No Bullshit Founders: Was bei unseren Startups gerade wirklich passiert
In dieser Folge No Bullshit Founders wird’s wieder schön direkt: Ole, Moritz und Tim sprechen über das, was bei ihren Startups gerade wirklich passiert — ohne Buzzword-Bingo und ohne Hochglanzfassade. Es geht um den Start von OnlyOle, riskante E-Commerce-Modelle mit ungewöhnlichen Payment-Setups, die Herausforderungen des chinesischen Marktes und die Frage, wie viel Regulierung Startups eigentlich noch sinnvoll stemmen können. Dazu kommen Themen wie Azubi-Pflicht in Berlin, der neue Widerrufsbutton im B2C-Commerce, Barrierefreiheit im Web und ein Blick auf Claude 4.7, Claude Mythos und den wachsenden Einfluss von KI auf Security und Softwareentwicklung. Eine Folge über echte Baustellen, spannende Marktbewegungen und die Frage, wie man als Gründer zwischen Tempo, Risiko und Compliance noch sauber manövriert.
Transkript anzeigenTranskript verbergen
Schön, dass ihr wieder einschaltet zu einer neuen Folge No Bullshit Founders. Wie immer mit Ole und mir und heute mal wieder ohne Gast, das waren nur unsere alte Dreierungen, wir wollen euch heute mal ein bisschen abholen, was bei uns so ansteht in unseren Startups. Was aktuell passiert und dachten wir uns, was vielleicht mal interessant ist, sind so die aktuellen Themen, Ja, die neuen Gesetze, die vielleicht für die ganzen Startups interessant sein können. Das sind zum Beispiel der EU AI Act, das NIST2-Umsetzungsgesetz oder der tolle neue Widerrufsbutton für B2C-Shops, vielleicht nochmal ein bisschen Claude, Mythos, vielleicht mal die interessante Azubi-Pflicht in Berlin, aber da kommen wir gleich nochmal zu den ganzen Themen. Deswegen jetzt erst mal zu uns. Was mich auf jeden Fall interessiert, Ole, was macht dein OnlyOle?
Wir starten mit spicy Content heute, ne?
Vielen Dank.
Nein, nochmal kurz für alle, die noch nicht wissen, was OnlyOle ist, oder onlyole.consulting. Da biete ich quasi 1 zu 1 Beratung zu DevSecOps-Themen an. Alles, was Lieferketten-Sicherheit, Pipeline-Sicherheit und alles, was man so sich vorstellen kann, in diesem ganzen Bereich stattfindet. ist jetzt ja erst auch Ende März gestartet, also noch relativ frisch. Ich habe auf jeden Fall dann noch jetzt Kapazitäten frei, aber schon ein paar ganz interessante Dinge gesehen. Und ich sage mal, die aktuellen MPM-Schwachstellen bringen natürlich Gesprächsbedarf in dem einen oder anderen Team.
Ja.
Das ist auf jeden Fall ganz interessant. Auch mal noch mal komplett andere Perspektive zu dem, was sonst so jeden Tag bei mir auf dem Tisch landet. Und ja, ich denke, ich habe noch so ein bisschen Kapazitäten. Also wer Interesse hat, einfach melden. Könnt auch einfach mal auf die Seite schauen. Das ist ein bisschen absichtlich provokativ.
Aber bist du denn soweit zufrieden?
Ja.
Das ist etwas, was man stealen kann, die Idee.
Nein, natürlich sollte man das nicht klauen. Ist ja meine Idee. Aber wer es kopieren möchte, ja, ich denke, das ist ein spannender Bereich. Es lohnt sich da auf jeden Fall, unterwegs zu sein. Und wenn man das Wissen halt auch hat, gerade diese Mischung zwischen Dev, also Entwicklung, Sicherheit und auch Betrieb, ist natürlich eine spannende Perspektive, die, wie ich gestern auch beim Smart Lab in Düsseldorf gelernt habe, einfach in vielen Teams auch fehlt.
Ja, ja.
Da gibt es dann immer jemand, der macht Security, der macht Dev, der macht Ops und es gibt auch Teams, wo echt DevOps gelebt wird, aber dann Security nochmal überall so richtig einbinden ins tägliche, das findet einfach noch gar nicht so häufig statt. Und ich denke, das wird immer sicher, äh, immer wichtiger. So, ja, gerade auch auf Hinblick jetzt CAA kommt jetzt ja auch in Deutschland irgendwann. Das wird immer wichtiger.
