Wartungsfenster

Wartungsfenster

Wir starten erstmal und machen das später schön.

Transkript

Zurück zur Episode

Patrick: Hallo und herzlich willkommen zum Wartungsfenster Folge 82 vom 19.06.2026 mit

Patrick: mir dabei mein Programmier-Minion.

Claudia: Die Claudia.

Patrick: Und ich bin der Patrick. Moin moin.

Claudia: Das hast du jetzt nicht gesagt.

Patrick: Ich habe lange überlegt, ob ich den Joke bringe und eigentlich hatte ich auch

Patrick: vor, ein passendes Intro vorzubereiten, wo ich dann ein paar Sound-Schnipsel

Patrick: von den Minions einspiele, aber nein, das kann ich dir nicht machen.

Patrick: Aber du hast ja das letzte Mal schon. Wahrscheinlich kriege ich gleich nach

Patrick: dem Podcast wieder die Hucke voll oder so.

Claudia: Ja, solange mein Lohn mehr ist als Bananen. Das ist okay.

Patrick: Ja, ja, doch, doch, doch. Wobei tatsächlich, du hast ja unser, also,

Patrick: die Frau Kollegin hat ein kleines internes Tool nochmal angefangen umzuschreiben.

Patrick: Und wir alle kennen ja diesen Satz, Legacy verdient das Geld.

Patrick: Und ich befürchte, wenn wir beide hier irgendwann mal vom Hof reiten,

Patrick: hinterlassen wir hier auch so einen schlecht dokumentierten Blob,

Patrick: von dem der ganze Profil sowas von abhängig ist und keiner weiß,

Patrick: wie das alles zusammengearbeitet.

Claudia: Zusammengestrickt ist. Ach, Dokumentation, Dokumentation ist doch viel besser,

Claudia: wenn die Leute verstehen, was sie da vor sich haben. Sonst müssen sie eh die Finger davon laschen.

Patrick: Ja, wir könnten ja, wenn wir das mal irgendwann fertig haben,

Patrick: dann können wir ja mal, da machen wir mal irgendwie entweder Twitch-Stream oder

Patrick: so und dann laden wir mal die geneigte Software-Developer-Podcast-Rieger ein, uns dafür zu verreißen.

Claudia: Ja, ja, ja, alles gut. Ich bin kein Software-Entwickler. Irgendwie laufen die

Claudia: Sachen, die ich baue, halt irgendwie zufällig.

Patrick: Ich sag's nur, Tab Heinzelmann 3000, ja, wir können uns kein Leben mehr ohne ihn vorstellen.

Patrick: Es ist so. Dein Feature-Request habe ich übrigens zur Kenntnis genommen,

Patrick: das werde ich natürlich einbauen.

Claudia: Dankeschön.

Patrick: Und ansonsten auch noch mal Werbung, Tab Heinzelmann 3000, das ist das Tab-Management-Tool,

Patrick: was ihr alle braucht. Also insbesondere Leute wie ich, die 259 offene Tabs in ihrem Edge haben.

Claudia: 259 schafft mein Notebook nicht. Also meins fängt an bei ich hab jetzt 74 offen,

Claudia: das geht grad noch so. gerade noch so.

Patrick: Okay, du hast doch auch ein flammenneues Teil.

Claudia: Ach so, vielleicht ist es, weil

Claudia: im Hintergrund bei mir immer Visual Studio mitläuft. Kann natürlich sein.

Patrick: Ist das nicht immer so diese Software-Developer-Sache so? Irgendwie ist mein

Patrick: Notebook so langsam, oh, im Hintergrund irgendwie 85 Container offen.

Patrick: Vielleicht sollte ich mal davon ein paar zumachen.

Claudia: Ja, das ist schon ganz schön hungrig, Visual Studio.

Patrick: Warum eigentlich? Ist das auch irgendwie Elektron-App?

Claudia: Soll ich mal nachgucken?

Patrick: Das ist bestimmt Elektron.

Claudia: Ist ja auch egal. Ich weiß es nicht.

Patrick: Ich weiß nicht, ob es der JavaScript-Entwickler war oder der Mensch,

Patrick: der NPM erfundet. Einer von den beiden hat sich dafür mal entschuldigt, öffentlich.

Claudia: Der Mensch, der JavaScript erfunden hat, wahrscheinlich. Ich meine,

Claudia: irgendwie sowas gehört zu haben. Ich glaube, der hat nicht geahnt, was er damit lostritt.

Patrick: Du Gottes Willen, ey. Das ist wohl so.

Claudia: Nee, finde ich jetzt nicht raus. Ist egal.

Patrick: Ist egal. Auf jeden Fall ist es sehr speicherhungrig. Ja, wir versuchen an unserem

Patrick: Zwei-Wochen-Rhythmus festzuhalten.

Patrick: Wir haben ja Besserung gelobt.

Claudia: Ja, dafür hast du aber auch gut am Workflow geschraubt.

Patrick: Genau, wir haben die lange Pause kreativ genutzt und haben ein bisschen mal

Patrick: in unserem Aufnahme-Workflow rumgeschraubt.

Patrick: Interessanterweise habe ich ja immer gedacht, als ich mit dem Podcast angefangen

Patrick: habe, dass das Reaper mit Ultraschall, das ist so das Nonplusultra und alle

Patrick: Podcasts, die ich so gehört habe, haben das genutzt.

Patrick: Es stellt sich raus, offenbar ist das auch wieder nur eins von vielen Produkten.

Patrick: Aber wir halten daran fest, Und wir hatten zwar mal überlegt,

Patrick: ob wir mal andere Sachen ausprobieren, aber zumindest für die Aufnahmen hier

Patrick: bei uns im Büro tut es Ultraschall halt immer noch ganz gut.

Patrick: Und auch so für den ersten groben Schnitt funktioniert das ganz gut.

Patrick: Und Remote-Aufnahmen haben wir das letzte Mal oder wollten wir mal mit Teamspeak

Patrick: mal ausprobieren. Also wenn wir irgendwie keine Gelegenheit haben,

Patrick: uns im Büro zu treffen, dass wir das dann über Teamspeak machen.

Patrick: Das habe ich mir bei jemand anderem abgeguckt, weil das da auch ganz gut funktioniert hat.

Claudia: Funktioniert auch wunderbar.

Patrick: Und ja, tatsächlich eine Sache, die ich jetzt mal...

Patrick: Und die habe ich ausprobiert und habe dafür quasi, als ich es das erste Mal

Patrick: in einschlägigen Kreisen erwähnt habe, habe ich dafür direkt auf die Fresse

Patrick: bekommen. Und zwar Auphonic.

Patrick: Ich dachte mir, KI hilft ja bei allem. Also auch, warum nicht dabei?

Patrick: So Podcast schneiden, Soundqualität ein bisschen verbessern,

Patrick: Füllwörter rausschnippeln und so weiter.

Patrick: Also diesen ganzen Feinschnitt und Transkripte.

Patrick: Und das haben wir jetzt angefangen mit Auphonic zu machen, auch um das Ganze

Patrick: dann mal, weil so Feinschnitt mit Ultraschall, das ist schon ein bisschen gut.

Patrick: Ich bin jetzt wahrscheinlich auch nicht der Ultraschall-Experte und kenne da

Patrick: wahrscheinlich auch irgendwie die ganzen Tricks und Kniffe nicht.

Patrick: Aber ich bin ja auch nur interessierter Laie. Und wenn ich halt eine Plattform

Patrick: habe, die mir das irgendwie abnehmen kann wie Auphonic, dann will ich es auf jeden Fall versuchen.

Patrick: Und gut, Hosting machen wir immer noch mit Podigee. Und ja, Transkripte hatten

Patrick: wir jetzt beim letzten Mal, die letzten zwei Folgen haben wir ja Transkripte

Patrick: mitgeliefert. Die sind schon ganz schön scheiße.

Patrick: Auch wenn man so die Rohfassung von diesen Transkripten dann macht,

Patrick: die sind schon schwer scheiße. Ja, okay. Ja, ja, ganz fürchterlich.

Claudia: Nicht das an uns, oder?

Patrick: Ja, ich glaube, das ist generell irgendwie das Problem da mit Audio und das

Patrick: Ganze aufzunehmen und dann irgendwie das zu transkribieren. Ja,

Patrick: ich habe auch. Und die Fachbegriffe, die wir benutzen.

Patrick: Also die letzten Transkripte habe ich dann irgendwie zweimal durch Claude durchgetreten.

Patrick: Mit entsprechendem Kontext war das danach ganz gut benutzbar und das sah auch irgendwie ganz gut aus.

Patrick: Ja, das konnte man dann schon verwenden. Wobei der Marius mir noch den Hinweis

Patrick: gab, mit MacWhisper, so als Alternative halt.

Patrick: Aber ich habe dann auch überlegt, okay, kannst du dann auf Phonic dann doch

Patrick: wieder durch irgendwie einzelne Tools ersetzen.

Patrick: Aber egal, wie ich damit rumgekaspert habe, am Ende liegt es dann doch immer

Patrick: daran, Du hast dann halt irgendwie die Aufnahme in Ultraschall,

Patrick: dann musst du sie exportieren, bei Auphonic reinschmeißen, dann musst du sie

Patrick: theoretisch da nochmal exportieren, damit du die dann bei MacWhisper nochmal mit...

Patrick: Nochmal wegen Transkripten und so weiter. Und ja, wir schrauben da auf jeden

Patrick: Fall nochmal ein bisschen weiter rum.

Patrick: Das ist noch nicht fertig, aber zumindest bei der letzten Folge,

Patrick: wo ich das mal so durchexerziert habe, hat das schon ganz gut geklappt.

Claudia: Und wir haben ja zwischen Aufnahme und Veröffentlichung nicht mehr das Delta,

Claudia: was wir früher hatten. Das hat früher schon was länger gedauert.

Patrick: Ja gut, aber wir haben typischerweise immer so, wir haben montags aufgenommen,

Patrick: haben mittwochs veröffentlicht. Jetzt nehmen wir freitags auf und treten es montags raus.

Claudia: Ja, okay, gut,

Claudia: dann habe ich es nicht gesagt.

Patrick: Stimmt, du hast ja recht.

Claudia: Stimmt, das waren nur zwei Tage, Montag und Mittwoch. Ja, genau.

Patrick: Ja gut, ich meine, wir hängen jetzt ja auch nicht so sklavisch an einzelnen

Patrick: Tagen für die Veröffentlichung, aber zumindest freitags ist das immer ganz gut,

Patrick: das ist eher ein ruhiger Tag und ich habe das Wochenende danach,

Patrick: um dann da Podcasts zu schneiden und irgendwie versuchen, das Beste rauszuholen.

Patrick: Aber wenn ihr da irgendwie mal Ideen habt, dann lasst gerne mal einen Kommentar

Patrick: oder schickt eine Mail oder die einschlägigen sozialen Medien,

Patrick: auf denen wir uns tummeln.

Patrick: Ich bin dafür, Input gerne zu haben.

Claudia: Wo er sich tummelt. Ich bin ja ehrlich. Ich bin einfach sehr,

Claudia: ja, nicht wirklich viel unterwegs auf Social Media.

Patrick: Du hast bestimmt so einen Pöbel-Account.

Claudia: Nein, ich habe auch keinen Pöbel-Account. Nicht? Ich habe wirklich,

Claudia: nee. Ich hatte so einen auf Twitter.

Patrick: Der war großartig.

Claudia: Ich habe einfach irgendwie seit einer ganzen Weile, ja, keine Ahnung,

Claudia: keinen Bock mehr auf Social Media.

Patrick: Auch nicht auf LinkedIn so ein bisschen rumpöbeln?

