Wartungsfenster
Wir starten erstmal und machen das später schön.
Transkript
Patrick: Hallo und herzlich willkommen zur Folge 81 vom Wartungsfenster vom 5.
Patrick: Juni 2026. Mit mir dabei die Claudia.
Patrick: Ich bin der Patrick. Glück auf. Hallo.
Claudia: Hallo zusammen.
Patrick: Wir versuchen unseren Zwei-Wochen-Rhythmus wieder irgendwie einzuhalten.
Claudia: Wir versuchen es.
Patrick: Genau. Damit sich in den vier Wochen nicht immer so viele Sicherheitslücken
Patrick: ansammeln, über die wir reden müssen.
Claudia: Ja, wer weiß. Drei Stunden oder sowas ist dann vielleicht doch ein bisschen lang.
Patrick: Ja, also mal gucken, wie weit wir heute kommen.
Patrick: Wir haben da ein paar nette Themen eingepackt, aber vielleicht ein bisschen
Patrick: Hausmeisterei zu Beginn.
Patrick: Wir werden jetzt mal ab dieser oder vielleicht ab der nächsten Folge,
Patrick: wenn wir mal versuchen, vollständige Transkripte der entsprechenden Folgen mitzuliefern.
Patrick: Also wir hatten ja mit den letzten Folgen schon angefangen, die Shownotes ein
Patrick: bisschen zu überarbeiten.
Patrick: Und ja, wir werden jetzt gucken, dass wir auch die aktuellen Folgen dann transkribieren lassen,
Patrick: damit ihr den ganzen Unsinn auch nachlesen könnt oder halt durchsuchen könnt
Patrick: oder wenn euch die, keine Ahnung, Drei-Stunden-Folge dann zu lang ist, das Transkript nehmen,
Patrick: bei Copilot reinschmeißen, zusammenfassen, was auch immer ihr dann mit diesen
Patrick: Transkripten machen wollt.
Claudia: Ich weiß nicht, was man da aber gut.
Patrick: Du bist ja so ein Co-Pilot-User, ne? Ist das denn benutzbar eigentlich?
Claudia: Oh, es kommt drauf an. Ich benutze es noch nicht lange, aber ich hatte jetzt
Claudia: einen Anlass, wo ich damit mal angefangen habe.
Claudia: Und zuerst habe ich mich sehr über Co-Pilot geärgert, weil es mich immer im
Claudia: Kreis geschickt hat und jedes Mal sagte es,
Claudia: Jetzt weiß ich die Lösung. Jetzt bin ich ganz sicher, was die Lösung ist.
Claudia: Schreib mir irgendwas runter, ich probiere es aus. Funktioniert nicht.
Claudia: Ah ja, das ist ja klar, dass es nicht funktioniert. Jetzt habe ich aber die Lösung für dich.
Claudia: und es hat jedes Mal so geklungen, als ob es mir sagen wollte,
Claudia: was hast du denn da jetzt gebaut, während ich nur das kopiert habe, was es mir gesagt hat,
Claudia: aber das hat sich eingeruckelt also ich habe ein konkretes Thema da geht es
Claudia: um ein kleines Coding-Projekt, was ich da habe,
Claudia: Warum lachst du jetzt?
Patrick: Weil es gar nicht so lange her ist, dass wir beide in meinem Büro standen an
Patrick: einem Whiteboard und uns darüber unterhalten haben,
Patrick: ob Assets mit Verträgen verknüpft werden und was mit reaktiven Verträgen ist
Patrick: und Managed Service Verträgen ist. Also kommen wir nicht mit kleinem Coding-Projekt.
Claudia: Das ist ein kleines Coding-Projekt. Wir hatten nur einen Knoten im Kopf,
Claudia: was das angeht. Aber ich habe auch gemerkt, du bist kein Datenbänkler.
Patrick: Ich bin kein Datenbänkler.
Claudia: Nein, definitiv nicht.
Patrick: Aber das muss man ja auch nicht sein, um Visionen zu formulieren.
Patrick: Dafür habe ich ja meine Programmier-Minions wie dich.
Claudia: Das hast du jetzt nicht gesagt.
Claudia: Nein, aber dieses kleine Coding-Projekt, wenn man halt sehr klare Vorgaben gibt,
Claudia: ich habe hier ein Visual Studio 2026-Projekt auf Basis von einem Serenity-Template.
Claudia: Bitte mach doch, ich möchte gern dies, das, jenes. Wenn man das sehr,
Claudia: sehr, sehr konkret vorgibt, dann hilft das Ding auch tatsächlich weiter.
Claudia: Also sei es das irgendwie alter Code, den ich da noch hatte,
Claudia: dass der nicht mehr funktioniert, dann sagt es mir halt sehr genau,
Claudia: was ich anpassen muss und das funktioniert jetzt eigentlich ganz gut.
Claudia: Aber je länger dieser Chat wird, desto unbenutzbarer wird das im Wesentlichen,
Claudia: weil ich weiß es nicht warum, aber der Edge-Webview, der dahinter hängt, der funktioniert.
Claudia: frisst einfach alles an Rahmen auf, was da ist.
Patrick: Nom nom nom nom nom.
Claudia: Genau. Gut, aber ich wollte jetzt nicht implizieren, dass ich regelmäßig Co-Pilot benutze.
Patrick: Also ich benutze das ja auch nicht oft, weil wann immer ich es in der Vergangenheit
Patrick: benutzt habe, hatte ich danach das Bedürfnis, Co-Pilot, die Diagnose F70 zu verpassen.
Claudia: Ja, weiß ich nicht. Also bist du von Claude noch nie schlafen geschickt worden?
Patrick: Nein, tatsächlich nicht.
Claudia: Nein, bist du nicht?
Patrick: Nein.
Claudia: War das ChatGPT, der zuführen Goblins geredet hat?
Patrick: Ich glaube, ChatGPT war es mit den Goblins und Claude schickt die Leute dann
Patrick: irgendwann schlafen. Ich habe das auch gesehen.
Claudia: Das ist mir tatsächlich noch nicht passiert. Ja, ich finde halt sehr interessant,
Claudia: dass die Entwickler halt nicht erklären können, wo das herkommt.
Claudia: Und das als Charakter-Floor bezeichnen. Aber?
Claudia: Und zu so Mitteln greifen müssen, wie dass sie es hardcoded rausnehmen.
Claudia: Also, dass ChatGPT nicht so viel über Goblins redet. Das finde ich extrem witzig, ja.
Patrick: Was ja lustig ist, ist ja auch...
Patrick: Die Reaktion der LLMs darauf, wenn sie Unsinn erzählt haben oder wenn sie einen Fehler gemacht haben.
Patrick: Also zumindest auch bei ChatGPT habe ich das in der Vergangenheit immer mal
Patrick: wieder erlebt, dass da immer dieses kam so, ach so, ja, jetzt weiß ich,
Patrick: wie es geht, mach das mal so und so und so.
Patrick: Da gibt es auch dieses Meme, ChatGPT, kann ich diesen Pilz essen?
Patrick: Ja, dieser Pilz ist essbar. Und dann sieht man ein Bild später so einen Grabstein.
Patrick: Oh, dieser Pilz war doch nicht essbar. Claude gibt immer so ein bisschen das
Patrick: Gefühl, wenn er irgendwie Scheiße erzählt hat, dass du ihm nicht alle Informationen gegeben hast.
Patrick: Ah, das ist interessant.
Claudia: Interessanter Move.
Patrick: Es kommt irgendwie Müll dabei raus. Und dann sagst du ihm, hier hat nicht funktioniert,
Patrick: jetzt kriege ich hier keine Ahnung, diese oder jene Fehlermeldung.
Patrick: Und dann kommt immer sowas im Sinne von so, ah, ja, okay, wenn du mir das vorher
Patrick: gesagt hast, so, ah, jetzt sehe ich es klarer und dann machen wir das mal so und so und so.
Claudia: Herrlich.
Patrick: Also ist da etwas...
Claudia: Und was ich noch nicht ausprobiert habe, ist, du kannst ja mit Copilot auch
Claudia: Rechercheagenten, das ist wohl auch auf Anthropic basiert.
Claudia: Also, habe ich schon nicht ausprobiert, aber mache ich mal.
Patrick: Ja, ne, ich weiß nicht, war das nicht auch Microsoft, die jetzt gesagt haben,
Patrick: nee, wir müssen jetzt mal unseren Entwicklern sagen, dass sie etwas weniger
Patrick: Claude Code verwendet sollen.
Claudia: Das ist ja noch was anderes, das ist ja noch was anderes. Also,
Claudia: Microsoft sind die Cloud-Lizenzen für die Entwickler zu teuer geworden.
Patrick: Guck mal, jetzt wird die ganze KI teurer als die Gehälter von den Leuten,
Patrick: die sie dann rausgeschmissen haben, um Geld zu sparen.
Claudia: Ich bin nicht ganz sicher, ob wir das nicht jetzt mal schon erwähnt haben.
Patrick: Das kann sein, ja. Aber gut, wir sind da natürlich etwas zurückhaltender beim KI-Einsatz.
Claudia: Absolut.
Patrick: Ich würde uns jetzt nicht zu den typischen KI-Fanboys zählen.
Claudia: Nein, überhaupt nicht. Also wie gesagt, wenn ich einen speziellen Use Case
Claudia: habe, manchmal auch eine Formulierungshilfe, wie kann ich folgendes professionell.
Claudia: Habe ich aber ehrlicherweise auch erst einmal gemacht.
Patrick: Ja, okay, da muss ich gestehen, das benutze ich regelmäßig.
Patrick: Insbesondere dann, wenn ich mir beim zweiten, beim dritten Lesen sehr sicher
Patrick: bin, dass ich da jemanden durch die Blume gerade beschimpfe.
Claudia: Wie viele deiner Chatnachrichten an mich schickst du erstmal?
Claudia: Will ich das vielleicht gar nicht wissen?
Patrick: Ach nein. Bei dir mache ich das nicht. Du kriegst immer die Original.
Claudia: Ein Stück Originalholz haben wir unverzuckert.