Und zum Beispiel auch NIST 2, das habe ich zur Vorbereitung auch ehrlich gesagt unterschätzt, weil das kann einen doch auch ziemlich schnell betreffen. Aber da können wir gleich nochmal drüber reden. Aber ich meinte mit dem Konzeptstil, meinte ich das nicht unbedingt perfekt eins zu eins, da habe ich nicht die Idee natürlich mit dem DevSecOps, sondern generell einfach dieses Consulting einfach, mit so einer, ich sag mal, ein bisschen... provokativ ist ja auch nicht, aber so eine ansprechende Seite sage ich jetzt einfach mal, um halt irgendwie Aufmerksamkeit zu schaffen. Das könnte ja auch andere Consulting-Bereiche einfach sein. Muss ja auch nicht nur Informatik-Bereich sein.
Ja, es ist sehr klassisches Attention Hacking.
Mhm.
Du assoziierst erst mal was anderes, dadurch merkst du es dir besser und kommst halt eher auf die Idee nochmal zu sagen, ja komm, eigentlich ist es witzig oder auf jeden Fall habe ich es mir gemerkt und deswegen gehe ich dahin. Das ist wie mit dem neuen Ferrari flexen, um zu zeigen, dass alles voll super ist.
Ich auch. Okay, also läuft doch gut. Ja, war sehr cool. Sehr cool. Und bei dir, Moritz, was macht der Shop? Was macht das E-Commerce?
Ist ja nicht mein Ferrari und ich habe auch nicht damit geflext, aber andere, die diese Methode verwenden, tun das ja aktuell. Ohne Name-Dropping jetzt wieder zu machen.
Der Shop ist soweit ganz interessant, dass ich jetzt bin, jetzt reden mit einmal einem möglichen Entwickler und auch mit zwei Payment Providern, mit denen ich auch früher mal gearbeitet habe für ein sehr ähnliches Projekt, was ich damals hatte. Genau. Die Sache ist aber, das Projekt ist halt ein bisschen Risiko. Ich weiß nicht genau, ob das jetzt genauso, wie ich mir das denke, funktioniert. Und deswegen muss ich mal schauen, wie ich das Risiko begrenze. Jetzt auch bei den Kosten und so weiter. Genau.
was für Art von Payment Provider sind das? Du hast ja gesagt, du möchtest ja auch Telefon anbieten.
Ich hatte mich ja damals darauf spezialisiert, dass man mit seinem Handy bezahlen konnte, so Direct Carrier Billing, sowas und auch so Service Rufnummern, wo du dann anrufen kannst und dann pro Minute oder pro Anruf bezahlst.
Hm, okay.
Genau, solche Sachen.
Was ist da so das Risiko, was du da siehst?
Das Risiko ist ein bisschen in dem, wie ich das anbieten möchte. Ich habe damals einfach angeboten, dass man damit bezahlen konnte oder einkaufen konnte und da hatte ich dann immer das ganze Risiko, weil es ziemlich hohen Fraud-Risk gab. Das heißt, dass irgendwie Leute betrügerisch bezahlt haben oder dann wurde das Geld zurückgebucht oder sowas. Und deswegen habe ich auch damit aufgehört mit den Geschäftsmodellen. Jetzt habe ich mir eine Art und Weise ausgedacht, wie ich dieses Risiko für mich einschränken kann, indem ich nämlich
Ja.
den Leuten ihr Guthaben, was sie aufladen, über diese Hochrisikomethoden erst über einen längeren Zeitraum gutschreibe. Und dann teile ich sozusagen das Rückbuchungsrisiko mit den Kunden direkt selber. Ob die das annehmen, weiß ich nicht genau. Und das ist halt das Hauptrisiko, ob die Leute das annehmen.
ok verstehe
Ich kann dann, ich würde dann, also der Hauptwettbewerber, den es damals auch schon gab, als ich aktiv war, der macht das halt genauso, wie ich immer noch, wie ich das damals gemacht habe. Ich würde jetzt halt dieses Risiko mit den Kunden teilen, dafür aber den Kunden einen viel höheren Payout oder viel niedrigere Payment-Kosten anbieten, dass sie zum Beispiel statt 10 Euro Handyzahlung in 5 Euro Amazon umwandeln können, können sie bei mir dann halt vielleicht 10 Euro Handyzahlung in 7 Euro oder 7,50 Euro Amazon umwandeln, beispielsweise.