Claudia: Nee, ich lese manchmal da einen Artikel und dann lasse ich schon mal ein Like

Claudia: da, aber das war es auch im Wesentlichen.

Patrick: Das war ganz lustig, irgendwie hatte ich da auch so von so einem,

Patrick: ach keine Ahnung, weil den irgendwelche anderen Leute geliked haben in diesem Kommentar,

Patrick: bin ich dann auf den aufmerksam geworden auf Business Tinder und dann ging es

Patrick: dann irgendwie so darum, ja Leute, warum ist denn eine Breitling irgendwie geiler

Patrick: als eine doppelt so teure Rolex und ich musste dann irgendwie darunter kommentieren,

Patrick: also meine Apple Watch SE Gen 1 ist eigentlich auch schon ganz okay, die funktioniert.

Patrick: Ich weiß nicht, wie viele Leute sich da dann schon wieder irgendwie böse getriggert

Patrick: gefühlt haben. Aber ein paar Leute, die uns auch namentlich bekannt sind, haben es geliked.

Patrick: Es hat offenbar den Humor getroffen.

Patrick: Ja, was überhaupt nicht meinen Humor getroffen hat.

Claudia: Oh, ja. Du hast da ein Problemchen.

Patrick: Ich hatte eine beinahe Vollkatastrophe im Datacenter, ja.

Claudia: Genau, im Data Center, ja.

Patrick: Genau, zu Hause, in meinem Data Center, in meinem kleinen Sechser-E,

Patrick: die oben unter der Decke hängt.

Patrick: Ich habe ja seit Jahr und Tag so eine Synology, so eine DS414 Slim.

Patrick: Also die ist mittlerweile 13 Jahre alt.

Patrick: 13 Jahre ist ein stolzes Alter dafür.

Claudia: Genau.

Patrick: Letztes Jahr musste ich dann doch mal die SSDs da rausschmeißen,

Patrick: weil die irgendwie so eine Lifetime von irgendwie zwischen 10 und 15 Prozent hatten.

Patrick: Die waren also schon schwer hinüber, aber liefen noch. Und dann dachte ich letztes

Patrick: Jahr schon so, ah, neues NAS oder so.

Patrick: Und dann habe ich überlegt, baust du selber, kaufst du was von einer Stange

Patrick: und dann dachte ich mir, nee, komm, fuck it. Das Ding ist eh nur irgendwie Datengrab.

Patrick: Steckst irgendwie viermal einen Terra, zweieinhalb Zoll rein und dann,

Patrick: das Ding dient halt echt einfach nur irgendwie so für Backups.

Patrick: Für Veeam Endpoint von meinem Arbeitslaptop oder hier für irgendwelche Backups

Patrick: von irgendwelchen Servern und Paperless und hin und her. Also das Ding muss

Patrick: eigentlich nicht viel machen, außer ein bisschen Backup machen und diese Backups

Patrick: dann wieder irgendwo anders hinschieben.

Claudia: Ich wollte gerade sagen, du machst doch nicht nur ein Backup.

Patrick: Nein, natürlich nicht. Nein, nein, nein, nein, nein. Ich bin da schon geo-redundant,

Patrick: was das angeht. Ich mache das ordentlich.

Claudia: 32110.

Patrick: Das ist mir scheißegal, das ist irgendwo immutable in Helsinki. Reicht.

Patrick: Ja, dann kam ich da morgens irgendwie mal in meinen Technikraum und dann dachte

Patrick: ich, was ist das für ein Geräusch? Und ich dachte mir, das ist nicht normal,

Patrick: das hört sich nicht gut an.

Patrick: Das hört sich nach einem toten Lüfter an. Und ich dachte erst,

Patrick: ist es der Wechselrichter?

Patrick: Dann dachte ich mir, nee, okay, nee, der ist es nicht. Und dann dachte ich mir,

Patrick: ist es der Switch? Nee, der hat keinen Lüfter.

Patrick: Nein, es ist das NAS. Verdammte Axt. Ja.

Patrick: Und dann fand ich halt relativ schnell raus, ja, da ist halt ein Lüfter drin,

Patrick: so ein 60x60. Ja, der war halt irgendwie schwer am Röhren, wie so ein Hirsch.

Patrick: Dann dachte ich, kann ja nicht so das Ding sein, ne? Hab ich dann erstmal ausgepustet.

Patrick: Naja, da kam zwar schon ordentlich Staub raus, aber das Geräusch blieb dann halt.

Patrick: Und dummerweise ist dann tatsächlich das Ding irgendwie ein paar Mal ausgegangen, weil überhitzt.

Claudia: Zu warm.

Patrick: Ja, ja, zumindest eine der Platten, die wurde zu heiß. Und dann ist das Ding halt so, ne?

Patrick: Safe, Shutdown, bevor was Schlimmeres passiert. Gut, musst du den Kack-Lüfter austauschen.

Patrick: Naja, googelst du mal kurz rum. Okay, ist kein Lüfter von der Stange,

Patrick: weil 60x60 Lüfter sind ja eigentlich Standardware.

Patrick: Nein, offenbar nicht dieser, weil der hat so ein spezielles Feature namens Rotor-Lock.

Patrick: Also der bekommt mit, wenn der Lüfter irgendwie festhängt.

Patrick: Und außerdem braucht der wohl im Vergleich zu anderen 60x60 Lüftern extrem wenig

Patrick: Spannung. Also der kommt dann irgendwie mit 0,12 irgendwie aus, statt 0,3, 0,4, 0,5.

Patrick: Und was dann dazu führt, wenn du halt den falschen Lüfter einbaust,

Patrick: dann grillst du dann irgendwie die Synology.

Claudia: Okay.

Patrick: Gut, und wenn du dann schon Threads aus, keine Ahnung, 2014,

Patrick: 2015 und so weiter findest, wo Leute dann sagen.

Claudia: Ja, du musst dann ja in ältere Threads reingucken, wenn dein Ast 13 Jahre alt ist.

Patrick: Dann findest du halt Threads, wo die Leute sagen, ja, scheiße hier und den Lüfter musst du nehmen.

Patrick: Und es gab dann auch so ein paar Bastelanleitungen, wo man dann halt irgendwie

Patrick: mit lustigen Sachen rumlöten, irgendwas fixen konnte.

Patrick: Und dann dachte ich mir, der kann es nicht machen. Naja, dann habe ich so einen

Patrick: Kack-Lüfter irgendwie dann doch gefunden. Habe den irgendwie für 8 Euro und,

Patrick: keine Ahnung, 20 Euro Transportkosten aus China kommen lassen.

Patrick: Und dann brauchte der natürlich erstmal ein paar Tage. Und ich so,

Patrick: was machst du denn jetzt? So, was machen wir dann?

Claudia: Ein paar Tage ohne Backup?

Patrick: Geht ja gar nicht, ne? Also wir müssen uns ja eine Alternative legen.

Patrick: Also wie kriege ich diesen Lüfter wieder fit? Weil ohne Lüfter ging auch nicht.

Patrick: Also was machen wir dann?

Claudia: So ein USB-Lüfter oder sowas?

Patrick: Wenn es sich nicht bewegt? WD40.

Claudia: Ach, WD40, okay.

Patrick: Ja.

Claudia: Das hat geholfen?

Patrick: Ja, genau. Ein kleiner Spritzer WD40, just the tip. Und dann dachte ich mir,

Patrick: okay, vielleicht hält der jetzt ein paar Tage durch.

Patrick: Und was soll ich dir sagen? Er läuft immer noch.

Claudia: Hat er geschafft? Er läuft immer noch. Ach so? Also der neue Lüfter ist noch gar nicht...

Patrick: Der neue Lüfter kam dann gestern und der alte Lüfter läuft immer noch.

Claudia: Das ist natürlich jetzt... Tja.

Patrick: Jetzt habe ich ein Spare-Part im Schrank liegen.

Claudia: Ja. Du weißt ja, es ist jetzt endlich, ne? Dann hast du schon mal da liegen.

Patrick: Das ist doch gut. Besser haben als brauchen.

Claudia: Die Downtime minimieren.

Patrick: Genau. Also, das ist echt gut wartbar.

Patrick: Kannst du unten einfach rausklicken den alten Lüfter, Kabel abziehen,

Patrick: neuen Lüfter reinklicken, Klappe wieder zufällig.

Patrick: Also, das ist schon, das haben sie schon gut gemacht.

Patrick: Fand ich gut. Auf jeden Fall, ne?

Patrick: Sino darf nicht sterben, auch nach 13 Jahren. Und bin ich nicht bereit, dich sterben zu lassen.

Claudia: Du hast Spitzenarmt für deine Hardware.

Patrick: Du nicht?

Claudia: Nee.

Patrick: Wie heißt denn eigentlich dein Notebook?

Claudia: Thinkpad.

Patrick: Doch, so kreativ.

Claudia: Wie soll das denn heißen?

Claudia: Wie heißt denn dein Notebook?

Patrick: X1C.

Claudia: Wie kreativ.

Patrick: Das hängt aber auch nur daran, weil, also ich habe zum Beispiel früher,

Patrick: habe ich meinen Rechner immer nach dem Produktnamen von irgendwelchen Sun-Maschinen,

Patrick: Starcat, Starfire und so weiter benannt.

Patrick: Ich glaube aber, wenn mein Notebook, also wir kennen ja einige unserer Kunden

Patrick: und manchmal gehen die durch ihren DHCP durch und ich glaube,

Patrick: die fänden es sehr befremdlich, wenn dann in deren Netzen irgendwie auf einmal

Patrick: irgendwie ein Starcat oder ein Starfire auftauchen würde.

Patrick: Das wäre jetzt wahrscheinlich wenig vertrauenserweckend.

Claudia: Wenn es Ihnen auffallen würde.

Patrick: Oh Gott, wir kennen mindestens einen, dem wird das wahrscheinlich auffallen.

Claudia: Ja, ja, ja.

Patrick: Ja, zwei Wochen her, wieder viel Zeit gehabt, auch mal wieder Podcasts zu hören.

Patrick: Und auch unsere Freunde vom Engineering-Kiosk haben mal wieder ganz ordentlich abgeliefert.

Patrick: Da muss ich ja schon sagen, in der letzten Zeit haben Sie einen guten Lauf, was Gäste angeht.

Patrick: Und der Ruhrpott liefert natürlich hart ab.

Patrick: In der Folge 271, Selbstmanagement statt Zeitmanagement, war nämlich der Dirk

Patrick: Deimeke, allen bekannt aus dem TILpod und dem Buzzzoom,

Patrick: zu Gast und hat ein bisschen über Selbstmanagement erzählt, damit man kein Zeitmanagement braucht.

Claudia: Ah, das ist dein Thema, ne?

Patrick: Total.

Claudia: Ja, ja gut.

Patrick: Total, ich bin ja für sowas total empfänglich.

Claudia: Ja, ich auch tatsächlich. Ich auch tatsächlich. Ich bin nur schlechter drin,

Claudia: mir von außen sagen zu lassen, wie es gut funktioniert.

Patrick: Es geht ja auch gar nicht mal darum, dass ich mir das von anderen abgucke,

Patrick: aber dieser Impuls, dann zu sagen, vielleicht müsste ich dann doch mal den eigenen

Patrick: Workflow mal unter die Lupe nehmen. Das finde ich ja immer ganz gut.

Claudia: Ständig.

Patrick: Was hast du denn als letztes Mal an deinem Workflow optimiert?

Claudia: Meine Kalenderpflege. Und ich habe alle möglichen Tools einfach abgeschafft, weil…,

Claudia: So, To-Do-ist hat mir nicht geholfen. Also ich knall mir einfach Dinge,

Claudia: an die ich mich erinnere, muss in meinen Kalender rein.