Patrick: Was glaubst du denn, wie oft meine Antworten, eine von den drei vorgeschlagenen
Patrick: Antworten sind, die man einfach so per Mausklick anklicken kann?
Claudia: Das Gefühl hatte ich jetzt noch nicht. Ist das so?
Claudia: Ist das so?
Patrick: Ich mache das häufiger, ja.
Claudia: Ja, bei mir?
Patrick: Ja, bei allen.
Claudia: Okay. Also ich kenne Kollegen, wo
Claudia: ich mir denken kann, dass die diese vorgeschlagenen Antworten verwenden.
Patrick: Ja, ich meine, das ist ja irgendwie immer sehr einfach.
Claudia: Sorry, aber manchmal sind diese vorgeschlagenen Antworten schon echt passiv-aggressiv.
Patrick: Die sind immer passiv-aggressiv. Deswegen wundert es mich, dass dir das noch
Patrick: nicht in den Sinn gekommen ist, dass einige davon, wenn ich dir das schreibe, dann...
Claudia: Ja, das sagt aber jetzt mehr über dich als über mich.
Claudia: Dass ich das nicht unterscheiden kann, aber gut.
Patrick: Ach, herrlich. Ach, sehr schön.
Claudia: So, wo war ich stehen geblieben? Wir wollten einen Podcast machen, oder?
Patrick: Genau, wir wollten eigentlich einen Podcast machen. Aber es gibt ja auch noch
Patrick: andere Leute, die sehr vorsichtig im Umgang mit KI sind, unter anderem die unsere
Patrick: Kollegen vom Urlaub und User-Space-Podcast.
Patrick: Die haben jetzt ihre 20. Folge aufgenommen. Die sind ein Jahr alt geworden.
Patrick: Da wollen wir doch mal ordentlich gratulieren.
Patrick: Herzlichen Glückwunsch. Herzlichen Glückwunsch zum ersten Geburtstag.
Patrick: Und ja, in der aktuellen Folge, also der Folge 20, wurden wir auch vom lieben
Patrick: Christian erwähnt, der sich offenbar auch sehr gefreut hat, dass wir nach längerer
Patrick: schöpferischer Pause wieder da sind.
Patrick: Also guck mal, es gibt durchaus Leute, die freuen sich, diesen Unsinn wieder
Patrick: zu hören. Und der Stefan G. auch.
Claudia: Ach, der?
Patrick: Der hat sich auch gemeldet, freut sich auch sehr, dass wir wieder da sind.
Patrick: Grüße gehen raus nach Leverkusen.
Claudia: Von mir auch.
Patrick: Wir hatten ja letztes Mal dieses Thema Happy Podcast.
Patrick: Wir hatten ja auch so ein bisschen das Gefühl, dass die Menge an schlechten
Patrick: Nachrichten in den letzten Wochen und Monaten sehr zugenommen hat.
Patrick: Wir unterhalten uns ja doch relativ häufig über das Thema CVEs und Lücken und
Patrick: oh Gott, hier fackelt es schon wieder und da brennt eine Mülltonne und etc.
Patrick: Haben wir schon immer. Ja, aber die letzte Folge war echt kein Happy Podcast. Das war.
Patrick: Interessanterweise hatten das die Kollegen vom Urlaub in den Userspace auch jetzt beim letzten Mal.
Patrick: Die hatten da auch den Punkt erreicht, wo das alles schon ziemlich deprimierend
Patrick: ist und natürlich jetzt durch den ganzen Einsatz von LLMs und LLMs werden benutzt
Patrick: oder KI wird benutzt, um Software auf Sicherheitslücken zu prüfen.
Patrick: Und dabei fällt natürlich jede Menge Scheiße raus, ob jetzt groß oder klein.
Patrick: Das ist auf jeden Fall alles schon etwas deprimierend.
Claudia: Ja, das ist wahr.
Patrick: Ja, und wo wir schon beim Thema deprimierend sind. Was soll ich jetzt dazu sagen?
Patrick: Wir hatten neulich die Fotografin mal wieder im Kindergarten.
Patrick: Jetzt könnte man sich ja fragen, Moment.
Claudia: Moment, du musst mir jetzt erst den Brückenschlag erklären, den du jetzt gemacht hast.
Patrick: Der kommt, der kommt. Pass auf, pass auf.
Claudia: Ah, okay.
Patrick: Ja, ja, ja. So, das ist ja mal ein Riesen-Happening. Ja, Fotografin kommt in
Patrick: den Kindergarten für Gruppenaufnahmen, für Einzelaufnahmen.
Patrick: Und da gibt es ja immer noch das Upselling, dass man die dann halt beauftragen kann.
Patrick: Man kann dann noch die Geschwisterkinder hinschicken oder Termine dann machen,
Patrick: um dann halt auch nochmal Fotos mit den Geschwisterkindern zu machen.
Patrick: Meine persönliche Meinung, wahrscheinlich gibt es genügend Bilder von meinen
Patrick: Kindern oder von den Kindern generell.
Patrick: Deswegen weiß ich halt nicht, dass man da halt immer noch das Kind in der Kita
Patrick: auch noch fotografieren muss, zumal das ja auch ist.
Patrick: Ich meine, ich schicke meinen Sohn, du musst das Kind ja dann auch einigermaßen
Patrick: ordentlich anziehen und Haare und hin und her.
Patrick: Und dann gibst du es in die Kita in der Hoffnung, dass dieser gestriegelte Zustand
Patrick: so lange anhält, bis die Bilder gemacht wurden.
Claudia: Ja.
Claudia: Das sollte besser nicht erst mittags passieren, willst du damit sagen.
Patrick: Manchmal hat man Glück, manchmal hat man Pech. Man sieht es dann typischerweise
Patrick: auf den Gruppenaufnahmen, wenn da zum Beispiel die Hose nicht mehr die ist,
Patrick: die man ihm heute Morgen angezogen hat, weil er war zwischendurch schon draußen und hat gespielt. Egal.
Patrick: Also Fotografin in der Kita, Bilder wurden gemacht. Dann kam dann auch die Info
Patrick: von der Fotografin. Ja, hier wunderbar. Hier kannst du dir die Vorschau angucken.
Patrick: Die benutzen ja mittlerweile auch alle so Plattformen, wo man sich die Bilder
Patrick: angucken kann, die da mit einem Wasserzeichen versehen sind.
Patrick: Und dann kannst du sagen, ich möchte hier gerne, keine Ahnung,
Patrick: Bilder 4711, 4712, 4713 und das Gruppenbild will ich haben.
Patrick: Dann kostet das Geld, dann kannst du die noch entwickeln lassen oder kannst
Patrick: die nur digital haben, hin und her. So, alles gemacht, getan.
Patrick: Dann hatte ich auch die Kohle für ein paar Bilder überwiesen,
Patrick: weil ich brauchte ja nur digital. Ich,
Patrick: guckt mir ja keine Fotos aus. Und dann gab es eine Info von der Kita.
Patrick: Es hätte da einen kleinen Sicherheitsvorfall gegeben.
Patrick: Und die Fotografin wird dann auch nochmal auf die Eltern zukommen,
Patrick: um halt genau zu erklären, was passiert ist. Was ist dann auch passiert?
Patrick: Sie hat ja gesagt, ja, wir benutzen oder ich benutze hier diesen oder jenen Anbieter.
Patrick: In diesem Fall war es die Firma Portraitbox aus, ich glaube, Paderborn.
Patrick: Und ja, die sind Opfer einer Cyberattacke geworden.
Claudia: Ah, okay. das war eine lange Brücke, aber...
Patrick: Ja, muss ich jetzt ein bisschen ausholen. So, und da werden halt Daten abgeflossen
Patrick: und sie könnten nicht mehr auf die Bilder dazugreifen und hin und her und dann,
Patrick: da ist der erste schon so, oh Gott, die Bilder sind weg.
Patrick: Hast du jetzt ja quasi gerade auch noch dafür bezahlt.
Patrick: Da war jetzt halb so wild. Also sie hatte die Bilder dann noch vorliegen.
Patrick: Das heißt, es gab dann auch relativ schnell dann die Info, da hier,
Patrick: wer die Bilder in digital hat, hier ist ein Retransfer-Link,
Patrick: kannst du dir runterladen. Unterladen, alles pipapo, alles schick.
Patrick: Aber, aber, da sind Daten abgeflossen. Da sind jetzt auch mit hoher Wahrscheinlichkeit,
Patrick: also jetzt ganz konkret in meinem Fall,
Patrick: Bilder von Kindern abgeflossen und der Angreifer hat auch raushängen lassen,
Patrick: wenn ihr nicht bezahlt, dann verkloppen wir die Sachen im Darknet.
Patrick: Und jetzt sind es natürlich halt in erster Linie natürlich Fotografen da,
Patrick: also als Kunden, aber du kannst natürlich auch selber als Endbenutzer auf diesen
Patrick: Dienst zugreifen, um dann da Bilder zu entwickeln und hochzuladen und hin und
Patrick: her. Und da kriegt das Ganze natürlich nochmal einen etwas anderen Twist.
Claudia: Ja.
Patrick: Weil ohne Scheiß.
Claudia: Oh, das ist dunkel. Ja.
Patrick: Wir alle freuen uns darüber, wenn wir mit KI Bilder generieren lassen,
Patrick: wo sich Waschbären hinter brennenden Müllcontainern verstecken und einen anderen Waschbär...
Patrick: Nach vorne schicken. Aber, und das hatten wir ja zum Beispiel bei X,
Patrick: dass Leute da dann auch KI dazu benutzt haben, um dann halt Bilder mit etwas
Patrick: anderem Zweck zu generieren.
Patrick: Und ich habe eigentlich wenig Bock darauf, mir vorzustellen,
Patrick: dass jetzt irgendjemand auf einer großen Halde Kinderbilder sitzt und damit
Patrick: wer weiß was machen kann.
Patrick: Und jetzt kommen wir da zur aktuellen Folge, Breach FM Flurfunk,
Patrick: Folge 73, die hatten das Thema auch aufgegriffen mit genau dem gleichen Hintergrund.
Patrick: Also ich weiß nicht, ob es der Max oder der Robert war, aber irgendeiner ist
Patrick: da auch quasi indirekt Opfer geworden.
