Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Secrets Not Included: Security-Theater mit Zertifikat: Warum ISO & Co. keine Systeme retten
19 Plays3 days ago
Dritter Aufnahmeversuch, zu viel Kaffee und ein Thema, das wehtut: Zertifizierungen, Audits und Compliance-Checklisten versprechen Sicherheit – liefern aber oft nur Papier. Kai und Daniel sprechen über Security-Kultur statt Papiertiger, transparente Pipelines, automatisierte Patches und warum echte Sicherheit nicht an der Wand hängt, sondern jeden Tag gelebt werden muss.
Recommended
Transcript
Einleitung und Thema der Episode: Die Ineffektivität von Zertifizierungen
00:00:00
Kai Ole Hartwig
Willkommen zurück zu einer hervorragenden, provokativen Folge No Secrets Not Included.
00:00:07
Kai Ole Hartwig
Hervorragend.
00:00:08
Kai Ole Hartwig
Heute läuft alles voll super.
00:00:10
Kai Ole Hartwig
Wollen wir neu machen?
00:00:11
Daniel Langemann
Nee, ist lasst.
00:00:11
Kai Ole Hartwig
Wir wollen neu machen.
00:00:13
Daniel Langemann
Alle guten Dinge sind drei.
00:00:14
Daniel Langemann
Also es ist der dritte Versuch.
00:00:15
Daniel Langemann
Wir versuchen es zum dritten Mal irgendwie eine Folge auf die Reihe zu kriegen heute.
00:00:19
Kai Ole Hartwig
Ja, es läuft, Daniel.
00:00:21
Kai Ole Hartwig
Wir hätten das doch anders machen sollen heute.
00:00:25
Daniel Langemann
Ja, also ich muss betonen, Disclaimer, wir sind nüchtern.
00:00:25
Kai Ole Hartwig
Anders.
00:00:29
Daniel Langemann
Es ist morgens 10 Uhr und wir haben noch nichts getrunken.
00:00:32
Daniel Langemann
Auch wenn wir anders aussehen oder uns anders verhalten.
00:00:37
Kai Ole Hartwig
Ja, vielleicht hätten wir zumindest Wasser trinken sollen oder Kaffee.
00:00:41
Daniel Langemann
Nee, zu viel Kaffee habe ich schon.
00:00:43
Kai Ole Hartwig
Ach, zu viel Kaffee.
00:00:44
Kai Ole Hartwig
Okay.
00:00:45
Kai Ole Hartwig
Das passt ja eigentlich auch ziemlich gut.
Kritik an ISO-Zertifizierungen: Theorie vs. Realität
00:00:47
Kai Ole Hartwig
Wir wollten nämlich eigentlich über die große Security-Lüge reden und dass Zertifizierungen keine Systeme sicher machen.
00:00:58
Daniel Langemann
Das ist ein sehr schönes Thema.
00:01:02
Daniel Langemann
Habe ich allein letzte Woche...
00:01:06
Daniel Langemann
In einem Startup, in dem ich beteiligt bin, haben wir so ein Self-Assessment gemacht, sagen wir mal.
00:01:12
Daniel Langemann
Ich müsste jetzt mal gucken, wie die genaue Bezeichnung ist.
00:01:15
Daniel Langemann
Und ja, also ich weiß nicht, wie ich es ohne Schimpfwörter sagen soll.
00:01:25
Daniel Langemann
Ich mag solche Zertifizierungen, weil die mir Ideen oder Anstöße geben, wo man sagt, okay, komm, das ist ein Punkt, den hast du noch nicht auf dem Schirm gehabt.
00:01:33
Daniel Langemann
Und das ist meistens so einer von 50 Fragen vielleicht und der Rest ist einfach Schrott für die Tonne.
00:01:38
Kai Ole Hartwig
Ja, aber wir reden jetzt über so eine ISO 2701 oder 9001 oder irgendwie sowas oder über welche Art von Zertifizierung.
00:01:43
Daniel Langemann
Ja, das...
00:01:46
Daniel Langemann
Ja, das auch.
00:01:46
Daniel Langemann
Also zwar ich jetzt letzte Woche nicht die ISO 27.01, aber das war so ein Self-Assessment und in der Cloud hosten.
00:01:54
Daniel Langemann
Und für mich ist so sehr viel ähnlich.
00:01:56
Daniel Langemann
Also da sind oft Sachen dabei, die eigentlich zu meinem Setup gar nicht passen, die zu mir gar nicht passen.
00:02:01
Daniel Langemann
Und das ist oft so, dass du dann deine Prozesse an diese Zertifizierung anpasst.
00:02:10
Daniel Langemann
Und das habe ich gerade auch bei diesen ISO-Zertifizierungen auch schon ein paar Mal gehört, also selber nicht erlebt, aber Hörensagen ist auch immer so eine schöne Geschichte.
00:02:16
Kai Ole Hartwig
Mhm.
00:02:18
Daniel Langemann
Und das, was wohl am häufigsten schief läuft oder falsch läuft, ist, dass auch bei der ISO-Zertifizierung einfach Prozesse aufgeschrieben werden und da müssen die Leute danach arbeiten nachher.
00:02:31
Daniel Langemann
Und das hat aber nichts mit der Realität zu tun.
00:02:33
Daniel Langemann
Und das Ding wird einfach oben drüber gestülpt oder gesagt, gedrückt von oben nach unten.
00:02:39
Daniel Langemann
Und das muss jetzt passen.
00:02:40
Daniel Langemann
Und das funktioniert vorne und hinten nicht, weil die Realität eine andere ist.
00:02:44
Daniel Langemann
Und das einfach auch mit meinen Prozessen oder mit den Prozessen nicht zusammenpasst.
AWS-Tools und Zertifizierungsvorgaben: Nötige oder überflüssige Upsells?
00:02:47
Daniel Langemann
Und auch mit meinem Setup, je nachdem, mit den Technologien, die man verwendet.
00:02:51
Daniel Langemann
Das ist halt immer so, finde ich, sehr schwer zu tun.
00:02:56
Kai Ole Hartwig
Hm, okay, also, also, ja, spannender Punkt.
00:03:01
Kai Ole Hartwig
Ich gebe dir auch grundsätzlich erst mal recht, Zertifizierungen an sich machen nichts sicherer.
00:03:08
Kai Ole Hartwig
Ähm, ich habe das Ganze bisher zum Teil etwas anders erlebt.
00:03:13
Kai Ole Hartwig
Also, es gibt ja zum Beispiel bei AWS, um jetzt wieder mal einen der bösen US-Hyperscaler hier zu nennen, ähm,
00:03:22
Daniel Langemann
Nee.
00:03:22
Daniel Langemann
Es wird Fanboy sitzen, pass auf.
00:03:23
Daniel Langemann
Mhm.
00:03:23
Daniel Langemann
Mhm.
00:03:27
Kai Ole Hartwig
Ich mag AWS auch furchtbar gerne, aber aktuell, es gibt es ja so eine Bewegung in Europa, möchte ich mal sagen, eher sehr dagegen arbeitet, um jetzt nicht zu provokant heute zu werden.
00:03:49
Kai Ole Hartwig
So, aber anyway, da wollte ich gar nicht hin, aber da gibt es ja auch Tools, die dir sagen, okay, pass auf, dein Setup ist jetzt so und so viel Prozent ISO 2701, SOC 2 und so weiter kompatibel und wenn du diese weiteren kostenpflichtigen Produkte von uns kaufst,
00:04:09
Kai Ole Hartwig
dann wird dein Setup aber kompatibler dazu oder besser.
00:04:15
Kai Ole Hartwig
An für sich smartes Upsell und Cross-Sell.
00:04:18
Daniel Langemann
Generell nicht falsch, Make or Buy ist ja immer...
00:04:18
Kai Ole Hartwig
Also man bietet ein Produkt an, was man für Geld kauft, das einem dann sagt, okay, du musst noch mehr Geld ausgeben.
00:04:29
Kai Ole Hartwig
Was ich aber daran eigentlich schön finde, ist, es zeigt dir halt ganz konkrete Punkte,
00:04:37
Kai Ole Hartwig
auf, die notwendig sind für so eine Zertifizierung, dass das Thema auditierbar sind, dass Veränderungen nachvollziehbar sind und bestimmte
Zertifizierungen und ihre Wirkung auf die tatsächliche Sicherheit
00:04:52
Kai Ole Hartwig
Prozesse auch.
00:04:52
Kai Ole Hartwig
Und das fand ich bisher, oder die Art fand ich total hilfreich und total schön eigentlich.
00:05:02
Kai Ole Hartwig
Ähm,
00:05:02
Kai Ole Hartwig
weil es mir geholfen hat, das auch einfach mal zu verstehen.
00:05:06
Kai Ole Hartwig
Wo soll eigentlich die Reise hingehen?