Claudia: Mit Zweifelsfall schiebe ich das zwar immer mal wieder vor mir her,

Claudia: das ist mir aber egal, ich schiebe es dann halt. Irgendwann denke ich dran,

Claudia: irgendwann habe ich Zeit, das zu machen und dann ist gut.

Claudia: Aber ich brauche keine extra App, ich brauche kein Todoist, ich brauche kein

Claudia: Microsoft-Todo, Planner, was auch immer man sich so alles angetan hat,

Claudia: um seine Tasks zu tracken.

Claudia: Ganz ehrlich, ich mache es jetzt einfach hemmsärmelig im Kalender und Notizen

Claudia: mache ich mir im Visual Studio Sachen schnell, Code, genau.

Claudia: Habe ich nämlich mehrere Textdateien, so kundenbezogene und allgemeine,

Claudia: die bei mir auf dem Desktop liegen.

Claudia: Es klingt jetzt ein bisschen krude, aber ich finde es einfach am niederschwelligsten,

Claudia: weil OneNote ist zu mech, also zu groß irgendwie. Ich will auch nicht ständig

Claudia: rumformatieren. Das geht mir total auf den Keks. Nur Textdateien sind fein.

Patrick: Ja, ist ganz spannend, weil ich habe dann, also ich kann mir ja keinen,

Patrick: also wahrscheinlich fände es mein Therapeut jetzt ein bisschen befremdlich,

Patrick: wenn ich dem sagen würde, pass mal auf, ich erzähle dir jetzt,

Patrick: oder ich erkläre dir jetzt mal meinen Workflow und dann möchte ich mal von dir

Patrick: hören, was du dazu sagst.

Patrick: Wahrscheinlich wird er dann seine Brille irgendwie ein bisschen zurechtrücken

Patrick: und sich irgendwie wild Notizen machen und denken, Alter, was stimmt mit dem Typen nicht?

Claudia: Warum?

Patrick: Habe ich mal die KI meines Vertrauens gefragt. Und zwar habe ich dann einfach

Patrick: mal da so dumm reingepromptet, wie mein Workflow jetzt aussieht,

Patrick: was gut funktioniert, was nicht funktioniert. Und dann habe ich gesagt,

Patrick: so und jetzt sag mal was, du bist jetzt hier irgendwie mein Berater und was kann ich optimieren?

Patrick: Ja, dann kam so sinngemäß, also jetzt ich paraphrasiere, aber da kam so sinngemäß

Patrick: so, ja Alter, wenn der Scheiß doch für dich funktioniert, warum willst du denn

Patrick: dann was ändern? Lass es doch einfach.

Patrick: Dann dachte ich mir auch so, ja schönen Dank auch.

Patrick: Das ist durchaus ein Punkt. Also ich habe ja auch ein, es ist gar nicht mal

Patrick: ein wilder Mix, aber ja, ich mache auch viel über den Kalender.

Patrick: Ich mache viel aus der Inbox heraus. Also nicht, dass meine Inbox irgendwie

Patrick: jetzt 300 ungelesene Mails hat. Nein, nein, nein. Aber ich lasse mir zum Beispiel Mails mit Tasks.

Claudia: Die ich noch tun muss, die bleiben da liegen und dann sollte ich sie weg, wenn es erledigt ist.

Patrick: Genau, korrekt. Ja, und ansonsten habe ich auch ein gigantisches Scratch-TXT

Patrick: in VS Code, wo ich mir halt immer mal so Sachen reinnotiere.

Patrick: Aber ich habe ja auch mal so Sachen angefangen, so mit Joplin und mit Obsidian und OneNote.

Patrick: Aber das ist alles irgendwie, weißt du, wenn du dann mal irgendwas schnell irgendwie

Patrick: dokumentieren, runterschreiben willst, dann ist mir das immer noch zu mächtig.

Claudia: Richtig, richtig. Also alleine, also ja, Joplin ist nice, aber es dauert einfach, bis es gestartet ist.

Claudia: Und meistens bin ich dann schon wieder in einem nächsten Task drin,

Claudia: bis das dann endlich durchgestartet ist. Ich will mir schnell was notieren,

Claudia: klicke auf das Icon und dann kommt von links eine Teams-Nachricht.

Claudia: Ja, dann kannst du es schon wieder vergessen.

Claudia: Dann weiß ich auch nicht mehr, was ich da reinschreiben wollte.

Claudia: Das dauert mir zu lange. Das ist mit OneNote das Gleiche.

Patrick: Ja, genau.

Claudia: Aber ja, fairerweise, wenn ich mir irgendwie so Code-Snippets oder sowas weglegen

Claudia: will, ja, das mache ich dann nicht in den Textdateien.

Claudia: Das mache ich tatsächlich in Joplin noch. Aber ja.

Patrick: Ja, so Sachen, also solche Sachen, da habe ich ein DocMost für.

Patrick: Das funktioniert auch ganz gut. Da kann man auch gut drin suchen und das nimmt

Patrick: einem so ein bisschen die Formatierungssachen ja ab. Also wir machen ja auch

Patrick: hier für den Podcast die Vorbereitung, die machen wir ja auch gemeinsam in DocMost.

Patrick: Aber zum Beispiel, ich habe ja Getting Things Done angefangen.

Claudia: Könntest du mir ja auch ein Workspace geben in deinem DocMost.

Patrick: In meinem privaten DocMost? Willst du dich bereit machen?

Claudia: Ich habe ja auf deinem privaten Job den Server auch gemacht.

Patrick: Das hast du dich auch bereit gemacht.

Claudia: Ja, ich habe dich unterbrochen.

Patrick: Halt den Gedanken fest, das können wir nachher machen.

Patrick: Ich habe ja zum Beispiel mit Getting Things Done angefangen.

Patrick: Hat für mich überhaupt nicht funktioniert.

Patrick: Weil allein dieser Gedanke, dass ich mir ja irgendwie alles Mögliche notieren

Patrick: muss, um es dann irgendwie zu sortieren und machen und zu tun und so weiter.

Patrick: Das hat mich fertig gemacht, das geht nicht.

Patrick: Also ja, ich benutze weiterhin hier in meinem Mac-Ökosystem,

Patrick: also was ich ja eher privat habe, weiterhin so Erinnerungen. Funktioniert.

Claudia: Ja, das für private Sachen benötigt sich auch Erinnerungen, ja.

Patrick: Und ja, über Outlook kommst du ja auch an To-Do ran und wenn ich mir da mal

Patrick: eben irgendwie so zwei, drei To-Dos mache, dann geht das auch.

Patrick: Das ist, sag ich mal, niederschwellig genug, aber ich gehe jetzt auch nicht

Patrick: hin und versuche mir alle meine To-Dos irgendwie aufzuschreiben.

Patrick: Also mein erster Gedanke ist ja, was stimmt nicht mit mir, dass ich mir einen

Patrick: nennenswerten Teil meiner Aufgaben nicht notieren muss? Habe ich zu wenig zu

Patrick: tun, dass ich das nicht machen muss, wenn andere Leute es machen?

Claudia: Ja, das muss ich dir gestehen. Das ist bei mir in den letzten Jahren ist das

Claudia: nötiger geworden. Also das war früher bei mir auch nicht so.

Claudia: Ich habe wirklich, du konntest mir, ich habe von morgens bis abends,

Claudia: ich habe an fast alles immer gedacht. Es ist selten, dass mir irgendwas durchgegangen ist.

Claudia: Ich habe mit irgendjemandem Kunden geplaudert. Wir haben dann so zwei,

Claudia: drei Dinge, die ich dann erledigen muss. Und dann habe ich mir so einen Blocker,

Claudia: einen Kalender gemacht, Kunde.

Claudia: Und dann wusste ich, was ich da mache. Und das waren zwei, drei,

Claudia: vier Dinge. Das ist heute...

Claudia: Wahrscheinlich, also A, vielleicht aufgrund dessen, dass ich älter werde,

Claudia: aber B, zu sehr hohem Anteil dem geschuldet, dass wir heute anders arbeiten

Claudia: als vor, sagen wir mal, sechs, sieben Jahren.

Claudia: Also da waren wir weniger, da waren wir häufig acht Stunden lang beim Kunden

Claudia: draußen. Das ist ja jetzt auch spätestens mit der Pandemie sehr viel kleinteiliger geworden.

Claudia: Und dem geschuldet ist es wahrscheinlich, dass ich weiß, okay,

Claudia: wenn ich jetzt mit dem darüber rede, das habe ich mir, das merke ich mir nicht mehr.

Claudia: Da ich mich dann aber kenne oder gelernt habe, mich da selber besser einzuschätzen,

Claudia: weiß ich, okay, aber dann schreibe ich das jetzt zumindest direkt auf.

Claudia: So, dann schreibe ich es direkt in meinen Outlook-Kalender und dann ist gut.

Patrick: Ja, ich habe da lange drüber überlegt, weil mein erster Gedanke war natürlich,

Patrick: Alter, du hast wahrscheinlich noch nicht genug zu tun, du musst ja das definitiv aufschreiben.

Patrick: Alle anderen, die sich das aufschreiben müssen, die haben einfach so viel zu

Patrick: tun, die können das im Kopf behalten. Und da habe ich lange überlegt und hin und her.

Patrick: Und ich glaube, ich habe zumindest eine für mich funktionierende Erklärung dafür gefunden.

Patrick: Ich habe ja so ein bisschen Katastrophenschutzerfahrung. Das hilft uns ja auch

Patrick: durchaus mal im Job, weil mit Katastrophen kenne ich mich aus.

Patrick: Aber im Katastrophenschutz werden ja Einsätze geführt.

Patrick: Und ich arbeite, damals habe ich, das ist Jahrzehnte her, ich habe damals mit

Patrick: Eisenhower, diese Eisenhower-Matrix, kennen wir alle.

Patrick: Also wichtig und dringlich und nicht wichtig und nicht dringlich.

Patrick: Und das Vierte ist dann halt so, ja, Ablage P.

Patrick: Und ich denke verdammt oft genau in diese Muster.

Patrick: Also wenn etwas wichtig und dringlich ist, dann mache ich das entweder sofort,

Patrick: oder ich schreibe es mir zum Beispiel in einen Kalender oder ich habe eine Mail

Patrick: dazu oder ich habe ein Ticket dazu.

Patrick: Ja, und wenn es nicht wichtig, aber dringlich ist, dann drücke ich das halt

Patrick: irgendeinem anderen aufs Auge, dann wird es halt delegiert.

Claudia: Genau, du. Du drückst. Genau. Nein, du musst doch alle Aufgaben höchstpersönlich erledigen.

Patrick: Oh, halt den Gedanken fest, da kommen wir gleich zu.

Claudia: Haben wir eigentlich auch Themen heute? Mir fällt gerade so auf.

Patrick: Ja, ja, ja, Themen haben wir noch. Themen haben wir noch. Aber das finde ich gerade auch spannend.

Claudia: Ich finde das spannend, ja.

Patrick: Und dann gibt es ja noch, es ist dringlich, aber nicht wichtig.

Patrick: Und dann das vierte ist halt, ja, es ist nicht wichtig, es ist nicht dringlich,

Patrick: dann vergesse ich das Ganze.

Patrick: Und dummerweise bin ich genau in diesem vierten Quadranten, bin ich leider sehr oft.

Patrick: Also ein nennenswerter Anteil davon Aufgaben, denke ich mir,

Patrick: okay, das ist jetzt weder dringlich, noch ist das wichtig. Also für mich.

Patrick: Also lasse ich es einfach sein und warte einfach, bis die andere Seite noch mal zu mir kommt.

