann
Mhm.
00:35:41
Kai Ole Hartwig
Aber dass wir halt in der Softwareentwicklung auch tatsächlich in der Situation sind,
00:35:47
Kai Ole Hartwig
zu sagen, wann ist denn jetzt was reingekommen und das halt gut nachvollziehbar haben und das halt nicht so ist, ah ja, hier am Freitagnachmittag hat
Compliance und Sicherheitsanforderungen
00:35:57
Kai Ole Hartwig
jetzt mal jemand Composer Update gemacht, das haben wir dann Montag ausgespielt, hier sind alle Dependencies mal geupdatet worden, weil wir haben das ein halbes Jahr lang nicht gemacht.
00:36:05
Kai Ole Hartwig
Okay, dann kannst du ja auch nicht mehr sagen, was hat denn ein Fehler vorgesagt, also es ist ja alles, dann, ja,
00:36:09
Daniel Langemann
Ja, genau, das erschwert die Fehlersuche.
00:36:10
Daniel Langemann
Und wie jetzt bei Axios, also als Negativbeispiel reite ich da jetzt gerne drauf rum.
00:36:15
Daniel Langemann
Du kannst einfach hingehen und sagen, habe ich die Version installiert oder nicht?
00:36:20
Daniel Langemann
Und weißt, innerhalb von zwei Minuten wurde sie zu dem Zeitpunkt installiert, wo es anfällig war oder nicht?
00:36:27
Daniel Langemann
Und kannst dann sagen, okay, Häkchen dran, ich bin nicht betroffen oder ich bin betroffen.
00:36:30
Daniel Langemann
Weißt dann aber auch direkt, was du machen musst.
00:36:32
Daniel Langemann
Und wenn du aber das nicht hast, ja, keine Ahnung, ne?
00:36:37
Kai Ole Hartwig
Und der Vorteil ist ja auch, wenn du halt nicht darauf angewiesen bist, dass Entwickler immer wieder Updates machen, dann hast du natürlich auch den Vorteil,
00:36:51
Kai Ole Hartwig
Und du weißt auch, dass diese zuverlässig laufen.
00:36:53
Daniel Langemann
Genau.
00:36:53
Daniel Langemann
Genau.
00:36:53
Kai Ole Hartwig
Stell dir mal vor, derjenige, der in Urlaub ist, ach, derjenige, der in Urlaub ist, ist gut, ne?
00:36:57
Kai Ole Hartwig
Derjenige, der das normalerweise macht, ist in Urlaub.
00:36:59
Kai Ole Hartwig
So, guck mal, gibt's mehr Sinn.
00:37:02
Kai Ole Hartwig
Ähm, ähm, ähm, ähm, ähm, mach das jetzt nicht, fährt vier Wochen im Sommer weg in Urlaub.
00:37:08
Kai Ole Hartwig
So, dann läuft vier Wochen lang kein Update.
00:37:11
Kai Ole Hartwig
Und wenn er dann wiederkommt, macht er das und alles knallt.
00:37:14
Kai Ole Hartwig
So, ja, wenn man da einen zuverlässigen Prozess hat, der automatisiert ist, dann weiß man aber auch, okay, das ist
00:37:20
Kai Ole Hartwig
läuft und dann musst du halt einfach nur jedem beibringen zu sagen, okay, du machst jetzt keinen Composer, MPM, hast du nicht gesehen, Update mehr selber, sondern deine Entwicklungsumgebung bringt das mit, die musst du halt einfach mal regelmäßig, musst du halt einfach deinen Container neu ziehen lassen, fertig.
00:37:36
Daniel Langemann
Ja, genau.
00:37:38
Kai Ole Hartwig
Der Prozess verändert sich dann, bringt aber halt auch Vorteile mit sich.
00:37:43
Kai Ole Hartwig
Ich weiß, jetzt kommen dann wieder der eine oder andere, das gefällt mir nicht.
00:37:48
Kai Ole Hartwig
Aber hey, ob du jetzt ein Container-Update ziehst oder ob du jetzt regelmäßig irgendwie selber Updates machen musst, durchtesten musst und so weiter und so fort.
