Wir starten erstmal und machen das später schön.
Patrick: Hallo und herzlich willkommen zum Wartungsfenster Folge 82 vom 19.06.2026 mit
Patrick: mir dabei mein Programmier-Minion.
Claudia: Die Claudia.
Patrick: Und ich bin der Patrick. Moin moin.
Claudia: Das hast du jetzt nicht gesagt.
Patrick: Ich habe lange überlegt, ob ich den Joke bringe und eigentlich hatte ich auch
Patrick: vor, ein passendes Intro vorzubereiten, wo ich dann ein paar Sound-Schnipsel
Patrick: von den Minions einspiele, aber nein, das kann ich dir nicht machen.
Patrick: Aber du hast ja das letzte Mal schon. Wahrscheinlich kriege ich gleich nach
Patrick: dem Podcast wieder die Hucke voll oder so.
Claudia: Ja, solange mein Lohn mehr ist als Bananen. Das ist okay.
Patrick: Ja, ja, doch, doch, doch. Wobei tatsächlich, du hast ja unser, also,
Patrick: die Frau Kollegin hat ein kleines internes Tool nochmal angefangen umzuschreiben.
Patrick: Und wir alle kennen ja diesen Satz, Legacy verdient das Geld.
Patrick: Und ich befürchte, wenn wir beide hier irgendwann mal vom Hof reiten,
Patrick: hinterlassen wir hier auch so einen schlecht dokumentierten Blob,
Patrick: von dem der ganze Profil sowas von abhängig ist und keiner weiß,
Patrick: wie das alles zusammengearbeitet.
Claudia: Zusammengestrickt ist. Ach, Dokumentation, Dokumentation ist doch viel besser,
Claudia: wenn die Leute verstehen, was sie da vor sich haben. Sonst müssen sie eh die Finger davon laschen.
Patrick: Ja, wir könnten ja, wenn wir das mal irgendwann fertig haben,
Patrick: dann können wir ja mal, da machen wir mal irgendwie entweder Twitch-Stream oder
Patrick: so und dann laden wir mal die geneigte Software-Developer-Podcast-Rieger ein, uns dafür zu verreißen.
Claudia: Ja, ja, ja, alles gut. Ich bin kein Software-Entwickler. Irgendwie laufen die
Claudia: Sachen, die ich baue, halt irgendwie zufällig.
Patrick: Ich sag's nur, Tab Heinzelmann 3000, ja, wir können uns kein Leben mehr ohne ihn vorstellen.
Patrick: Es ist so. Dein Feature-Request habe ich übrigens zur Kenntnis genommen,
Patrick: das werde ich natürlich einbauen.
Claudia: Dankeschön.
Patrick: Und ansonsten auch noch mal Werbung, Tab Heinzelmann 3000, das ist das Tab-Management-Tool,
Patrick: was ihr alle braucht. Also insbesondere Leute wie ich, die 259 offene Tabs in ihrem Edge haben.
Claudia: 259 schafft mein Notebook nicht. Also meins fängt an bei ich hab jetzt 74 offen,
Claudia: das geht grad noch so. gerade noch so.
Patrick: Okay, du hast doch auch ein flammenneues Teil.
Claudia: Ach so, vielleicht ist es, weil
Claudia: im Hintergrund bei mir immer Visual Studio mitläuft. Kann natürlich sein.
Patrick: Ist das nicht immer so diese Software-Developer-Sache so? Irgendwie ist mein
Patrick: Notebook so langsam, oh, im Hintergrund irgendwie 85 Container offen.
Patrick: Vielleicht sollte ich mal davon ein paar zumachen.
Claudia: Ja, das ist schon ganz schön hungrig, Visual Studio.
Patrick: Warum eigentlich? Ist das auch irgendwie Elektron-App?
Claudia: Soll ich mal nachgucken?
Patrick: Das ist bestimmt Elektron.
Claudia: Ist ja auch egal. Ich weiß es nicht.
Patrick: Ich weiß nicht, ob es der JavaScript-Entwickler war oder der Mensch,
Patrick: der NPM erfundet. Einer von den beiden hat sich dafür mal entschuldigt, öffentlich.
Claudia: Der Mensch, der JavaScript erfunden hat, wahrscheinlich. Ich meine,
Claudia: irgendwie sowas gehört zu haben. Ich glaube, der hat nicht geahnt, was er damit lostritt.
Patrick: Du Gottes Willen, ey. Das ist wohl so.
Claudia: Nee, finde ich jetzt nicht raus. Ist egal.
Patrick: Ist egal. Auf jeden Fall ist es sehr speicherhungrig. Ja, wir versuchen an unserem
Patrick: Zwei-Wochen-Rhythmus festzuhalten.
Patrick: Wir haben ja Besserung gelobt.
Claudia: Ja, dafür hast du aber auch gut am Workflow geschraubt.
Patrick: Genau, wir haben die lange Pause kreativ genutzt und haben ein bisschen mal
Patrick: in unserem Aufnahme-Workflow rumgeschraubt.
Patrick: Interessanterweise habe ich ja immer gedacht, als ich mit dem Podcast angefangen
Patrick: habe, dass das Reaper mit Ultraschall, das ist so das Nonplusultra und alle
Patrick: Podcasts, die ich so gehört habe, haben das genutzt.
Patrick: Es stellt sich raus, offenbar ist das auch wieder nur eins von vielen Produkten.
Patrick: Aber wir halten daran fest, Und wir hatten zwar mal überlegt,
Patrick: ob wir mal andere Sachen ausprobieren, aber zumindest für die Aufnahmen hier
Patrick: bei uns im Büro tut es Ultraschall halt immer noch ganz gut.
Patrick: Und auch so für den ersten groben Schnitt funktioniert das ganz gut.
Patrick: Und Remote-Aufnahmen haben wir das letzte Mal oder wollten wir mal mit Teamspeak
Patrick: mal ausprobieren. Also wenn wir irgendwie keine Gelegenheit haben,
Patrick: uns im Büro zu treffen, dass wir das dann über Teamspeak machen.
Patrick: Das habe ich mir bei jemand anderem abgeguckt, weil das da auch ganz gut funktioniert hat.
Claudia: Funktioniert auch wunderbar.
Patrick: Und ja, tatsächlich eine Sache, die ich jetzt mal...
Patrick: Und die habe ich ausprobiert und habe dafür quasi, als ich es das erste Mal
Patrick: in einschlägigen Kreisen erwähnt habe, habe ich dafür direkt auf die Fresse
Patrick: bekommen. Und zwar Auphonic.
Patrick: Ich dachte mir, KI hilft ja bei allem. Also auch, warum nicht dabei?
Patrick: So Podcast schneiden, Soundqualität ein bisschen verbessern,
Patrick: Füllwörter rausschnippeln und so weiter.
Patrick: Also diesen ganzen Feinschnitt und Transkripte.
Patrick: Und das haben wir jetzt angefangen mit Auphonic zu machen, auch um das Ganze
Patrick: dann mal, weil so Feinschnitt mit Ultraschall, das ist schon ein bisschen gut.
Patrick: Ich bin jetzt wahrscheinlich auch nicht der Ultraschall-Experte und kenne da
Patrick: wahrscheinlich auch irgendwie die ganzen Tricks und Kniffe nicht.
Patrick: Aber ich bin ja auch nur interessierter Laie. Und wenn ich halt eine Plattform
Patrick: habe, die mir das irgendwie abnehmen kann wie Auphonic, dann will ich es auf jeden Fall versuchen.
Patrick: Und gut, Hosting machen wir immer noch mit Podigee. Und ja, Transkripte hatten
Patrick: wir jetzt beim letzten Mal, die letzten zwei Folgen haben wir ja Transkripte
Patrick: mitgeliefert. Die sind schon ganz schön scheiße.
Patrick: Auch wenn man so die Rohfassung von diesen Transkripten dann macht,
Patrick: die sind schon schwer scheiße. Ja, okay. Ja, ja, ganz fürchterlich.
Claudia: Nicht das an uns, oder?
Patrick: Ja, ich glaube, das ist generell irgendwie das Problem da mit Audio und das
Patrick: Ganze aufzunehmen und dann irgendwie das zu transkribieren. Ja,
Patrick: ich habe auch. Und die Fachbegriffe, die wir benutzen.
Patrick: Also die letzten Transkripte habe ich dann irgendwie zweimal durch Claude durchgetreten.
Patrick: Mit entsprechendem Kontext war das danach ganz gut benutzbar und das sah auch irgendwie ganz gut aus.
Patrick: Ja, das konnte man dann schon verwenden. Wobei der Marius mir noch den Hinweis
Patrick: gab, mit MacWhisper, so als Alternative halt.
Patrick: Aber ich habe dann auch überlegt, okay, kannst du dann auf Phonic dann doch
Patrick: wieder durch irgendwie einzelne Tools ersetzen.
Patrick: Aber egal, wie ich damit rumgekaspert habe, am Ende liegt es dann doch immer
Patrick: daran, Du hast dann halt irgendwie die Aufnahme in Ultraschall,
Patrick: dann musst du sie exportieren, bei Auphonic reinschmeißen, dann musst du sie
Patrick: theoretisch da nochmal exportieren, damit du die dann bei MacWhisper nochmal mit...
Patrick: Nochmal wegen Transkripten und so weiter. Und ja, wir schrauben da auf jeden
Patrick: Fall nochmal ein bisschen weiter rum.
Patrick: Das ist noch nicht fertig, aber zumindest bei der letzten Folge,
Patrick: wo ich das mal so durchexerziert habe, hat das schon ganz gut geklappt.
Claudia: Und wir haben ja zwischen Aufnahme und Veröffentlichung nicht mehr das Delta,
Claudia: was wir früher hatten. Das hat früher schon was länger gedauert.
Patrick: Ja gut, aber wir haben typischerweise immer so, wir haben montags aufgenommen,
Patrick: haben mittwochs veröffentlicht. Jetzt nehmen wir freitags auf und treten es montags raus.
Claudia: Ja, okay, gut,
Claudia: dann habe ich es nicht gesagt.
Patrick: Stimmt, du hast ja recht.
Claudia: Stimmt, das waren nur zwei Tage, Montag und Mittwoch. Ja, genau.
Patrick: Ja gut, ich meine, wir hängen jetzt ja auch nicht so sklavisch an einzelnen
Patrick: Tagen für die Veröffentlichung, aber zumindest freitags ist das immer ganz gut,
Patrick: das ist eher ein ruhiger Tag und ich habe das Wochenende danach,
Patrick: um dann da Podcasts zu schneiden und irgendwie versuchen, das Beste rauszuholen.
Patrick: Aber wenn ihr da irgendwie mal Ideen habt, dann lasst gerne mal einen Kommentar
Patrick: oder schickt eine Mail oder die einschlägigen sozialen Medien,
Patrick: auf denen wir uns tummeln.
Patrick: Ich bin dafür, Input gerne zu haben.
Claudia: Wo er sich tummelt. Ich bin ja ehrlich. Ich bin einfach sehr,
Claudia: ja, nicht wirklich viel unterwegs auf Social Media.
Patrick: Du hast bestimmt so einen Pöbel-Account.
Claudia: Nein, ich habe auch keinen Pöbel-Account. Nicht? Ich habe wirklich,
Claudia: nee. Ich hatte so einen auf Twitter.
Patrick: Der war großartig.
Claudia: Ich habe einfach irgendwie seit einer ganzen Weile, ja, keine Ahnung,
Claudia: keinen Bock mehr auf Social Media.
Patrick: Auch nicht auf LinkedIn so ein bisschen rumpöbeln?