Patrick: Plus halt dann auch die ganze Diskussion da rundherum, ja, wer muss denn jetzt
Patrick: eigentlich wen benachrichtigen? Also muss Portraitbox dann nur die Fotografen,
Patrick: die Kunden benachrichtigen?
Patrick: Wer benachrichtigt denn gerade die Kunden der Fotografen? Also bei uns war das
Patrick: ja auch so ein bisschen zweigelagert.
Patrick: Wir haben ja dann quasi von der Kita die Info bekommen, ja, die Fotografin meldet
Patrick: sich und die hat dann auch nochmal alle informiert, was da passiert ist.
Patrick: Aber das war schon, also in erster Linie ist jetzt erstmal nichts passiert.
Patrick: Ich habe ja am Ende des Tages meine Bilder gewonnen, aber am Ende ist das schon
Patrick: so ein bisschen so, hm, so semi-geil.
Claudia: Ja, wobei ich jetzt naiv gesagt hätte, genau die Frage, Also wer informiert
Claudia: jetzt wen, müsste ja in so einer, wie denn die Dinger sich, AVV oder sowas vereinbart sein.
Patrick: Ja, ich habe ja mit meiner Fotografin keine AVV.
Claudia: Nee, eigentlich auch interessant, oder?
Patrick: Ja, ja.
Claudia: Wenn man so drüber nachdenkt.
Patrick: Mal gucken, was es da noch gibt. Wir haben das Statement auch von Portraitbox,
Patrick: haben wir unten in den Shownotes mal verlinkt. Auch die Folge von Breach FM.
Patrick: Kann man auch gerne mal reinhören. Das ist immer eine ganz lustige Runde mit dem Robert und dem Max.
Patrick: Ja, dann habe ich Post bekommen, nämlich von Stefan von NoSpamProxy.
Patrick: Der hat mich ein bisschen Merch dagelassen.
Patrick: Vielen Dank dafür. Und ich habe noch keine Post von Unibed bekommen.
Patrick: Ich werte das jetzt mal als positives Zeichen.
Claudia: Ja, es ist zwei Wochen her, dass wir geredet haben. Ja, klingt ganz gut.
Claudia: Also vielleicht bist du davon gekommen.
Patrick: Ich habe da jetzt tatsächlich auch gar nicht mehr viel zu dem ganzen Sachverhalt gehört.
Patrick: Also irgendwie zumindest so das, was ich jetzt gesehen habe,
Patrick: ist da jetzt auch nicht mehr viel dabei rausgekommen. Also irgendwie Stille der See.
Patrick: Also die Betroffenen werden angeschrieben und mal gucken, was dann so passiert.
Claudia: Hast du denn eigentlich, weil du hast mir doch was erzählt, hast du eigentlich
Claudia: inzwischen Post bekommen von deinem Energieversorger?
Claudia: Weil die Geschichte musst du erzählen, fürchte ich.
Patrick: Ja, das ist eine schöne Überleitung zum Thema 1.
Patrick: Denn lass uns mal ein bisschen über S/MIME und das Troubleshooting von verschlüsselten Mails reden.
Patrick: Da kommen wir dann auch wieder auf NoSpamProxy.
Claudia: Ja, allgemein, das allgemeine Troubleshooting bei verschlüsselten Mails ist
Claudia: ja einfach nur, dass irgendwer irgendeinen Public Key nicht hat von der anderen Seite.
Patrick: Also, fangen wir mal ganz vorne an.
Patrick: Ich gehöre ja zu den Leuten, ich signiere ja meine E-Mails. Sowohl meine privaten
Patrick: E-Mails als auch meine geschäftlichen E-Mails sind alle schön S/MIME signiert.
Claudia: Wie sich das gehört?
Patrick: Also grundsätzlich bin ich der Meinung, dass man auch im geschäftlichen Umfeld
Patrick: eigentlich seine E-Mails immer signieren sollte.
Patrick: Weil ich glaube, das Signieren von E-Mails, um zu zeigen, ich bin der,
Patrick: für den ich mich ausgebe.
Patrick: Weil ich bin ja offenbar im Besitz dieses privaten Schlüssels.
Patrick: das finde ich unglaublich
Patrick: unglaublich gut und das ist auch viel besser als dieses ganze SPF und DKIM und D-Mark und hin und her.
Patrick: Also dieses ganze Thema Impersonation lässt sich ja durch Signieren von E-Mails total leicht ausheben.
Patrick: Wenn man immer sagen kann, wenn da vorne kein Häkchen oder sonst was dran ist,
Patrick: kein Sternchen dran ist, dann ist die Mail nicht von mir.
Patrick: Punkt. Also das ist der Grund, warum wir zum Beispiel Das stimmt.
Claudia: Ja. Das ist ja der Grund.
Patrick: Warum wir zum Beispiel E-Mails von unserem Ticketsystem auch signieren.
Claudia: Ja, richtig. Das hat auch immer direkt, Das ist auch schon mehrfach positiv
Claudia: bemerkt worden von Kunden.
Patrick: So, jetzt verschicke ich meine privaten E-Mails signiert. So,
Patrick: dann habe ich meinem Energieversorger, das ist so ein, ich sage mal,
Patrick: im Weitsten sind ein regionaler Energieversorger. Das ist jetzt kein Riesenladen.
Patrick: Habe ich eine E-Mail geschrieben. Und zwar, ich bekomme ja hier von meiner PV-Anlage,
Patrick: bekomme ich ja so ein bisschen Einspeisevergütung.
Patrick: Also, keine Ahnung, quietsch, Euro im Monat.
Patrick: Und ich muss da jetzt was ändern lassen. Und deswegen habe ich denen eine E-Mail
Patrick: geschrieben. Und diese E-Mail war signiert.
Patrick: und dann habe ich eine Antwort bekommen und diese Antwort konnte ich nicht mehr lesen.
Claudia: Weil sie verschlüsselt.
Patrick: Genau, Moment.
Claudia: Aber bis dahin, also ich meine, wenn sie dir einen Schlüssel geschickt haben
Claudia: und du hast ihnen ja auch einen Schlüssel geschickt, bis dahin war doch eigentlich, aber warum?
Patrick: Fangen wir mal vorne an. Also Secure Multipurpose Internet Mail Extension.
Patrick: Das ist ein Standard zur Verschlüsselung und zur digitalen Signatur von E-Mails.
Patrick: Also Grundprinzip dahinter ist ja asymmetrische Kryptografie, Schlüsselpaare.
Patrick: Ich habe einen Public Key, der wird öffentlich geteilt.
Patrick: Also wenn ich eine signierte Mail verschicke, dann hängt da immer mein Public Key hinten dran.
Patrick: Und ich habe einen Private Key, den gebe ich natürlich nicht raus,
Patrick: weil das wäre selten dämlich.
Claudia: Ja.
Patrick: Den besitzt halt nur ich. Und damit kann ich halt Nachrichten entschlüsseln,
Patrick: die mir jemand anders schickt, die mit meinem öffentlichen Schlüssel verschlüsselt wurden.
Patrick: Oder ich kann halt E-Mails signieren.
Patrick: Die Signatur ist mit meinem privaten Schlüssel und wenn mir jemand eine E-Mail
Patrick: verschlüsselt schicken will, dann braucht er meinen öffentlichen Schlüssel.
Patrick: Das ist so weit so unspektakulär. So, eine signierte E-Mail beweist ja,
Patrick: dass der Absender halt im Besitz des privaten Schlüssels ist.
Patrick: So, und das Signieren von E-Mails ist meiner persönlichen Meinung,
Patrick: das sollte das Pflicht im Geschäftsumfeld sein.
Patrick: Also wir hatten es ja gerade schon mal gesagt, wir gehen ja auch hin und signieren
Patrick: E-Mails, die aus unserem Ticketsystem rausfallen.
Claudia: Das wäre auch eine schöne Lösung
Claudia: für, ich sag mal, alles was Healthcare angeht, eigentlich statt Fax.
Patrick: Statt Fax. Ja gut, dafür haben wir ja TI jetzt. Ja, ja, ja.
Claudia: Nein, aber man kriegt erschreckend wenige signierte E-Mails.
Patrick: Ja, das Problem ist, glaube ich, in dem Umfeld, in dem wir uns tummeln,
Patrick: also auch gerade so Sozialwesen oder Healthcare, hat man das ja schon häufiger,
Patrick: dass man mit Verschlüsselung, mit verschlüsselten E-Mails arbeitet.
Patrick: Aber das passiert da halt an anderer Stelle.
Patrick: Aber guter Punkt, halt das mal im Hinterkopf. Jetzt hatten wir ja diesen konkreten Fall.
Patrick: Ich hatte eine signierte E-Mail geschickt. Da hängt mein Public Key dran.
Patrick: Und ich bekomme mal eine E-Mail zurück. diese E-Mail, die offensichtlich verschlüsselt
Patrick: war, konnte ich weder in Apple Mail noch bei Mailbox.org öffnen.
Patrick: So wurde mir einfach nur angezeigt, diese E-Mail kam vom richtigen Absender,
Patrick: diese E-Mail war verschlüsselt.
Claudia: Du konntest so eine smime.p7 wahrscheinlich sehen.
Patrick: Genau, es war dieser Anhang dran. Aber ich konnte diese E-Mail nicht lesen.
Patrick: Fehler werden unterschiedlich, Mail konnte nicht vom Server geladen werden,
Patrick: hin und her. Also das war offensichtlich irgendwie Blödsinn.
Patrick: Aber was halt dran war bei dieser PKCS 7-Container. Das ist immer so ein Anhang, so ein smime.p7m.
Patrick: Und das ist die eigentliche verschlüsselte E-Mail.
Patrick: Und da bin ich dann mal ein bisschen auf die Suche gegangen,
Patrick: weil das kam mir dann irgendwie sehr komisch vor.
Patrick: Ich hatte dann auch noch mal ein bisschen, also ich hatte dann noch mal geantwortet,
Patrick: hey, hallo, ich kann diese E-Mail nicht lesen. Da bekam ich wieder eine Mail
Patrick: zurück, so, wie ich dann wieder nicht lesen konnte.