00:05:07
Kai Ole Hartwig
Weil auf der anderen Seite habe ich halt Zertifizierung und Compliance-Zeugs Compliance-Zeugs erlebt, Audits erlebt und das Ausarbeiten von den Unterlagen erlebt, wo man sagen muss, das hat tatsächlich nichts sicherer gemacht, weil einfach viel Papier produziert wurde für nix.
00:05:30
Daniel Langemann
Mhm.
00:05:30
Kai Ole Hartwig
Ja, so etwas wie, wir brauchen jetzt einen Patch-Prozess.
00:05:35
Kai Ole Hartwig
Und dann ist die wilde Idee, und aus heutiger Sicht jetzt einige Jahre später, ungefähr zwei Jahre später, ist die Idee noch wilder gewesen, wir brauchen einen Patch-Manager.
00:05:46
Kai Ole Hartwig
Und jedes Mal, wenn irgendeine Sicherheitslücke auftritt, muss diese Person erscheinen, ob wir jetzt etwas einspielen oder nicht.
00:05:56
Kai Ole Hartwig
Wo ich sage, okay, also und wie machen wir jetzt den Prozess damit sicherer?
00:06:01
Kai Ole Hartwig
Wie werden die Systeme sicherer, wenn wir jetzt jemanden haben, der dann innerhalb von 24 Stunden sich so ein Ding anschauen sollte und dann innerhalb von sieben Tagen entscheiden soll, ob etwas getan wird?
00:06:12
Kai Ole Hartwig
Das ist ja kein wir schaffen aktiv Sicherheit, sondern wir sagen eigentlich nur, okay, wir sind langsam und
00:06:23
Daniel Langemann
Ja, ja.
00:06:23
Daniel Langemann
Also... Ob nur gelebt wird?
00:06:24
Daniel Langemann
Mhm.
00:06:24
Kai Ole Hartwig
Das haben wir aufgeschrieben und weil es aufgeschrieben ist, findet das Audit das völlig in Ordnung, weil der Prozess ist ja dokumentiert.
00:06:31
Kai Ole Hartwig
Und Ähnliches habe ich auch zum Beispiel bei der ISO 9001, also Qualitätsmanagement erlebt.
00:06:39
Kai Ole Hartwig
Da wurde dann eine nette Geschichte aufgeschrieben, die nichts mit der Realität zu tun hatte, nichts mit den Prozessen zu tun hatte.
00:06:47
Kai Ole Hartwig
Und was ich am schlimmsten fand,
00:06:49
Kai Ole Hartwig
nicht die Qualität des Produkts, des Artefakts, was nachher ausgeliefert wird, gesteigert hat.
00:06:56
Daniel Langemann
Du hast ein schönes Zertifikat, was du ausdrucken kannst, kannst du in die Wand hängen und haben Leute Geld dran verdient.
00:06:57
Kai Ole Hartwig
So, also... Genau, relativ viel auch.
00:07:01
Daniel Langemann
Also...
00:07:02
Kai Ole Hartwig
Also die Zertifikate sind schon irgendwie teuer.
00:07:07
Kai Ole Hartwig
also für mein Empfinden, für das, was nachher rauskommt, dafür, dass es ein Papiertiger ist, der halt nichts verändert hat und vielleicht einfach auch noch nicht mal das beschreibt, was die Realität ist oder die Realität beschreibt und die Realität einfach nur schlecht ist.
00:07:23
Daniel Langemann
Also ich würde da noch gerne einhaken, weil generell würde ich sie nicht verteufeln.
00:07:25
Kai Ole Hartwig
Ja.
00:07:28
Daniel Langemann
Man muss ja auch ein bisschen gucken, wie groß oder klein ist das Unternehmen.
00:07:33
Daniel Langemann
Habe ich zum Beispiel die Auflage, dass nicht jeder Admin-Zugriff haben darf auf Kundendaten?
00:07:37
Daniel Langemann
Vollkommen logisch.
00:07:39
Kai Ole Hartwig
Vielen Dank.
00:07:39
Daniel Langemann
Mein Lieblingsbeispiel wäre jetzt das Datum, an dem ich beteiligt bin.
00:07:43
Daniel Langemann
Da haben 50% der Leute Zugriff, weil wir sind vier.
00:07:46
Daniel Langemann
Und ich brauche einen Backup, damit ich nicht der Einzige bin, wenn ich mal weg bin, damit nur jemand anderes Zugriff hat.
00:07:51
Daniel Langemann
Da ist es ja komplett sinnfrei irgendwie.
00:07:52
Daniel Langemann
Oder auch Prozesse, so wie du gerade beschrieben hast.
00:07:54
Daniel Langemann
Ich bin der Einzige, der sich ums Backend kümmert.
00:07:58
Daniel Langemann
Soll ich mir selber Prozesse machen und mich selber fragen, ob ich das einspielen will und, und, und?
00:08:04
Daniel Langemann
Die habe ich ja für mich.
00:08:05
Daniel Langemann
Gehe ich aber in die andere Richtung und sage, ich habe einen großen Konzern,
00:08:09
Daniel Langemann
Und da kann ich das eher verstehen, dass es einfach heißt, dieses ist nicht meine Aufgabe.
00:08:14
Daniel Langemann
Steht nicht im Arbeitsvertrag, muss ich mich nicht drum kümmern.
00:08:16
Daniel Langemann
Wenn solche Prozesse, ja, ist doch so.
00:08:20
Daniel Langemann
Und wenn solche Prozesse gemacht werden, dann ist es zumindest dokumentiert, dann wurde die Person angesprochen.
00:08:24
Daniel Langemann
Irgendwo kommt das dann auch vielleicht in einen Arbeitsvertrag mit rein.
00:08:27
Daniel Langemann
Oder zumindest eine Prozessbeschreibung, wo es dann nachher heißt, so mit dem Fingerpointing, du hättest dich darum kümmern müssen.
00:08:32
Daniel Langemann
Und ich glaube, das ist das einfach.
00:08:35
Daniel Langemann
Du hast etwas gebaut und dann ist halt jemand schuld, wenn es schiefläuft.
00:08:40
Kai Ole Hartwig
Also grundsätzlich halte ich es für gut, wenn man auch die eigenen Prozesse dokumentiert und aufschreibt, weil weil im Zweifelsfall, wenn das schief geht,
00:08:53
Kai Ole Hartwig
musst du dich nur daran erinnern, in meinem WG liegt irgendwo dieses Dokument, wo ich aufgeschrieben habe, wie ich das jetzt mache.
00:09:02
Daniel Langemann
Also der Worst Case ist ja der Busfaktor.
00:09:04
Kai Ole Hartwig
Und
00:09:05
Daniel Langemann
Und der ist da gerade bei 1.
00:09:07
Daniel Langemann
Und...
00:09:09
Kai Ole Hartwig
Und wenn es aufgeschrieben ist, dann gibt es zumindest die Chance, dass jemand anderes da ist.
00:09:14
Kai Ole Hartwig
Deswegen bin ich schon grundsätzlich ein Fan davon, alles, was wichtig ist, zu verschriftlichen oder zu dokumentieren.
00:09:25
Kai Ole Hartwig
In welcher Form auch immer.
00:09:26
Kai Ole Hartwig
Auch wenn du Striche an der Wand malst und damit kommt jemand zu Recht.
00:09:31
Kai Ole Hartwig
Go for it.
00:09:32
Daniel Langemann
Ich habe die ganze Wand vollgemalt.
00:09:34
Kai Ole Hartwig
Die Wand muss schon groß genug werden.
00:09:36
Kai Ole Hartwig
Ja, so.
00:09:36
Daniel Langemann
Ich habe hier noch weiße Wand.
00:09:40
Kai Ole Hartwig
Aber mein eigentlicher Kritikpunkt an dem ist, dass viele eigentlich hingehen und interpretieren, wenn da jemand sagt, wir haben eine ISO 27001.
00:09:54
Kai Ole Hartwig
Oder wir haben BSI Grundschutz Audit gemacht oder irgendwie sowas.
00:09:59
Kai Ole Hartwig
Es gibt ja 1001 Anbieter, die auch Zertifikate auf Dinge anbieten, wo es gar keine Zertifikate gibt.
00:10:05
Kai Ole Hartwig
Ähm.
00:10:06
Kai Ole Hartwig
oder wir haben hier ein Security-Tool gekauft oder irgendein Audit gemacht, dass dann davon ausgegangen wird, dass diese Systeme einfach sicher sind, sicher funktionieren und jetzt alles
Erneuerung von Zertifizierungen: Vergleich mit Fahrzeuginspektionen
00:10:21
Kai Ole Hartwig
gut ist.
00:10:21
Kai Ole Hartwig
Aber eigentlich sind die meisten Zertifizierungen nur, dass festgestellt wurde, okay, es gibt dort Prozesse, die sind beschrieben,
00:10:33
Kai Ole Hartwig
Und, naja, sie haben zumindest einen Reifegrad, dass es keine gravierenden Lücken gibt zu den Sachen, die mindestens vorhanden sein müssen.