Claudia: Nee, ich lese manchmal da einen Artikel und dann lasse ich schon mal ein Like
Claudia: da, aber das war es auch im Wesentlichen.
Patrick: Das war ganz lustig, irgendwie hatte ich da auch so von so einem,
Patrick: ach keine Ahnung, weil den irgendwelche anderen Leute geliked haben in diesem Kommentar,
Patrick: bin ich dann auf den aufmerksam geworden auf Business Tinder und dann ging es
Patrick: dann irgendwie so darum, ja Leute, warum ist denn eine Breitling irgendwie geiler
Patrick: als eine doppelt so teure Rolex und ich musste dann irgendwie darunter kommentieren,
Patrick: also meine Apple Watch SE Gen 1 ist eigentlich auch schon ganz okay, die funktioniert.
Patrick: Ich weiß nicht, wie viele Leute sich da dann schon wieder irgendwie böse getriggert
Patrick: gefühlt haben. Aber ein paar Leute, die uns auch namentlich bekannt sind, haben es geliked.
Patrick: Es hat offenbar den Humor getroffen.
Patrick: Ja, was überhaupt nicht meinen Humor getroffen hat.
Claudia: Oh, ja. Du hast da ein Problemchen.
Patrick: Ich hatte eine beinahe Vollkatastrophe im Datacenter, ja.
Claudia: Genau, im Data Center, ja.
Patrick: Genau, zu Hause, in meinem Data Center, in meinem kleinen Sechser-E,
Patrick: die oben unter der Decke hängt.
Patrick: Ich habe ja seit Jahr und Tag so eine Synology, so eine DS414 Slim.
Patrick: Also die ist mittlerweile 13 Jahre alt.
Patrick: 13 Jahre ist ein stolzes Alter dafür.
Claudia: Genau.
Patrick: Letztes Jahr musste ich dann doch mal die SSDs da rausschmeißen,
Patrick: weil die irgendwie so eine Lifetime von irgendwie zwischen 10 und 15 Prozent hatten.
Patrick: Die waren also schon schwer hinüber, aber liefen noch. Und dann dachte ich letztes
Patrick: Jahr schon so, ah, neues NAS oder so.
Patrick: Und dann habe ich überlegt, baust du selber, kaufst du was von einer Stange
Patrick: und dann dachte ich mir, nee, komm, fuck it. Das Ding ist eh nur irgendwie Datengrab.
Patrick: Steckst irgendwie viermal einen Terra, zweieinhalb Zoll rein und dann,
Patrick: das Ding dient halt echt einfach nur irgendwie so für Backups.
Patrick: Für Veeam Endpoint von meinem Arbeitslaptop oder hier für irgendwelche Backups
Patrick: von irgendwelchen Servern und Paperless und hin und her. Also das Ding muss
Patrick: eigentlich nicht viel machen, außer ein bisschen Backup machen und diese Backups
Patrick: dann wieder irgendwo anders hinschieben.
Claudia: Ich wollte gerade sagen, du machst doch nicht nur ein Backup.
Patrick: Nein, natürlich nicht. Nein, nein, nein, nein, nein. Ich bin da schon geo-redundant,
Patrick: was das angeht. Ich mache das ordentlich.
Claudia: 32110.
Patrick: Das ist mir scheißegal, das ist irgendwo immutable in Helsinki. Reicht.
Patrick: Ja, dann kam ich da morgens irgendwie mal in meinen Technikraum und dann dachte
Patrick: ich, was ist das für ein Geräusch? Und ich dachte mir, das ist nicht normal,
Patrick: das hört sich nicht gut an.
Patrick: Das hört sich nach einem toten Lüfter an. Und ich dachte erst,
Patrick: ist es der Wechselrichter?
Patrick: Dann dachte ich mir, nee, okay, nee, der ist es nicht. Und dann dachte ich mir,
Patrick: ist es der Switch? Nee, der hat keinen Lüfter.
Patrick: Nein, es ist das NAS. Verdammte Axt. Ja.
Patrick: Und dann fand ich halt relativ schnell raus, ja, da ist halt ein Lüfter drin,
Patrick: so ein 60x60. Ja, der war halt irgendwie schwer am Röhren, wie so ein Hirsch.
Patrick: Dann dachte ich, kann ja nicht so das Ding sein, ne? Hab ich dann erstmal ausgepustet.
Patrick: Naja, da kam zwar schon ordentlich Staub raus, aber das Geräusch blieb dann halt.
Patrick: Und dummerweise ist dann tatsächlich das Ding irgendwie ein paar Mal ausgegangen, weil überhitzt.
Claudia: Zu warm.
Patrick: Ja, ja, zumindest eine der Platten, die wurde zu heiß. Und dann ist das Ding halt so, ne?
Patrick: Safe, Shutdown, bevor was Schlimmeres passiert. Gut, musst du den Kack-Lüfter austauschen.
Patrick: Naja, googelst du mal kurz rum. Okay, ist kein Lüfter von der Stange,
Patrick: weil 60x60 Lüfter sind ja eigentlich Standardware.
Patrick: Nein, offenbar nicht dieser, weil der hat so ein spezielles Feature namens Rotor-Lock.
Patrick: Also der bekommt mit, wenn der Lüfter irgendwie festhängt.
Patrick: Und außerdem braucht der wohl im Vergleich zu anderen 60x60 Lüftern extrem wenig
Patrick: Spannung. Also der kommt dann irgendwie mit 0,12 irgendwie aus, statt 0,3, 0,4, 0,5.
Patrick: Und was dann dazu führt, wenn du halt den falschen Lüfter einbaust,
Patrick: dann grillst du dann irgendwie die Synology.
Claudia: Okay.
Patrick: Gut, und wenn du dann schon Threads aus, keine Ahnung, 2014,
Patrick: 2015 und so weiter findest, wo Leute dann sagen.
Claudia: Ja, du musst dann ja in ältere Threads reingucken, wenn dein Ast 13 Jahre alt ist.
Patrick: Dann findest du halt Threads, wo die Leute sagen, ja, scheiße hier und den Lüfter musst du nehmen.
Patrick: Und es gab dann auch so ein paar Bastelanleitungen, wo man dann halt irgendwie
Patrick: mit lustigen Sachen rumlöten, irgendwas fixen konnte.
Patrick: Und dann dachte ich mir, der kann es nicht machen. Naja, dann habe ich so einen
Patrick: Kack-Lüfter irgendwie dann doch gefunden. Habe den irgendwie für 8 Euro und,
Patrick: keine Ahnung, 20 Euro Transportkosten aus China kommen lassen.
Patrick: Und dann brauchte der natürlich erstmal ein paar Tage. Und ich so,
Patrick: was machst du denn jetzt? So, was machen wir dann?
Claudia: Ein paar Tage ohne Backup?
Patrick: Geht ja gar nicht, ne? Also wir müssen uns ja eine Alternative legen.
Patrick: Also wie kriege ich diesen Lüfter wieder fit? Weil ohne Lüfter ging auch nicht.
Patrick: Also was machen wir dann?
Claudia: So ein USB-Lüfter oder sowas?
Patrick: Wenn es sich nicht bewegt? WD40.
Claudia: Ach, WD40, okay.
Patrick: Ja.
Claudia: Das hat geholfen?
Patrick: Ja, genau. Ein kleiner Spritzer WD40, just the tip. Und dann dachte ich mir,
Patrick: okay, vielleicht hält der jetzt ein paar Tage durch.
Patrick: Und was soll ich dir sagen? Er läuft immer noch.
Claudia: Hat er geschafft? Er läuft immer noch. Ach so? Also der neue Lüfter ist noch gar nicht...
Patrick: Der neue Lüfter kam dann gestern und der alte Lüfter läuft immer noch.
Claudia: Das ist natürlich jetzt... Tja.
Patrick: Jetzt habe ich ein Spare-Part im Schrank liegen.
Claudia: Ja. Du weißt ja, es ist jetzt endlich, ne? Dann hast du schon mal da liegen.
Patrick: Das ist doch gut. Besser haben als brauchen.
Claudia: Die Downtime minimieren.
Patrick: Genau. Also, das ist echt gut wartbar.
Patrick: Kannst du unten einfach rausklicken den alten Lüfter, Kabel abziehen,
Patrick: neuen Lüfter reinklicken, Klappe wieder zufällig.
Patrick: Also, das ist schon, das haben sie schon gut gemacht.
Patrick: Fand ich gut. Auf jeden Fall, ne?
Patrick: Sino darf nicht sterben, auch nach 13 Jahren. Und bin ich nicht bereit, dich sterben zu lassen.
Claudia: Du hast Spitzenarmt für deine Hardware.
Patrick: Du nicht?
Claudia: Nee.
Patrick: Wie heißt denn eigentlich dein Notebook?
Claudia: Thinkpad.
Patrick: Doch, so kreativ.
Claudia: Wie soll das denn heißen?
Claudia: Wie heißt denn dein Notebook?
Patrick: X1C.
Claudia: Wie kreativ.
Patrick: Das hängt aber auch nur daran, weil, also ich habe zum Beispiel früher,
Patrick: habe ich meinen Rechner immer nach dem Produktnamen von irgendwelchen Sun-Maschinen,
Patrick: Starcat, Starfire und so weiter benannt.
Patrick: Ich glaube aber, wenn mein Notebook, also wir kennen ja einige unserer Kunden
Patrick: und manchmal gehen die durch ihren DHCP durch und ich glaube,
Patrick: die fänden es sehr befremdlich, wenn dann in deren Netzen irgendwie auf einmal
Patrick: irgendwie ein Starcat oder ein Starfire auftauchen würde.
Patrick: Das wäre jetzt wahrscheinlich wenig vertrauenserweckend.
Claudia: Wenn es Ihnen auffallen würde.
Patrick: Oh Gott, wir kennen mindestens einen, dem wird das wahrscheinlich auffallen.
Claudia: Ja, ja, ja.
Patrick: Ja, zwei Wochen her, wieder viel Zeit gehabt, auch mal wieder Podcasts zu hören.
Patrick: Und auch unsere Freunde vom Engineering-Kiosk haben mal wieder ganz ordentlich abgeliefert.
Patrick: Da muss ich ja schon sagen, in der letzten Zeit haben Sie einen guten Lauf, was Gäste angeht.
Patrick: Und der Ruhrpott liefert natürlich hart ab.
Patrick: In der Folge 271, Selbstmanagement statt Zeitmanagement, war nämlich der Dirk
Patrick: Deimeke, allen bekannt aus dem TILpod und dem Buzzzoom,
Patrick: zu Gast und hat ein bisschen über Selbstmanagement erzählt, damit man kein Zeitmanagement braucht.
Claudia: Ah, das ist dein Thema, ne?
Patrick: Total.
Claudia: Ja, ja gut.
Patrick: Total, ich bin ja für sowas total empfänglich.
Claudia: Ja, ich auch tatsächlich. Ich auch tatsächlich. Ich bin nur schlechter drin,
Claudia: mir von außen sagen zu lassen, wie es gut funktioniert.
Patrick: Es geht ja auch gar nicht mal darum, dass ich mir das von anderen abgucke,
Patrick: aber dieser Impuls, dann zu sagen, vielleicht müsste ich dann doch mal den eigenen
Patrick: Workflow mal unter die Lupe nehmen. Das finde ich ja immer ganz gut.
Claudia: Ständig.
Patrick: Was hast du denn als letztes Mal an deinem Workflow optimiert?
Claudia: Meine Kalenderpflege. Und ich habe alle möglichen Tools einfach abgeschafft, weil…,
Claudia: So, To-Do-ist hat mir nicht geholfen. Also ich knall mir einfach Dinge,
Claudia: an die ich mich erinnere, muss in meinen Kalender rein.