Claudia: Das ist das Kitz.

Patrick: Aber.

Claudia: Ja, ja, interessant. Das erklärt so einiges. Oh, okay, okay.

Patrick: Fun Fact, Folge 272 vom Engineering Kiosk.

Patrick: Wenn der Chef das Problem ist, destruktive Führung, Gaslighting und Exitplan.

Claudia: Werde ich mir anhören.

Patrick: Was macht diese Folge mit dir.

Claudia: Frau Kollegin? Die werde ich mir anhören. Auf jeden Fall. Mal gucken, was die mit mir machen.

Claudia: Aber nochmal kurz zurück zu Eisenhower. Ich finde, für mich Eisenhower ist es

Claudia: so zweidimensional. Es ist so zweidimensional. Ich glaube auch,

Claudia: ich meine mal gelesen zu haben, dass es üblicherweise auch gerne mal um meine

Claudia: dritte Dimension, nämlich den Aufwand, erweitert wird.

Patrick: Ja gut, aber das ist ja dringlich wichtig. Ja, dann mache ich es halt sofort.

Claudia: Ja, dringlich wichtig mache ich es sowieso sofort. Aber es ist...

Claudia: Wenn es nicht dringlich ist, aber wichtig und es dauert nur fünf Minuten,

Claudia: dann kann ich es auch sofort machen.

Patrick: Ja, wahrscheinlich mache ich auch das instinktiv sehr häufig.

Claudia: Genau.

Patrick: Also könnte ich jetzt den Daumen drauflegen, weil ich glaube,

Patrick: gerade Dinge, die halt einfach schnell gehen, das mache ich halt auch mal sofort.

Claudia: Das mache ich ziemlich bewusst so. Also ich mache es wahrscheinlich ähnlich

Claudia: wie du, nur halt, ich bin halt eingestellter, ich habe halt den vierten Quadranten,

Claudia: den kann ich mir nicht so leisten, weißt du?

Patrick: Leuten Sachen aufs Auge drücken.

Claudia: Den, wo ich einfach Dinge vergesse und nicht mache.

Patrick: Jetzt lässt du mich aber in einem sehr schlechten Lichter stehen.

Claudia: Das ist doch nur Spaß.

Patrick: Ich glaube, da müssen wir gleich nach der Aufnahme nochmal so überreden.

Patrick: Wo ist mein Abmahnungsblock?

Claudia: Ja, das schwarze Büchlein.

Claudia: Der wievielte Band ist das jetzt über mich?

Patrick: Oh Mann. Ja, du kriegst in meinen Memoiren, kriegst du definitiv ein Kapitel.

Claudia: Nein.

Patrick: Ja, und um ein loses Ende aus einer anderen Folge nochmal, Mails von meinem Energieversorger.

Patrick: Ja, die haben definitiv was geändert, weil die Mails kann ich mittlerweile lesen.

Patrick: Also ich habe jetzt nochmal neue Mail-Kommunikationen, das funktioniert jetzt.

Claudia: Na gut.

Patrick: Aber an der Stelle, liebe Kollegen von Mailbox.org, S/MIME 4.0 ist ein Thema.

Patrick: Also es wäre schön, wenn ihr das mal nachflicken würdet. Also bei Apple brauche ich nicht Fragen.

Claudia: Ja.

Claudia: Wobei ich das eigentlich befremdlich finde bei Apple, aber gut.

Claudia: Ja, das ist diese libre SSL-Geschichte.

Patrick: Ja, letzte Freakshow auch irgendwie, oder vorletzte Folge irgendwie,

Patrick: der Pritlove darüber beschwert, dass Apple-Mail ja so oft abstürzt.

Patrick: Da dachte ich mir so, nee, das stürzt nicht oft ab, aber ganz ehrlich,

Patrick: erstmal im 4.0 wäre halt mal geil.

Patrick: Wobei das wahrscheinlich jetzt auch wieder so ein Edge-Case ist.

Patrick: Jetzt habe ich einmal den Fall gehabt, dass ich eine Mail, eine verschlüsselte

Patrick: Mail nicht lesen konnte. Also A kriege ich ja trotzdem nicht so viele verschlüsselte

Patrick: Mails, aber irgendwie lässt mich das schon ein bisschen ratlos zurück,

Patrick: weil der Standard ist ja auch irgendwie schon ein paar Jahre alt.

Patrick: Und dass der irgendwie so schlecht unterstützt wird, finde ich halt schon ein bisschen komisch.

Claudia: Ja, ist aber nicht das einzige Thema, was wir wieder aufgreifen wollten.

Patrick: Nein, und zwar hatten wir ja bei der letzten Folge, wo es ja darum ging, dass Microsoft...

Patrick: Frecherweise einfach Daten an US-Behörden weitergegeben hat,

Patrick: hatten wir ja mal kurz das Thema Bring-Your-Own-Key angerissen. Ja, genau.

Claudia: Und dann haben wir beide ein bisschen hilflos rumgestammelt,

Claudia: weil keiner so richtig ganz genau erklären konnte.

Patrick: Wie das denn funktioniert und so weiter.

Claudia: Wie das denn funktioniert, peinlicherweise, ja.

Patrick: Genau. Das Thema wollen wir jetzt mal aufgreifen.

Claudia: Was meinen wir mit Bring Your Own Key? Also wir sprechen hier,

Claudia: ja, wie ihr wisst, ihr kennt uns, wir sprechen hier üblicherweise erst mal von der Microsoft Cloud.

Claudia: In dem Fall ging es ja auch um Microsoft, insofern finde ich das legitim.

Claudia: Bring Your Own Key bedeutet jetzt mal ganz kurz gesagt, der Kunde bringt im

Claudia: Cloud-Umfeld seinen eigenen kryptografischen Schlüssel mit. Also er erzeugt

Claudia: ihn oder importiert ihn, bringt ihn mit.

Claudia: Ist streng genommen eigentlich nur, wenn du es importierst und nicht dort erzeugst.

Claudia: Dieser Schlüssel wird dann zur Verschlüsselung der eigenen Daten verwendet.

Claudia: Wir unterscheiden hier jetzt mal zwei Arten von Keys. Und zwar einmal haben

Claudia: wir die Keys für Azure-Infrastruktur. Die nennen sie üblicherweise wirklich tatsächlich,

Claudia: das ist der Bring-Your-Own-Key.

Claudia: Und wir haben, die nennen sie nur noch Customer-Key, wenn es darum geht bei

Claudia: M365-Diensten. Das sind nicht unbedingt die gleichen Dinge.

Claudia: Standardmäßig werden die Daten bei Microsoft natürlich so oder so verschlüsselt.

Claudia: Also Data at Rest wird immer verschlüsselt.

Claudia: Aber üblicherweise im Standard mit einem Microsoft Managed Key.

Claudia: Also der Microsoft verwaltet die Verschlüsselungsschlüssel für die verschiedenen Cloud-Dienste.

Claudia: Das sind dann die sogenannten Service Managed Keys, bei denen die Kunden haben

Claudia: natürlich darauf keinen direkten Zugriff.

Claudia: Der Customer-Managed-Key oder auch CMK, der häufiger mal abgekürzt wird,

Claudia: das ist ein Überbegriff für Kundenschlüssel.

Claudia: Der Kunde kontrolliert halt auch den Lebenszyklus des Schlüssels,

Claudia: das heißt, wie wird er erstellt, wo wird er erstellt, Rotation, Löschung,

Claudia: und es ist entweder, wie ich eben schon sagte, richtiges Bring-Your-Own-Key,

Claudia: also sprich, du bringst wirklich von außen einen selbst erzeugten Schlüssel

Claudia: mit rein oder du lässt die in der Cloud generieren,

Claudia: in einem Dienst wie der Kunde. Dem Azure Keyword.

Claudia: So, in M365 haben wir üblicherweise Exchange Online, E-Mails verschlüsseln,

Claudia: SharePoint verschlüsseln.

Claudia: Teilweise kann man Teams-Chat-Inhalte mit verschlüsseln. Ich finde dieses Schlüsselwort

Claudia: teilweise ganz interessant. Ich bin mir nicht ganz sicher, wo sie da wieder

Claudia: Einschränkungen machen. Das habe ich leider nicht rausgefunden.

Patrick: Was ich mir vorstellen könnte, ist, dass die Verschlüsselung von privaten Chats

Patrick: zwischen Usern deines Tenants und auch Teams Kanälen kein Problem ist.

Patrick: Aber ich denke mir, das wird wahrscheinlich ein Problem, wenn da… Zwischen Organisationen.

Patrick: Zwischen Organisationen.

Claudia: Ah, guter Punkt. Ja, soweit hätte ich gar nicht gedacht.

Patrick: Aber das ist ja, also klar, wenn du jetzt aus deinem Tenant mir schreiben würdest,

Patrick: das wäre dann bei mir verschlüsselt, ja, aber meine Antwort wäre dann zweifelsfall

Patrick: bei dir im Tenant unverschlüsselt.

Claudia: Ja, stimmt natürlich, da hast du natürlich recht.

Claudia: Genau, Windows 365, also Cloud PC.

Claudia: Genau, da kannst du auch die VHD-Dateien mit einem Kundeneigenen Schlüssel verschlüsseln.

Claudia: Genau, dann die andere Seite, Azure Infrastructure oder Platform as a Service.

Claudia: Das ist dann dieser CMK, von dem ich eben erwähnt habe. Customer Managed Keys,

Claudia: ein bisschen anderes. Wording, im Grunde das Gleiche.

Claudia: Die meisten Azure-Dienste unterstützen da.

Claudia: Das sind unsere Azure Storage, Blobfiles, Disk Encryption, Azure SQL, Azure Cosmos DB etc.

Claudia: Die unterstützen das alles. Ja, aber warum möchte man das eigentlich machen?

Claudia: Also wir sprachen letztes Mal anhand des Beispiels darüber, dass Microsoft Daten

Claudia: herausgeben muss, eine US-Behörde über einen Kunden, einen Government-Kunde.

Claudia: Wir haben dann so lapidar gesagt, ja, hätten die mal ihre Daten mit einem eigenen

Claudia: Schlüssel verschlüsselt.

Claudia: Genau. Genau, also man möchte damit halt, ich sag mal, das Vertrauen in den

Claudia: Cloud-Anbieter wieder herstellen, sozusagen. Also das geht so in die Richtung.

Claudia: Haben wir genug Vertrauen in diesen Cloud-Anbieter oder schlägt Microsoft mal

Claudia: eine Gehaltsliste vielleicht an der nächsten Litfaßsäule an?

Claudia: Dass sie das nicht tun, ist klar,

Claudia: aber es ist eben, wie weit vertraut man Microsoft? Die Daten liegen da.

Claudia: Microsoft kann beordert werden, Daten rauszugeben durch US-Behörden,

Claudia: weil es eben ein US-Unternehmen ist.

Patrick: Ja, Verschlüsselung sollte ja eigentlich immer so,

Patrick: niederschwellig sein, dass wir einfach alles, was wir haben,

Patrick: irgendwie verschlüsselt. Also ich sage mal so, Verschlüsselung von Laptops ist

Patrick: heute eigentlich kein Thema mehr.

Patrick: Handys, auch alle verschlüsselt. Aber wir haben ja immer noch wieder die Diskussion

Patrick: auch bei Kunden, ja also wieso sollte ich denn jetzt hier die Platte von meinem

Patrick: PC verschlüsseln? Den klaut ja keiner.

Patrick: Oder so. Und ich denke mir immer, ja ist doch scheißegal. Also selbst wenn den

Patrick: Rechner keiner wegträgt, verschlüssel doch einfach die Platte.

Patrick: Es kostet dich ja nichts.