00:10:43
Daniel Langemann
Ich frage mich gerade, müssen die erneuert werden, die Zertifizierungen?
00:10:45
Kai Ole Hartwig
Ja, die haben nur eine begrenzte Götigkeit.
00:10:46
Daniel Langemann
Ja?
00:10:48
Kai Ole Hartwig
Also du musst eine Rezertifizierung alle paar Jahre machen.
00:10:52
Kai Ole Hartwig
Ich kann jetzt ehrlicherweise nicht die Fristen sagen, ich glaube, ein oder zwei Jahre oder sowas.
00:10:55
Kai Ole Hartwig
Also das heißt, das ist auch eine begrenzte Laufzeit.
00:10:58
Kai Ole Hartwig
Du musst neu auditiert werden.
00:10:59
Kai Ole Hartwig
Der Auditor darf auch nicht aus dem Unternehmen kommen, das dir beim Ausarbeiten geholfen hat.
00:11:08
Kai Ole Hartwig
Also da ist schon eine gewisse... Also es ist...
00:11:12
Daniel Langemann
Ach so, das ist dann sozusagen wie der TÜV, so alle Jahre musst du hin und dann baust du mal die Teile ab, die du nicht dran haben darfst.
00:11:21
Daniel Langemann
Oder nach dem TÜV kommen sie wieder ran, ja.
00:11:24
Kai Ole Hartwig
Ja, und der TÜV macht ja durchaus sinnvolle Sachen.
00:11:26
Kai Ole Hartwig
Der schaut auch, sind die Bremsen noch in Ordnung?
00:11:30
Daniel Langemann
Das auch, ja.
00:11:31
Daniel Langemann
Aber das ist eine Momentaufnahme.
00:11:31
Kai Ole Hartwig
So.
00:11:32
Daniel Langemann
Und das ist ja, glaube ich, wenn ich richtig verstanden habe, auch der Punkt, auf den du hinaus wolltest.
00:11:36
Daniel Langemann
Es ist eine Momentaufnahme mit das System oder das Produkt sollte in diesem Zustand sein, ist aber keine, also es ist ja nicht irgendwie sichergestellt, sagen wir mal, außer durch Auditoren, dass der Zustand einmal so war.
00:11:50
Daniel Langemann
Was danach passiert, ob sich irgendjemand an diese dokumentierten Prozesse hält oder wieder alle Leute im Unternehmen den Admin-Zugriff kriegen oder das Admin-Passwort per E-Mail, der im Verteiler rumgeht,
00:11:59
Kai Ole Hartwig
Ja, genau, das verhinderst du durch Zertifizierung nicht, das verhinderst du durch klare Prozesse und durch sinnvolle Prozesse, an die sich die Leute halten.
00:12:09
Kai Ole Hartwig
So, und wenn der Prozess halt einfach ist, dann halten sich die Leute darin.
00:12:13
Kai Ole Hartwig
Immer wenn der Prozess schlecht ist, dann gibt es so diese Schatten-Dinger, die entstehen und
00:12:19
Daniel Langemann
Schatten, IT, Schalten, KI und was nicht alles.
00:12:21
Daniel Langemann
Mhm.
00:12:21
Kai Ole Hartwig
Ja, und dann änderst du halt in so einem Security-Theater.
00:12:25
Kai Ole Hartwig
Ja, dann wird so getan, als wäre alles sicher, als wäre alles gut, weil wir haben hier diesen Zettel, da steht das drauf.
00:12:32
Kai Ole Hartwig
Das war dann für die Zeit, wo jemand da war, geprüft hat, da war das vielleicht so, vielleicht aber auch nicht, vielleicht waren die Schattenprozesse so schattig, dass sie nicht aufgefallen sind.
00:12:42
Kai Ole Hartwig
Und, ähm,
00:12:44
Kai Ole Hartwig
dann sitzt du da und am Tagesende hat es das halt nicht gebracht.
00:12:50
Kai Ole Hartwig
Und eigentlich finde ich das schade, aber ich glaube, das ist auch die Natur dieser Prozesse.
00:12:55
Kai Ole Hartwig
Du kannst ja auch nicht ständig jemand extern da haben, der schaut und macht und tut.
00:12:59
Daniel Langemann
Mhm.
00:13:02
Kai Ole Hartwig
Und
00:13:04
Kai Ole Hartwig
Eigentlich muss man sich ja überlegen, was sind denn so diese Knackpunkte, um tatsächlich Sicherheit zu erreichen und dann sich gute
Transparenz in Prozessen: Ein Muss für echte Sicherheit
00:13:12
Kai Ole Hartwig
Prozesse bauen.
00:13:12
Kai Ole Hartwig
Und wenn diese Prozesse halt da sind, dann bekommst du auch die Zertifizierung dafür.
00:13:16
Kai Ole Hartwig
Das ist ja gar nicht so, dass jemand hingeht und sagt, naja, jetzt musst du aber dieses Tool benutzen, damit das funktioniert.
00:13:24
Kai Ole Hartwig
Also mag sein, dass es das gibt, aber das ist eigentlich aus meiner Sicht nicht möglich,
00:13:31
Kai Ole Hartwig
verpflichtend in diesen Zertifizierungen.
00:13:32
Kai Ole Hartwig
Das ist vielleicht ein netter Cross-Sale vom Anbieter.
00:13:36
Daniel Langemann
Ja.
00:13:37
Kai Ole Hartwig
Wir haben hier diese Tochtergesellschaft und hier hast du noch das Tool und damit bist du immer zertifiziert.
00:13:44
Kai Ole Hartwig
Es gibt mittlerweile im Übrigen auch Anbieter und das finde ich auch falsch und kritisch und ich frage mich, warum da nicht gegen vorgegangen wird stärker.
00:13:56
Kai Ole Hartwig
Es gibt Anbieter, die bieten dir an, gegen eine monatliche Ablösesumme, gar nicht so hoch übrigens, dass du dann, solange du die bezahlst, eine gültige Zertifizierung hast für 9001 oder 27001.
00:14:09
Kai Ole Hartwig
Ja, da erstellst du mit KI, also die KI erstellt dir diese Handbücher, die du brauchst.
00:14:17
Daniel Langemann
Echt?
00:14:17
Daniel Langemann
Namen?
00:14:17
Daniel Langemann
Ich frage nur für einen Freund in Minecraft, also Nein Ja
00:14:17
Kai Ole Hartwig
bei denen und ein Tochterunternehmen von denen sagt dann, ja, das ist alles voll super und solange du monatlich brav deine, ich weiß nicht, paar Euro da zahlst, bist du erfolgreich zertifiziert.
00:14:30
Kai Ole Hartwig
Ja, echt.
00:14:32
Kai Ole Hartwig
Soll ich dir Adressen schicken, Daniel?
00:14:36
Kai Ole Hartwig
Möchtest du so ein Zertifikat haben, damit du es ausdrucken kannst und an die Wand hängen kannst?
00:14:41
Kai Ole Hartwig
Ah, okay.
00:14:42
Kai Ole Hartwig
Ja, dachte ich mir.
00:14:44
Kai Ole Hartwig
So, also, verstehst du, warum ich sage, eigentlich ist Sicherheit eine Kulturfrage und eine Prozessfrage und keine Zertifizierungsfrage an sich.
00:14:47
Daniel Langemann
Okay.
00:14:57
Kai Ole Hartwig
Die Zertifizierung kann halt den Moment aufnehmen und kann halt sagen, ja, okay, hier wurde das dokumentiert, was gemacht wird und das scheint offenbar auch so umgesetzt zu werden, aber das Leben dieser Sicherheit, das muss im täglichen Doing passieren.
00:15:10
Kai Ole Hartwig
Und
00:15:10
Daniel Langemann
Umgekehrt kannst du genau diese Sicherheit ja haben ohne ein Zertifikat.
00:15:14
Daniel Langemann
Also die Abwesenheit von einem Zertifikat bedeutet nicht gleich Unsicherheit.
00:15:14
Kai Ole Hartwig
Ja, natürlich.
00:15:20
Daniel Langemann
Und deswegen sind ja die Zertifikate, kannst du die irgendwo hinhängen.
00:15:23
Daniel Langemann
Im besten Fall stimmt das, was da drinnen steht oder was damit sichergestellt wird.
00:15:30
Daniel Langemann
Aber mehr nicht.
00:15:31
Daniel Langemann
Mhm.
00:15:33
Kai Ole Hartwig
Genau, also das Zertifikat bedeutet halt, nur es hat jemand draufgeschaut.
00:15:38
Kai Ole Hartwig
Es bedeutet halt nicht, es sagt halt nichts über den tatsächlichen Reifegrad aus.
00:15:44
Kai Ole Hartwig
Also zumindest ist das meine Information, dass der Reifegrad da nicht dokumentiert wird.