Claudia: Mit Zweifelsfall schiebe ich das zwar immer mal wieder vor mir her,
Claudia: das ist mir aber egal, ich schiebe es dann halt. Irgendwann denke ich dran,
Claudia: irgendwann habe ich Zeit, das zu machen und dann ist gut.
Claudia: Aber ich brauche keine extra App, ich brauche kein Todoist, ich brauche kein
Claudia: Microsoft-Todo, Planner, was auch immer man sich so alles angetan hat,
Claudia: um seine Tasks zu tracken.
Claudia: Ganz ehrlich, ich mache es jetzt einfach hemmsärmelig im Kalender und Notizen
Claudia: mache ich mir im Visual Studio Sachen schnell, Code, genau.
Claudia: Habe ich nämlich mehrere Textdateien, so kundenbezogene und allgemeine,
Claudia: die bei mir auf dem Desktop liegen.
Claudia: Es klingt jetzt ein bisschen krude, aber ich finde es einfach am niederschwelligsten,
Claudia: weil OneNote ist zu mech, also zu groß irgendwie. Ich will auch nicht ständig
Claudia: rumformatieren. Das geht mir total auf den Keks. Nur Textdateien sind fein.
Patrick: Ja, ist ganz spannend, weil ich habe dann, also ich kann mir ja keinen,
Patrick: also wahrscheinlich fände es mein Therapeut jetzt ein bisschen befremdlich,
Patrick: wenn ich dem sagen würde, pass mal auf, ich erzähle dir jetzt,
Patrick: oder ich erkläre dir jetzt mal meinen Workflow und dann möchte ich mal von dir
Patrick: hören, was du dazu sagst.
Patrick: Wahrscheinlich wird er dann seine Brille irgendwie ein bisschen zurechtrücken
Patrick: und sich irgendwie wild Notizen machen und denken, Alter, was stimmt mit dem Typen nicht?
Claudia: Warum?
Patrick: Habe ich mal die KI meines Vertrauens gefragt. Und zwar habe ich dann einfach
Patrick: mal da so dumm reingepromptet, wie mein Workflow jetzt aussieht,
Patrick: was gut funktioniert, was nicht funktioniert. Und dann habe ich gesagt,
Patrick: so und jetzt sag mal was, du bist jetzt hier irgendwie mein Berater und was kann ich optimieren?
Patrick: Ja, dann kam so sinngemäß, also jetzt ich paraphrasiere, aber da kam so sinngemäß
Patrick: so, ja Alter, wenn der Scheiß doch für dich funktioniert, warum willst du denn
Patrick: dann was ändern? Lass es doch einfach.
Patrick: Dann dachte ich mir auch so, ja schönen Dank auch.
Patrick: Das ist durchaus ein Punkt. Also ich habe ja auch ein, es ist gar nicht mal
Patrick: ein wilder Mix, aber ja, ich mache auch viel über den Kalender.
Patrick: Ich mache viel aus der Inbox heraus. Also nicht, dass meine Inbox irgendwie
Patrick: jetzt 300 ungelesene Mails hat. Nein, nein, nein. Aber ich lasse mir zum Beispiel Mails mit Tasks.
Claudia: Die ich noch tun muss, die bleiben da liegen und dann sollte ich sie weg, wenn es erledigt ist.
Patrick: Genau, korrekt. Ja, und ansonsten habe ich auch ein gigantisches Scratch-TXT
Patrick: in VS Code, wo ich mir halt immer mal so Sachen reinnotiere.
Patrick: Aber ich habe ja auch mal so Sachen angefangen, so mit Joplin und mit Obsidian und OneNote.
Patrick: Aber das ist alles irgendwie, weißt du, wenn du dann mal irgendwas schnell irgendwie
Patrick: dokumentieren, runterschreiben willst, dann ist mir das immer noch zu mächtig.
Claudia: Richtig, richtig. Also alleine, also ja, Joplin ist nice, aber es dauert einfach, bis es gestartet ist.
Claudia: Und meistens bin ich dann schon wieder in einem nächsten Task drin,
Claudia: bis das dann endlich durchgestartet ist. Ich will mir schnell was notieren,
Claudia: klicke auf das Icon und dann kommt von links eine Teams-Nachricht.
Claudia: Ja, dann kannst du es schon wieder vergessen.
Claudia: Dann weiß ich auch nicht mehr, was ich da reinschreiben wollte.
Claudia: Das dauert mir zu lange. Das ist mit OneNote das Gleiche.
Patrick: Ja, genau.
Claudia: Aber ja, fairerweise, wenn ich mir irgendwie so Code-Snippets oder sowas weglegen
Claudia: will, ja, das mache ich dann nicht in den Textdateien.
Claudia: Das mache ich tatsächlich in Joplin noch. Aber ja.
Patrick: Ja, so Sachen, also solche Sachen, da habe ich ein DocMost für.
Patrick: Das funktioniert auch ganz gut. Da kann man auch gut drin suchen und das nimmt
Patrick: einem so ein bisschen die Formatierungssachen ja ab. Also wir machen ja auch
Patrick: hier für den Podcast die Vorbereitung, die machen wir ja auch gemeinsam in DocMost.
Patrick: Aber zum Beispiel, ich habe ja Getting Things Done angefangen.
Claudia: Könntest du mir ja auch ein Workspace geben in deinem DocMost.
Patrick: In meinem privaten DocMost? Willst du dich bereit machen?
Claudia: Ich habe ja auf deinem privaten Job den Server auch gemacht.
Patrick: Das hast du dich auch bereit gemacht.
Claudia: Ja, ich habe dich unterbrochen.
Patrick: Halt den Gedanken fest, das können wir nachher machen.
Patrick: Ich habe ja zum Beispiel mit Getting Things Done angefangen.
Patrick: Hat für mich überhaupt nicht funktioniert.
Patrick: Weil allein dieser Gedanke, dass ich mir ja irgendwie alles Mögliche notieren
Patrick: muss, um es dann irgendwie zu sortieren und machen und zu tun und so weiter.
Patrick: Das hat mich fertig gemacht, das geht nicht.
Patrick: Also ja, ich benutze weiterhin hier in meinem Mac-Ökosystem,
Patrick: also was ich ja eher privat habe, weiterhin so Erinnerungen. Funktioniert.
Claudia: Ja, das für private Sachen benötigt sich auch Erinnerungen, ja.
Patrick: Und ja, über Outlook kommst du ja auch an To-Do ran und wenn ich mir da mal
Patrick: eben irgendwie so zwei, drei To-Dos mache, dann geht das auch.
Patrick: Das ist, sag ich mal, niederschwellig genug, aber ich gehe jetzt auch nicht
Patrick: hin und versuche mir alle meine To-Dos irgendwie aufzuschreiben.
Patrick: Also mein erster Gedanke ist ja, was stimmt nicht mit mir, dass ich mir einen
Patrick: nennenswerten Teil meiner Aufgaben nicht notieren muss? Habe ich zu wenig zu
Patrick: tun, dass ich das nicht machen muss, wenn andere Leute es machen?
Claudia: Ja, das muss ich dir gestehen. Das ist bei mir in den letzten Jahren ist das
Claudia: nötiger geworden. Also das war früher bei mir auch nicht so.
Claudia: Ich habe wirklich, du konntest mir, ich habe von morgens bis abends,
Claudia: ich habe an fast alles immer gedacht. Es ist selten, dass mir irgendwas durchgegangen ist.
Claudia: Ich habe mit irgendjemandem Kunden geplaudert. Wir haben dann so zwei,
Claudia: drei Dinge, die ich dann erledigen muss. Und dann habe ich mir so einen Blocker,
Claudia: einen Kalender gemacht, Kunde.
Claudia: Und dann wusste ich, was ich da mache. Und das waren zwei, drei,
Claudia: vier Dinge. Das ist heute...
Claudia: Wahrscheinlich, also A, vielleicht aufgrund dessen, dass ich älter werde,
Claudia: aber B, zu sehr hohem Anteil dem geschuldet, dass wir heute anders arbeiten
Claudia: als vor, sagen wir mal, sechs, sieben Jahren.
Claudia: Also da waren wir weniger, da waren wir häufig acht Stunden lang beim Kunden
Claudia: draußen. Das ist ja jetzt auch spätestens mit der Pandemie sehr viel kleinteiliger geworden.
Claudia: Und dem geschuldet ist es wahrscheinlich, dass ich weiß, okay,
Claudia: wenn ich jetzt mit dem darüber rede, das habe ich mir, das merke ich mir nicht mehr.
Claudia: Da ich mich dann aber kenne oder gelernt habe, mich da selber besser einzuschätzen,
Claudia: weiß ich, okay, aber dann schreibe ich das jetzt zumindest direkt auf.
Claudia: So, dann schreibe ich es direkt in meinen Outlook-Kalender und dann ist gut.
Patrick: Ja, ich habe da lange drüber überlegt, weil mein erster Gedanke war natürlich,
Patrick: Alter, du hast wahrscheinlich noch nicht genug zu tun, du musst ja das definitiv aufschreiben.
Patrick: Alle anderen, die sich das aufschreiben müssen, die haben einfach so viel zu
Patrick: tun, die können das im Kopf behalten. Und da habe ich lange überlegt und hin und her.
Patrick: Und ich glaube, ich habe zumindest eine für mich funktionierende Erklärung dafür gefunden.
Patrick: Ich habe ja so ein bisschen Katastrophenschutzerfahrung. Das hilft uns ja auch
Patrick: durchaus mal im Job, weil mit Katastrophen kenne ich mich aus.
Patrick: Aber im Katastrophenschutz werden ja Einsätze geführt.
Patrick: Und ich arbeite, damals habe ich, das ist Jahrzehnte her, ich habe damals mit
Patrick: Eisenhower, diese Eisenhower-Matrix, kennen wir alle.
Patrick: Also wichtig und dringlich und nicht wichtig und nicht dringlich.
Patrick: Und das Vierte ist dann halt so, ja, Ablage P.
Patrick: Und ich denke verdammt oft genau in diese Muster.
Patrick: Also wenn etwas wichtig und dringlich ist, dann mache ich das entweder sofort,
Patrick: oder ich schreibe es mir zum Beispiel in einen Kalender oder ich habe eine Mail
Patrick: dazu oder ich habe ein Ticket dazu.
Patrick: Ja, und wenn es nicht wichtig, aber dringlich ist, dann drücke ich das halt
Patrick: irgendeinem anderen aufs Auge, dann wird es halt delegiert.
Claudia: Genau, du. Du drückst. Genau. Nein, du musst doch alle Aufgaben höchstpersönlich erledigen.
Patrick: Oh, halt den Gedanken fest, da kommen wir gleich zu.
Claudia: Haben wir eigentlich auch Themen heute? Mir fällt gerade so auf.
Patrick: Ja, ja, ja, Themen haben wir noch. Themen haben wir noch. Aber das finde ich gerade auch spannend.
Claudia: Ich finde das spannend, ja.
Patrick: Und dann gibt es ja noch, es ist dringlich, aber nicht wichtig.
Patrick: Und dann das vierte ist halt, ja, es ist nicht wichtig, es ist nicht dringlich,
Patrick: dann vergesse ich das Ganze.
Patrick: Und dummerweise bin ich genau in diesem vierten Quadranten, bin ich leider sehr oft.
Patrick: Also ein nennenswerter Anteil davon Aufgaben, denke ich mir,
Patrick: okay, das ist jetzt weder dringlich, noch ist das wichtig. Also für mich.
Patrick: Also lasse ich es einfach sein und warte einfach, bis die andere Seite noch mal zu mir kommt.
Claudia: Das ist das Kitz.
Patrick: Aber.