Patrick: Also da gingen auch ein paar E-Mails hin und her. Aber Fakt war,
Patrick: sie konnten meine Mails lesen, ich dann ihre Antworten aber nicht.
Patrick: Sie konnten aber diese Verschlüsselung nicht abschalten.
Claudia: Das stinkt schon nach einem Problem bei deinem Client.
Patrick: Ja, vor allen Dingen stinkt es danach, dass irgendwas auf dem Weg sitzt,
Patrick: was dann halt E-Mails fair und entschlüsselt.
Patrick: Das ist ja auch etwas, was wir in der Sozialbranche immer wieder sehen,
Patrick: mit NoSpamProxy, mit Redox und so weiter, Zertifikon.
Patrick: Die Appliances, die am Perimeter sitzen, die dann halt PGP, S/MIME,
Patrick: fair, schlüsseln, entschlüsseln, damit man dieses ganze Gerudel auf dem Endgerät
Patrick: des Anwenders nicht hat.
Claudia: Das hat aber ja auch den Nachteil, dass der Endanwender es auch nicht abschalten
Claudia: kann, wenn er eine E-Mail bekommt, wo drinsteht, hey, ich kann dann verschlüsselte Mail nicht lesen.
Patrick: Genau. Ja, wobei ich da halt auch denke, das ist halt auch dann nicht mehr End-to-End.
Patrick: Ich verstehe, warum man das macht.
Claudia: Aber es ist halt.
Patrick: Bei Ende des Tages ist es nicht mehr End-to-End.
Claudia: Also, naja, das ist dann nur noch halb so gut das Gefühl. Aber ja,
Claudia: tatsächlich, diese Nachricht konnte nicht vom Server geladen werden.
Claudia: Das habe ich auch schon mal gehabt, durchaus, bei Apple Mail auf dem iPhone.
Patrick: Ich habe da noch ein bisschen angefangen in diesem PKCS 7 Container ein bisschen
Patrick: rumzupopeln. Ach, das geht doch.
Patrick: Ja, ja, das kann man machen. Man kann da mit OpenSSL eine ganze Menge machen.
Patrick: Und zwar habe ich dann erstmal geguckt, welches Zertifikat, den eigentlich benutzt
Patrick: wurde, um die E-Mail, die mir geschickt wurde, zu verschlüsseln.
Patrick: Und dann kannst du mit OpenSSL, kann man sich dann halt den Header von diesem
Patrick: PKCS 7 Container ausgeben lassen, weil der ist halt auch nicht verschlüsselt.
Patrick: Und da steht zum Beispiel die Serien mit der Issuer von dem Public Key drin, der verwendet wurde.
Patrick: Damit konnte ich zumindest schon mal sicherstellen, dass das auch mein Zertifikat
Patrick: war, was da verwendet wurde.
Claudia: Ja, klar, das wäre eine Alternative gewesen, aber ich wüsste jetzt nicht,
Claudia: wie das hätte passieren sollen, dass da versehentlich der falsche verwendet wird.
Patrick: Ja, genau. So, jetzt bekam ich dann aber auch beim Entschlüsseln mit dem in
Patrick: macOS mitgelieferten OpenSSL auch eine Fehlermeldung, Content-Type Not-AuthEnvelopedData.
Patrick: Und da gab es dann auch eine OID. Und dann habe ich damit angefangen,
Patrick: mal ein bisschen rumzuforschen und rumzurecherchieren. Und es gibt tatsächlich
Patrick: zwei Verschlüsselungsformate.
Patrick: Also man kann sich eine OID ausgeben lassen und damit hat man dann auch das
Patrick: entsprechende Format offengelegt.
Patrick: Nämlich einmal Enveloped Data und einmal AuthEnvelopedData.
Patrick: Die unterscheiden sich mit dieser OID. Und dann habe ich noch ein bisschen weiter
Patrick: rumgepopelt und eine ganze Menge rumrecherchiert.
Patrick: macOS liefert LibreSSL als OpenSSL-Bibliothek mit aus.
Patrick: Also kein richtiges OpenSSL, also sobald ich das gesehen habe,
Patrick: ist LibreSSL wie BSD lizenziert.
Patrick: Und das kann halt mit diesem AuthEnvelopedData nichts anfangen.
Patrick: Und jetzt kommen wir zu etwas, was mir persönlich in der Form tatsächlich neu war.
Patrick: Nämlich der Unterschied S/MIME 3.2 versus S/MIME 4.0.
Claudia: 4.0?
Patrick: Ja, genauso habe ich auch geguckt.
Claudia: Oh, okay.
Patrick: Ja. S/MIME 3.2 spezifiziert RFC 5751 aus 2010.
Patrick: Der Containertyp ist Enveloped Data. Und AuthEnvelopedData ist S/MIME 4.0 RFC 8551 aus 2019.
Claudia: 2019?
Patrick: 2019. Das ist ja jetzt auch nicht gerade neu. Ja, aber es ist auf jeden Fall
Patrick: deutlich neuer als S/MIME 3.2.
Claudia: Ja, aber auch nicht so, dass man sagt, es ist okay, wenn das nicht unterstützt
Claudia: wird von einem Mail-Client.
Patrick: Jetzt könnte man sich natürlich fragen, warum Apple Mail 2026 einen Standard
Patrick: aus 2019 nicht unterstützt, aber durchaus einen Standard von 2010.
Patrick: Zumal da sind so ein paar Sachen drin, also vielleicht mal so ein bisschen der
Patrick: Vergleich. S/MIME 3.2.4.0.
Patrick: Verschlüsselung haben wir bei S/MIME 3.2.AES-256 CBC, während wir bei S/MIME 4.0.AES-256
Patrick: GCM oder auch ein Chacha20 Poly 1305 haben. Ja, also deutlich neuer.
Patrick: Integrität, S/MIME 3.2, nur Verschlüsselung, kein Message-Authentication-Code,
Patrick: während wir bei S/MIME 4.0 tatsächlich Verschlüsselung und,
Patrick: quasi Integrität in einem Schritt haben.
Claudia: Ja, okay.
Patrick: Signaturalgorithmus SHA-1 versus SHA-256 und zum Beispiel auch der Triple-DES
Patrick: ist in 4.0 nicht mehr drin und auch AES-192 CBC ist entfernt.
Patrick: Also auch das ganze Cipher und so weiter ist alles deutlich neuer.
Patrick: Wichtigster Punkt in meinen Augen und warum man eigentlich, warum es auch eigentlich
Patrick: verstehen kann, dass S/MIME 4.0 nicht supported ist, das ist halt auch dieser
Patrick: AEAD-Modus, also authenticated Encryption with Associated Data.
Patrick: Also Verschlüsselung und Integritätsschutz in einem kryptografischen Schritt.
Patrick: Das heißt, der Ciphertext kann auch nicht mehr manipuliert werden,
Patrick: was halt bei S/MIME 3.2, da es dort halt keine Integritätsprüfung gibt,
Patrick: durchaus noch möglich wäre.
Patrick: So, jetzt kann man sich aber erlegen, okay, gibt es irgendeine Möglichkeit,
Patrick: wie man der Gegenseite mitteilen kann, was man denn kann?
Patrick: Ja, das gibt es tatsächlich. Das ist nämlich, da definiert S/MIME tatsächlich
Patrick: ein Mechanismus, nämlich S/MIME-Capabilities-Attribut.
Patrick: Da steckt auch in jedem signierten E-Mail drin, was denn der Absender kann.
Patrick: So jetzt, auch wieder sowas, RFC 5751, also S/MIME 3.2 sagt, S/MIME-Capabilities
Patrick: ist optional. Bei S/MIME 4.0.
Claudia: Ist es verpflichtend.
Patrick: Und Empfänger, also der Empfänger wertet das dann aus und dann kann er natürlich
Patrick: entsprechend, wie das halt bei so einer Abstimmung ist, den höchst möglichen Standard verwenden.
Claudia: Um dann halt zu antworten. Ja, aber dann wäre ja der logische Schluss, wenn,
Claudia: es optional ist, wenn es nicht mitgesendet wird, dann muss es ja 3.2 sein.
Patrick: Könnte man meinen.
Claudia: Wenn es in 4.0 verpflichtend ist.
Patrick: Richtig.
Claudia: Richtig. Also immer noch die Frage, wie kann es passieren?
Patrick: Ja, relativ einfach. Also zum einen Apple Mail, Libre SSL, BSD,
Patrick: lizenzierter OpenSSL-Fork, unterstützt einfach AuthEnvelopedData nicht.
Patrick: Punkt. Ende der Diskussion. Und, das kommt hinzu, dass halt S/MIME Capabilities
Patrick: in 5751 optional ist. Apple Mail schert sich einfach einen Scheiß da drauf.
Patrick: Schickt das einfach nicht mit.
Patrick: So, und jetzt konnte man aber im Mail-Header sehen, dass mein Stromanbieter
Patrick: tatsächlich ein NoSpamProxy am Perimeter sitzen hat.
Claudia: Ach, schön.
Patrick: Du weißt es selber, es gibt Header, wo wir halt sofort sehen,
Patrick: alles klar, da steht ein NSP.
Patrick: Das ist auch alles cool, aber das Ding ist offenbar so konfiguriert gewesen,
Patrick: dass er immer dann, wenn da nichts kommt, also wenn er keine S/MIME-Capabilities
Patrick: mitgesendet kriegt, trotzdem halt dann so schön AuthEnvelopedData,
Patrick: also S/MIME, 4.0 verwendet.
Claudia: Wie gesagt, da glaube ich, das ist ja ein Issue. Also wenn keine mitkommen,
Claudia: dann kann es ja nicht, dann kann die gegenseitig ja kein 4.0 sprechen.
Patrick: Könnte man meinen, ne?
Claudia: Wenn die S/MIME-Capabilities verpflichtend sind in der 4.0.
Patrick: Korrekt. Das heißt, wenn die nicht drin sind, dann muss es eigentlich 3.2.
Claudia: Sein.