00:15:50
Kai Ole Hartwig
Und ja, das heißt halt einfach nicht,
00:15:57
Daniel Langemann
Aber auf der anderen Seite kann ich das zum Beispiel auch aus Kundensicht verstehen.
00:16:00
Daniel Langemann
Man möchte halt, je nachdem muss man, ist das ein Kriterium bei der Anbieterauswahl, wie auch immer, oder es ist ja immer schwer, den Leuten hinter die Stirn zu gucken und aus Kundensicht zu beurteilen, ist derjenige oder ist diese Agentur, keine Ahnung, was da geprüft wird und
00:16:17
Daniel Langemann
Ist das sicher?
00:16:19
Daniel Langemann
Ist das vernünftig, was da läuft?
00:16:20
Daniel Langemann
Keine Ahnung, ich möchte mir Software as a Service zulegen und das wird ein betriebskritischer Prozess, weil das ein ERP-System ist oder irgendwas.
00:16:27
Kai Ole Hartwig
Mhm.
00:16:29
Daniel Langemann
Ich kann dieses Bedürfnis verstehen, weil die können ja nicht, oder ich könnte ja auch nicht in den Quellcode von diesem System reinschauen und gerade heutzutage hätte ich schon die Sorge, dass da zum Beispiel mit Vibe-Coding einfach viele Sachen ganz schnell starten, die aber unter der Haube richtig übel sind, ne?
00:16:44
Daniel Langemann
Und dieses Grundbedürfnis kann ich schon verstehen, dass man sagt, guck mal, es gibt Zertifizierungen, weiß ich nicht, Label A, B und C, ne, und auf einer Skala, das ist in Ordnung, da kannst du dich drauf verlassen, im Sinne von, dass das Ding morgen nicht weg ist.
00:16:57
Daniel Langemann
Und deine Güte... Hm...
00:16:57
Kai Ole Hartwig
Genau, es macht halt die Prüfung einfacher.
00:16:59
Kai Ole Hartwig
Du kannst halt immer sagen, wir haben hier das Zertifikat gesehen, es ist in Ordnung.
00:17:03
Kai Ole Hartwig
Also du musst keinen Fragebogen ausfüllen lassen, wo du dann selber prüfst, stimmt das?
00:17:09
Kai Ole Hartwig
Also reicht uns das oder nicht?
00:17:11
Kai Ole Hartwig
Also ich verstehe auch den Sinn und Zweck dahinter.
00:17:14
Kai Ole Hartwig
Ich finde es halt nur kritisch, dass du halt eigentlich halt nichts gewinnst daraus.
00:17:18
Daniel Langemann
Blinde vertrauen.
00:17:23
Daniel Langemann
Also es ist schwer und ich frage mich auch immer, gerade in solchen Situationen, wie kann ich jetzt zum Beispiel als Softwareanbieter Zugang ermöglichen und sagen, guck mal, mal abgesehen von den Zertifizierungen, wie könnte ich beweisen, dass ich diese Kultur lebe?
00:17:39
Daniel Langemann
Ohne jetzt einen Aufkleber, sondern dass man sagt, weiß ich nicht, komm vorbei, trink einen Tag Kaffee, ich zeige dir meine Entwickler und wenn der WTF-Faktor unter 10 pro Minute liegt, dann wird das schon gut sein oder so.
00:17:52
Daniel Langemann
Ja.
00:17:54
Kai Ole Hartwig
zeig dir meine Entwickler, die habe ich hier in der Schublade, dann dürfen die auch mal wieder raus.
00:17:58
Kai Ole Hartwig
Aber sprich die nicht zu sehr an, die mögen Licht nicht.
00:18:03
Kai Ole Hartwig
Nein, also das ist jetzt gemein.
00:18:05
Kai Ole Hartwig
Was wir ja machen ist,
00:18:07
Kai Ole Hartwig
Also unsere Kunden haben zum Beispiel auf Skidlab bei uns Zugriff, so ganz hart auf die Pipelines.
00:18:12
Daniel Langemann
Auch Quellcode.
00:18:12
Daniel Langemann
Nee, das finde ich aber gut.
00:18:13
Daniel Langemann
Genau.
00:18:14
Kai Ole Hartwig
Da liegt zum Beispiel auch einfach die, ja, auf Quellcode, auf die Pipelines, auf das Deployment, da siehst du ja, also da sieht man, welche Schritte ausgeführt werden auf die ganzen Tickets, ja, auch das, was Renovate mal eben da raushaut mit, oh, wir haben hier eine Sicherheitslöcke, wir fixen mal kurz.
00:18:32
Kai Ole Hartwig
Also wir spielen den Patch ein und so.
00:18:35
Kai Ole Hartwig
Also du kannst da halt tatsächlich nachverfolgen, was machen die denn da eigentlich?
00:18:43
Kai Ole Hartwig
Und was da halt auch drin liegt, ist halt das Unternehmenshandel.
00:18:47
Kai Ole Hartwig
Ich habe auch mal überlegt, ob wir es nicht einfach komplett öffentlich machen, aber im Moment liegt es da drin, da liegt es auch eigentlich ganz gut.
00:18:53
Kai Ole Hartwig
Wo halt auch jeder Scheiß drin dokumentiert ist.
00:18:55
Daniel Langemann
Mhm.
00:18:57
Kai Ole Hartwig
Ja, also bei uns kannst du halt einfach reinschauen und sagen, ja, gefällt mir oder gefällt mir nicht.
00:19:05
Kai Ole Hartwig
Die Pipeline läuft jetzt aber 30 Sekunden zu lang für mich.
00:19:10
Kai Ole Hartwig
Okay, wir laufen hier gerade mit 100 Pipelines gleichzeitig, weil ein kritischer Sicherheitslücker läuft.
00:19:17
Kai Ole Hartwig
Das ist okay, dass der Runner gerade länger braucht.
00:19:20
Daniel Langemann
Ich glaube, die Laufzeit wird keinen interessieren.
00:19:22
Daniel Langemann
Was ich aus Kundensicht cool finde, ist, und vielleicht ist das auch einer der wichtigsten Punkte, also wenn man sich so eine Agentur oder irgendwas, einen Kooperationspartner aussucht, so die Frage, wie tief bin ich in die Prozesse integriert oder kann ich reinschauen, wenn ich möchte?
00:19:36
Kai Ole Hartwig
Ja, wenn du Bock hast, kannst du auch bei uns selber deployen, ne?
00:19:36
Daniel Langemann
Und wenn ich zum Beispiel sehe oder auf LinkedIn irgendwo einen Beitrag lese, mach du zuerst.
00:19:44
Daniel Langemann
Das leckt gerade, glaube ich.
00:19:45
Kai Ole Hartwig
Ja, sorry.
00:19:48
Kai Ole Hartwig
Bei uns kannst du sogar hingehen als Kunde und selber deployen.
00:19:51
Kai Ole Hartwig
Also du kannst meinetwegen auf Merch klicken, wenn du sagst, boah, ich hab's mir auf dem Testsystem angeschaut oder ich hab's mir nicht angeschaut.
00:19:52
Daniel Langemann
Okay.
00:19:57
Kai Ole Hartwig
Ist mir scheißegal, ich will das jetzt deployed haben.
00:19:59
Kai Ole Hartwig
Kannst du auch draufklicken, deployen.
00:20:01
Kai Ole Hartwig
Und wenn es dann halt nicht funktioniert, weil die Pipeline dann halt abbricht, dann bricht die Pipeline halt ab, weil die Tests nicht da sind.
00:20:08
Kai Ole Hartwig
Oder weil die Tests sagen, nee, sorry, not sorry.
00:20:11
Kai Ole Hartwig
Du nicht.
00:20:12
Kai Ole Hartwig
Aber im Prinzip, du kannst auch selber einen Rollback machen.
00:20:15
Kai Ole Hartwig
I don't care.
00:20:16
Kai Ole Hartwig
Ja, also das ist jetzt nicht so, dass wir da irgendwie... Ja.
00:20:18
Daniel Langemann
Das finde ich schön, dass wir jetzt so den Kreis schließen aus den ganzen anderen letzten Themen mit, warum Pipeline automatisiert sein muss, bla bla bla, Sicherheit, Credentials, weil jetzt kannst du den Kunden auf die Pipeline und auf sein eigenes System loslassen, ohne dass du Credentials verteilst.
00:20:20
Kai Ole Hartwig
Ja.
00:20:33
Daniel Langemann
Der Kunde kann selber interagieren,
00:20:36
Daniel Langemann
Und hat viel mehr Möglichkeiten auch zum Beispiel zu sehen.
00:20:39
Daniel Langemann
Und ich finde das auch gut und das war das, wo wir gerade so übereinander gequatscht haben.
00:20:43
Daniel Langemann
Zum Beispiel dieses Gefühl für den Kunden auf LinkedIn, Panik, nächste Inzident, irgendwas ist wieder geleakt, irgendeine Kette, irgendwas ist passiert.