Claudia: Ja, ja, interessant. Das erklärt so einiges. Oh, okay, okay.
Patrick: Fun Fact, Folge 272 vom Engineering Kiosk.
Patrick: Wenn der Chef das Problem ist, destruktive Führung, Gaslighting und Exitplan.
Claudia: Werde ich mir anhören.
Patrick: Was macht diese Folge mit dir.
Claudia: Frau Kollegin? Die werde ich mir anhören. Auf jeden Fall. Mal gucken, was die mit mir machen.
Claudia: Aber nochmal kurz zurück zu Eisenhower. Ich finde, für mich Eisenhower ist es
Claudia: so zweidimensional. Es ist so zweidimensional. Ich glaube auch,
Claudia: ich meine mal gelesen zu haben, dass es üblicherweise auch gerne mal um meine
Claudia: dritte Dimension, nämlich den Aufwand, erweitert wird.
Patrick: Ja gut, aber das ist ja dringlich wichtig. Ja, dann mache ich es halt sofort.
Claudia: Ja, dringlich wichtig mache ich es sowieso sofort. Aber es ist...
Claudia: Wenn es nicht dringlich ist, aber wichtig und es dauert nur fünf Minuten,
Claudia: dann kann ich es auch sofort machen.
Patrick: Ja, wahrscheinlich mache ich auch das instinktiv sehr häufig.
Claudia: Genau.
Patrick: Also könnte ich jetzt den Daumen drauflegen, weil ich glaube,
Patrick: gerade Dinge, die halt einfach schnell gehen, das mache ich halt auch mal sofort.
Claudia: Das mache ich ziemlich bewusst so. Also ich mache es wahrscheinlich ähnlich
Claudia: wie du, nur halt, ich bin halt eingestellter, ich habe halt den vierten Quadranten,
Claudia: den kann ich mir nicht so leisten, weißt du?
Patrick: Leuten Sachen aufs Auge drücken.
Claudia: Den, wo ich einfach Dinge vergesse und nicht mache.
Patrick: Jetzt lässt du mich aber in einem sehr schlechten Lichter stehen.
Claudia: Das ist doch nur Spaß.
Patrick: Ich glaube, da müssen wir gleich nach der Aufnahme nochmal so überreden.
Patrick: Wo ist mein Abmahnungsblock?
Claudia: Ja, das schwarze Büchlein.
Claudia: Der wievielte Band ist das jetzt über mich?
Patrick: Oh Mann. Ja, du kriegst in meinen Memoiren, kriegst du definitiv ein Kapitel.
Claudia: Nein.
Patrick: Ja, und um ein loses Ende aus einer anderen Folge nochmal, Mails von meinem Energieversorger.
Patrick: Ja, die haben definitiv was geändert, weil die Mails kann ich mittlerweile lesen.
Patrick: Also ich habe jetzt nochmal neue Mail-Kommunikationen, das funktioniert jetzt.
Claudia: Na gut.
Patrick: Aber an der Stelle, liebe Kollegen von Mailbox.org, S/MIME 4.0 ist ein Thema.
Patrick: Also es wäre schön, wenn ihr das mal nachflicken würdet. Also bei Apple brauche ich nicht Fragen.
Claudia: Ja.
Claudia: Wobei ich das eigentlich befremdlich finde bei Apple, aber gut.
Claudia: Ja, das ist diese libre SSL-Geschichte.
Patrick: Ja, letzte Freakshow auch irgendwie, oder vorletzte Folge irgendwie,
Patrick: der Pritlove darüber beschwert, dass Apple-Mail ja so oft abstürzt.
Patrick: Da dachte ich mir so, nee, das stürzt nicht oft ab, aber ganz ehrlich,
Patrick: erstmal im 4.0 wäre halt mal geil.
Patrick: Wobei das wahrscheinlich jetzt auch wieder so ein Edge-Case ist.
Patrick: Jetzt habe ich einmal den Fall gehabt, dass ich eine Mail, eine verschlüsselte
Patrick: Mail nicht lesen konnte. Also A kriege ich ja trotzdem nicht so viele verschlüsselte
Patrick: Mails, aber irgendwie lässt mich das schon ein bisschen ratlos zurück,
Patrick: weil der Standard ist ja auch irgendwie schon ein paar Jahre alt.
Patrick: Und dass der irgendwie so schlecht unterstützt wird, finde ich halt schon ein bisschen komisch.
Claudia: Ja, ist aber nicht das einzige Thema, was wir wieder aufgreifen wollten.
Patrick: Nein, und zwar hatten wir ja bei der letzten Folge, wo es ja darum ging, dass Microsoft...
Patrick: Frecherweise einfach Daten an US-Behörden weitergegeben hat,
Patrick: hatten wir ja mal kurz das Thema Bring-Your-Own-Key angerissen. Ja, genau.
Claudia: Und dann haben wir beide ein bisschen hilflos rumgestammelt,
Claudia: weil keiner so richtig ganz genau erklären konnte.
Patrick: Wie das denn funktioniert und so weiter.
Claudia: Wie das denn funktioniert, peinlicherweise, ja.
Patrick: Genau. Das Thema wollen wir jetzt mal aufgreifen.
Claudia: Was meinen wir mit Bring Your Own Key? Also wir sprechen hier,
Claudia: ja, wie ihr wisst, ihr kennt uns, wir sprechen hier üblicherweise erst mal von der Microsoft Cloud.
Claudia: In dem Fall ging es ja auch um Microsoft, insofern finde ich das legitim.
Claudia: Bring Your Own Key bedeutet jetzt mal ganz kurz gesagt, der Kunde bringt im
Claudia: Cloud-Umfeld seinen eigenen kryptografischen Schlüssel mit. Also er erzeugt
Claudia: ihn oder importiert ihn, bringt ihn mit.
Claudia: Ist streng genommen eigentlich nur, wenn du es importierst und nicht dort erzeugst.
Claudia: Dieser Schlüssel wird dann zur Verschlüsselung der eigenen Daten verwendet.
Claudia: Wir unterscheiden hier jetzt mal zwei Arten von Keys. Und zwar einmal haben
Claudia: wir die Keys für Azure-Infrastruktur. Die nennen sie üblicherweise wirklich tatsächlich,
Claudia: das ist der Bring-Your-Own-Key.
Claudia: Und wir haben, die nennen sie nur noch Customer-Key, wenn es darum geht bei
Claudia: M365-Diensten. Das sind nicht unbedingt die gleichen Dinge.
Claudia: Standardmäßig werden die Daten bei Microsoft natürlich so oder so verschlüsselt.
Claudia: Also Data at Rest wird immer verschlüsselt.
Claudia: Aber üblicherweise im Standard mit einem Microsoft Managed Key.
Claudia: Also der Microsoft verwaltet die Verschlüsselungsschlüssel für die verschiedenen Cloud-Dienste.
Claudia: Das sind dann die sogenannten Service Managed Keys, bei denen die Kunden haben
Claudia: natürlich darauf keinen direkten Zugriff.
Claudia: Der Customer-Managed-Key oder auch CMK, der häufiger mal abgekürzt wird,
Claudia: das ist ein Überbegriff für Kundenschlüssel.
Claudia: Der Kunde kontrolliert halt auch den Lebenszyklus des Schlüssels,
Claudia: das heißt, wie wird er erstellt, wo wird er erstellt, Rotation, Löschung,
Claudia: und es ist entweder, wie ich eben schon sagte, richtiges Bring-Your-Own-Key,
Claudia: also sprich, du bringst wirklich von außen einen selbst erzeugten Schlüssel
Claudia: mit rein oder du lässt die in der Cloud generieren,
Claudia: in einem Dienst wie der Kunde. Dem Azure Keyword.
Claudia: So, in M365 haben wir üblicherweise Exchange Online, E-Mails verschlüsseln,
Claudia: SharePoint verschlüsseln.
Claudia: Teilweise kann man Teams-Chat-Inhalte mit verschlüsseln. Ich finde dieses Schlüsselwort
Claudia: teilweise ganz interessant. Ich bin mir nicht ganz sicher, wo sie da wieder
Claudia: Einschränkungen machen. Das habe ich leider nicht rausgefunden.
Patrick: Was ich mir vorstellen könnte, ist, dass die Verschlüsselung von privaten Chats
Patrick: zwischen Usern deines Tenants und auch Teams Kanälen kein Problem ist.
Patrick: Aber ich denke mir, das wird wahrscheinlich ein Problem, wenn da… Zwischen Organisationen.
Patrick: Zwischen Organisationen.
Claudia: Ah, guter Punkt. Ja, soweit hätte ich gar nicht gedacht.
Patrick: Aber das ist ja, also klar, wenn du jetzt aus deinem Tenant mir schreiben würdest,
Patrick: das wäre dann bei mir verschlüsselt, ja, aber meine Antwort wäre dann zweifelsfall
Patrick: bei dir im Tenant unverschlüsselt.
Claudia: Ja, stimmt natürlich, da hast du natürlich recht.
Claudia: Genau, Windows 365, also Cloud PC.
Claudia: Genau, da kannst du auch die VHD-Dateien mit einem Kundeneigenen Schlüssel verschlüsseln.
Claudia: Genau, dann die andere Seite, Azure Infrastructure oder Platform as a Service.
Claudia: Das ist dann dieser CMK, von dem ich eben erwähnt habe. Customer Managed Keys,
Claudia: ein bisschen anderes. Wording, im Grunde das Gleiche.
Claudia: Die meisten Azure-Dienste unterstützen da.
Claudia: Das sind unsere Azure Storage, Blobfiles, Disk Encryption, Azure SQL, Azure Cosmos DB etc.
Claudia: Die unterstützen das alles. Ja, aber warum möchte man das eigentlich machen?
Claudia: Also wir sprachen letztes Mal anhand des Beispiels darüber, dass Microsoft Daten
Claudia: herausgeben muss, eine US-Behörde über einen Kunden, einen Government-Kunde.
Claudia: Wir haben dann so lapidar gesagt, ja, hätten die mal ihre Daten mit einem eigenen
Claudia: Schlüssel verschlüsselt.
Claudia: Genau. Genau, also man möchte damit halt, ich sag mal, das Vertrauen in den
Claudia: Cloud-Anbieter wieder herstellen, sozusagen. Also das geht so in die Richtung.
Claudia: Haben wir genug Vertrauen in diesen Cloud-Anbieter oder schlägt Microsoft mal
Claudia: eine Gehaltsliste vielleicht an der nächsten Litfaßsäule an?
Claudia: Dass sie das nicht tun, ist klar,
Claudia: aber es ist eben, wie weit vertraut man Microsoft? Die Daten liegen da.
Claudia: Microsoft kann beordert werden, Daten rauszugeben durch US-Behörden,
Claudia: weil es eben ein US-Unternehmen ist.
Patrick: Ja, Verschlüsselung sollte ja eigentlich immer so,
Patrick: niederschwellig sein, dass wir einfach alles, was wir haben,
Patrick: irgendwie verschlüsselt. Also ich sage mal so, Verschlüsselung von Laptops ist
Patrick: heute eigentlich kein Thema mehr.
Patrick: Handys, auch alle verschlüsselt. Aber wir haben ja immer noch wieder die Diskussion
Patrick: auch bei Kunden, ja also wieso sollte ich denn jetzt hier die Platte von meinem
Patrick: PC verschlüsseln? Den klaut ja keiner.
Patrick: Oder so. Und ich denke mir immer, ja ist doch scheißegal. Also selbst wenn den
Patrick: Rechner keiner wegträgt, verschlüssel doch einfach die Platte.
Patrick: Es kostet dich ja nichts.
Claudia: Ja, ja, genau.