Patrick: Ja, völlig richtig. Genau, darauf wollte ich hinaus. Tatsächlich habe ich keinen
Patrick: Workaround gefunden, außer Thunderbird zu verwenden.
Patrick: Ja, möchte ich nicht umgehen. Ich verwende halt, also Apple Mail reicht halt für mich, ne?
Patrick: Ich meine, klar, ich habe vorher unter Windows auch immer Thunderbird verwendet,
Patrick: aber eigentlich habe ich keinen Bock auf einen Mail-Client daneben.
Patrick: Funktioniert das eigentlich für mich?
Patrick: Gut, jetzt könnte man natürlich hingegen die Gegenseite informieren und sagen,
Patrick: hallo, könntet ihr vielleicht euer NoSpamProxy umkonfigurieren?
Patrick: Weiß ich nicht. Schwierig.
Claudia: Ja, vor allem je nachdem, dauert es halt, bis das da ankommt.
Patrick: Wenn das da überhaupt ankommt.
Claudia: Ja.
Patrick: Ja, und die andere Variante ist halt, du kannst dann halt über Homebrew einfach
Patrick: ein OpenSSL halt nachinstallieren und dann kannst du diesen S/MIME,
Patrick: also den PKC-7-Container einfach per Hand auspacken und dann deine Mails lesen.
Patrick: Das finde ich halt ein bisschen unhandlich.
Claudia: Das ist ein bisschen unhandlich für den Hausgebrauch. Ja, ja, das ist richtig.
Claudia: Ja, aber du hättest doch auch Hilfe anbieten können. Ich meine,
Claudia: ein bisschen Werbung machen. Mit Noseband-Proxy kann man ja auch umgehen.
Patrick: Sagen wir es mal so. Ich habe das ein bisschen auf Business-Tinder breitgetreten.
Claudia: Auf LinkedIn, ja.
Patrick: Und es ist was Lustiges passiert. Denn ich bekam am Mittwoch eine E-Mail von
Patrick: Einspeisung at mein regionaler Stromversorger.
Claudia: Aha.
Patrick: Und ich konnte diese E-Mail lesen.
Claudia: Spannend.
Patrick: Also, wer immer du auch bist da draußen, der an diesem Noseband-Proxy gedreht
Patrick: hat, nicht alle Helden tragen Umhang.
Claudia: Ja.
Claudia: Du weißt doch gar nicht, ob er einen Umhang trägt oder sie.
Patrick: Ja, auf jeden Fall. Mein Buch der coolen Leute hat jetzt einen weiteren Eintrag.
Patrick: John Doe bei Energieversorger. Also ich habe dann auch tatsächlich diesen Container nochmal ausgepackt.
Patrick: Und ja, also da ist jetzt tatsächlich die OID halt. 173 am Ende, Envelope Data.
Claudia: Ah, okay.
Patrick: Das hat jemand geändert. Also ich habe noch einen weiteren Hinweis darauf,
Patrick: dass da vielleicht wirklich jemand etwas getan haben könnte.
Patrick: Aber das kann ich dir auf the record mal erzählen.
Claudia: Okay.
Patrick: Ja, Esmime. Immer wieder ein Abenteuer.
Claudia: Ja, aber solche Abenteuer hast du doch selten damit, oder?
Patrick: Ach, das fand ich jetzt auch nochmal, also ich fand das jetzt auch mal ganz
Patrick: spannend, sich da jetzt nochmal komplett durchzunehren.
Patrick: Das hat mich zwar wirklich jetzt dann wirklich einen ganzen Abend gekostet,
Patrick: aber das war jetzt am Ende auch mal ganz spannend, dann das auch bis ins Detail
Patrick: nochmal verstanden zu haben.
Patrick: was da jetzt eigentlich passiert und was da eigentlich schiefgegangen ist,
Patrick: zeigt aber natürlich auch wieder die Komplexität einfach dahinter.
Claudia: Ja, weil ehrlicherweise, wir benutzen das ja auch geschäftlich schon eine ganze
Claudia: Weile und ich überlege gerade, wann ich das letzte Mal damit irgendwelche Issues hatte.
Patrick: Ständig.
Patrick: Wir beide haben den gleichen Issue. Ja, doch. Wir beide verwenden Outlook und
Patrick: wir beide haben immer wieder das Problem, dass wir, wenn wir gerade von einer
Patrick: bestimmten Gegenstelle verschlüsselte E-Mails bekommen und wir antworten darauf,
Patrick: wir gerne den Hinweis bekommen, so habe ich kein Public Key zu.
Claudia: Nee, nee, nee, nee. Meistens sind das Verteiler. Und wenn du nicht für alle
Claudia: Empfänger dieses Verteilers ein Public Key hast, dann kannst du die E-Mail nicht
Claudia: verschlüsseln. Ich finde das eigentlich ziemlich einleuchtend.
Patrick: Ich finde das, ja, okay, okay, das macht natürlich Sinn,
Patrick: aber du weißt, dass genau dieser Laden gerade erst seine ganzen S/MIME-Zertifikate
Patrick: wegen diesem Swissign-Glitch neu ausgestellt hat und du willst mir doch nicht erzählen,
Patrick: dass du bei jedem deiner regelmäßigen Kontakte jetzt hingegangen bist und dir
Patrick: das Zertifikat wieder gestellt hast.
Claudia: Natürlich nicht. Nein, ich klicke auch immer dann verschlüsseln halt nicht.
Patrick: Wollte ich doch gerade sagen, aber das ist doch eigentlich kacke.
Patrick: Warum kann das fucking Outlook nicht endlich hingehen und einfach mal sagen,
Patrick: geil, da hängt ja ein Public Key dran.
Patrick: Oh, guck mal, ich habe sogar einen Kontakt, wo diese E-Mail-Adresse drin ist.
Patrick: Dann packe ich das einfach mal mit da rein.
Claudia: Ja, doch, das tut es ja. Das funktioniert ja.
Patrick: Aber nur, wenn du den Kontakt aktualisierst.
Claudia: Nee, wenn ich eine E-Mail von demjenigen bekomme, also der Kunde,
Claudia: von dem wir reden, der hat jetzt gerade kürzlich erst alle seine S/MIME-Zertifikate
Claudia: ausgetauscht und ich werde bestimmt nicht von jedem in dem Verteiler schon mal
Claudia: wieder eine E-Mail bekommen haben seit einem Monat.
Patrick: Kann das neue Outlook eigentlich mittlerweile S/MIME?
Claudia: Jetzt machst du aber ganz dunkle Schubladen auf.
Patrick: Weil bis vor kurzem konntest du das noch nicht?
Claudia: Ich weiß, ich weiß. Ich habe den,
Claudia: ignoriere die Existenz einfach beharrlich so lange, wie ich es kann.
Patrick: Wie lange geht das eigentlich noch? Ich glaube, im Enterprise-Umfeld wollten sie es ja...
Claudia: Ich habe ein bisschen Angst.
Patrick: Achso, du startest irgendwann deinen Rechner neu und dann...
Patrick: Welcome to the new outlook.
Claudia: Oh, hör auf, hör auf. Ja, aber es ist doch...
Claudia: So ein öffentliches Verzeichnis wäre ja ganz cool.
Patrick: Gib it. Bin ich auch schon mal drüber gestolpert. Openkeys.de Wir alle kennen
Patrick: unsere guten einen alten PGP-Key-Server.
Patrick: Sowas gibt es eben auch für esmal mittlerweile openkeys-de.
Patrick: Mega praktisch. Könnt ihr nämlich die Public-Keys von euren Empfängern einfach
Patrick: suchen und auch runterladen.
Claudia: Ja, guck mal an. Wenn Outlook das tun würde, das wäre cool.
Patrick: Ja, gut. Wir wollen jetzt mal nicht zu viel von Microsoft fordern.
Patrick: Die sind mit anderen Dingen beschäftigt.
Claudia: Ah ja, die haben andere Probleme.
Patrick: Ja, ja.
Claudia: Das könnte jetzt wieder eine passende Überleitung gewesen Ja, genau, vom.
Patrick: Vom technischen Fach simpeln begeben und jetzt mal wieder in die tiefen,
Patrick: die deprimierenden Tiefen von Microsoft und was sie jetzt schon wieder gemacht
Patrick: haben. Was haben sie ausgefressen?
Claudia: Na ja, du meinst eher, das ist diese Geschichte gewesen. Microsoft hat doch
Claudia: da Dinge weitergegeben.
Claudia: Also da ging es, glaube ich, um Namen niederländischer Beamter,
Claudia: die an die US-Behörden weitergegeben wurden. Namen, Daten.
Claudia: Ja, naja, Microsoft sagt ja immer von sich selber, wir halten den Deckel auf
Claudia: euren Daten, solange wir können.
Claudia: Dass sie vor dem rechtlichen Hintergrund sich nicht dauerhaft gegen US-Börden
Claudia: und Gerichte wehren können, wenn Daten rausgegeben werden müssen,
Claudia: das sollte jedem klar sein.
Patrick: Fangen wir mal vorne an wieder.
Claudia: Ja, ich weiß, ich springe mal mitten rein.
Patrick: Ja, ich glaube, man muss da ein bisschen ausholen, sonst wird das ein bisschen undurchsichtig.
Patrick: Aber das ist es ja tatsächlich auch.
Patrick: Also gut, nicht nur wir sind so verrückt, M365 und Azure einzusetzen,
Patrick: sondern das tun auch tatsächlich Behörden,
Patrick: Unternehmen und Forschungseinrichtungen, und zwar in ganz Europa.
Patrick: Da kann jetzt jeder von halten, was er will, aber das ist nun mal so.
Patrick: Das ist gelebte Realität.
Claudia: Trotz Cloud Act.
Patrick: Genau, nämlich wer Dienste von US-Unternehmen nutzt, der unterliegt auch im
Patrick: Prinzip dem sogenannten Cloud Act, also Clarifying Lawful Overseas Use of Data Act.
Patrick: Geil, oder? Also ganz ehrlich, der ist übrigens aus 2018.
Patrick: Und dieser Cloud Act verpflichtet US-Unternehmen auf behördliche Anfragen,
Patrick: alle gespeicherten Daten herauszugeben, unabhängig davon, ob diese Daten physisch
Patrick: in der EU liegen oder nicht.