00:20:53
Daniel Langemann
Er möchte dich anrufen, guckt in die Pipeline und sieht schon, dass Renovate am Laufen ist oder schon gelaufen ist vor zwei Tagen, weil das einfach schon längst durch ist, bis LinkedIn dann der Hype-Train da ankommt.
00:21:03
Daniel Langemann
Perfekt.
00:21:04
Daniel Langemann
Dann hat der Kunde sich einen Anruf gespart und kann auch noch sagen, guck mal, die machen, also das Feedback ist ja auch da, der sieht was, was du machst zwischendurch, was sonst ja komplett verschwindet.
00:21:12
Kai Ole Hartwig
Genau, es ist einfach direkt
00:21:13
Daniel Langemann
Ja.
Starke Sicherheitskultur vs. Zertifizierungen: Was ist effektiver?
00:21:14
Kai Ole Hartwig
transparent.
00:21:14
Kai Ole Hartwig
Wir sind jetzt dazu übergegangen, schreiben das auch direkt in den Blog rein.
00:21:18
Kai Ole Hartwig
Also, du musst dich gar nicht mehr ins System einloggen.
00:21:22
Kai Ole Hartwig
Natürlich weißt du meistens als Gründer nicht mal, wo sind wir von betroffen, aber dann ist da irgendwas ganz Kritisches und dann hast du das Bedürfnis zu sagen, ich möchte mit jemandem sprechen.
00:21:31
Kai Ole Hartwig
Ja, dann ruf halt an,
00:21:33
Kai Ole Hartwig
das ist kein Thema, oder schau halt einfach ins System und dann siehst du, da läuft schon was oder ist schon gelaufen, weil wir ja auch so ein Issue haben, wo alles dokumentiert ist dann, was Renovate zum Beispiel eingespielt hat und
00:21:49
Kai Ole Hartwig
hey, also du bist halt nicht darauf angewiesen, dass ich jetzt zum Beispiel direkt ans Telefon gehe.
00:21:54
Kai Ole Hartwig
Das kann jetzt ja auch sein, gerade wenn so ein total kitzeliges Ding ist, dass halt zehn Leute auf einmal anrufen.
00:21:54
Daniel Langemann
Ja, genau.
00:21:55
Daniel Langemann
Mhm.
00:21:59
Kai Ole Hartwig
Das ist schwierig.
00:22:02
Kai Ole Hartwig
Unsere Telefonanlage kann das.
00:22:04
Kai Ole Hartwig
Ich habe aber hier nur zwei Telefone stehen.
00:22:06
Kai Ole Hartwig
Also kann ich nur mit zwei Leuten gleichzeitig telefonieren, denen ich halt sage, ja, ist eingespielt.
00:22:10
Kai Ole Hartwig
Keine Ahnung, ob eine andere Frage da war, aber einfach überall rangehen und sagen, ja, ist eingespielt.
00:22:15
Kai Ole Hartwig
Also irgendwie nicht so der geile Prozess und irgendwie nicht so richtig cool für den Kunden.
00:22:21
Kai Ole Hartwig
Und schaust halt rein, siehst es und wenn du keinen Bock hast, dann rufst du halt an, schreibst eine E-Mail und bekommst dann eine Antwort.
00:22:31
Kai Ole Hartwig
Aber vermutlich ist es so, dass wenn du bei LinkedIn schon liest, da gibt es eine kritische Sicherheitslücke,
00:22:40
Kai Ole Hartwig
läuft bei uns längst die Pipeline oder ist es wahrscheinlich sogar schon im System drin oder wird in der nächsten halben Stunde im System ankommen.
00:22:47
Daniel Langemann
Ja.
00:22:48
Kai Ole Hartwig
Also klar, die Pipelines, gerade wenn viel los ist, brauchen die manchmal ein bisschen.
00:22:53
Kai Ole Hartwig
Und ja, bestimmte Tests laufen auch manchmal länger, wie das halt so ist, gerade weil ja das dann voll automatisiert durchdeployt wird.
00:23:03
Kai Ole Hartwig
Aber eigentlich ist jede Sicherheitslücke, wenn es einen Patch dafür gibt, ja nicht so wie die letzten beiden im Linux-Kernel, Copy-Fail und was war es, Dirty-Frag.
00:23:13
Kai Ole Hartwig
Die waren ja nicht schön, weil man ja keinen Patch hatte so zum direkt einspielen.
00:23:20
Kai Ole Hartwig
da mussten wir also selber erstmal was machen und selber in die Config schreiben und ausrollen, dass es halt entsprechend gesichert ist.
00:23:33
Kai Ole Hartwig
Aber wenn das nicht ist, läuft es ja automatisch durch, ja, dass jedes Ding einfach entspannt.
00:23:38
Daniel Langemann
Ja, aber das ist ja eigentlich einer der wichtigen Punkte oder Schlussfolgerungen.
00:23:39
Kai Ole Hartwig
Chill.
00:23:44
Daniel Langemann
Das Zertifikat ist schön, aber in die Prozesse integriert sein oder integriert werden, Tiefzugriff haben auf alle möglichen Sachen, weil es halt kein Betriebsgeheimnis ist, wie der Quake-Code aussieht.
00:23:56
Daniel Langemann
Also das ist langweilig hoch 10 eigentlich.
00:24:00
Kai Ole Hartwig
Ja, und ganz ehrlich, lad ihn dir runter, nimm ihn mit, wenn du uns doof findest, geh zum anderen Anbieter.
00:24:07
Kai Ole Hartwig
I don't care.
00:24:08
Daniel Langemann
Ja, gerade dieses Mein-Quell-Code-Spiel, das finde ich lächerlich.
00:24:09
Kai Ole Hartwig
Ja, also wenn man uns doof findet, dann möchte ich auch niemanden aufhalten, deswegen, was soll ich da irgendein Spiel drum machen?
00:24:15
Kai Ole Hartwig
Ich glaube, das ist, also für meinen Seelen, Frieden ist das Wichtige.
00:24:19
Kai Ole Hartwig
Ähm, und, ähm,
00:24:25
Kai Ole Hartwig
Ich glaube, du findest es auch einfach geil, wenn du da sitzt, siehst die Pipeline, läuft, du weißt, du musst dich jetzt nicht drum kümmern, weil für diese kritische Lücke gab es oder für ein normales auch Maintain-Solice, ja.
00:24:36
Kai Ole Hartwig
Es läuft halt einfach durch, du musst dich nicht drum kümmern.
00:24:40
Kai Ole Hartwig
Wenn was schief läuft, bekommst du eine Nachricht und dann schaust du rein.
00:24:44
Kai Ole Hartwig
Also ich finde, das ist, das hat mir persönlich sehr viel Stress genommen.
00:24:52
Daniel Langemann
Kann ich mir vorstellen.
00:24:53
Kai Ole Hartwig
Und
00:24:56
Kai Ole Hartwig
Und hatte auch sehr viel Stress aus dem Team halt genommen.
00:24:59
Kai Ole Hartwig
Wenn du halt weißt, okay, dieses Grundrauschen an Überraschungen minimiert sich extrem, weil du nur noch dann tätig werden musst, wenn was nicht funktioniert.
00:25:12
Kai Ole Hartwig
Und das ist dann auch nicht auf dem Produktivsystem, sondern vorher.
00:25:16
Kai Ole Hartwig
Ja, hey, weißt du, dann kannst du auch mit allen Dingen viel entspannter umgehen.
00:25:20
Kai Ole Hartwig
Du musst halt viel seltener nachts aufstehen.
00:25:25
Daniel Langemann
Oh ja.
00:25:26
Kai Ole Hartwig
So.
00:25:26
Daniel Langemann
Ja, gerade wenn solche Sachen zeitkritisch sind, automatisiert eingespielt werden, dann kannst du dich auf die wichtigen Sachen konzentrieren, und zwar den Kunden.
00:25:35
Daniel Langemann
Dann bist du nicht damit beschäftigt, zu patchen, Pipelines zu schubsen und gucken, dass Sachen irgendwo deployed sind und gucken, was wo deployed ist und ob du es updaten musst oder nicht, sondern das ist die Zeit, wo du einfach mit dem Kunden reden kannst.
00:25:46
Daniel Langemann
Sagen kannst, ist längst geschehen, wir reden über das nächste Feature.
00:25:50
Kai Ole Hartwig
Genau.
00:25:50
Kai Ole Hartwig
Wollen wir nicht was trinken gehen?
00:25:53
Kai Ole Hartwig
So, ne?
00:25:54
Daniel Langemann
Oder das...
00:25:55
Kai Ole Hartwig
Ja, aber das ist es ja am Tagesende.
00:25:57
Kai Ole Hartwig
Also, ich glaube, wir ticken da ziemlich ähnlich an der Stelle und sind sehr darauf aus, saubere, sichere Systeme laufen zu haben.