Patrick: Und gerade wenn man jetzt dann irgendwie Daten auf Rechnern oder auf Systemen
Patrick: speichert, die nicht in deiner administrativen Hoheit sind, ist ja eigentlich
Patrick: der Gedanke, dass ich diese Daten verschlüssele.
Patrick: Ich verschlüssel die Daten mit einem von mir gelieferten Key eigentlich sehr einleuchtend.
Claudia: Ja.
Claudia: Das sieht wahrscheinlich nicht jeder so, aber Datensouveränität ist ein großes
Claudia: Thema. Compliance ist für Unternehmen, werden dazu auch gezwungen.
Claudia: Unternehmen, Behörden, regulierte Branchen etc.
Claudia: Die können nicht einfach eigentlich einfach Sachen in Microsoft Cloud hochladen,
Claudia: ohne die selber zu verschlüsseln.
Claudia: Natürlich geht es auch immer noch um die Frage, welche Daten sind,
Claudia: was für Daten sind das eigentlich?
Claudia: Also wenn du da, keine Ahnung, Dinge ablegst, die wirklich streng geheim sind,
Claudia: muss man sich halt schon fragen, ob das notwendig ist, das in der Cloud abzulegen.
Claudia: Aber es ist halt wichtig für bestimmte Branchen, wenn man denn in Richtung Cloud geht.
Claudia: Das ist halt oft, gilt halt die Vorgabe regulatorisch, dass die Schlüssel zumindest
Claudia: in nationalen Grenzen oder im eigenen Besitz liegen.
Claudia: Und sobald du halt die Microsoft-Managed-Key-Server, wenn es klar sind,
Claudia: die Daten verschlüsselt, Microsoft hat diese Schlüssel, dann sind sie nicht
Claudia: mehr in nationalen Grenzen.
Claudia: Also die Key-Infrastruktur ist nicht mehr in Deutschland dafür.
Claudia: Das ist ein Problem. Ja, also Vorteil, die Verantwortung für den Schlüssel liegt beim Kunden. Nachteil?
Patrick: Verantwortung nicht beim Kunden.
Claudia: Genau. Hat natürlich auch Risiken, können wir gleich nochmal drauf.
Claudia: Aber ja, eine Zugriffsbegrenzung, unbefugte Zugriffe durch Microsoft-Tags.
Claudia: Also auch wenn du ein Case hast, da gibt es dann üblicherweise,
Claudia: wenn du Customer-Managed-Keys hast, dann gibt es dann so Verfahren,
Claudia: wie man dann zeitweise so einen Microsoft-Tag, wenn du einen Support-Fall hast,
Claudia: darauf auch zugeben kann.
Claudia: Aber das können die eben tatsächlich sonst nicht. wenn du einen Customer Manager Keys hast.
Claudia: Sie können auch dann die Daten nicht an Behörden weitergeben.
Claudia: Also sie können die weitergeben, aber die können die nicht lesen.
Claudia: Ja, und zu guter Letzt, wenn du mal keine Lust mehr hast auf Cloud.
Patrick: Dann… Key wegschmeißen, fertig.
Claudia: Genau. Wenn der Schlüssel kompromittiert ist, Key wegschmeißen, fertig.
Claudia: Klar kannst du dann die Daten nicht mehr lesen, weil das ist jetzt ein anderes Thema.
Claudia: Ja, aber… Aber du kannst auf Knopfdruck sagen, aber ja, irgendwie Microsoft
Claudia: kommt mir hier gerade komisch.
Claudia: Klack, Schlüssel gelöscht, kommt keiner mehr dran.
Patrick: Ja, zeigt natürlich aber auch dann das Problem. Du musst ja dann selber einen
Patrick: Prozess haben, wenn du mit diesen Schlüsseln umgehst.
Claudia: Ja, du musst wissen, was du tust.
Patrick: Genau.
Claudia: Definitiv.
Patrick: Da kennen wir leider genug Beispiele, dass Kunden das auch nicht immer wissen.
Patrick: Das einfachste Beispiel, was wir ja immer in dem Fall haben, ist S/MIME.
Patrick: Also dann werden halt irgendwelche Zertifikate generiert, dann sind Schlüssel
Patrick: nicht exportierbar, die liegen dann auf irgendwelchen Kisten festgenagelt.
Claudia: Und eigentlich kann meine E-Mails nicht mehr lesen.
Claudia: Ja. Das ist einfach im Vergleich zu den Geschichten, die wir hier ...
Patrick: Ja, verschlüsselte Festplatten, Self-Encrypting Drives. Die kannst du ja auch
Patrick: nicht einfach von A nach B tragen. BitLocker ist ja noch einfach,
Patrick: Recovery Key und Gutes. Aber wenn du so Self-Encrypting Drive hast ...
Claudia: Ich gestehe ja immer, es ist ja immer eine Option, wenn du, keine Ahnung,
Claudia: Server konfigurierst oder sowas. Das sind die Drives ja immer eine Option.
Claudia: Und immer wieder gucke ich da drauf und denke, nett wäre das.
Claudia: Ja, nein, traue ich mich nicht. Da gehen wir jetzt nicht hin.
Claudia: Und das von uns, die wir durchaus sehr tief in dem Thema Infrastruktur unterwegs sind.
Patrick: Du brauchst dann passende Prozesse dafür und du musst wissen,
Patrick: was du tust. Sonst hast du dir sofort die Karte gelegt.
Claudia: Genau. Ja, wenn man sich damit so beschäftigt, gibt es ja so ein paar Begrifflichkeiten.
Claudia: Die wir einmal kurz anschneiden sollten. Ich meine, HSM haben wir wahrscheinlich alle schon mal gehört.
Patrick: Hardware Security Module.
Claudia: Genau, so eine wirklich spezialisierte Hardware. Es ist eigentlich ein Chip,
Claudia: aber du hast natürlich da meistens so eine Büchse stehen.
Claudia: Die sind manipulationssicher gebaut nach FIPS 140, Level 2 oder 3. Das stellt sicher...
Claudia: Das Schlüsselmaterial niemals in Klarform das Gerät verlässt.
Patrick: Der Key liegt da, der verlässt das nicht, genau.
Claudia: Genau. Und das ist überall da eingesetzt, wo du wirklich höchste Sicherheit
Claudia: brauchst. Banken bei öffentlichen CAS, bei Cloud-Diensten für serverseitige Verschlüsselung.
Claudia: Ein HSM brauchen wir immer bei Bring Your Own Key.
Claudia: Das heißt, du brauchst einen Azure Key Vault im Premium Tier.
Claudia: Ein Standardtier kann es nicht.
Claudia: Oder du brauchst einen Azure Managed HSM.
Claudia: Und ja, das ist beides in Azure.
Claudia: Jetzt hast du natürlich die Möglichkeit, du hast zwei Möglichkeiten.
Claudia: Entweder du generierst in diesem HSM deine Keys.
Claudia: Oder aber du hast sozusagen zu Hause noch ein HSM stehen.
Claudia: Und dann kannst du über bestimmte Schnittstellen, bestimmte Tools,
Claudia: deinen Key aus deinem eigenen HSM in den Azure-HSM importieren.
Claudia: Da gibt es spezielle Tools für.
Claudia: Es gibt eine Ausnahme, da ist zwar auch ein HSM im Spiel, aber jetzt in einer ganz anderen Form.
Claudia: Das braucht nämlich dann kein Azure-Key Vault. Das ist Purview Double Key Encryption.
Claudia: Und das ist so die schärfste Variante, die du überhaupt so machen kannst.
Claudia: Und zwar basiert das auf zwei Schlüsseln. Einer davon ist der Microsoft-Managed-Key.
Claudia: Der andere ist dein Key. Und dein Key wird bereitgestellt über einen DKE-Service.
Claudia: Also du hast ja wirklich einen API-Service bei dir laufen, wo Microsoft per
Claudia: API-Request den Schlüssel aus deinem HSM sozusagen ziehen kann.
Claudia: Das ist ja, wie gesagt, wir haben noch nicht damit hantiert.
Claudia: Also wenn da jetzt Details nicht ganz richtig verstanden sind von mir, gerne korrigieren.
Claudia: Aber das scheint mir die sinnvollste Variante zu sein, wenn du wirklich,
Claudia: wirklich sicher sein willst. Ich habe jederzeit die Möglichkeit zu sagen,
Claudia: hier, ich knipse meine Seite ab, dann kann Microsoft meine Daten nicht mehr lesen. Ja.
Patrick: Aber das heißt aber auch, das normale Bring-Your-Own-Key basiert immer darauf,
Patrick: dass ich entweder ein Key Vault Premium habe oder ein Azure-Managed-HSM.
Patrick: Bring-Your-Own-Key mit einem eigenen HSM geht so gar nicht.
Claudia: Doch, doch, doch. Also du brauchst diesen Azure Key Vault, aber du kannst aus
Claudia: deinem eigenen HSM, also deinem eigenen HSM, über Tools in den Azure HSM die Keys importieren.
Claudia: Das geht schon, das ist also der importierte Key.
Patrick: Und genau, das Purview-Double-Key-Encryption ist dann nochmal die verschärfte
Patrick: Form darauf, wo es dann eben zwei Schlüssel gibt, nämlich einen von Microsoft
Patrick: und einen vom Kunden. Genau, so ist es. Okay.
Claudia: Ja, und dann, wie funktioniert das eigentlich, das Ganze mit der Verschlüsselung?
Claudia: Ja, das ist jetzt sehr, sehr, sehr technisch natürlich in einfachen Worten,
Claudia: soweit ich wieder, wie ich das verstanden habe.
Claudia: Du machst halt hier ganz klassisch Envelope Encryption, also DEK,
Claudia: KEK sind Begriffe, die da fallen.
Claudia: Das heißt, der Kunde kontrolliert einen Key-Encryption-Key, also den KEK.
Claudia: Und der wird zur Verschlüsselung eines Data-Encryption-Keys verwendet,
Claudia: der dann verwendet wird, um die eigentlichen Daten zu verschlüsseln.
Claudia: Das ist ganz logisch, ist einfach von der Logik her wahrscheinlich so ein bisschen wie bei CA's.
Claudia: Du kannst halt den Data-Encryption-Key rollieren dadurch. Das ist ja viel einfacher,
Claudia: ohne halt alle Daten neu zu verschlüsseln zu müssen.
Claudia: Aber nur wer den KEK besitzt, kann die Daten auch wieder entschlüsseln.
Patrick: Genau, dieses Konzept ist uns quasi gerade erst bei dieser ganze Secure Boot
Patrick: Debatte über den Weg gelaufen. Da geht es dann auch um Platform Keys,
Patrick: um Key Encryption Keys und so weiter.
Claudia: Ja, genau.
Claudia: Ja, was braucht man denn, wenn man das jetzt alles mal so machen will?
Claudia: Genau, ich möchte jetzt hier das für uns umsetzen. Du möchtest das jetzt machen. Oh, wacht mal ab.
Claudia: Du willst das für uns umsetzen. Ist egal, ich habe eine Firmenkreditkarte.
Claudia: Du hast eine Firmenkreditkarte. Oh, oh, oh, oh.
Claudia: Also wir brauchen ein Azure-Abonnement. Und streng genommen,
Claudia: wenn du so bei Microsoft nachliest, es wird ein zweites empfohlen.
Claudia: Es werden zwei Azure-Abonnements empfohlen, weil du deine Key-Verwaltung isoliert
Claudia: betreiben solltest, deine eigene Subscription.
Claudia: Genau, Du brauchst ein Azure Key Vault Premium.
Claudia: Standard reicht nicht aus, habe ich ja eben schon gesagt. Oder ein Azure Managed
Claudia: HSM, um dann diese Keys aber überhaupt erst nutzen zu können.