Patrick: Und das ist ein direkter Konflikt mit europäischem Recht, insbesondere der DSGVO. Möp.
Claudia: Genau.
Claudia: trotzdem nutzen reichlich Behörden.
Patrick: Ist geil, ne?
Claudia: M365. Naja, gut, DSGVO sagt, ja gut, dann machst du halt eine Risikobewertung
Claudia: und dann darfst du es vielleicht trotzdem machen.
Patrick: Genau, also die Datenschützer unter unseren Hörern, die haben jetzt schon wieder Schaum vor dem Mund.
Patrick: Aber was ist denn da eigentlich passiert? Das ist auch so eine Randnotiz,
Patrick: die an mir irgendwie vorbeigerauscht ist.
Patrick: Und zwar hat ein Und niederländisches Nachrichtenmagazin, 22.
Patrick: Mai, berichtet, dass Microsoft und Meta, also hier der Fratzenbuch-Mutterkonzern,
Patrick: Namen von niederländischen Staatsbeamten an einen US-Senatsausschuss weitergegeben haben.
Claudia: Namen weitergegeben von Staatsbeamten.
Patrick: Genau. Konkret waren das Mitarbeiter der ACM, also das ist so eine niederländische
Patrick: Wettbewerbsbehörde, und der AP, das ist die niederländische Datenschutzbehörde,
Patrick: sowie von einem Forscher, Claes de Vries, das ist so ein Desinformationsforscher.
Patrick: Diese Beamten arbeiten an der Umsetzung des Digital Services Act,
Patrick: das ist die europäische Plattformregulierung.
Claudia: Okay, aber jetzt Namen von Menschen weiterzugeben, ist ja jetzt an und für sich
Claudia: doch kein Risiko-Datenschutzverstoß.
Patrick: Aufgrund welcher Grund? Okay, halten wir den Gedanken fest. Microsoft hat nicht
Patrick: nur Namen, sondern auch E-Mails, Besprechungsprotokolle und Einladungen dieser
Patrick: Beamten weitergegeben, ohne die Namen zu schmerzen. Genau, darauf wollte ich hinaus.
Claudia: Also die Titel, genau, die Titel lauten, ja, haben Namen rausgegeben,
Claudia: das hat man hier und da gelesen und ich habe erst gedacht, naja,
Claudia: und? Weil im Zweifel sind es.
Claudia: Politiker, deren Namen kann man kennen. Aber nein, es waren tatsächlich Daten.
Claudia: Es waren E-Mails, es waren Protokolle etc.
Patrick: Genau. Dieser US-Senatsausschuss, der untersuchte sogenanntes Jawboning,
Patrick: also der Vorwurf, dass Regierungen oder Regierungen würden US-Tech-Unternehmen
Patrick: unter Druck setzen, Inhalte zu zensieren.
Patrick: Nämlich die US-Regierung ist der Meinung, dass dieser Digital Services Act eine
Patrick: Art Tech-Zensur ist. Kritiker in Europa sehen das als politische Instrumentalisierung, sage ich mal.
Patrick: Jetzt müssen wir diesen Cloud Act mal ein bisschen einordnen,
Patrick: weil eigentlich, also wie gesagt, Cloud Act und DSGVO stehen ja eigentlich in
Patrick: einem ganz konkreten Widerspruch.
Patrick: Und der Cloud Act, wie gesagt, der ist aus 2018, also jetzt acht Jahre alt,
Patrick: der hat US-Behörden mit einer einfachen gerichtlichen Anordnung auf Daten zuzugreifen,
Patrick: die US-Unternehmen weltweit speichern.
Patrick: Und dabei ist der physische Speicherort total Wumpe. Ob das jetzt in Frankfurt
Patrick: liegt oder in Singapur, ist total kackegal.
Patrick: Und eigentlich sollte es einen, eigentlich gibt es seit 2023 so ein EU-US Data
Patrick: Privacy Framework, DPF, der sollte diesen Datentransfer rechtssicher machen,
Patrick: verhindert, aber trotzdem keine Cloud Act Anfrage.
Patrick: Und dann ganz bekannt wirst du kennen, Safe Harbor oder Privacy Shield,
Patrick: die wurden ja beide vom Europäischen Gerichtshof gekippt und auch das DPF steht
Patrick: auf ähnlichem wackeligen Fundament. Das Kernproblem und deswegen sind ja auch
Patrick: Safe Harbor und Privacy Shield gescheitert.
Patrick: Du kannst halt nicht rechtssicher dafür sorgen, dass US-Unternehmen Daten von
Patrick: europäischen Unternehmen einfach abzweigen.
Patrick: Also deswegen ist auch für mich völlig nachvollziehbar, dass dieser DPF oder
Patrick: dieses Data Privacy Framework genauso wackelig ist wie Privacy Shield oder Safe Harbor.
Patrick: Weil willst du das rechtssicher machen, weil genau da stehen ja DSGVO und Cloud
Patrick: Act halt auch im Konflikt.
Patrick: Naja, jetzt hat sich die Trump-Regierung auch mal wieder eingeleistert,
Patrick: nämlich Anfang 2025 haben sie wohl irgendwie mehrere Mitglieder von so einem
Patrick: Privacy und Civil Liberties Oversea Board entfernt und das ist wohl so ein Gremium,
Patrick: was diese Data Privacy Framework Sachen überwachen soll,
Patrick: also dass das irgendwie ordentlich geregelt wird.
Patrick: Wahrscheinlich, weil sich dann die Trump-Regierung dachte, ja scheiß drauf,
Patrick: was sollen wir uns damit dann Europäern irgendwie einigen?
Patrick: Gibt halt einfach eine einfache, richterliche Anordnung. Und dann kommen die
Patrick: Daten schon hier irgendwie zu uns rüber.
Patrick: Dieser Digital Services Act, also die USA meint ja, das wäre ja Tech-Zensur.
Patrick: Was soll der eigentlich regeln? Der gilt schon seit Anfang 2024.
Patrick: Und für alle Plattformen innerhalb der EU.
Patrick: Ziel des Ganzen ist es halt, mehr Transparent, Verantwortung bei illegalen Inhalten,
Patrick: Desinformation verhindern, Schutz vor Kinderpornografie ist verpflichtend und so weiter und so fort.
Patrick: Also große Plattformen, also mit mehr als 40, 50 Millionen Benutzern,
Patrick: unterliegen da sogar nochmal verschärften Anforderungen.
Patrick: Das heißt, Facebook, X, TikTok, die fallen alle unter diesen Digital Services
Patrick: Act. Und jetzt in 26 ist das so richtig scharf geschaltet.
Patrick: Und das merkt man unter anderem daran, dass es mittlerweile fast 20 laufende Untersuchungen gibt.
Patrick: Und allein gegen X wurden Geldstrafen in Höhe von 120 Millionen Euro verhängt,
Patrick: weil sie gegen den Digital Services Act verstoßen.
Patrick: Und jetzt, Schritt zurück, warum beschäftigt sich der US-Senat damit?
Patrick: Naja, die sehen halt, dass Plattform von US-Unternehmen, denen wird in Europa
Patrick: ganz ordentlich auf die Finger geguckt.
Patrick: Und wir alle kennen das ja noch, Facebook oder auch X wird ja auch gerne hier
Patrick: von Leuten wie Trump oder sowas benutzt.
Claudia: Ja, klar.
Patrick: Auch mit Desinformationen hin und her und in Europa gibt es dafür auch viel
Patrick: Eier. Und das ist denen offenbar ein Dorn im Auge.
Claudia: Das kann ich mir vorstellen.
Patrick: Und das ist eben auch genau der Vorwurf der US-Politiker, die sagen halt,
Patrick: europäische Behörden können damit die Meinungsfreiheit einschränken. Dö, dö, dö. Und, ähm.
Claudia: Wie witzig. Okay, sorry. Also, äh, ja.
Patrick: Ich finde das halt so lustig, dass es immer heißt, so ne.
Claudia: Ich will doch meinen Blödsinn hier reden dürfen. Ja, ja.
Claudia: Sorry. Ja, wir wissen alle, wir haben alle Reden von Trump gehört.
Patrick: Ich hatte dir auch dieses lustige Video von dem einen geschickt,
Patrick: wo der Junge sein Gemüse nicht essen will, weil mein Präsident hat das gesagt.
Claudia: Also darf ich das auch?
Claudia: Ja, aber nun, man hat halt Meinungsfreiheit.
Patrick: Ja, genau. Naja, jetzt war das ja eher so ein hierindisches Thema oder zieht das ziemliche Kreise?
Patrick: Denn die Staatssekretärin hat jetzt wohl den US-Botschafter einbestellt und
Patrick: sagt, dass das ein höchst unerwünschter Vorfall war.
Patrick: Zitat, wenn ihr ein Problem habt, dann klärt das mit uns und wenn nötig auf
Patrick: europäischer Ebene, aber nicht auf dem Rücken von Beamten.
Claudia: Ja, klar. Es geht halt auch nicht um die Einzelperson. Das ist schon ein bisschen fischig.
Claudia: Aber was sehe ich jetzt noch nicht ganz, warum ausgerechnet die,
Claudia: also warum wollten die US-Behörden ausgerechnet Daten von diesen Beamten haben?
Claudia: Weil die daran arbeiten?
Claudia: Ja, aber warum denn dann nicht? Ich meine, das sind ja nicht die einzigen,
Claudia: die daran arbeiten. Das ist ja eine EU-Verordnung.
Patrick: Ja, genau.
Patrick: Ach, genau kann ich das jetzt noch nicht mal sagen. Aber diese Beamten arbeiten
Patrick: wohl an der Umsetzung dieses Digital Services Acts.
Patrick: Und vielleicht sind die auf EU-Ebene da auch noch mit involviert,
Patrick: aber die arbeiten da halt sehr konkret an der Umsetzung von dem Ganzen.
Patrick: und ja, ich meine, was kann das heißen,
Patrick: dass diese Namen jetzt von diesen US-Bahnten da in den USA kursieren?