00:26:10
Kai Ole Hartwig
Und ich meine, da tut dann natürlich so eine Sicherheitslücke, wie sie jetzt Composer gestern veröffentlicht hat mit den GitHub-Actions immer weh.
00:26:17
Kai Ole Hartwig
Jetzt muss ich sagen, okay, wir nutzen keine GitHub-Actions, das ist nicht so relevant für uns.
00:26:17
Daniel Langemann
Ja, du kommst da sonst gar nicht mehr hinterher.
00:26:22
Kai Ole Hartwig
Composer-Patch haben wir trotzdem sofort eingespielt.
00:26:29
Kai Ole Hartwig
Also es passiert halt auch gerade viel und je mehr quasi von diesen ganzen Sachen gerade passiert, je glücklicher bin ich darüber, dass wir einfach vor Jahren automatisiert haben.
00:26:44
Daniel Langemann
Wobei, das wäre die Frage, ist das gefühlt, es passiert immer mehr oder fallen einfach nur immer mehr Sachen auf?
00:26:49
Daniel Langemann
Also wir konzentrieren uns natürlich immer mehr darauf, weil wir auch nach solchen Sachen suchen und etwas haben, worüber wir reden können.
00:26:56
Daniel Langemann
Ist das so eine selbsterfüllende Prophezeiung oder habe ich vor fünf Jahren einfach noch nicht so drauf geachtet?
00:27:00
Kai Ole Hartwig
Nein, nein, also wenn du mal auf die Statistik schaust, zum Beispiel bei Firefox, wo wir jetzt ja nichts mit zu tun haben, an Bugfixes, die jetzt auf einmal laufen für Sicherheitslücken, dann muss man schon sagen, es nimmt gerade einfach extrem zu.
00:27:02
Daniel Langemann
Oh ja.
00:27:17
Kai Ole Hartwig
Das ist ja auch das, was die Briten angekündigt hatten.
00:27:19
Kai Ole Hartwig
Wir stehen vor einer Patchwave und ich fürchte, es ist erst der Anfang der großen Welle, die kommt.
Herausforderungen wachsender Sicherheitsbedrohungen
00:27:28
Kai Ole Hartwig
Auf der anderen Seite Curl
00:27:31
Kai Ole Hartwig
Daniel, Nachnamen habe ich vergessen.
00:27:35
Kai Ole Hartwig
Naja.
00:27:36
Kai Ole Hartwig
Also der Hauptentwickler von Curl hatte jetzt ja auch gesagt, okay, er hat Cloud Mythos auf Curl zugelassen und irgendwie nach Stunden des Laufens sind dann fünf Sachen irgendwie übrig geblieben, die nachher eine Sicherheitslücke waren und ein Bug und der Rest war eigentlich so, wie es sein sollte.
00:27:55
Daniel Langemann
Völlig gute Leistung.
00:27:55
Kai Ole Hartwig
Ähm.
00:27:56
Daniel Langemann
Aber zeigt halt auch wieder, gute Entwickler produzieren guten Code auch ohne KI.
00:28:01
Kai Ole Hartwig
Genau, und halt, wo halt auch regelmäßig auf Security geachtet wird.
00:28:07
Kai Ole Hartwig
Das ist nämlich der entscheidende Faktor.
00:28:09
Kai Ole Hartwig
Du kannst ja ein guter Entwickler sein und ringsherum gibt es einfach keinen Prozess, der Sicherheit abbildet und sagt, okay, wir wollen sicher sein mit allem.
00:28:19
Kai Ole Hartwig
Und das ist unsere Priorität.
00:28:22
Kai Ole Hartwig
Und, ähm,
00:28:25
Kai Ole Hartwig
dann erreichst du dieses Ziel einfach nicht.
00:28:26
Kai Ole Hartwig
Wenn du aber halt ja auch mit dem Anspruch hast und andere Leute da auch den Anspruch haben, dass diese Systeme sicher sind, die Software sicher ist, die ganzen Server sicher sind, dann lebst du ja in einer ganz anderen Unternehmenskultur, Teamkultur und dann werden die Sachen auch sicherer.
00:28:47
Daniel Langemann
Ja.
00:28:48
Kai Ole Hartwig
Wenn du halt nicht Compliance mit der Excel-Liste machst,
00:28:52
Kai Ole Hartwig
für die Zertifizierung, sondern wirklich lebst und das halt auch nicht in fünf Silos aufteilst irgendwie mit Zuständigkeiten und dann hast du einen Patchmanager und der muss dann mit diesen Leuten reden und jenen Leuten reden und dann passiert vielleicht irgendwann etwas, ja, dann ist klar, dass dein Ergebnis nie so gut sein wird, wie wenn du ein Team hast, in dem Sicherheit gelebt wird und, ähm,
00:29:20
Kai Ole Hartwig
mitgedacht wird und jeden Tag quasi existiert, als, ja, wenn du es nicht hast, ne?
Gefahr von Lieferkettenangriffen: Eine neue Bedrohung?
00:29:28
Kai Ole Hartwig
Aber wenn du so ein Team hast, das das auch lebt und mitmacht, dann wirst du auch jede Zertifizierung bestehen.
00:29:33
Kai Ole Hartwig
Naja, Naja, ich glaube nicht mal der Große, sondern alles da ist, was du brauchst, um es zu bestehen.
00:29:34
Daniel Langemann
Ja, weil der Großteil einfach schon da ist oder fast von alleine kommt.
00:29:38
Daniel Langemann
Das macht KI für mich.
00:29:43
Kai Ole Hartwig
Ja, wenn du jetzt noch deine Prozesse mal aufschreibst, Daniel, dann bin ich sicher, würdest du auch einfach die Zertifizierung bekommen.
00:29:51
Kai Ole Hartwig
Das Aufschreiben, ja, schau, ne, also das ist ja auch so ein Ding.
00:29:56
Daniel Langemann
Ich glaube, das wird auch mittlerweile leichter werden dadurch.
00:29:58
Daniel Langemann
Was, da ist Doku?
00:29:59
Kai Ole Hartwig
Viele der Dokumentationen, die wir haben, schreiben wir natürlich mit KI.
00:30:03
Kai Ole Hartwig
Ja, wir jagen die KI auch einfach über alte Software drüber, wo die Dokumentation optimierungsbedürftig ist.
00:30:15
Kai Ole Hartwig
Ja, oder halt nicht.
00:30:17
Kai Ole Hartwig
Dann ist sie auch optimierungsbedürftig im Übrigen, wenn sie nicht da ist.
00:30:22
Kai Ole Hartwig
Und dann bekommst du dann die beste Dokumentation, also eine sehr ausführliche Dokumentation raus.
00:30:27
Kai Ole Hartwig
Wenn die Teile fehlen, dann kannst du nochmal sagen, was ist denn damit?
00:30:31
Kai Ole Hartwig
Sondern dann hast du die ja innerhalb, ich sag mal, einer halben Stunde mit vor und zurück.
00:30:31
Daniel Langemann
Ja.
00:30:31
Daniel Langemann
Genau.
00:30:31
Daniel Langemann
Ja.
00:30:36
Kai Ole Hartwig
Dann sagst du noch, ja, nee, in Deutsch gefällt es mir nicht, in Englisch auch nicht, mach mal bitte in Spanisch oder Latein.
00:30:44
Kai Ole Hartwig
Ja, lebende Sprachen sind auch doof.
00:30:50
Kai Ole Hartwig
liegen.
00:30:53
Kai Ole Hartwig
Also Software nachzudokumentieren ist heute ja gar kein Thema mehr.
00:30:56
Kai Ole Hartwig
Genauso finde ich auch nachträglich Testfälle schreiben lassen ist sehr, sehr einfach geworden.
00:31:02
Kai Ole Hartwig
Aber das ist wieder ein neues Thema.
00:31:04
Daniel Langemann
Wir haben so viele Themen.
00:31:04
Daniel Langemann
Ja, das wäre eine gute Idee.
00:31:05
Daniel Langemann
Und 24 Stunden machen wir danach.
00:31:13
Kai Ole Hartwig
machen.
00:31:21
Kai Ole Hartwig
Ja.
00:31:27
Kai Ole Hartwig
Genau.
00:31:32
Kai Ole Hartwig
Danach mag uns, glaube ich, auch keiner mehr.
00:31:35
Daniel Langemann
Das ist okay.
00:31:37
Kai Ole Hartwig
So, jetzt habe ich dich totgelabert.
00:31:42
Daniel Langemann
Ja, ich muss gerade sagen, ich weiß jetzt auch erstmal nicht so viel.
00:31:46
Daniel Langemann
Zertifizierung, da fällt mir nichts Dummes mehr zu ein.
00:31:49
Daniel Langemann
Haben eigentlich alles gesagt.
00:31:51
Daniel Langemann
Also ich finde das mit KI generieren sehr interessant.
00:31:53
Daniel Langemann
Also drüber laufen lassen, gucken, ob das passt.