Claudia: Dann ist das schön, wenn man die dann da drin hat erstmal. Aber naja,
Claudia: für Exchange Online, SharePoint etc.
Claudia: Dafür die Infrastrukturdienste in Azure kann man den dann halt direkt nutzen.
Claudia: Das hat jetzt keine besonderen Lizenztechnischen Voraussetzungen.
Claudia: Aber für Exchange Online etc.
Claudia: Braucht es dann die Fünferlizenzen. Also E5, A5, G5, was auch immer.
Claudia: Oder als Add-on die Azure Information Protection P2.
Patrick: Finde ich ja auch schon mal eine spannende Hürde. Also wenn du deine eigenen
Patrick: Daten verschlüsseln willst, dann hält Microsoft quasi nochmal extra die Hand
Patrick: auf, weil sie sagen, die Funktionen, die du dafür brauchst, die haben wir aber nur unten rechts.
Claudia: Ja, das ist schon ein bisschen hart. Ja, so ist es.
Claudia: Der kostet Geld. Und man sollte halt gute Kenntnisse. Das ist,
Claudia: glaube ich, auch eine Voraussetzung für das Ganze.
Patrick: Ich bin ein Gradenegger-Klon. Jeder braucht einen Gradenegger.
Claudia: Großartiger Blog. Genau, ja. Und wie läuft das dann ab?
Claudia: Du generierst halt den Schlüssel, also du erzeugst den Schlüssel entweder im
Claudia: eigenen HSM, dann benutzt du spezielle Importfunktionen, um das in Azure Key Vault zu kriegen.
Claudia: Oder alternativ kann der Schlüssel halt in place im Key Vault erzeugt werden. Oder im Azure Managed HSM.
Claudia: Dann kannst du das an Dienste zuweisen. Üblicherweise sagst du,
Claudia: du nimmst einen eigenen Key pro Dienst. Also Exchange Online ist ein anderer
Claudia: Key als für SharePoint und so weiter.
Claudia: Dann, wenn du in Azure unterwegs bist, dann ordnest du halt in der Ressourceneinstellung
Claudia: den Key bei den jeweiligen Ressourcen bei den Verschlüsselungseinstellungen zu.
Claudia: So, und dann hast du natürlich so gewisse Best Practices, du solltest die regelmäßig rotieren.
Claudia: Was heißt das? Ja, der Keyword unterstützt ja auch so eine Schlüsselversionierung.
Claudia: Das heißt, du kannst sagen, der alte Schlüssel ist halt noch gültig,
Claudia: neue Daten werden mit der neuen Version verschlüsselt, alte Daten können aber
Claudia: noch entschlüsselt werden mit der alten Version.
Claudia: Und beim Speichern mit der neuen Version verschlüsselt werden. Und so weiter.
Claudia: Genau. Du kannst natürlich selbstverständlich jederzeit die Keys Azure Key Vault wieder rufen.
Claudia: Also wenn du halt, wie ich eben sagte, DKE machst, dann machst du es ja im eigenen HSM.
Claudia: Aber denkbar wäre das halt bei einer Schlüsselkompromittierung eine logische
Claudia: Konsequenz. Die Daten kriegst du dann halt auch nicht mehr entschlüsselt.
Claudia: Das heißt, dient halt der Sicherheit.
Claudia: Ist aber auch gleichzeitig ein Risiko, Weil ich möchte mal behaupten,
Claudia: was man absichtlich machen kann, kann man auch unabsichtlich machen.
Claudia: Ja, und das Ganze, warum? Microsoft kann ja die Daten nicht lesen.
Claudia: Richtig? So, als Hintergedanke.
Patrick: Ja, das klingt nach einem Aber.
Claudia: Ja, lass doch mal drüber nachdenken. Lass doch da mal drüber nachdenken.
Claudia: Wenn Microsoft die Daten nicht lesen könnte, dann könntest du auch kein Teams benutzen.
Claudia: Der Service Exchange Online kann ja die Daten darunter dennoch lesen.
Claudia: Das heißt, Der Dienst hat die Möglichkeit, das zu entschlüsseln.
Claudia: Das heißt jetzt mal kurz gesagt, Microsoft-Dienste müssen den Zugriff auf den
Claudia: Key Vault haben, damit Daten zur Laufzeit fair und entschlüsselt werden können.
Claudia: Das heißt, Microsoft also grundsätzlich ohne den Kundenschlüssel keinen Zugriff, aber,
Claudia: solange der Schlüssel aktiv ist, haben die Dienste den Zugriff da drauf.
Claudia: Die Microsoft-Dienste haben den Zugriff auf die Daten.
Patrick: Ja, natürlich Ja.
Claudia: Wenn man es jetzt ganz streng nimmt.
Patrick: Ja, okay, aber ja, aber lässt sich auch nicht verhindern.
Claudia: Das lässt sich nicht verhindern, nein. Ich glaube, es sind die Daten at rest
Claudia: verschlüsselt, das heißt, man darf sich aber auch nicht vorstellen,
Claudia: dass die da irgendwo so eine große VHDX haben, wo deine,
Claudia: weißt du was ich meine, wo deine Sharepoint-Daten draufliegen und dann kopieren
Claudia: die einfach diese VHDX weg und können dann die Daten nicht lesen.
Claudia: Ja, maybe, aber so funktioniert das ja nicht.
Claudia: Microsoft Daten über dich herausgeben will, dann gehen sie ja den Weg über ihre
Claudia: Dienste, logischerweise.
Claudia: Insofern, du hast aber trotzdem, der Vorteil ist dennoch die Souveränität,
Claudia: die du dann hast und sagst so, und jetzt nicht mehr, indem du den Schlüssel ungültig machst.
Claudia: Zu dem Preis, dass du selber deine Daten auch nicht mehr lesen kannst.
Claudia: Genau, deswegen weiß ich nicht.
Claudia: Gut, dann lass mal hier in Purview, wenn du DKE benutzt, Was du vorhin sagst,
Claudia: zwei Schlüsse, einer bei dir, einer bei Microsoft.
Claudia: Das ist eine Variante, die da besser funktioniert,
Claudia: weil Microsoft da ja gar keine Chance hat, an den Kundenteil ranzukommen.
Claudia: Weil da liegen ja auch die Keys nicht in einem Stück Azure-Infrastruktur,
Claudia: nämlich dem Azure-Key Vault.
Patrick: Ja.
Claudia: Das heißt, da muss man sich schon sehr, sehr, sehr genau Gedanken darüber machen.
Claudia: Es ist ein HSM. Klar kommen die nicht so ohne weiteres an die Keys dran,
Claudia: aber dieser HSM läuft auf der Infrastruktur von Microsoft und mhm, mhm, mhm.
Claudia: Ich will da nicht paranoid klingen oder Paranoia schaffen, aber die einzige
Claudia: Variante, wo du wirklich sagen kannst, so und jetzt hier, da mache ich an meinem
Claudia: HSM, lege ich einen Schalter um und damit kann Microsoft dann nicht mehr dran.
Claudia: Das ist halt die Variante mit dem DKE, weil der Schlüssel wirklich bei dir zu
Claudia: Hause in einem HSM liegt.
Patrick: Ja gut, aber am Ende des Tages, solange ich nicht sage, jetzt nicht mehr,
Patrick: auch bei DKE, wenn Microsoft über die ganz normalen Exchange-Dienste die Daten
Patrick: abschnorchelt, machst du auch da nichts.
Claudia: So verstehe ich das alles. Also wenn mich da jemand korrigieren kann draußen,
Claudia: dann wäre ich ja beruhigt, aber am Ende des Tages.
Patrick: Weil ich gehe jetzt ja mal nicht davon aus, das ist ja nicht so,
Patrick: dass Microsoft da irgendwelche IML-Dateien anfängt zu exportieren.
Claudia: Wahrscheinlich nicht.
Patrick: Ja, das klingt aber dann doch ja alles eher so ein bisschen nach Feigenblatt.
Patrick: Also wann lohnt sich denn dann überhaupt das Thema Bring Your Own Key?
Claudia: Ja gut,
Claudia: wenn die Datenschütze im Unternehmen zu mächtig sind. Nein, blödsinnig.
Claudia: Ja klar, du hast Unternehmen, wo es Pflicht ist, weil es halt eine gesetzliche
Claudia: Compliance-Anforderung ist. Ja, da kannst du nichts anderes machen.
Claudia: Dass es am Ende vielleicht bedingt ein Feigenblatt ist, sei dahingestellt.
Claudia: Ja, jetzt,
Claudia: hilft das, das dem Kunden schmackhaft zu machen? Weiß ich nicht.
Claudia: Aber wir haben ja häufiger schon mal jetzt gerade erst mit einem kleineren neuen
Claudia: Kunden Unterhaltung geführt.
Claudia: Ja, aber ich hätte, das war ganz schnuffig, der Kunde hat seinen Server im Keller
Claudia: immer die Keller Cloud genannt,
Claudia: und sagt, ja, wenn die Sachen hier in der Keller Cloud sind,
Claudia: ja, dann weiß ich ja, wer darauf Zugriff hat.
Claudia: Und wenn Microsoft mal gehackt wird, ja, also was sagt man dem Kunden?
Claudia: Er hatte halt einfach Vorbehalte, Daten in die Cloud zu legen und trotzdem wäre
Claudia: mir nicht in den Sinn zu kommen, zu sagen, ja, das ist gar kein Problem,
Claudia: wir können ihn eigentlich Kies erzeugen.
Claudia: Aus dem ganz einfachen Grund, weil wir den Kunden garantiert keine E5 verkaufen könnten.
Claudia: Und das ist halt schade. Das heißt, das ist eine Sache, mit nur wenigen Kunden
Claudia: kannst du da die Cloud schmackhaft machen bei den Preisen.
Patrick: Ja, und ich glaube, dann ist es auch eher, ich glaube, dann ist auch das Thema
Patrick: Bring Your Own Key eher so ein Checkmark-Feature, so ein Checkbox-Feature,
Patrick: wo du sagen kannst, ja, haben wir halt gemacht.
Patrick: Ob das funktioniert, ob das sinnvoll ist, ja, nein, ist egal, aber wir haben getan, was wir tun können.
Patrick: Ja, am Ende des Tages muss man den Leuten halt sagen, Datensouveränität bekommst
Patrick: du halt auch nur dann, wenn du die darunterliegende Infrastruktur in den eigenen
Patrick: Händen hast. Sobald das nicht mehr deine Infrastruktur ist.
Patrick: Gibt es eigentlich keinen vernünftigen Weg. Ich meine, klar kann man da mit
Patrick: Encryption rumhantieren. Ich meine, ich mache das ja bei mir auch.
Patrick: Also vielleicht ein blödes Beispiel, aber die Backups, die ich halt irgendwo
Patrick: anders in so lustigen S3 Bucket reinschiebe, ja klar, die habe ich verschlüsselt
Patrick: mit einem Key, der bei mir liegt.
Patrick: Das heißt, die Daten landen verschlüsselt auf der anderen Seite.
Patrick: Das heißt, ein wie auch immer gearteter Angreifer kann da zwar Dateien runter,
Patrick: aber die kann er halt nicht extrahieren.
Patrick: Wenn einer mein NAS zu Hause hops nimmt, dann sieht die Welt wieder anders
Patrick: aus, weil dann hat er im Zweifelsfall der Zugriff wieder auf den Schlüssel.
Patrick: Das Gleiche ist, wenn ich halt irgendwelche Daten in den S3-Bucket hochlade,
Patrick: die jetzt nicht per se schon verschlüsselt sind, sondern über S3-Mittel verschlüsselt,
Patrick: ja klar, da liefere ich natürlich ein Key mit.