Claudia: Ja, ja, genau.

Patrick: Und gerade wenn man jetzt dann irgendwie Daten auf Rechnern oder auf Systemen

Patrick: speichert, die nicht in deiner administrativen Hoheit sind, ist ja eigentlich

Patrick: der Gedanke, dass ich diese Daten verschlüssele.

Patrick: Ich verschlüssel die Daten mit einem von mir gelieferten Key eigentlich sehr einleuchtend.

Claudia: Ja.

Claudia: Das sieht wahrscheinlich nicht jeder so, aber Datensouveränität ist ein großes

Claudia: Thema. Compliance ist für Unternehmen, werden dazu auch gezwungen.

Claudia: Unternehmen, Behörden, regulierte Branchen etc.

Claudia: Die können nicht einfach eigentlich einfach Sachen in Microsoft Cloud hochladen,

Claudia: ohne die selber zu verschlüsseln.

Claudia: Natürlich geht es auch immer noch um die Frage, welche Daten sind,

Claudia: was für Daten sind das eigentlich?

Claudia: Also wenn du da, keine Ahnung, Dinge ablegst, die wirklich streng geheim sind,

Claudia: muss man sich halt schon fragen, ob das notwendig ist, das in der Cloud abzulegen.

Claudia: Aber es ist halt wichtig für bestimmte Branchen, wenn man denn in Richtung Cloud geht.

Claudia: Das ist halt oft, gilt halt die Vorgabe regulatorisch, dass die Schlüssel zumindest

Claudia: in nationalen Grenzen oder im eigenen Besitz liegen.

Claudia: Und sobald du halt die Microsoft-Managed-Key-Server, wenn es klar sind,

Claudia: die Daten verschlüsselt, Microsoft hat diese Schlüssel, dann sind sie nicht

Claudia: mehr in nationalen Grenzen.

Claudia: Also die Key-Infrastruktur ist nicht mehr in Deutschland dafür.

Claudia: Das ist ein Problem. Ja, also Vorteil, die Verantwortung für den Schlüssel liegt beim Kunden. Nachteil?

Patrick: Verantwortung nicht beim Kunden.

Claudia: Genau. Hat natürlich auch Risiken, können wir gleich nochmal drauf.

Claudia: Aber ja, eine Zugriffsbegrenzung, unbefugte Zugriffe durch Microsoft-Tags.

Claudia: Also auch wenn du ein Case hast, da gibt es dann üblicherweise,

Claudia: wenn du Customer-Managed-Keys hast, dann gibt es dann so Verfahren,

Claudia: wie man dann zeitweise so einen Microsoft-Tag, wenn du einen Support-Fall hast,

Claudia: darauf auch zugeben kann.

Claudia: Aber das können die eben tatsächlich sonst nicht. wenn du einen Customer Manager Keys hast.

Claudia: Sie können auch dann die Daten nicht an Behörden weitergeben.

Claudia: Also sie können die weitergeben, aber die können die nicht lesen.

Claudia: Ja, und zu guter Letzt, wenn du mal keine Lust mehr hast auf Cloud.

Patrick: Dann… Key wegschmeißen, fertig.

Claudia: Genau. Wenn der Schlüssel kompromittiert ist, Key wegschmeißen, fertig.

Claudia: Klar kannst du dann die Daten nicht mehr lesen, weil das ist jetzt ein anderes Thema.

Claudia: Ja, aber… Aber du kannst auf Knopfdruck sagen, aber ja, irgendwie Microsoft

Claudia: kommt mir hier gerade komisch.

Claudia: Klack, Schlüssel gelöscht, kommt keiner mehr dran.

Patrick: Ja, zeigt natürlich aber auch dann das Problem. Du musst ja dann selber einen

Patrick: Prozess haben, wenn du mit diesen Schlüsseln umgehst.

Claudia: Ja, du musst wissen, was du tust.

Patrick: Genau.

Claudia: Definitiv.

Patrick: Da kennen wir leider genug Beispiele, dass Kunden das auch nicht immer wissen.

Patrick: Das einfachste Beispiel, was wir ja immer in dem Fall haben, ist S/MIME.

Patrick: Also dann werden halt irgendwelche Zertifikate generiert, dann sind Schlüssel

Patrick: nicht exportierbar, die liegen dann auf irgendwelchen Kisten festgenagelt.

Claudia: Und eigentlich kann meine E-Mails nicht mehr lesen.

Claudia: Ja. Das ist einfach im Vergleich zu den Geschichten, die wir hier ...

Patrick: Ja, verschlüsselte Festplatten, Self-Encrypting Drives. Die kannst du ja auch

Patrick: nicht einfach von A nach B tragen. BitLocker ist ja noch einfach,

Patrick: Recovery Key und Gutes. Aber wenn du so Self-Encrypting Drive hast ...

Claudia: Ich gestehe ja immer, es ist ja immer eine Option, wenn du, keine Ahnung,

Claudia: Server konfigurierst oder sowas. Das sind die Drives ja immer eine Option.

Claudia: Und immer wieder gucke ich da drauf und denke, nett wäre das.

Claudia: Ja, nein, traue ich mich nicht. Da gehen wir jetzt nicht hin.

Claudia: Und das von uns, die wir durchaus sehr tief in dem Thema Infrastruktur unterwegs sind.

Patrick: Du brauchst dann passende Prozesse dafür und du musst wissen,

Patrick: was du tust. Sonst hast du dir sofort die Karte gelegt.

Claudia: Genau. Ja, wenn man sich damit so beschäftigt, gibt es ja so ein paar Begrifflichkeiten.

Claudia: Die wir einmal kurz anschneiden sollten. Ich meine, HSM haben wir wahrscheinlich alle schon mal gehört.

Patrick: Hardware Security Module.

Claudia: Genau, so eine wirklich spezialisierte Hardware. Es ist eigentlich ein Chip,

Claudia: aber du hast natürlich da meistens so eine Büchse stehen.

Claudia: Die sind manipulationssicher gebaut nach FIPS 140, Level 2 oder 3. Das stellt sicher...

Claudia: Das Schlüsselmaterial niemals in Klarform das Gerät verlässt.

Patrick: Der Key liegt da, der verlässt das nicht, genau.

Claudia: Genau. Und das ist überall da eingesetzt, wo du wirklich höchste Sicherheit

Claudia: brauchst. Banken bei öffentlichen CAS, bei Cloud-Diensten für serverseitige Verschlüsselung.

Claudia: Ein HSM brauchen wir immer bei Bring Your Own Key.

Claudia: Das heißt, du brauchst einen Azure Key Vault im Premium Tier.

Claudia: Ein Standardtier kann es nicht.

Claudia: Oder du brauchst einen Azure Managed HSM.

Claudia: Und ja, das ist beides in Azure.

Claudia: Jetzt hast du natürlich die Möglichkeit, du hast zwei Möglichkeiten.

Claudia: Entweder du generierst in diesem HSM deine Keys.

Claudia: Oder aber du hast sozusagen zu Hause noch ein HSM stehen.

Claudia: Und dann kannst du über bestimmte Schnittstellen, bestimmte Tools,

Claudia: deinen Key aus deinem eigenen HSM in den Azure-HSM importieren.

Claudia: Da gibt es spezielle Tools für.

Claudia: Es gibt eine Ausnahme, da ist zwar auch ein HSM im Spiel, aber jetzt in einer ganz anderen Form.

Claudia: Das braucht nämlich dann kein Azure-Key Vault. Das ist Purview Double Key Encryption.

Claudia: Und das ist so die schärfste Variante, die du überhaupt so machen kannst.

Claudia: Und zwar basiert das auf zwei Schlüsseln. Einer davon ist der Microsoft-Managed-Key.

Claudia: Der andere ist dein Key. Und dein Key wird bereitgestellt über einen DKE-Service.

Claudia: Also du hast ja wirklich einen API-Service bei dir laufen, wo Microsoft per

Claudia: API-Request den Schlüssel aus deinem HSM sozusagen ziehen kann.

Claudia: Das ist ja, wie gesagt, wir haben noch nicht damit hantiert.

Claudia: Also wenn da jetzt Details nicht ganz richtig verstanden sind von mir, gerne korrigieren.

Claudia: Aber das scheint mir die sinnvollste Variante zu sein, wenn du wirklich,

Claudia: wirklich sicher sein willst. Ich habe jederzeit die Möglichkeit zu sagen,

Claudia: hier, ich knipse meine Seite ab, dann kann Microsoft meine Daten nicht mehr lesen. Ja.

Patrick: Aber das heißt aber auch, das normale Bring-Your-Own-Key basiert immer darauf,

Patrick: dass ich entweder ein Key Vault Premium habe oder ein Azure-Managed-HSM.

Patrick: Bring-Your-Own-Key mit einem eigenen HSM geht so gar nicht.

Claudia: Doch, doch, doch. Also du brauchst diesen Azure Key Vault, aber du kannst aus

Claudia: deinem eigenen HSM, also deinem eigenen HSM, über Tools in den Azure HSM die Keys importieren.

Claudia: Das geht schon, das ist also der importierte Key.

Patrick: Und genau, das Purview-Double-Key-Encryption ist dann nochmal die verschärfte

Patrick: Form darauf, wo es dann eben zwei Schlüssel gibt, nämlich einen von Microsoft

Patrick: und einen vom Kunden. Genau, so ist es. Okay.

Claudia: Ja, und dann, wie funktioniert das eigentlich, das Ganze mit der Verschlüsselung?

Claudia: Ja, das ist jetzt sehr, sehr, sehr technisch natürlich in einfachen Worten,

Claudia: soweit ich wieder, wie ich das verstanden habe.

Claudia: Du machst halt hier ganz klassisch Envelope Encryption, also DEK,

Claudia: KEK sind Begriffe, die da fallen.

Claudia: Das heißt, der Kunde kontrolliert einen Key-Encryption-Key, also den KEK.

Claudia: Und der wird zur Verschlüsselung eines Data-Encryption-Keys verwendet,

Claudia: der dann verwendet wird, um die eigentlichen Daten zu verschlüsseln.

Claudia: Das ist ganz logisch, ist einfach von der Logik her wahrscheinlich so ein bisschen wie bei CA's.

Claudia: Du kannst halt den Data-Encryption-Key rollieren dadurch. Das ist ja viel einfacher,

Claudia: ohne halt alle Daten neu zu verschlüsseln zu müssen.

Claudia: Aber nur wer den KEK besitzt, kann die Daten auch wieder entschlüsseln.

Patrick: Genau, dieses Konzept ist uns quasi gerade erst bei dieser ganze Secure Boot

Patrick: Debatte über den Weg gelaufen. Da geht es dann auch um Platform Keys,

Patrick: um Key Encryption Keys und so weiter.

Claudia: Ja, genau.

Claudia: Ja, was braucht man denn, wenn man das jetzt alles mal so machen will?

Claudia: Genau, ich möchte jetzt hier das für uns umsetzen. Du möchtest das jetzt machen. Oh, wacht mal ab.

Claudia: Du willst das für uns umsetzen. Ist egal, ich habe eine Firmenkreditkarte.

Claudia: Du hast eine Firmenkreditkarte. Oh, oh, oh, oh.

Claudia: Also wir brauchen ein Azure-Abonnement. Und streng genommen,

Claudia: wenn du so bei Microsoft nachliest, es wird ein zweites empfohlen.

Claudia: Es werden zwei Azure-Abonnements empfohlen, weil du deine Key-Verwaltung isoliert

Claudia: betreiben solltest, deine eigene Subscription.

Claudia: Genau, Du brauchst ein Azure Key Vault Premium.