00:37:56
Kai Ole Hartwig
Du bekommst das aus der Pipeline und deine Tests, wenn du sie denn hast, haben schon bewiesen, dass alles heil ist.
00:38:02
Daniel Langemann
Ja, also das ist einfach Geschwindigkeit, die du da mitbekommst.
00:38:06
Daniel Langemann
Also für uns Entwickler natürlich Sicherheit, weniger Bauchschmerzen, bessere Debugging-Fähigkeiten, aber ist ja auch für alle anderen Projektbeteiligten interessant.
00:38:16
Daniel Langemann
Du bekommst Geschwindigkeit dadurch, dass du viel schneller deployen kannst.
00:38:19
Kai Ole Hartwig
Ja, und halt auch damit halt ein Stück weit Sicherheit.
00:38:23
Kai Ole Hartwig
Compliance-Anforderungen werden erfüllt für die Juristen, die dann auch glücklich sein sollen.
00:38:23
Daniel Langemann
Genau.
00:38:31
Kai Ole Hartwig
Es schafft
Sichere Software-Bereitstellungsstrategien
00:38:34
Kai Ole Hartwig
Sicherheit und damit ist man immer noch nicht schnell genug, was unsere KI-Probleme angeht, die da so auf uns zukommen, aus Sicherheitssicht.
00:38:42
Daniel Langemann
Man reduziert das Zeitfenster extrem.
00:38:45
Daniel Langemann
Also wenn ich überlege, ich hätte ein Projekt, wo keine Pipeline ist oder wo ich viel manuell machen muss bei einem Deployment, das führt automatisch dazu, dass ich nicht zweimal oder dreimal am Tag etwas deploye.
00:38:45
Kai Ole Hartwig
Genau.
00:38:56
Daniel Langemann
Wir nehmen die zwei Extreme.
00:38:59
Daniel Langemann
Auf dem einen hast du wirklich so, ich baue was, mache ein Git-Push, lasse das reviewen und sobald das irgendjemand gesagt hat, Daumen hoch, putzelt das automatisiert bis aufs Produktivsystem durch.
00:39:08
Daniel Langemann
Kleinständerung.
00:39:09
Kai Ole Hartwig
Ja.
00:39:09
Kai Ole Hartwig
Ja.
00:39:10
Daniel Langemann
irgendwelche Bugs, die in einem Logging auftreten oder zum Beispiel wir haben ein Paket geupdatet und da gab es dann doch einen Seiteneffekt, der nicht aufgefallen ist vorher.
00:39:20
Daniel Langemann
Hast du dann, sagen wir mal, wenn die Pipeline 15, 20 Minuten läuft, vielleicht eine halbe Stunde gefixt.
00:39:26
Daniel Langemann
Hast du das nicht und musst das manuell machen.
00:39:29
Daniel Langemann
Was passiert?
00:39:30
Daniel Langemann
Ich bin gerade an etwas am Arbeiten, also muss ich das an Seite legen, weil wenn du die Pipeline nicht hast, dann hast du auch davor schon das Chaos.
00:39:38
Daniel Langemann
Dann kannst du nicht deployen, weil es wurde schon drei Tage nicht deployed.
00:39:40
Daniel Langemann
Da sind noch vier andere Änderungen, die warten auf Deployment.
00:39:44
Daniel Langemann
Ich muss irgendwie mich irgendwo anmelden und Sachen zusammen klicken.
00:39:47
Daniel Langemann
Das dauert.
00:39:48
Daniel Langemann
Da wähle ich einmal das falsche System aus.
00:39:50
Daniel Langemann
Ich deploye nicht aufs Testsystem, sondern auf Produktiv oder so, weil ich den falschen Dropdown ausgewählt habe.
00:39:57
Kai Ole Hartwig
Ja, oder es ist alles auf einmal ganz dringend und ich muss jetzt unbedingt sofort das ausrollen.
00:40:02
Kai Ole Hartwig
Die anderen Änderungen, die da drin sind, im Branche, sind nicht getestet.
00:40:07
Daniel Langemann
Mhm.
00:40:08
Kai Ole Hartwig
So.
00:40:08
Kai Ole Hartwig
Ja.