Patrick: Das heißt auch da wieder die Daten selber, die sind ja dann verschlüsselt, aber der Key ist bei mir.
Patrick: Und es ist ja nicht so, wie da jetzt bei Microsoft, wo Dienste in der Infrastruktur
Patrick: laufen, die den Key lesen müssen, damit sie funktionieren.
Claudia: Ja. Also während ich das alles so mehr durchgelesen habe, hat mich das Gefühl beschlichen,
Claudia: Ich weiß nicht, ob es das wert ist. Also was ich meine, das Risiko.
Patrick: Ja, klar, weil Verschlüsselung birgt ja immer das Risiko. Ich meine,
Patrick: wir alle kennen die Horror-Stories von, oh, ich habe meinen Bitlocker-Key hier verloren.
Patrick: Ich meine, auch da ist Microsoft ja hingegangen. Das war ja auch so eine lustige Nummer.
Patrick: Wenn du so ein Windows 11 verschlüsselst, ja heute schneidest du mit Bitlocker
Patrick: die Platte und der Key wird dann einfach in dein Live-Konto hochgeladen und
Patrick: liegt dann davor und Microsoft kann darauf zugreifen. Ja, super Sache.
Patrick: Ist dann auch schon wieder Kacke.
Patrick: Ja, ich verstehe das, aber ich weiß gar nicht, wo ich das gelesen hatte.
Patrick: Vor einiger Zeit rannte auch so ein Artikel an mir vorbei.
Patrick: Da ging es darum, es gibt ja so eine FedRAMP-Zertifizierung für Clouds.
Patrick: Das ist so irgendwie so eine Zertifizierung für Citrix und Microsoft und AWS.
Patrick: Wenn sie die bestehen, dann dürfen halt US-Behörden da ihre Daten bunkern.
Patrick: Und im Rahmen von dieser FedRAMP-Authentifizierung oder Zertifizierung ist dann
Patrick: so rausgekommen, dass Microsoft diesen ganzen Azure und O365-Krempel A selber
Patrick: nicht wirklich versteht, nicht wirklich gut dokumentiert und das Ganze.
Patrick: Also irgendein Auditor nannte es mal ein pile of shit.
Patrick: Also Microsoft war auch nicht in der Lage, irgendwelche Unterlagen zu liefern
Patrick: und hin und her. Und ja, das passt halt hier voll ins Bild.
Patrick: Ja, ja.
Claudia: Fazit, wenn du ein Muster machst, aber...
Patrick: Ja, Verschlüsselung falsch machen ist halt scheiße.
Claudia: Ja.
Patrick: Weißt du, wer das auch bitter erfahren musste?
Claudia: Boah, wer denn diese Woche?
Patrick: Pass auf. Denk mal an, pass auf.
Patrick: Checkpoint Palo Alto Fortinet. Einer von den dreien Rate.
Claudia: Fortinet.
Patrick: Ach, wo kommst du denn darauf?
Patrick: Ja, tatsächlich ganz frisch rausgekommen. FortiBleed. 75.000 kompromittierte
Patrick: Fortinet-Firewalls weltweit.
Patrick: So, was ist passiert? Und lustigerweise ist das gar keine, ja,
Patrick: es ist jetzt gar keine lustige neue Zero-Day oder so, sondern es ist eine Migrationslücke.
Patrick: Eine Angreifergruppe hat mal Forti-Gate-Config-Files mit Password-Hashes extrahiert,
Patrick: und hat ein Loophole gefunden, diese Offlines zu cracken und damit funktionierende
Patrick: Admin- und VPN-Zugangsdaten zu rund 75.000 Firewalls in hunderten verschiedenen Ländern auszugraben.
Patrick: Und es gibt eine vorsichtige Schätzung von Security-Researchern,
Patrick: die sagen ja, das ist ungefähr die Hälfte aller weltweit ans Internet angebundener Fortinet-Firewalls.
Claudia: Ups.
Patrick: Geil.
Patrick: Also, ein bisschen zur Chronologie.
Patrick: Juni 26, also jetzt, hat der Sicherheitsforscher Volodymyr,
Patrick: Diachenko, hat in einem offen oder auf einem offenen Internet erreichbaren Server
Patrick: augenscheinlich valide Fortinet-VPN-Zugangsdaten gefunden.
Patrick: Also Username, E-Mail-Adressen, Klartext-Kennwörter und hat dazu ein bisschen
Patrick: was auf Business-Tinder gepostet.
Patrick: Parallel dazu hat SOCRadar ein Operationsserver eines Akteurs mit Tools,
Patrick: Automatisierungsinfrastruktur und einer Opferliste gefunden.
Patrick: Erste Zählung 30.791 verifizierte Zugangsdaten.
Patrick: Der gute Kevin Beaumont, also DoublePulsar, erhält einen Datensatz über Hudson
Patrick: Rock zur Analyse und verifiziert Zugangsdaten durch eigene Logins und stellt
Patrick: fest, ja, scheiße, die sind echt und aktuell.
Patrick: Der hat dann die Auswertung ein bisschen vertieft und sagt dann,
Patrick: ja, so am Ende habe ich hier irgendwie 73.932,
Patrick: Eindeutige Firewall-URLs, 194 Länder, 21.632 betroffene Domains, also rund 75.000 Geräte,
Patrick: und wahrscheinlich ungefähr die Hälfte aller internetseitig erreichbaren Fortinet-Firewalls,
Patrick: so basierend auf Shodan-Daten.
Patrick: Bestätigte vollständige Netzwerkkompromittierung in Japan, Taiwan,
Patrick: Vietnam, Irak, in der Türkei, darunter ein türkischer NATO-Rüstungszulieferer,
Patrick: bei dem wohl auch vertrauliche Verteidigungsdokumente abgezogen wurden,
Patrick: unter den in der Datenbank identifizierten Organisationen Foxconn,
Patrick: Samsung, Comcast, Siemens, Lenovo, PwC,
Patrick: Accenture, Oracle, Chevron, FedEx und noch ein paar tausend andere Behörden,
Patrick: Betreiber kritischer Infrastruktur und so weiter.
Claudia: Das ist böse.
Patrick: Pass auf, Fortinet bestreitet einen Bezug zu einem aktuellen Incident oder Advisory
Patrick: und spricht von einem Resharing älterer Daten sowie von Credential Bruteforcing.
Patrick: Sicherheitsforscher widersprechen dem Ganzen.
Patrick: Jetzt müssen wir uns mal die technischen Details mal ein bisschen angucken,
Patrick: weil das ist kein klassischer Zero-Day, denn auf den betroffenen Geräten war
Patrick: größtenteils ein aktueller Patchstand installiert.
Patrick: Die eigentliche Schwachstelle liegt, wie die Zugangsdaten abgesichert waren.
Patrick: Nicht in fehlenden Updates. Anfang 25 hatte Fortinet.
Patrick: Auf einen deutlich robusteren Password-Hashing-Algorithmus umgestellt.
Patrick: Also das waren die FortiOS-Versionen 7.2.11, 7.4.8, 7.6.1, der PBKDF2.
Patrick: Damit wurden dann die Zugangsdaten entsprechend verschlüsselt und dieses Verfahren
Patrick: ist halt gegen Offline-Brute-Force-Attacken deutlich resistenter als das vorhergegangene Verfahren.
Patrick: Das Problem ist, damit dieser Hash verwendet wurde, musste man sich aber dann
Patrick: mit den jeweiligen Daten nach dem Firmware-Update einmal einloggen.
Patrick: Passiert das nicht? Bleiben die Zugangsdaten im älteren SHA-256,
Patrick: also mit Salting-Format.
Patrick: Und das war wohl in vielen dieser Umgebungen schlicht der Fall.
Claudia: Ja gut, wenn ich denke, die meisten Firewalls sind bei uns inzwischen auch so gestrickt.
Claudia: Der Admin kommt irgendwo in den Giftschrank und dann kommen da personalisierte Admins drauf.
Patrick: Ja, richtig. Und der Angriffsweg, also da wurde dann halt nach,
Patrick: öffentlich erreichbaren Management-Interfaces gesucht und wurde halt über eine
Patrick: ältere Lücke wurden halt mal Gerätekonfigurationen extrahiert und anschließend
Patrick: wurden einfach die Hashes dann gecrackt.
Patrick: Und der gute Bob, also der eingangs erwähnte Sicherheitsresearcher sagte,
Patrick: ja, ein Cluster 45 GPUs und gib ihm. Das war wohl jetzt wohl kein Riesending.
Patrick: Es wurden auch SSL-VPN-Authentifizierungshashes wohl erbeutet und gecrackt.
Patrick: Und nach erfolgreichem Login mit diesen Zugangsdaten gab es wohl in vielen Fällen
Patrick: dann auch gezieltes Eindringen in interne AD-Struktur, dauerhafte Etablierung
Patrick: von Access, also das typische Backdoor-User, Änderung von Sicherheitsrichtlinien etc.
Patrick: Also das typische Initial Access. Also wenn man einmal drin ist,
Patrick: dann hält man sich den Weg halt offen.
Patrick: Und naja, offen bleibt immer noch die Frage, wie halt diese Konfigurationsdateien
Patrick: überhaupt abgeflossen sind.
Patrick: Ob das über bekannte CVEs, also es gab da mal ein Problem, worüber halt dann
Patrick: Configs abgezogen werden konnten oder ob das über einen neuen Weg.
Patrick: Ob die Daten über einen neuen Weg erbeutet wurden, das konnten halt die Forscher nicht sagen.
Patrick: Was wohl interessant und sehr auffällig ist, ist, dass die Datensätze zusätzlich,
Patrick: durchaus Informationen enthalten haben, wie Branche, Umsatz,
Patrick: Mitarbeiteranzahl und Land.
Patrick: Und das ist halt ein ganz typisches Zeichen. Naja, das war Cybercrime-Business.
Patrick: Dieses klassische Initial Access. Du kannst dir dann halt deinen Datensatz zusammenkaufen
Patrick: mit, ich möchte jetzt hier gerne, keine Ahnung, Unternehmen dieser Branche haben.
Patrick: Ich brauche Unternehmen mit diesen Merkmalen, bla bla bla. Und dann kriegst
Patrick: du halt von so einem Initial Access Broker einfach die Daten geliefert.
Patrick: Attribution vielleicht noch ganz interessant. Also das ist auch vorläufig und
Patrick: mit Vorsicht zu genießen. Das ist laut SOCRadar.
Patrick: Das Tooling und das Targeting deuten auf russischsprachige Akteure hin.
Patrick: Das muss man auch abgrenzen. Es gab mal einen ähnlich gelagerten Fall aus 2025 mit der Belsen Group.
Patrick: Da betraf das Ganze 15.000 Geräte und es basierte auf einem alten Zero Day aus 2022. Ja.
Patrick: FortiBleed, so nennt sich das Ganze jetzt, betrifft dagegen aktive und aktuelle
Patrick: Zugangsdaten. Das ist wirklich alles tagesaktuell.
Patrick: Ja, wie ordnen wir das Ganze denn jetzt mal ein? Also nicht jede große,
Patrick: neue, großflächige Kampagne, Komplettierung braucht halt ein Zero-Day.
Patrick: Im Zweifelsfall reicht es halt, wenn Daten einmal abgeflossen sind,
Patrick: auch wenn man dann sagt, ja, hey, Kennwörter sind doch verschlüsselt.
Patrick: Du kannst halt nie verhindern, dass es da möglicherweise dann vielleicht auch
Patrick: Jahre später einen Weg gibt, diese Daten halt erneut zu bearbeiten und auszuwerten.