Claudia: Standard reicht nicht aus, habe ich ja eben schon gesagt. Oder ein Azure Managed

Claudia: HSM, um dann diese Keys aber überhaupt erst nutzen zu können.

Claudia: Dann ist das schön, wenn man die dann da drin hat erstmal. Aber naja,

Claudia: für Exchange Online, SharePoint etc.

Claudia: Dafür die Infrastrukturdienste in Azure kann man den dann halt direkt nutzen.

Claudia: Das hat jetzt keine besonderen Lizenztechnischen Voraussetzungen.

Claudia: Aber für Exchange Online etc.

Claudia: Braucht es dann die Fünferlizenzen. Also E5, A5, G5, was auch immer.

Claudia: Oder als Add-on die Azure Information Protection P2.

Patrick: Finde ich ja auch schon mal eine spannende Hürde. Also wenn du deine eigenen

Patrick: Daten verschlüsseln willst, dann hält Microsoft quasi nochmal extra die Hand

Patrick: auf, weil sie sagen, die Funktionen, die du dafür brauchst, die haben wir aber nur unten rechts.

Claudia: Ja, das ist schon ein bisschen hart. Ja, so ist es.

Claudia: Der kostet Geld. Und man sollte halt gute Kenntnisse. Das ist,

Claudia: glaube ich, auch eine Voraussetzung für das Ganze.

Patrick: Ich bin ein Gradenegger-Klon. Jeder braucht einen Gradenegger.

Claudia: Großartiger Blog. Genau, ja. Und wie läuft das dann ab?

Claudia: Du generierst halt den Schlüssel, also du erzeugst den Schlüssel entweder im

Claudia: eigenen HSM, dann benutzt du spezielle Importfunktionen, um das in Azure Key Vault zu kriegen.

Claudia: Oder alternativ kann der Schlüssel halt in place im Key Vault erzeugt werden. Oder im Azure Managed HSM.

Claudia: Dann kannst du das an Dienste zuweisen. Üblicherweise sagst du,

Claudia: du nimmst einen eigenen Key pro Dienst. Also Exchange Online ist ein anderer

Claudia: Key als für SharePoint und so weiter.

Claudia: Dann, wenn du in Azure unterwegs bist, dann ordnest du halt in der Ressourceneinstellung

Claudia: den Key bei den jeweiligen Ressourcen bei den Verschlüsselungseinstellungen zu.

Claudia: So, und dann hast du natürlich so gewisse Best Practices, du solltest die regelmäßig rotieren.

Claudia: Was heißt das? Ja, der Keyword unterstützt ja auch so eine Schlüsselversionierung.

Claudia: Das heißt, du kannst sagen, der alte Schlüssel ist halt noch gültig,

Claudia: neue Daten werden mit der neuen Version verschlüsselt, alte Daten können aber

Claudia: noch entschlüsselt werden mit der alten Version.

Claudia: Und beim Speichern mit der neuen Version verschlüsselt werden. Und so weiter.

Claudia: Genau. Du kannst natürlich selbstverständlich jederzeit die Keys Azure Key Vault wieder rufen.

Claudia: Also wenn du halt, wie ich eben sagte, DKE machst, dann machst du es ja im eigenen HSM.

Claudia: Aber denkbar wäre das halt bei einer Schlüsselkompromittierung eine logische

Claudia: Konsequenz. Die Daten kriegst du dann halt auch nicht mehr entschlüsselt.

Claudia: Das heißt, dient halt der Sicherheit.

Claudia: Ist aber auch gleichzeitig ein Risiko, Weil ich möchte mal behaupten,

Claudia: was man absichtlich machen kann, kann man auch unabsichtlich machen.

Claudia: Ja, und das Ganze, warum? Microsoft kann ja die Daten nicht lesen.

Claudia: Richtig? So, als Hintergedanke.

Patrick: Ja, das klingt nach einem Aber.

Claudia: Ja, lass doch mal drüber nachdenken. Lass doch da mal drüber nachdenken.

Claudia: Wenn Microsoft die Daten nicht lesen könnte, dann könntest du auch kein Teams benutzen.

Claudia: Der Service Exchange Online kann ja die Daten darunter dennoch lesen.

Claudia: Das heißt, Der Dienst hat die Möglichkeit, das zu entschlüsseln.

Claudia: Das heißt jetzt mal kurz gesagt, Microsoft-Dienste müssen den Zugriff auf den

Claudia: Key Vault haben, damit Daten zur Laufzeit fair und entschlüsselt werden können.

Claudia: Das heißt, Microsoft also grundsätzlich ohne den Kundenschlüssel keinen Zugriff, aber,

Claudia: solange der Schlüssel aktiv ist, haben die Dienste den Zugriff da drauf.

Claudia: Die Microsoft-Dienste haben den Zugriff auf die Daten.

Patrick: Ja, natürlich Ja.

Claudia: Wenn man es jetzt ganz streng nimmt.

Patrick: Ja, okay, aber ja, aber lässt sich auch nicht verhindern.

Claudia: Das lässt sich nicht verhindern, nein. Ich glaube, es sind die Daten at rest

Claudia: verschlüsselt, das heißt, man darf sich aber auch nicht vorstellen,

Claudia: dass die da irgendwo so eine große VHDX haben, wo deine,

Claudia: weißt du was ich meine, wo deine Sharepoint-Daten draufliegen und dann kopieren

Claudia: die einfach diese VHDX weg und können dann die Daten nicht lesen.

Claudia: Ja, maybe, aber so funktioniert das ja nicht.

Claudia: Microsoft Daten über dich herausgeben will, dann gehen sie ja den Weg über ihre

Claudia: Dienste, logischerweise.

Claudia: Insofern, du hast aber trotzdem, der Vorteil ist dennoch die Souveränität,

Claudia: die du dann hast und sagst so, und jetzt nicht mehr, indem du den Schlüssel ungültig machst.

Claudia: Zu dem Preis, dass du selber deine Daten auch nicht mehr lesen kannst.

Claudia: Genau, deswegen weiß ich nicht.

Claudia: Gut, dann lass mal hier in Purview, wenn du DKE benutzt, Was du vorhin sagst,

Claudia: zwei Schlüsse, einer bei dir, einer bei Microsoft.

Claudia: Das ist eine Variante, die da besser funktioniert,

Claudia: weil Microsoft da ja gar keine Chance hat, an den Kundenteil ranzukommen.

Claudia: Weil da liegen ja auch die Keys nicht in einem Stück Azure-Infrastruktur,

Claudia: nämlich dem Azure-Key Vault.

Patrick: Ja.

Claudia: Das heißt, da muss man sich schon sehr, sehr, sehr genau Gedanken darüber machen.

Claudia: Es ist ein HSM. Klar kommen die nicht so ohne weiteres an die Keys dran,

Claudia: aber dieser HSM läuft auf der Infrastruktur von Microsoft und mhm, mhm, mhm.

Claudia: Ich will da nicht paranoid klingen oder Paranoia schaffen, aber die einzige

Claudia: Variante, wo du wirklich sagen kannst, so und jetzt hier, da mache ich an meinem

Claudia: HSM, lege ich einen Schalter um und damit kann Microsoft dann nicht mehr dran.

Claudia: Das ist halt die Variante mit dem DKE, weil der Schlüssel wirklich bei dir zu

Claudia: Hause in einem HSM liegt.

Patrick: Ja gut, aber am Ende des Tages, solange ich nicht sage, jetzt nicht mehr,

Patrick: auch bei DKE, wenn Microsoft über die ganz normalen Exchange-Dienste die Daten

Patrick: abschnorchelt, machst du auch da nichts.

Claudia: So verstehe ich das alles. Also wenn mich da jemand korrigieren kann draußen,

Claudia: dann wäre ich ja beruhigt, aber am Ende des Tages.

Patrick: Weil ich gehe jetzt ja mal nicht davon aus, das ist ja nicht so,

Patrick: dass Microsoft da irgendwelche IML-Dateien anfängt zu exportieren.

Claudia: Wahrscheinlich nicht.

Patrick: Ja, das klingt aber dann doch ja alles eher so ein bisschen nach Feigenblatt.

Patrick: Also wann lohnt sich denn dann überhaupt das Thema Bring Your Own Key?

Claudia: Ja gut,

Claudia: wenn die Datenschütze im Unternehmen zu mächtig sind. Nein, blödsinnig.

Claudia: Ja klar, du hast Unternehmen, wo es Pflicht ist, weil es halt eine gesetzliche

Claudia: Compliance-Anforderung ist. Ja, da kannst du nichts anderes machen.

Claudia: Dass es am Ende vielleicht bedingt ein Feigenblatt ist, sei dahingestellt.

Claudia: Ja, jetzt,

Claudia: hilft das, das dem Kunden schmackhaft zu machen? Weiß ich nicht.

Claudia: Aber wir haben ja häufiger schon mal jetzt gerade erst mit einem kleineren neuen

Claudia: Kunden Unterhaltung geführt.

Claudia: Ja, aber ich hätte, das war ganz schnuffig, der Kunde hat seinen Server im Keller

Claudia: immer die Keller Cloud genannt,

Claudia: und sagt, ja, wenn die Sachen hier in der Keller Cloud sind,

Claudia: ja, dann weiß ich ja, wer darauf Zugriff hat.

Claudia: Und wenn Microsoft mal gehackt wird, ja, also was sagt man dem Kunden?

Claudia: Er hatte halt einfach Vorbehalte, Daten in die Cloud zu legen und trotzdem wäre

Claudia: mir nicht in den Sinn zu kommen, zu sagen, ja, das ist gar kein Problem,

Claudia: wir können ihn eigentlich Kies erzeugen.

Claudia: Aus dem ganz einfachen Grund, weil wir den Kunden garantiert keine E5 verkaufen könnten.

Claudia: Und das ist halt schade. Das heißt, das ist eine Sache, mit nur wenigen Kunden

Claudia: kannst du da die Cloud schmackhaft machen bei den Preisen.

Patrick: Ja, und ich glaube, dann ist es auch eher, ich glaube, dann ist auch das Thema

Patrick: Bring Your Own Key eher so ein Checkmark-Feature, so ein Checkbox-Feature,

Patrick: wo du sagen kannst, ja, haben wir halt gemacht.

Patrick: Ob das funktioniert, ob das sinnvoll ist, ja, nein, ist egal, aber wir haben getan, was wir tun können.

Patrick: Ja, am Ende des Tages muss man den Leuten halt sagen, Datensouveränität bekommst

Patrick: du halt auch nur dann, wenn du die darunterliegende Infrastruktur in den eigenen

Patrick: Händen hast. Sobald das nicht mehr deine Infrastruktur ist.

Patrick: Gibt es eigentlich keinen vernünftigen Weg. Ich meine, klar kann man da mit

Patrick: Encryption rumhantieren. Ich meine, ich mache das ja bei mir auch.

Patrick: Also vielleicht ein blödes Beispiel, aber die Backups, die ich halt irgendwo

Patrick: anders in so lustigen S3 Bucket reinschiebe, ja klar, die habe ich verschlüsselt

Patrick: mit einem Key, der bei mir liegt.

Patrick: Das heißt, die Daten landen verschlüsselt auf der anderen Seite.

Patrick: Das heißt, ein wie auch immer gearteter Angreifer kann da zwar Dateien runter,

Patrick: aber die kann er halt nicht extrahieren.

Patrick: Wenn einer mein NAS zu Hause hops nimmt, dann sieht die Welt wieder anders

Patrick: aus, weil dann hat er im Zweifelsfall der Zugriff wieder auf den Schlüssel.

Patrick: Das Gleiche ist, wenn ich halt irgendwelche Daten in den S3-Bucket hochlade,

Patrick: die jetzt nicht per se schon verschlüsselt sind, sondern über S3-Mittel verschlüsselt,

Patrick: ja klar, da liefere ich natürlich ein Key mit.