00:31:56
Daniel Langemann
Und zum Beispiel bei meinem Beispiel letzte Woche war das genauso.
00:32:01
Daniel Langemann
Wir haben den Fragebogen runtergeladen.
00:32:03
Daniel Langemann
Ich glaube, war eine Excel-
00:32:05
Daniel Langemann
ins Repository mit reingelegt und gesagt, hier, guck dir das mal an, passt das, spuck die Punkte aus, die wir anpassen müssen und mach einen Plan daraus.
00:32:14
Daniel Langemann
Dann haben wir Spezifikationen daraus generieren lassen und, ja, also, ich glaube, da war man eine Stunde durch.
00:32:21
Kai Ole Hartwig
Ja.
00:32:23
Daniel Langemann
Das waren natürlich mehrere Punkte, wo ich dann gesagt habe,
00:32:23
Kai Ole Hartwig
Ja.
00:32:25
Kai Ole Hartwig
Worüber wir noch gar nicht gesprochen hatten, ist, was denn so eigentlich Angreifer tatsächlich ausnutzen.
00:32:34
Daniel Langemann
Die unzertifizierten Unternehmen natürlich.
00:32:36
Daniel Langemann
Ich habe hier noch ein Zertifikat.
00:32:37
Daniel Langemann
Mit offiziellem Stempel.
00:32:38
Daniel Langemann
Genau, der gute Kartoffelstempel.
00:32:38
Daniel Langemann
Ja, ja.
00:32:40
Kai Ole Hartwig
Okay.
00:32:45
Kai Ole Hartwig
Ich muss mal kurz runtergehen und mir ein Zertifikat mal einlassen.
00:32:52
Kai Ole Hartwig
Ja, bekommt meine Tochter hin, Kartoffelgedruck.
00:32:58
Kai Ole Hartwig
Ja, so, also gar kein Problem.
00:33:02
Kai Ole Hartwig
Zertifizierungsstelle.
00:33:05
Daniel Langemann
Ja, was greifen die Hacker denn an?
00:33:08
Daniel Langemann
Beziehungsweise was sind die Haupteinfallstore heutzutage?
00:33:12
Kai Ole Hartwig
Ja, weiß ich nicht, Daniel.
00:33:12
Daniel Langemann
Ja, was genau ist.
00:33:13
Kai Ole Hartwig
Also ich kann dir sagen, die Sachen, die ich, also das verschiebt sich ja auch gerade ganz krass.
00:33:24
Kai Ole Hartwig
Jesus.
00:33:27
Kai Ole Hartwig
Langsamer denken, schneller reden oder umgekehrt.
00:33:31
Kai Ole Hartwig
Früher waren es ja eher die Server, die Produktivserver, die angegriffen wurden.
00:33:37
Kai Ole Hartwig
Ich finde mittlerweile, gerade mit diesen ganzen MPM-Klamotten, die wir sehen, ist es so, dass ja mehr die Lieferkette angegriffen wird und die CI-Systeme.
00:33:51
Daniel Langemann
Es wird zumindest viel interessanter, weil ich meine, Produktivsystem ist auch interessant, aber wenn du so einen Developer-Rechner mal übernimmst oder da zumindest alle Credentials scrappen kannst, dann hast du viel mehr.
00:34:03
Kai Ole Hartwig
Ja, oder die CI-Pipeline...
00:34:06
Daniel Langemann
Oder das, ja, genau.
00:34:09
Kai Ole Hartwig
Ja, also mit Pandora.
00:34:09
Daniel Langemann
Da sind viel mehr, also die Angriffsfläche, beziehungsweise das, was du erbeuten kannst, Angriffsfläche nicht, aber das, was du erbeuten kannst, ist halt viel bedeutender.
00:34:17
Daniel Langemann
Da hast du dann nachher Zugang zum Produktivsystem, zu anderen Systemen.
00:34:22
Daniel Langemann
Das geht ja ganz schnell.
00:34:22
Kai Ole Hartwig
Ja.
00:34:22
Kai Ole Hartwig
Ja, je nachdem Security Setup, ne?
00:34:25
Kai Ole Hartwig
Das ist ja auch das, was ohne Credentials schwierig ist.
00:34:28
Kai Ole Hartwig
Wenn du die nicht hast, dann hast du sie nicht.
00:34:31
Kai Ole Hartwig
Und jetzt überleg mal, Pandora ist ja auch so eine lustige Sicherheitslücke, die aktuell ist.
00:34:39
Kai Ole Hartwig
wo du halt dir selber einen Root-Zugang besorgst mit Credentials, wenn du das geschickt machst mit einer MPM-Lücke, über die Pipeline verbindest, ein schönes Paket dir schnapps, das in der Pipeline ausgeführt wird, darüber eine SSH-Config irgendwie deploys und dann Zugriff erlangst.
00:35:03
Kai Ole Hartwig
Das ist ein schöner Angriffswerk.
00:35:05
Kai Ole Hartwig
Warte mal, ich muss mir nachher mal, glaube ich, ein
00:35:05
Daniel Langemann
Also nur in Minecraft.
00:35:06
Daniel Langemann
Das ist keine Hacking-Beratung hier.
00:35:08
Daniel Langemann
Also hypothetisch.
00:35:09
Daniel Langemann
Für eine Freundin.
00:35:12
Kai Ole Hartwig
Ja, hypothetisch.
Maßnahmen zur Sicherheitsverbesserung und schnelle Reaktion auf Bedrohungen
00:35:13
Kai Ole Hartwig
Also vielleicht ist das ein Ding, was ich vielleicht nachher mal weiter überlegen möchte.
00:35:23
Kai Ole Hartwig
Aus Forschungsgründen.
00:35:25
Daniel Langemann
Ja, aber so läuft das ja ab.
00:35:26
Daniel Langemann
Also es ist ja selten eine Sache, die problematisch wird, sondern es ist ja immer diese Kombination aus zwei, drei Sachen, die in Kombination zusammen, also eine Sache ist der erste Schritt, dann bist du im System, dann kannst du die nächste Lücke ausnutzen und hast dann zum Beispiel nachher Vollzugriff auf Systeme oder Zahlungsdaten oder sowas, also Kundendaten zum Beispiel in der Datenbank, die nicht verschlüsselt sind, solche Sachen.
00:35:50
Kai Ole Hartwig
Und die Lieferkette anzugreifen ist halt total schlau, wenn du ehrlich bist.
00:35:53
Kai Ole Hartwig
Weil du mit wenig Aufwand, also mit verhältnismäßig wenig Aufwand, an sehr viele Daten kommen kannst.
00:35:54
Daniel Langemann
schwerer das abzuhören
00:36:03
Kai Ole Hartwig
Weil halt einfach, wenn du einen Produktivserver hackst, dann bist du halt auf einem System drauf.
00:36:08
Kai Ole Hartwig
Wenn du erfolgreich in die CI-Pipelines eindringst, dann bist du auf sehr vielen Systemen sehr schnell drauf.
00:36:18
Daniel Langemann
Da hast du sehr viele Credentials.
00:36:18
Kai Ole Hartwig
So.
00:36:20
Daniel Langemann
Und es ist auch schwerer, das abzuwehren.
00:36:22
Daniel Langemann
Also Produktivsystem, wissen wir mittlerweile, was wir da machen müssen.
00:36:25
Daniel Langemann
Alle Ports zu, Fail to Bun und, und, und.
00:36:29
Kai Ole Hartwig
Ja, und entsprechende... Ja.
00:36:29
Daniel Langemann
Tailscale.
00:36:29
Kai Ole Hartwig
Ja.
00:36:30
Daniel Langemann
Da gibt es zig Möglichkeiten.
00:36:31
Daniel Langemann
Also um da reinzukommen, das wird richtig schwer und die sind mittlerweile auch, also ich denke mal, der Großteil, behaupte ich mal, ist ja auch gut geschützt.
00:36:38
Daniel Langemann
Aber als Entwickler bin ich ja davon abhängig, erstmal zu sagen, in diesem Projekt werden diese Libraries genutzt und die installiere ich jetzt.
00:36:47
Daniel Langemann
Ich meine, mit KI kann man jetzt mittlerweile sagen, vielleicht, also als Mensch kann ich die gar nicht reviewen, andauernd und die ganze Zeit.
00:36:55
Daniel Langemann
Mit KI war vorhin so mein Gedanke, könnte man vielleicht noch irgendwas machen, so wie Renovate, dass man nachts drüberlaufen lässt und gucken lässt, bevor man die wirklich einspielt.
00:37:04
Daniel Langemann
Aber das ist sehr paranoid.
00:37:06
Kai Ole Hartwig
Naja, also was wir machen, ist, wir haben einfach seit geraumer Zeit ein Proxy, über die wir die Pakete laden.
00:37:13
Kai Ole Hartwig
Und das wir tatsächlich auch in unseren ganzen Projekten auf den Systemen selber keine Updates mehr machen, sondern die alle über Renovate laufen.