Patrick: Naja, Einreisesperren, Sanktionslisten, was immer sich die Verrückten da drüben gerade überlegen.
Patrick: Wenn du dir heute überlegen musst, in die USA einzureisen und am besten dein
Patrick: Smartphone zu Hause lässt, weil du irgendwie Gefahr läufst, dass dein Ding dann
Patrick: da erstmal an der Grenze gefilzt wird, kann ich mir schon vorstellen,
Patrick: dass das ziemlich uncool ist.
Claudia: Ja klar, auf jeden Fall. Das wird dann aber wahrscheinlich nur der Anfang sein, im Zweifel.
Patrick: Ja, genau. Ja, was natürlich jetzt auch rauskommt, was wäre jetzt denn eigentlich
Patrick: ein logischer Schritt als Reaktion da drauf?
Patrick: Naja, Microsoft rausschmeißen. Ja, ist nicht so einfach.
Patrick: Es gibt eine Studie von Anfang 26, die sagt, 67 Prozent der rund 16.500 Webseiten
Patrick: niederländischer Behörden, Krankenhäuser, Schulen und kritischer Infrastruktur
Patrick: sind mit mindestens einem US-Cloud-Dienstverlust.
Patrick: Das Niederländische Finanzamt wechselt derzeit trotz Datenschutzbedenken zu Microsoft-Systemen.
Claudia: Moment, sie wechseln zu Microsoft-Systemen?
Patrick: Ja, trotz Datenschutzbedenken. Und der Cloud-Dienstleister Solvinity,
Patrick: der ist recht verbreitet bei niederländischen Behörden,
Patrick: unter anderem dieses DigiD-Intentitätssystem, die standen kurz vor der Übernahme
Patrick: durch ein US-Unternehmen. Was ist ja, erstanden?
Patrick: Ja, erstanden. Das hat nämlich die jüdische Regierung jetzt gestoppt.
Patrick: Also, das muss ich dir so vorstellen, das wäre ungefähr so, als wenn die Bundesdruckerei
Patrick: von irgendeinem gekauft wird.
Patrick: Das war ziemlich daneben. Naja, was lernen wir jetzt daraus?
Patrick: Naja, es ist halt diese Abhängigkeit von US-Cloud-Diensten ist real.
Patrick: Und dieses ganze Thema...
Patrick: Ich habe ja nichts zu verbergen. Es gibt ja hier Safe Harbor und Privacy Shield und hin und her.
Patrick: Bullshit. Ist denn scheißegal?
Patrick: Und jetzt mal weiter gedacht, jetzt ging es ja da, sage ich mal, um Staatsbeamte.
Patrick: Aber was ist denn zum Beispiel, wenn jetzt ein US-Unternehmen sagt,
Patrick: ja, wir vermuten da, keine Ahnung, dass man uns hier irgendwelche Technologien geklaut hat.
Patrick: Und dann geht irgendein Richter in den USA daher und sagt Microsoft,
Patrick: wir hätten da gerne mal hier irgendwie Daten aus dem SharePoint,
Patrick: aus dem Exchange Online von irgendeinem Hidden Champion in Deutschland.
Patrick: Einfach aufgrund des Vorfors, ja, die haben uns irgendwelche Technologien geklaut.
Claudia: Puh, ja. Ja, klar. Gut, die Gefahr, die war immer da, ne?
Patrick: Ja, und ich meine, wir arbeiten ja tagtäglich mit M3-16.
Patrick: Es ist ja nicht so, dass diese Frage nicht auch immer mal wieder aufkommt.
Patrick: Aber ich finde es dann doch interessant, dass es am Ende des Tages dann doch
Patrick: so selten auch in aller Konsequenz ist.
Patrick: mal durchdiskutiert wird und auch, dass eine Bundesregierung da die Füße sehr still hält.
Patrick: Ich meine, die Bundesregierung gibt jedes Jahr irgendwie 500 Millionen für Microsoft-Lizenzen aus.
Patrick: Ich meine, jetzt könnte man ja sagen, ja komm, fuck it, wir sagen einfach,
Patrick: keine Microsoft mehr hier in Behörden.
Patrick: Wäre ja mal ein erster logischer Schritt. Won't happen, würde ich sagen.
Claudia: Ja, wobei du sagst es so. Also wir reden ja jetzt konkret von Cloud-Diensten.
Claudia: Ja gut, in die Frage, inwieweit musst du heutzutage dann Windows 11,
Claudia: bei allem, was das so mitbringt, da auch zu zählen?
Patrick: Ja, musst du wahrscheinlich schon. Sieht man auch, glaube ich,
Patrick: an den Franzosen, die gerade irgendwie aus allen möglichen Behörden Microsoft
Patrick: rausschmeißen und auf eine eigens entwickelte Linux-Distribution schwenken.
Claudia: Oh, spannend. Ressource unterfangen.
Patrick: Ja, genau. Brauchst du ein paar Eier für auf jeden Fall.
Patrick: Gut, die Weitergabe war aus US-Sicht legal. Cloud Act, die haben sich nichts vorzuwerfen.
Patrick: Aus europäischer Sicht ist das ein ganz klarer DSGVO-Verstoß.
Patrick: Und ja, Konsequenz daraus, nüs.
Patrick: Da wird der Botschafter einbestellt, da wird gesagt, oh, das war aber böse,
Patrick: aber vermutlich wird da nicht mehr passieren.
Claudia: Genau. Als ob der da nicht ausgelacht wird. Genau.
Patrick: Vielleicht könnte man jetzt ja an der Stelle nochmal so als Workaround mal drüber
Patrick: nachdenken, bring your own key.
Patrick: Wenn man schon solchen M365 hat, bring your own key.
Claudia: Ach so.
Patrick: Statt Microsoft Keys verwenden. Also die Daten, die da bei Microsoft liegen,
Patrick: die sind natürlich Data at Rest und Data in Transit verschlüsselt und Data at
Patrick: Rest halt dann mit Microsoft, typischerweise mit Microsoft Keys.
Claudia: Ja, ja, das ist richtig. Aber wo kannst du denn überhaupt deine Customer Managed Keys einsetzen?
Patrick: Ja, ich glaube, das müssen wir für die nächste Folge mal vorbereiten.
Claudia: Das sollte man mal schon mal notieren. Als Thema. Das finde ich nämlich spannend.
Claudia: Aber gut, am Ende des Tages sind wir, wenn, wie gesagt, ich kenne es im Zusammenhang
Claudia: mit Asia-Infrastruktur, deine Storage-Accounts, etc.
Claudia: Und dann kostet das achteckig Geld.
Patrick: Man muss es den Leuten ja nicht schmackhaft machen. Bring your own key.
Patrick: Ja, vielleicht hätte man das bei der CISA auch machen sollen.
Patrick: Da hast du auch noch ein schönes Thema mitgebracht. Da hat jemand GitHub Ich
Patrick: habe ein wenig anders verwendet, als es gedacht war.
Claudia: Ja, ja, ja, ja. Großartig. Großartig. Also großartig ist natürlich nicht,
Claudia: aber eine ziemlich verblüffende Geschichte. Und zwar...
Claudia: Erstmal ein Hintergrund. Die CISA, also Cyber Security Infrastructure Security
Claudia: Agency, das ist die US-Behörde für Cybersicherheit, wisst ihr sicher da draußen.
Claudia: Das ist ähnlich wie das BSI in Deutschland, ist dem Department of Homeland Security unterstellt.
Claudia: Und schützt kritische Infrastruktur, macht die Koordination von Incident Response,
Claudia: Herausgabe von Sicherheitsempfehlungen etc.
Claudia: Also wie gesagt, wie ist BSI ein bisschen.
Claudia: Also, es gibt von, und das ist der eine Part, das ist die CISA,
Claudia: wir werden jetzt über AWS GovCloud reden. Wir machen wenig mit AWS.
Patrick: Quasi gar nicht. Nicht freiwillig.
Claudia: Das hast du jetzt gesagt. Ich hätte jetzt gesagt wenig, aber es gibt von AWS,
Claudia: also ähnlich auch wie bei Microsoft, gibt es eine Government Cloud.
Claudia: Es ist eine besondere abgeschottete Region bei den Web-Services,
Claudia: die speziell für die US-Behörden betrieben wird.
Claudia: Und da gibt es eben verschärfte Compliance-Anforderungen und so weiter.
Claudia: Ja, und zu GitHub muss ich, glaube ich, nicht viel sagen. Das dürfte jeder kennen da draußen.
Claudia: Wobei, es ist ein Code Repository. Also für die, die nicht irgendwie rumscripten,
Claudia: wie wir das ab und an mal tun, kann man das mal erwähnen. Das heißt,
Claudia: das ist eigentlich dafür da, um Programmcode versioniert ablegen zu können.
Claudia: Und das geht in sogenannten Repositories. Diese Repositories können privat sein
Claudia: oder sie können öffentlich sein.
Claudia: So Open Source Repositories, da kann dann jeder den Code runterladen.
Claudia: So, warum erzähle ich das alles?
Claudia: Weil ich von einer Geschichte gelesen habe, das war so Mitte Mai,
Claudia: da wurde von der Sicherheitsfirma GitGuardian,
Claudia: Ein öffentliches GitHub-Repository mit dem Namen Private Caesar,
Claudia: das von einem Auftraggeber der Firma Nightwing betrieben wurde, gefunden wurde.
Claudia: Und in diesem Repository fanden sich so lustige Dinge wie Dateien mit dem Namen
Claudia: Important AWS Tokens oder AWS Workspace Firefox Passwords.csv.
Claudia: Und ja, die haben, fürchte ich, genau das enthalten, was sie angedeutet haben.
Claudia: Also Zugangsdaten zu GovCloud-Konten mit administrativen Rechten,
Claudia: also eben Important-AWS-Tokens und Klartext-Passwörter.
Claudia: Das ist ja eigentlich total witzig.
Patrick: Weil GitHub bietet ja tatsächlich einen Schutz davor, dass du sowas wie Secrets,
Patrick: API-Tokens und so weiter eben nicht speicherst.
Patrick: Und das muss der ja abgeschaltet haben.