Patrick: Das heißt auch da wieder die Daten selber, die sind ja dann verschlüsselt, aber der Key ist bei mir.

Patrick: Und es ist ja nicht so, wie da jetzt bei Microsoft, wo Dienste in der Infrastruktur

Patrick: laufen, die den Key lesen müssen, damit sie funktionieren.

Claudia: Ja. Also während ich das alles so mehr durchgelesen habe, hat mich das Gefühl beschlichen,

Claudia: Ich weiß nicht, ob es das wert ist. Also was ich meine, das Risiko.

Patrick: Ja, klar, weil Verschlüsselung birgt ja immer das Risiko. Ich meine,

Patrick: wir alle kennen die Horror-Stories von, oh, ich habe meinen Bitlocker-Key hier verloren.

Patrick: Ich meine, auch da ist Microsoft ja hingegangen. Das war ja auch so eine lustige Nummer.

Patrick: Wenn du so ein Windows 11 verschlüsselst, ja heute schneidest du mit Bitlocker

Patrick: die Platte und der Key wird dann einfach in dein Live-Konto hochgeladen und

Patrick: liegt dann davor und Microsoft kann darauf zugreifen. Ja, super Sache.

Patrick: Ist dann auch schon wieder Kacke.

Patrick: Ja, ich verstehe das, aber ich weiß gar nicht, wo ich das gelesen hatte.

Patrick: Vor einiger Zeit rannte auch so ein Artikel an mir vorbei.

Patrick: Da ging es darum, es gibt ja so eine FedRAMP-Zertifizierung für Clouds.

Patrick: Das ist so irgendwie so eine Zertifizierung für Citrix und Microsoft und AWS.

Patrick: Wenn sie die bestehen, dann dürfen halt US-Behörden da ihre Daten bunkern.

Patrick: Und im Rahmen von dieser FedRAMP-Authentifizierung oder Zertifizierung ist dann

Patrick: so rausgekommen, dass Microsoft diesen ganzen Azure und O365-Krempel A selber

Patrick: nicht wirklich versteht, nicht wirklich gut dokumentiert und das Ganze.

Patrick: Also irgendein Auditor nannte es mal ein pile of shit.

Patrick: Also Microsoft war auch nicht in der Lage, irgendwelche Unterlagen zu liefern

Patrick: und hin und her. Und ja, das passt halt hier voll ins Bild.

Patrick: Ja, ja.

Claudia: Fazit, wenn du ein Muster machst, aber...

Patrick: Ja, Verschlüsselung falsch machen ist halt scheiße.

Claudia: Ja.

Patrick: Weißt du, wer das auch bitter erfahren musste?

Claudia: Boah, wer denn diese Woche?

Patrick: Pass auf. Denk mal an, pass auf.

Patrick: Checkpoint Palo Alto Fortinet. Einer von den dreien Rate.

Claudia: Fortinet.

Patrick: Ach, wo kommst du denn darauf?

Patrick: Ja, tatsächlich ganz frisch rausgekommen. FortiBleed. 75.000 kompromittierte

Patrick: Fortinet-Firewalls weltweit.

Patrick: So, was ist passiert? Und lustigerweise ist das gar keine, ja,

Patrick: es ist jetzt gar keine lustige neue Zero-Day oder so, sondern es ist eine Migrationslücke.

Patrick: Eine Angreifergruppe hat mal Forti-Gate-Config-Files mit Password-Hashes extrahiert,

Patrick: und hat ein Loophole gefunden, diese Offlines zu cracken und damit funktionierende

Patrick: Admin- und VPN-Zugangsdaten zu rund 75.000 Firewalls in hunderten verschiedenen Ländern auszugraben.

Patrick: Und es gibt eine vorsichtige Schätzung von Security-Researchern,

Patrick: die sagen ja, das ist ungefähr die Hälfte aller weltweit ans Internet angebundener Fortinet-Firewalls.

Claudia: Ups.

Patrick: Geil.

Patrick: Also, ein bisschen zur Chronologie.

Patrick: Juni 26, also jetzt, hat der Sicherheitsforscher Volodymyr,

Patrick: Diachenko, hat in einem offen oder auf einem offenen Internet erreichbaren Server

Patrick: augenscheinlich valide Fortinet-VPN-Zugangsdaten gefunden.

Patrick: Also Username, E-Mail-Adressen, Klartext-Kennwörter und hat dazu ein bisschen

Patrick: was auf Business-Tinder gepostet.

Patrick: Parallel dazu hat SOCRadar ein Operationsserver eines Akteurs mit Tools,

Patrick: Automatisierungsinfrastruktur und einer Opferliste gefunden.

Patrick: Erste Zählung 30.791 verifizierte Zugangsdaten.

Patrick: Der gute Kevin Beaumont, also DoublePulsar, erhält einen Datensatz über Hudson

Patrick: Rock zur Analyse und verifiziert Zugangsdaten durch eigene Logins und stellt

Patrick: fest, ja, scheiße, die sind echt und aktuell.

Patrick: Der hat dann die Auswertung ein bisschen vertieft und sagt dann,

Patrick: ja, so am Ende habe ich hier irgendwie 73.932,

Patrick: Eindeutige Firewall-URLs, 194 Länder, 21.632 betroffene Domains, also rund 75.000 Geräte,

Patrick: und wahrscheinlich ungefähr die Hälfte aller internetseitig erreichbaren Fortinet-Firewalls,

Patrick: so basierend auf Shodan-Daten.

Patrick: Bestätigte vollständige Netzwerkkompromittierung in Japan, Taiwan,

Patrick: Vietnam, Irak, in der Türkei, darunter ein türkischer NATO-Rüstungszulieferer,

Patrick: bei dem wohl auch vertrauliche Verteidigungsdokumente abgezogen wurden,

Patrick: unter den in der Datenbank identifizierten Organisationen Foxconn,

Patrick: Samsung, Comcast, Siemens, Lenovo, PwC,

Patrick: Accenture, Oracle, Chevron, FedEx und noch ein paar tausend andere Behörden,

Patrick: Betreiber kritischer Infrastruktur und so weiter.

Claudia: Das ist böse.

Patrick: Pass auf, Fortinet bestreitet einen Bezug zu einem aktuellen Incident oder Advisory

Patrick: und spricht von einem Resharing älterer Daten sowie von Credential Bruteforcing.

Patrick: Sicherheitsforscher widersprechen dem Ganzen.

Patrick: Jetzt müssen wir uns mal die technischen Details mal ein bisschen angucken,

Patrick: weil das ist kein klassischer Zero-Day, denn auf den betroffenen Geräten war

Patrick: größtenteils ein aktueller Patchstand installiert.

Patrick: Die eigentliche Schwachstelle liegt, wie die Zugangsdaten abgesichert waren.

Patrick: Nicht in fehlenden Updates. Anfang 25 hatte Fortinet.

Patrick: Auf einen deutlich robusteren Password-Hashing-Algorithmus umgestellt.

Patrick: Also das waren die FortiOS-Versionen 7.2.11, 7.4.8, 7.6.1, der PBKDF2.

Patrick: Damit wurden dann die Zugangsdaten entsprechend verschlüsselt und dieses Verfahren

Patrick: ist halt gegen Offline-Brute-Force-Attacken deutlich resistenter als das vorhergegangene Verfahren.

Patrick: Das Problem ist, damit dieser Hash verwendet wurde, musste man sich aber dann

Patrick: mit den jeweiligen Daten nach dem Firmware-Update einmal einloggen.

Patrick: Passiert das nicht? Bleiben die Zugangsdaten im älteren SHA-256,

Patrick: also mit Salting-Format.

Patrick: Und das war wohl in vielen dieser Umgebungen schlicht der Fall.

Claudia: Ja gut, wenn ich denke, die meisten Firewalls sind bei uns inzwischen auch so gestrickt.

Claudia: Der Admin kommt irgendwo in den Giftschrank und dann kommen da personalisierte Admins drauf.

Patrick: Ja, richtig. Und der Angriffsweg, also da wurde dann halt nach,

Patrick: öffentlich erreichbaren Management-Interfaces gesucht und wurde halt über eine

Patrick: ältere Lücke wurden halt mal Gerätekonfigurationen extrahiert und anschließend

Patrick: wurden einfach die Hashes dann gecrackt.

Patrick: Und der gute Bob, also der eingangs erwähnte Sicherheitsresearcher sagte,

Patrick: ja, ein Cluster 45 GPUs und gib ihm. Das war wohl jetzt wohl kein Riesending.

Patrick: Es wurden auch SSL-VPN-Authentifizierungshashes wohl erbeutet und gecrackt.

Patrick: Und nach erfolgreichem Login mit diesen Zugangsdaten gab es wohl in vielen Fällen

Patrick: dann auch gezieltes Eindringen in interne AD-Struktur, dauerhafte Etablierung

Patrick: von Access, also das typische Backdoor-User, Änderung von Sicherheitsrichtlinien etc.

Patrick: Also das typische Initial Access. Also wenn man einmal drin ist,

Patrick: dann hält man sich den Weg halt offen.

Patrick: Und naja, offen bleibt immer noch die Frage, wie halt diese Konfigurationsdateien

Patrick: überhaupt abgeflossen sind.

Patrick: Ob das über bekannte CVEs, also es gab da mal ein Problem, worüber halt dann

Patrick: Configs abgezogen werden konnten oder ob das über einen neuen Weg.

Patrick: Ob die Daten über einen neuen Weg erbeutet wurden, das konnten halt die Forscher nicht sagen.

Patrick: Was wohl interessant und sehr auffällig ist, ist, dass die Datensätze zusätzlich,

Patrick: durchaus Informationen enthalten haben, wie Branche, Umsatz,

Patrick: Mitarbeiteranzahl und Land.

Patrick: Und das ist halt ein ganz typisches Zeichen. Naja, das war Cybercrime-Business.

Patrick: Dieses klassische Initial Access. Du kannst dir dann halt deinen Datensatz zusammenkaufen

Patrick: mit, ich möchte jetzt hier gerne, keine Ahnung, Unternehmen dieser Branche haben.

Patrick: Ich brauche Unternehmen mit diesen Merkmalen, bla bla bla. Und dann kriegst

Patrick: du halt von so einem Initial Access Broker einfach die Daten geliefert.

Patrick: Attribution vielleicht noch ganz interessant. Also das ist auch vorläufig und

Patrick: mit Vorsicht zu genießen. Das ist laut SOCRadar.

Patrick: Das Tooling und das Targeting deuten auf russischsprachige Akteure hin.

Patrick: Das muss man auch abgrenzen. Es gab mal einen ähnlich gelagerten Fall aus 2025 mit der Belsen Group.

Patrick: Da betraf das Ganze 15.000 Geräte und es basierte auf einem alten Zero Day aus 2022. Ja.

Patrick: FortiBleed, so nennt sich das Ganze jetzt, betrifft dagegen aktive und aktuelle

Patrick: Zugangsdaten. Das ist wirklich alles tagesaktuell.

Patrick: Ja, wie ordnen wir das Ganze denn jetzt mal ein? Also nicht jede große,

Patrick: neue, großflächige Kampagne, Komplettierung braucht halt ein Zero-Day.

Patrick: Im Zweifelsfall reicht es halt, wenn Daten einmal abgeflossen sind,

Patrick: auch wenn man dann sagt, ja, hey, Kennwörter sind doch verschlüsselt.

Patrick: Du kannst halt nie verhindern, dass es da möglicherweise dann vielleicht auch

Patrick: Jahre später einen Weg gibt, diese Daten halt erneut zu bearbeiten und auszuwerten.