Patrick: Patch-Stand alleine hilft dir in dem Fall auch nicht.
Patrick: Also selbst wenn deine Box aktuell war, wenn du halt User hast auf der Kiste,
Patrick: die du dann vielleicht nicht nochmal für ein Login verwendet hast,
Patrick: wurde das Kennwort halt nicht umgestellt, bist du halt gearscht.
Patrick: Und das heißt zum Beispiel auch, da wäre es zum Beispiel interessant,
Patrick: und das habe ich jetzt ehrlich gesagt auch gar nicht mal nachvollzogen,
Patrick: stand zum Beispiel in den Release Notes zu diesen Versionen drin, hey, wenn ihr,
Patrick: dieses Update installiert, Müsst ihr euch einmal mit allen Usern neu einloggen,
Patrick: sonst wird dieser neue Algorithmus nicht verwendet. Wenn es da drin stand, Pech gehabt.
Patrick: Dann hätte das halt auf irgendeiner Checkliste stehen müssen und dumm gelaufen.
Patrick: Grundsätzlich Management Interfaces gehöre nicht ins Internet.
Patrick: Ich weiß nicht, wie oft ich das immer noch sagen muss und ich verstehe auch
Patrick: nicht, dass das immer noch ein Thema heute ist.
Patrick: Es geht mir echt nicht in meinen Hackschädel rein. Auch, dass man zum Beispiel
Patrick: Admin- und VPN-Zugänge verfickt nochmal mit einer MFA abzusichern hat.
Claudia: Ja, sollte ein No-Brainer sein.
Patrick: Das ist ein No-Brainer, aber scheint immer noch ein Problem zu sein.
Patrick: Gut, was muss man jetzt Kunden mit FortiGate Firewalls empfehlen oder sagen?
Patrick: Naja, guckt erstmal, also wenn ihr Management-Interfaces im Internet habt,
Patrick: scheiß Idee, dann müsst ihr da als allererstes mal dran, sämtliche Zugänge,
Patrick: Credentials für Admin, für VPN einmal durchrotieren,
Patrick: mit allen Usern einmal neu einloggen, auch um sicherzustellen,
Patrick: dass dieser neue Algorithmus dann auch genutzt werden kann, dieser PBKDF2 und
Patrick: naja, grundsätzlich Assume Breach.
Patrick: Geht einfach mal davon aus, wenn ihr eine FortiGate habt, die Internet-Facing
Patrick: ist, wo ihr mehrere User drauf habt und ihr nicht sichergestellt habt,
Patrick: dass jeder dieser User sich einmal eingeloggt hat,
Patrick: dann geht davon aus, dass ihr hops genommen wurdet.
Patrick: Ist so. Tut mir total leid, aber ist so.
Claudia: Hast du einen Ärger?
Patrick: Was machst du da?
Claudia: Ich verstehe das nicht. Also das mit den Management-Interfaces.
Patrick: Naja, jetzt muss man ja fairerweise sagen, auch wir haben Installationen,
Patrick: wo wir Management-Interfaces ins Internet exposen.
Claudia: Aber. Für bestimmte IP-Adressen. Also, wenn der Zugriff von bestimmten Public-IPs kommt.
Claudia: Aber doch nicht einfach so.
Patrick: Genau, nicht für alles.
Claudia: Nee.
Claudia: Da fällt mir kein guter Grund ein. Also ich weiß nicht, vielleicht muss mir das jemand erklären.
Claudia: Vielleicht gibt es da Gründe, die ich nicht kenne.
Patrick: Ja, und weil es so schön ist, gibt es noch einen lustigen CVE,
Patrick: der ist auch heute rausgekommen. Wir haben eine weitere Local Privilege Escalation.
Claudia: Ach ja, PinTheft, ne? Genau, PinTheft. Ja, auch gelesen.
Patrick: Worum geht es? Schwachstelle im Linux-Kernel. Wer hätte es gedacht?
Patrick: Wo sich halt mit relativ einfachen Mitteln, sobald ich lokalen Zugriff habe,
Patrick: kann ich mir halt eine Local Privilege Escalation ausnutzen.
Patrick: Interessant hierbei, das System muss sogenanntes RDS, Reliable Datagram Sockets, verwenden.
Patrick: Das ist typischerweise HPC-Cluster, Oracle RAC.
Patrick: Die nutzen sowas. Also der normale Server-Webhosting-Standard-Infrastruktur
Patrick: ist das Risiko eher gering, weil das betroffene Kernel-Modul da gar nicht geladen ist.
Patrick: Bis in Chronologie, Anfang Mai gab es einen Fix für den zugrunde liegenden Kernel-Fehler,
Patrick: der ging an die zuständige Entwickler-Mailing-Liste.
Patrick: 19.05., also heute, ne? Nee. Entschuldigung, 19.05. Heute vor einem Monat.
Patrick: Ging das Ganze dann halt an die Öffentlichkeit. Es gab ein Proof of Concept,
Patrick: ein Exploit und so weiter.
Patrick: Und am 21.05. ist das Ganze in der NVD-Datenbank unter dem CVE-2026-43494 veröffentlicht.
Patrick: Ubuntu hat zum Beispiel am gleichen Tag noch eine eigene Risikoabschätzung veröffentlicht
Patrick: und weitere Distributionen und Anbieter, CloudLinux, KernelCare,
Patrick: haben dann mal geguckt, ob,
Patrick: Systeme betroffen sind und wie viele Standardkonfigurationen betroffen sein
Patrick: können. Aber da kam schon so raus, ja, das ist nicht viel.
Patrick: Der Fehler selber steckt in diesem RDS, also in diesem Reliable Datagram Sockets.
Patrick: Und naja, es ist jetzt nicht ganz so vergleichbar mit Copy-Fail oder Dirty-Frag,
Patrick: dass es ein bisschen anders gelagert ist.
Patrick: Der Angriff selber funktioniert nur dann, wenn halt mehrere Voraussetzungen erfüllt sind.
Patrick: Also RDS muss aktiviert sein, io_uring muss aktiviert sein und es braucht eine
Patrick: passende SUID-Binary in dem System.
Patrick: Und sobald halt eine Sache davon nicht erfüllt ist, funktioniert das Ganze schon nicht.
Patrick: Und da die allermeisten Server halt draußen gar kein RDS aktiviert haben,
Patrick: zieht das halt auch nicht. Das führte zum Beispiel dazu, dass Ubuntu relativ
Patrick: schnell gesagt hat, ja, okay, das ist jetzt halt so, das ist nicht geil,
Patrick: aber da brennt jetzt nicht die Welt.
Claudia: Ja, ich glaube, das war auch jetzt eine 7,8 oder sowas, wenn ich mich nicht
Claudia: täusche, habe ich gelesen, aber gut, wenn die dann auf einer Handvoll Systeme
Claudia: auf der Welt überhaupt nutzbar ist.
Patrick: Was jetzt dann noch ganz interessant ist, ist halt, dass PinTheft halt tatsächlich,
Patrick: also zumindest gibt es ein interessantes zeitliches Zusammenfall.
Claudia: Ja.
Patrick: Also innerhalb von drei Wochen sind dann halt vier Lücken bekannt geworden,
Patrick: nämlich Copy Fail, das war Ende April, Dirty Frag Anfang Mai,
Patrick: Fragnesia war Mitte Mai und PinTheft Ende Mai.
Patrick: Bei allen Vieren ließen sich im Speicher gehaltene Programmkopien austauschen
Patrick: und dann halt entsprechend darüber war dann der Exploit möglich und dadurch, dass halt,
Patrick: die Programmkopie im Speicher bearbeitet wurde, gab es halt gar nicht erst,
Patrick: musste halt auf der Platte selber gar nichts manipuliert werden.
Patrick: Technisch ist es aber tatsächlich so, dass diese unterschiedlichen.
Patrick: Die Lücken unterschiedliche Fehler in unterschiedlichen Kernelbereichen nutzen.
Patrick: Also es gibt da keine gemeinsame Ursache.
Patrick: Auffällig bleibt halt das Tempo. Also binnen drei Wochen vier solche Klöpse, das ist schon spannend.
Patrick: Ja, und das deutet schon halt darauf hin, dass halt auch gezielt nach entsprechenden
Patrick: Mustern, also auch wahrscheinlich da mit Hilfe von KI, entsprechend gesucht wurde.
Patrick: Und tatsächlich ist es so, dass PinTheft von allen vier Lücken so die mit Abstand
Patrick: kleinste praktische Reichweite hat.
Patrick: Nur lokal ausnutzbar heißt natürlich nicht, dass es harmlos ist,
Patrick: also gerade so Cloud-Container-Umgebung. Da kann man halt schon mal ausbrechen.
Patrick: Ein Kernel-Update, reicht im Zweifelsfall eben nicht aus, also zumindest nicht
Patrick: alleine, wenn eine im Speicher gehaltene Kopie bereits manipuliert wurde.
Patrick: Da muss man dann halt Page Cache löschen. Ja, gehst du mal neu starten vielleicht nach Kernel-Update.
Claudia: Sollte man eh.
Patrick: Und die Einschätzungen der entsprechenden Distribution sind oft aussagekräftiger
Patrick: als die nackte CVE-Meldung.
Patrick: Muss man ganz klar sagen. Also CVE Die klangen ja schon wieder so,
Patrick: oh mein Gott, alles brennt.
Claudia: Ja, das ist wahr.
Patrick: Aber es ist halt nicht so. Mhm.
Patrick: Da muss man aber ein bisschen locker durch die Hose atmen. Ich habe es jetzt
Patrick: heute halt mal mit reingenommen, weil es ist mir heute über den Weg gelaufen.
Patrick: Aber ja, so bei Copy-Fail, Dirty-Frag, dachte man auch so, oh mein Gott.
Patrick: Und nachdem Aruba sich ja immer noch nicht in der Lage gesehen hat,
Patrick: also gefixte AOS-CX Releases rauszuhauen.
Claudia: Ja, ich warte aber auch immer noch auf die Nutanix AOS 7.5.1, die angekündigt
Claudia: war oder seit 13. Mai draußen sein sollte. Ich weiß, wie bei keinem Kunden bisher
Claudia: angekündigt. Ich auch nicht.
Patrick: Also ist schon lustig, ne?
Claudia: Ja, und auch AOS-CX sollte erste, nee, erste Juni-Hälfte ist rum. Ja, so sad.
Patrick: Guck mal, ist aber... Nix ist Verlass.
Patrick: Doch, was mit Holz und kleinen Tierchen.
Claudia: Doch, auf uns ist Verlass.
Patrick: Ja, auf uns ist Verlass. Wir liefern.
Patrick: Ja, mit Blick auf die Uhr würde ich fast sagen, ist das eine runde Sache hier?
Claudia: Denke schon.
Patrick: Jetzt betteln wir nochmal um Fünf-Sterne-Bewertungen.
Claudia: Das Übliche.
Patrick: Bei iTunes und Spotify und so weiter auf den Plattformen eurer Wahl.
Patrick: Wenn ihr das Sticker haben wollt, dann einfach mal in den Shownotes gucken. Da gibt es eine Adresse.
Patrick: Da schickt ihr mal einen in euch frankierten Rückumschlag hin und dann tun wir das Sticker rein.
Claudia: Machen wir.
Patrick: In diesem Sinne würde ich sagen, bis ganz bald.
Patrick: Ich kriege jetzt wahrscheinlich für das Programmier-Minion noch auf die Nase.
Patrick: Aber ist ja ein Podcast. Ihr müsst ja da mein blaues Auge nicht sehen.
Claudia: Genau.
Patrick: In diesem Sinne, bis dann. Tschüss.