00:37:20
Daniel Langemann
Mhm.
00:37:28
Kai Ole Hartwig
Renovate sieht über den Proxy, das ist vor allem für Ausfallsicherheit.
00:37:32
Kai Ole Hartwig
weil Renovate eh halt eine Retention Time drin hat, also wir ziehen nicht sofort die Pakete, aber auch abhängig von der CVE.
00:37:40
Kai Ole Hartwig
Also wenn jetzt eine neue Version rauskommt und wir wissen, dafür gibt es eine CVE mit einer entsprechend hohen Bewertung, dann ziehen wir die Sachen schneller in die Systeme
00:37:53
Kai Ole Hartwig
als wenn das ein normaler Patch ist.
00:37:57
Kai Ole Hartwig
Bisher ist es ja so, dass diese ganzen MPM-Geschichten immer sehr, sehr schnell entdeckt wurden.
00:38:04
Daniel Langemann
Mhm.
00:38:05
Kai Ole Hartwig
Aber das ist natürlich auch einfach.
00:38:07
Kai Ole Hartwig
Das ist jetzt kein Prozess, wo ich sage, ah, das schafft jetzt absolute Sicherheit.
00:38:14
Kai Ole Hartwig
Das ist einfach nur ein Mechanismus, mit dem man sagt, okay, wir gehen davon aus, dass wenn das passiert,
00:38:20
Kai Ole Hartwig
es so sein wird, dass es rechtzeitig entdeckt wird, bevor wir das in den Systemen drin haben.
00:38:29
Kai Ole Hartwig
Dann greifen natürlich diese ganzen anderen Schritte mit, okay, Hardware-Token, keine Credentials auf den Systemen, kurzlebige OIC, OpenID Connect, O-D-I-C,
00:38:34
Daniel Langemann
Ah, Mann.
00:38:34
Daniel Langemann
Jetzt ist es mich angesteckt.
00:38:34
Daniel Langemann
Die sind komisch, ne?
00:38:47
Kai Ole Hartwig
Wo IDC?
00:38:48
Kai Ole Hartwig
Ah, du weißt, was ich meine.
00:38:57
Kai Ole Hartwig
schützen.
00:38:59
Kai Ole Hartwig
Es ist halt auch keine hundertprozentige Sicherheit.
00:39:03
Kai Ole Hartwig
Das muss man sich nicht einreden.
00:39:03
Daniel Langemann
Gibt es nicht.
00:39:04
Kai Ole Hartwig
Es sind halt verschiedene Hindernisse, die wir in den Weg gebaut haben.
00:39:11
Daniel Langemann
Es gibt keine hundertprozentige Sicherheit.
00:39:12
Daniel Langemann
Also das kannst du nicht haben.
00:39:14
Daniel Langemann
Kannst du niemals haben.
00:39:15
Daniel Langemann
Du kannst versuchen, so nah wie möglich dran zu kommen.
00:39:19
Daniel Langemann
Gerade
Schichten der Sicherheit: Akzeptanz der Unvollkommenheit
00:39:20
Daniel Langemann
im Internet.
00:39:20
Kai Ole Hartwig
Ja.
00:39:20
Kai Ole Hartwig
Genau.
00:39:20
Kai Ole Hartwig
Und jetzt hast du halt einen Burggraben, eine schöne Burgmauer und
00:39:20
Daniel Langemann
Also wenn du hundertprozentige Sicherheit haben willst, ist dein Rechner nicht erreichbar aus dem Internet.
00:39:25
Daniel Langemann
Das steht da bei dir im Keller.
00:39:27
Daniel Langemann
Die Tür ist abgeschlossen.
00:39:29
Daniel Langemann
Und am besten auch abgedichtet, damit kein Wasser reinkommt.
00:39:31
Daniel Langemann
Dann ist er sicher.
00:39:32
Daniel Langemann
Aber alles andere ist halt so.
00:39:35
Daniel Langemann
Es muss einen Weg reingeben, damit du reinkommst.
00:39:37
Daniel Langemann
Und dann kann halt auch immer jemand mitkommen, wenn du Pech hast.
00:39:41
Daniel Langemann
Du kannst das natürlich möglichst schwer machen.
00:39:48
Kai Ole Hartwig
Zugpulke und solche Dinge.
00:39:49
Daniel Langemann
Türsteher.
00:39:51
Kai Ole Hartwig
Und dann hofft man immer, dass nicht zu viele kritische Sicherheitslücken aufeinander kommen, dass dann doch was angreifbar ist.
00:40:02
Daniel Langemann
Ja, aber genau, wenn so Zero-Day-Sachen kommen, wie willst du dich davor schützen?
00:40:06
Daniel Langemann
Das ist ja etwas, das kannst du fast gar nicht.
00:40:08
Daniel Langemann
Du kannst nur den Zeitraum reduzieren, indem du angreifbar bist.
00:40:14
Daniel Langemann
Indem du schnell genug, so wie du es beschrieben hast, Patches einspielen kannst.
00:40:14
Kai Ole Hartwig
Genau, deswegen...
00:40:17
Kai Ole Hartwig
Ja, deswegen machen wir diese MPM-Sachen auch viel mehr Sorge, gerade weil er bei MPM jetzt auch der erste Angriff war, wo ein gültig signiertes Release rausgebracht wurde.
00:40:28
Kai Ole Hartwig
So, ähm,
00:40:31
Kai Ole Hartwig
bin ein sehr großer Fan von Signieren und sage, hey, eigentlich schaffen wir damit Sicherheit, aber natürlich nur, wenn diese Zertifikate und so weiter, alles, was da genutzt wird, entsprechend geschützt ist.
00:40:43
Kai Ole Hartwig
Wenn das einfach so dann durchläuft und da ist, dann haben wir halt auch nichts gewonnen.
00:40:52
Daniel Langemann
Ja, das ist problematisch.
00:40:52
Daniel Langemann
Hm.
00:40:52
Daniel Langemann
Gut, auch.
00:40:55
Kai Ole Hartwig
Aber das ist genauso problematisch, ehrlicherweise, bei uns in der Pipeline.
00:40:58
Kai Ole Hartwig
Die Pipeline signiert das auch.
00:41:01
Kai Ole Hartwig
Keyless.
00:41:03
Kai Ole Hartwig
Und das heißt, wenn man das bei uns entsprechend reinkippen würde oder reinkommen würde, diese Sicherheitshürden, die wir haben, überwindet, dann würde bei uns auch ein gültiges Release rausfallen.
00:41:18
Kai Ole Hartwig
Das ist auch etwas, wo ich im Moment sehr...
00:41:25
Kai Ole Hartwig
intensiv darüber nachdenke, wie wir das eigentlich noch verbessern können.
00:41:29
Kai Ole Hartwig
Wie wir mit dieser ganzen Lieferkettenproblematik in dieser dieser Sicherheitsklamotte umgehen.
00:41:34
Daniel Langemann
Das ist ein Thema für eine eigene Rolle.
00:41:35
Daniel Langemann
Ja, wir haben es wieder geschafft.
00:41:36
Daniel Langemann
Links geblinkt und rechts abgebogen.
00:41:36
Kai Ole Hartwig
Jetzt sind wir aber sehr weit weg von Zertifizierungen, weil das beantwortet die Zertifizierung am Tagesende auch nicht.
Abschluss und Ausblick auf zukünftige Diskussionen
00:41:45
Kai Ole Hartwig
Ja, wir haben es wieder geschafft.
00:41:46
Kai Ole Hartwig
Wunderbar.
00:41:50
Kai Ole Hartwig
Perfekt, so macht man das auf dem Dorf.
00:41:57
Daniel Langemann
Aber das wäre echt ein gutes Thema oder wäre interessant, so mal ein bisschen darüber vielleicht noch zu reden.
00:42:03
Daniel Langemann
Signieren, wie man das absichert.
00:42:05
Kai Ole Hartwig
Ja, machen wir in der Gesonderten-Folge.
00:42:07
Kai Ole Hartwig
Wir hatten ja auch schon mal ein bisschen über die Lieferketten-Sicherheit und die Pipelines geredet, aber vielleicht nochmal so ein Spotlight auf diese.
00:42:14
Kai Ole Hartwig
Ja.
00:42:15
Daniel Langemann
Gerade weil es so aktuell ist und dadurch interessant ist.
00:42:19
Kai Ole Hartwig
Gut.
00:42:19
Kai Ole Hartwig
Ich glaube, dann war es das mit Secrets Not Included.
00:42:25
Kai Ole Hartwig
Diesmal richtig im ersten Anlauf.
00:42:30
Kai Ole Hartwig
für diese Woche und dann hören und sehen wir uns hoffentlich in der nächsten Woche wieder zu einer wunderbaren neuen Folge.
00:42:38
Kai Ole Hartwig
Bis dahin, macht's gut.
00:42:39
Daniel Langemann
Bis dann.
00:42:39
Daniel Langemann
Ciao.