Patrick: Patch-Stand alleine hilft dir in dem Fall auch nicht.

Patrick: Also selbst wenn deine Box aktuell war, wenn du halt User hast auf der Kiste,

Patrick: die du dann vielleicht nicht nochmal für ein Login verwendet hast,

Patrick: wurde das Kennwort halt nicht umgestellt, bist du halt gearscht.

Patrick: Und das heißt zum Beispiel auch, da wäre es zum Beispiel interessant,

Patrick: und das habe ich jetzt ehrlich gesagt auch gar nicht mal nachvollzogen,

Patrick: stand zum Beispiel in den Release Notes zu diesen Versionen drin, hey, wenn ihr,

Patrick: dieses Update installiert, Müsst ihr euch einmal mit allen Usern neu einloggen,

Patrick: sonst wird dieser neue Algorithmus nicht verwendet. Wenn es da drin stand, Pech gehabt.

Patrick: Dann hätte das halt auf irgendeiner Checkliste stehen müssen und dumm gelaufen.

Patrick: Grundsätzlich Management Interfaces gehöre nicht ins Internet.

Patrick: Ich weiß nicht, wie oft ich das immer noch sagen muss und ich verstehe auch

Patrick: nicht, dass das immer noch ein Thema heute ist.

Patrick: Es geht mir echt nicht in meinen Hackschädel rein. Auch, dass man zum Beispiel

Patrick: Admin- und VPN-Zugänge verfickt nochmal mit einer MFA abzusichern hat.

Claudia: Ja, sollte ein No-Brainer sein.

Patrick: Das ist ein No-Brainer, aber scheint immer noch ein Problem zu sein.

Patrick: Gut, was muss man jetzt Kunden mit FortiGate Firewalls empfehlen oder sagen?

Patrick: Naja, guckt erstmal, also wenn ihr Management-Interfaces im Internet habt,

Patrick: scheiß Idee, dann müsst ihr da als allererstes mal dran, sämtliche Zugänge,

Patrick: Credentials für Admin, für VPN einmal durchrotieren,

Patrick: mit allen Usern einmal neu einloggen, auch um sicherzustellen,

Patrick: dass dieser neue Algorithmus dann auch genutzt werden kann, dieser PBKDF2 und

Patrick: naja, grundsätzlich Assume Breach.

Patrick: Geht einfach mal davon aus, wenn ihr eine FortiGate habt, die Internet-Facing

Patrick: ist, wo ihr mehrere User drauf habt und ihr nicht sichergestellt habt,

Patrick: dass jeder dieser User sich einmal eingeloggt hat,

Patrick: dann geht davon aus, dass ihr hops genommen wurdet.

Patrick: Ist so. Tut mir total leid, aber ist so.

Claudia: Hast du einen Ärger?

Patrick: Was machst du da?

Claudia: Ich verstehe das nicht. Also das mit den Management-Interfaces.

Patrick: Naja, jetzt muss man ja fairerweise sagen, auch wir haben Installationen,

Patrick: wo wir Management-Interfaces ins Internet exposen.

Claudia: Aber. Für bestimmte IP-Adressen. Also, wenn der Zugriff von bestimmten Public-IPs kommt.

Claudia: Aber doch nicht einfach so.

Patrick: Genau, nicht für alles.

Claudia: Nee.

Claudia: Da fällt mir kein guter Grund ein. Also ich weiß nicht, vielleicht muss mir das jemand erklären.

Claudia: Vielleicht gibt es da Gründe, die ich nicht kenne.

Patrick: Ja, und weil es so schön ist, gibt es noch einen lustigen CVE,

Patrick: der ist auch heute rausgekommen. Wir haben eine weitere Local Privilege Escalation.

Claudia: Ach ja, PinTheft, ne? Genau, PinTheft. Ja, auch gelesen.

Patrick: Worum geht es? Schwachstelle im Linux-Kernel. Wer hätte es gedacht?

Patrick: Wo sich halt mit relativ einfachen Mitteln, sobald ich lokalen Zugriff habe,

Patrick: kann ich mir halt eine Local Privilege Escalation ausnutzen.

Patrick: Interessant hierbei, das System muss sogenanntes RDS, Reliable Datagram Sockets, verwenden.

Patrick: Das ist typischerweise HPC-Cluster, Oracle RAC.

Patrick: Die nutzen sowas. Also der normale Server-Webhosting-Standard-Infrastruktur

Patrick: ist das Risiko eher gering, weil das betroffene Kernel-Modul da gar nicht geladen ist.

Patrick: Bis in Chronologie, Anfang Mai gab es einen Fix für den zugrunde liegenden Kernel-Fehler,

Patrick: der ging an die zuständige Entwickler-Mailing-Liste.

Patrick: 19.05., also heute, ne? Nee. Entschuldigung, 19.05. Heute vor einem Monat.

Patrick: Ging das Ganze dann halt an die Öffentlichkeit. Es gab ein Proof of Concept,

Patrick: ein Exploit und so weiter.

Patrick: Und am 21.05. ist das Ganze in der NVD-Datenbank unter dem CVE-2026-43494 veröffentlicht.

Patrick: Ubuntu hat zum Beispiel am gleichen Tag noch eine eigene Risikoabschätzung veröffentlicht

Patrick: und weitere Distributionen und Anbieter, CloudLinux, KernelCare,

Patrick: haben dann mal geguckt, ob,

Patrick: Systeme betroffen sind und wie viele Standardkonfigurationen betroffen sein

Patrick: können. Aber da kam schon so raus, ja, das ist nicht viel.

Patrick: Der Fehler selber steckt in diesem RDS, also in diesem Reliable Datagram Sockets.

Patrick: Und naja, es ist jetzt nicht ganz so vergleichbar mit Copy-Fail oder Dirty-Frag,

Patrick: dass es ein bisschen anders gelagert ist.

Patrick: Der Angriff selber funktioniert nur dann, wenn halt mehrere Voraussetzungen erfüllt sind.

Patrick: Also RDS muss aktiviert sein, io_uring muss aktiviert sein und es braucht eine

Patrick: passende SUID-Binary in dem System.

Patrick: Und sobald halt eine Sache davon nicht erfüllt ist, funktioniert das Ganze schon nicht.

Patrick: Und da die allermeisten Server halt draußen gar kein RDS aktiviert haben,

Patrick: zieht das halt auch nicht. Das führte zum Beispiel dazu, dass Ubuntu relativ

Patrick: schnell gesagt hat, ja, okay, das ist jetzt halt so, das ist nicht geil,

Patrick: aber da brennt jetzt nicht die Welt.

Claudia: Ja, ich glaube, das war auch jetzt eine 7,8 oder sowas, wenn ich mich nicht

Claudia: täusche, habe ich gelesen, aber gut, wenn die dann auf einer Handvoll Systeme

Claudia: auf der Welt überhaupt nutzbar ist.

Patrick: Was jetzt dann noch ganz interessant ist, ist halt, dass PinTheft halt tatsächlich,

Patrick: also zumindest gibt es ein interessantes zeitliches Zusammenfall.

Claudia: Ja.

Patrick: Also innerhalb von drei Wochen sind dann halt vier Lücken bekannt geworden,

Patrick: nämlich Copy Fail, das war Ende April, Dirty Frag Anfang Mai,

Patrick: Fragnesia war Mitte Mai und PinTheft Ende Mai.

Patrick: Bei allen Vieren ließen sich im Speicher gehaltene Programmkopien austauschen

Patrick: und dann halt entsprechend darüber war dann der Exploit möglich und dadurch, dass halt,

Patrick: die Programmkopie im Speicher bearbeitet wurde, gab es halt gar nicht erst,

Patrick: musste halt auf der Platte selber gar nichts manipuliert werden.

Patrick: Technisch ist es aber tatsächlich so, dass diese unterschiedlichen.

Patrick: Die Lücken unterschiedliche Fehler in unterschiedlichen Kernelbereichen nutzen.

Patrick: Also es gibt da keine gemeinsame Ursache.

Patrick: Auffällig bleibt halt das Tempo. Also binnen drei Wochen vier solche Klöpse, das ist schon spannend.

Patrick: Ja, und das deutet schon halt darauf hin, dass halt auch gezielt nach entsprechenden

Patrick: Mustern, also auch wahrscheinlich da mit Hilfe von KI, entsprechend gesucht wurde.

Patrick: Und tatsächlich ist es so, dass PinTheft von allen vier Lücken so die mit Abstand

Patrick: kleinste praktische Reichweite hat.

Patrick: Nur lokal ausnutzbar heißt natürlich nicht, dass es harmlos ist,

Patrick: also gerade so Cloud-Container-Umgebung. Da kann man halt schon mal ausbrechen.

Patrick: Ein Kernel-Update, reicht im Zweifelsfall eben nicht aus, also zumindest nicht

Patrick: alleine, wenn eine im Speicher gehaltene Kopie bereits manipuliert wurde.

Patrick: Da muss man dann halt Page Cache löschen. Ja, gehst du mal neu starten vielleicht nach Kernel-Update.

Claudia: Sollte man eh.

Patrick: Und die Einschätzungen der entsprechenden Distribution sind oft aussagekräftiger

Patrick: als die nackte CVE-Meldung.

Patrick: Muss man ganz klar sagen. Also CVE Die klangen ja schon wieder so,

Patrick: oh mein Gott, alles brennt.

Claudia: Ja, das ist wahr.

Patrick: Aber es ist halt nicht so. Mhm.

Patrick: Da muss man aber ein bisschen locker durch die Hose atmen. Ich habe es jetzt

Patrick: heute halt mal mit reingenommen, weil es ist mir heute über den Weg gelaufen.

Patrick: Aber ja, so bei Copy-Fail, Dirty-Frag, dachte man auch so, oh mein Gott.

Patrick: Und nachdem Aruba sich ja immer noch nicht in der Lage gesehen hat,

Patrick: also gefixte AOS-CX Releases rauszuhauen.

Claudia: Ja, ich warte aber auch immer noch auf die Nutanix AOS 7.5.1, die angekündigt

Claudia: war oder seit 13. Mai draußen sein sollte. Ich weiß, wie bei keinem Kunden bisher

Claudia: angekündigt. Ich auch nicht.

Patrick: Also ist schon lustig, ne?

Claudia: Ja, und auch AOS-CX sollte erste, nee, erste Juni-Hälfte ist rum. Ja, so sad.

Patrick: Guck mal, ist aber... Nix ist Verlass.

Patrick: Doch, was mit Holz und kleinen Tierchen.

Claudia: Doch, auf uns ist Verlass.

Patrick: Ja, auf uns ist Verlass. Wir liefern.

Patrick: Ja, mit Blick auf die Uhr würde ich fast sagen, ist das eine runde Sache hier?

Claudia: Denke schon.

Patrick: Jetzt betteln wir nochmal um Fünf-Sterne-Bewertungen.

Claudia: Das Übliche.

Patrick: Bei iTunes und Spotify und so weiter auf den Plattformen eurer Wahl.

Patrick: Wenn ihr das Sticker haben wollt, dann einfach mal in den Shownotes gucken. Da gibt es eine Adresse.

Patrick: Da schickt ihr mal einen in euch frankierten Rückumschlag hin und dann tun wir das Sticker rein.

Claudia: Machen wir.

Patrick: In diesem Sinne würde ich sagen, bis ganz bald.

Patrick: Ich kriege jetzt wahrscheinlich für das Programmier-Minion noch auf die Nase.

Patrick: Aber ist ja ein Podcast. Ihr müsst ja da mein blaues Auge nicht sehen.

Claudia: Genau.

Patrick: In diesem Sinne, bis dann. Tschüss.