Claudia: Das muss er abgeschaltet haben, ja. Ach du Scheiße. Also das,
Claudia: Das ist tatsächlich, das muss der abgeschaltet haben, weil also ganz ehrlich,
Claudia: ich will so eine Datei hochladen, die irgendwie ABS Workspace Passwords heißt,
Claudia: entschuldige bitte, natürlich sagt GitHub da, mach mal nicht, genau. Genau.
Claudia: Ja, oder irgendwie so Zugangsdaten für einen Kubernetes-Cluster hatten sie da
Claudia: noch gefunden und Private Keys.
Patrick: Also alles, was Spaß macht.
Claudia: Ja, Private Keys, wie so eine GitHub-App. Und ja, totales Desaster.
Claudia: Und dieses Repository, das war schon, also das war jetzt Mitte Mai, dass es gefunden wurde.
Claudia: Das gab es schon öffentlich seit dem 13. November 25.
Patrick: Autsch.
Claudia: Genau, also derjenige hat, wie du schon sagst, die Schutzmechanismen dann deaktiviert
Claudia: und 48 Stunden später, nachdem diese Entdeckung bekannt gegeben wurde,
Claudia: waren die Zugangsdaten auf jeden Fall auch noch aktiv.
Patrick: Das heißt, in einem öffentlich zugänglichen GitHub-Repository lagen Zugangsdaten,
Patrick: um quasi die komplette Caesar-AWS-Gov-Cloud-Umgebung zu übernehmen.
Patrick: Was natürlich dann auch hervorragend dazu geeignet war oder gewesen wäre,
Patrick: so Pellchen-Attacken vorzubereiten, oder?
Claudia: Ja, auf jeden Fall. Genau, dafür wäre es perfekt gewesen. Also als Backdoor in Software-Pakete.
Claudia: Vor allem dieser RSA-Private-Key, den ich da eben noch erwähnt habe,
Claudia: das war mit vollständigen Lesezugriff auf alle privaten Code-Repositories dieser IT-Organisation.
Claudia: Da muss man sich mal die Tragweite einmal bewusst machen.
Claudia: Das heißt, man kann quasi Supply Chain Angriffe, du kannst eben die Backdoors
Claudia: in die Softwarelösung einbauen.
Patrick: Gab es denn da jetzt eine Reaktion seitens der CISA drauf?
Claudia: Eine Reaktion seitens der CISA, ja. Die CISA-Sprecherin sagt,
Claudia: es gibt keine Hinweise drauf, dass als Folge dieses Vorfalls sensible Daten
Claudia: kompromittiert wurden.
Claudia: Das Repository ist natürlich offline, aber wie gesagt, 48 Stunden später waren
Claudia: die Zugangsdaten noch gültig.
Claudia: Es war noch da und naja, wer weiß, wo das vielleicht noch so hingeflossen ist.
Claudia: und jetzt einfach in einer Schublade erstmal schlummert.
Patrick: Ja, die CISA hat ja unter Trumps zweiter Amtszeit ganz ordentlich Federn gelassen.
Patrick: Da sind ja auch irgendwie, ein Drittel oder ein Viertel der Belegschaft wurden ja entlassen.
Patrick: Die gesamte Führungsmannschaft wurde ja auch, glaube ich, ausgetauscht.
Patrick: Das finde ich ja insofern halt, also gerade jetzt ganz konkret dieser Fall.
Patrick: Die CISA ist ein Laden, der eigentlich anderen Behörden vorschreibt,
Patrick: wie sie ihre Systeme abzusichern haben.
Patrick: Das ist ja ein absoluter Fiebertraum.
Claudia: Ja, das war, das habe ich ja eingangs, das war ein Dienstleister,
Claudia: der für die CISA gearbeitet hat.
Patrick: Noch schlimmer.
Claudia: Ja, das muss man, übrigens das Schlimmste daran war, warum eigentlich,
Claudia: also das habe ich am Rande noch gelesen,
Claudia: der wollte Daten von seinem Arbeitslaptop und seinem Privatlaptop im Zugriff
Claudia: haben und hat deshalb dieses Repository gebaut.
Patrick: Oh Gott.
Claudia: Ich habe da gar keine Worte für.
Patrick: Nee, tatsächlich nicht. Also, wie gesagt, GitHub hat eben diesen Schutz,
Patrick: dass man eben bestimmte Sachen nicht hochladen kann.
Patrick: Das kriegt man auch immer wieder gesagt und beigebracht.
Patrick: Also, Secrets, Kennwörter, das gehört alles nicht in ein GitHub-Repo.
Patrick: Und man sollte sich halt auch überlegen, welche Repos müssen wirklich öffentlich
Patrick: sein oder doch besser privat.
Patrick: Das ist schon, auch diese Nummer so, sechs Monate lang ist da alles offen und
Patrick: dann wird gesagt, wir haben keine Hinweise auf eine Kompromittierung.
Patrick: Also das halte ich schon für ziemlich gewagt, nach sechsmonatigen Expositionszeitraum
Patrick: zu sagen, ja, bisher konnte man nichts feststellen.
Patrick: Also gerade wenn diese Secrets, sag ich mal, von anderen, ja,
Patrick: ich sag mal, staatlichen Akteuren verwendet wurden,
Patrick: hat die CISA noch gar nicht die
Patrick: Mittel und die Leute, um da irgendwie eine Kompromittierung festzustellen.
Claudia: Ja, davon ab, wie gesagt, dieser Key, den sie da hatten, der gab auch Zugriff
Claudia: auf andere Repositories.
Claudia: Wurden die alle geprüft? Ich glaube es ja mal nicht.
Patrick: Ja, und ich meine, gerade wenn es da jetzt auch darum ging, dass es da eben
Patrick: Code-Repositories gab mit Software und es gab halt RSA-Keys,
Patrick: die den lesenden und natürlich auch den schreibenden Zugriff dieser Repositories
Patrick: erlaubt haben, denken wir mal an SolarWinds 2020,
Patrick: naja, das war auch legitimes Software, wo halt über eine Kompromittierung der
Patrick: Entwicklungsumgebung Schadcode eingebettet wurde.
Claudia: Ja.
Patrick: Ja.
Patrick: Ganz dünnes Eis, ganz dünnes Eis. Also ich kann auch jedem nur empfehlen,
Patrick: wenn ihr irgendwie auf GitHub oder sowas hostet.
Patrick: Man kann ja GitGuardian oder TruffleHog mal drüber krabbeln lassen,
Patrick: um zu gucken, ob man da vielleicht versehentlich mal irgendwie Zeug rein committed hat.
Patrick: Passiert den besten Mal. Kann man aber fixen. Ja, harte Nummer.
Patrick: So ein kleiner Downer zum Ende hin.
Claudia: Ja, war jetzt wieder kein Happy Podcast.
Patrick: Nee, nee, wir hatten ein schönes Thema und dann hatten wir so zwei so einmal in die Fresse.
Claudia: Ja, vielleicht müssen wir dann nächstes Mal wieder ein bisschen, ja.
Claudia: Aber wir werden mal uns beschäftigen mit der Frage, kann ich eigentlich Bring
Claudia: Your Own Key für Exchange Online und SharePoint und so weiter machen?
Patrick: Also, ja, aber ich befürchte fast, oder mein Bauch sagt mir,
Patrick: das könnte auch wieder so ein Thema werden, was am Ende eher so, hm.
Claudia: Ach, meinst du, das macht uns dann auch traurig, ja?
Patrick: Genau, wahrscheinlich steht ihr bei einem kleinen gedruckten,
Patrick: natürlich könnt ihr euren eigenen Key mitbringen. Ah, aber euren Private Key,
Patrick: den hätten wir dann gerne.
Patrick: Genau. Den müsst ihr hier in dieses öffentliche... Genau, hier in dieses Repository.
Claudia: Ja, genau.
Patrick: Ach du Scheiße.
Claudia: Ach ja, GitHub gehört ja auch noch Microsoft, ne?
Patrick: Ja, tatsächlich.
Patrick: LinkedIn ja auch.
Patrick: Fun Fact übrigens, ich hatte, das ist immer ganz witzig, zumindest meine ich
Patrick: das beobachten zu können, auch dieses Thema hier,
Patrick: was wir als Thema 2 hatten, ich hatte das auf LinkedIn auch mal geteilt,
Patrick: das sind Beiträge, die kriegen nicht viel Reichweite.
Patrick: Ein Schelm, der Böses dabei denkt.
Claudia: Zufall.
Patrick: Ach, herrlich. Ja, ja,
Patrick: Ich denke, jetzt haben wir wieder genug. Jetzt sind wir die nächsten zwei Wochen
Patrick: wieder ausreichend deprimiert.
Claudia: Wir müssen ernsthaft was machen.
Patrick: Ja, ja, ich denke auch, das kann so nicht weitergehen.
Claudia: Ich glaube, was mit Holz und kleinen Tierchen.
Patrick: Ich halte das immer für eine gute Idee.
Claudia: Also wir können auch einen Podcast über französische Bulldoggen machen.
Patrick: Wir sind ja quasi die Katzen unter den Hunden.
Claudia: Quasi. Quasi.
Patrick: Ach, sehr schön. Ja, in diesem Sinne würde ich sagen, haben wir die Woche oder
Patrick: die letzten zwei Wochen, die haben wir da ganz gut zusammengekehrt.
Patrick: Wir sind ausreichend deprimiert.
Patrick: Wenn ihr auch ausreichend deprimiert seid, hinterlasst fünf Sterne bei Apple,
Patrick: iTunes oder auf den Plattformen eurer Wahl.
Patrick: Und wenn ihr ein paar deprimierende Sticker haben wollt von uns,
Patrick: dann schaut mal in die Shownotes, da gibt es eine Adresse, da könnt ihr einen
Patrick: an euch frankierten Rückumschlag hinschicken und dann packen wir da unsere Tränen
Patrick: getränkten Taschentücher und ein paar Sticker mit rein.
Patrick: Ja, Och, ja. in diesem Sinne, soll es das gewesen sein.
Claudia: Wir hören uns in knapp zwei Wochen.
Patrick: In Bälde wieder. Bis dann. Tschüss. Macht's gut.
Claudia: Tschüss.