00:40:08
Daniel Langemann
Also, was ich meinte ist einfach, es staut sich vorher schon viel, weil du dann einfach nur alle paar Tage oder Wochen sogar nur deployst.
00:40:14
Kai Ole Hartwig
Oder Monate.
00:40:14
Daniel Langemann
Und das ist einfach, oder noch schlimmer.
00:40:18
Daniel Langemann
Und das, was früher immer gesagt wurde, so, ja, automatisierte Deployments, bisschen produktiv, ist schon schön, das ist ein Schleifchen.
00:40:26
Daniel Langemann
Uns reicht weniger.
00:40:27
Daniel Langemann
Das ist mittlerweile nicht mehr so.
00:40:28
Daniel Langemann
Das muss, also es muss Mindeststandard werden oder es wird Mindeststandard, weil du anders nicht mehr hinterher kommst als Entwickler.
00:40:36
Daniel Langemann
Du hast zwar mehr Zeit, weil KI, die
00:40:36
Kai Ole Hartwig
Ja, nicht nur als Entwickler, also als gesamtes Ding.
00:40:40
Daniel Langemann
Mhm.
00:40:41
Kai Ole Hartwig
Du brauchst es heute, du kommst nicht mehr drumherum und ich finde es sehr fahrlässig, dass man das nicht auf seiner Liste gerade hat und angeht, wenn man das noch nicht hat.
00:40:57
Daniel Langemann
Ja, das ist der größte Gewinn.
00:40:58
Daniel Langemann
Du kannst dir ausrechnen, wie viel Lebenszeit du sparst.
00:41:01
Daniel Langemann
Du kannst dir in Online-Shops Umsatz ausrechnen, der ausfällt, wenn du zum Beispiel Downtimes hast, weil Chaos beim Deployment ist.
00:41:09
Kai Ole Hartwig
Aber ich glaube, das ist
00:41:10
Daniel Langemann
Also das sind ja alles messbare Werte sogar.
00:41:12
Daniel Langemann
Und das ist eigentlich das Schöne.
00:41:14
Daniel Langemann
Also für Entwickler, wir haben Bauchschmerzen, wir jammern immer darüber und sagen, wir hätten das ja gerne.
00:41:19
Daniel Langemann
Aber auch auf der anderen Seite ist es ja schön, dass man sagen kann, guck mal, es ist messbar.
00:41:23
Daniel Langemann
Weiß ich nicht, viel weniger Ausfälle.
00:41:25
Daniel Langemann
Man kann aufzeigen, wie häufig deployed wird, wie häufig man zurückrollen muss oder Fehlerraten sich verändern.
00:41:33
Daniel Langemann
Das sind so schöne Werte, die du... Ja.
00:41:35
Daniel Langemann
Ja.
00:41:36
Kai Ole Hartwig
Angesichts der Zeit dann ein Thema für eine neue Runde Secrets Not Included.
00:41:41
Kai Ole Hartwig
Weil sonst fange ich jetzt auch wieder mit Deployments an, Daniel.
00:41:44
Daniel Langemann
Sorry.
00:41:44
Daniel Langemann
Schon
Abschluss und Ausblick auf weitere Episoden
00:41:45
Daniel Langemann
wieder.
00:41:45
Daniel Langemann
Ja.
00:41:45
Daniel Langemann
Ja.
00:41:47
Kai Ole Hartwig
Nö, alles gut, alles gut.
00:41:48
Kai Ole Hartwig
Ich mag die Themen ja, aber dann sprengen wir unser Zeitfenster völlig.
00:41:53
Kai Ole Hartwig
Ich möchte dich gar nicht so jetzt abwürgen abrupt.
00:41:56
Kai Ole Hartwig
Automatisiertes Deployments sind top.
00:42:01
Kai Ole Hartwig
Und ich glaube, dann sehen wir uns aber in einer neuen, nächsten Folge Secrets Not Included in der nächsten Woche.
00:42:12
Kai Ole Hartwig
Ja.
00:42:14
Kai Ole Hartwig
Macht's gut.
00:42:15
Kai Ole Hartwig
Bis dahin.
00:42:15
Kai Ole Hartwig
Ciao, ciao.
00:42:15
Daniel Langemann
Bis dann.
00:42:16
Daniel Langemann
Ciao.