Ach so, das ist gar nicht 1 zu 1, auch bei deinem Konkurrenten. Das heißt, 10 Euro zahlst du ein und kriegst nur 5 raus.
Man hat mindestens immer so 25% Payment-Kosten bei den Payment-Providern direkt und die Konkurrenz, die berechnet halt die ganzen Rückbuchungen mit ein und dann machen die halt nicht 25% Payment-Kosten, sondern 50% Payment-Kosten.
Ach okay, krass.
Ach krass.
Genau.
Das hätte ich nicht gedacht. Also ich meine, wo ich zum Beispiel das Amazon-Gutschein oder wo auch immer kaufe, dann ist das eigentlich 1 zu 1. Das zahle ich mit Paypal 25 Euro und kriege ich 25 Euro Gutschein oder was auch immer.
Klar, klar, wenn du, aber hier geht es ja speziell um die Handy-Payment, speziell darum, Handy gut haben zu Geld zu machen im Endeffekt.
Was ist da so der Spezialfall? Ich meine, warum möchte man das lieber mit dem Handy bezahlen als mit dem Paypal-Konto oder mit was auch immer?
Ich habe da schon über die Zeit sehr viele verschiedene Fälle kennengelernt. Das geht damit los, dass irgendwelche Minderjährigen kein eigenes Konto haben.
Mhm.
Es gibt den Fall, dass irgendwelche Drogendealer kein Geld von ihren Kunden kriegen, dann nehmen sie den Handyvertrag. das geht darüber, dass irgendwelche Leute sehr billig an Prepaid-SIM-Karten kommen und dann laden die tausend verschiedene Prepaid-SIM-Karten bei dir auf, um das halt umzutauschen mit Profit. Es gibt verschiedenste.
Interessant. Da öffnen sich ja ganz andere Welten.
Es ist interessant, weil es halt ja für mich funktioniert damals. Aber bei mir hat es damals ja auch so gut funktioniert, weil ich habe angefangen, ohne eine Webseite, ohne einen Online-Shop einfach direkt Sachen zu verkaufen für die Spiele damals. Und dann, als ich einen Online-Shop schon hatte, hatte ich dann die Idee, lass auch mal sowas wie Amazon verkaufen. Und dann musste ich da jetzt nicht erst ein Risiko-Invest von 20.000 Euro oder so tätigen, sondern ich hatte schon den Shop, ich hatte schon die Payment Provider, ich hatte schon alles. Habe ich einfach nur Amazon-Gutscheine mit reingenommen, es hat dann gut funktioniert. Genau.
Okay, das ist richtig spannend auf jeden Fall. Aber cool, der muss uns auf jeden Fall auf dem Laufen halten. Und du, Ulle, auch.
Ja, ja, man stört, man stört.
Was da bei dir passiert.
Ja. Hm.
Das sind schon zwei sehr spannende Ideen auf jeden Fall. Also bei mir ist gerade eher so das größte Problem, dass China sich so ein bisschen von dem US-amerikanischen Markt so ein bisschen abkoppelt. Das heißt, alles, was ich anbiete... muss ich mittlerweile halt auch mit auf dem chinesischen Markt halt speziell anbieten. Das heißt, es gibt dann amerikanische Shops, wo ich meinen Kram drin verkaufe. Und es gibt ja mittlerweile, ja, chinesische Shops, wo ich einfach eins zu eins genau das Gleiche halt anbieten muss. Plus halt nur übersetzt halt. Das ist ein bisschen blöd, weil, ja, ich sag mal so 30, 40 Prozent meiner Kunden kommen halt auf so einen chinesischen Markt. Und das ärgert mich so ein bisschen, weil ich die Sprache natürlich nicht natürlich auch nicht lesen kann und schreiben kann das heißt natürlich kann das natürlich mit die die oder halt mit cloud was auch immer alles schön übersetzen lassen aber du weißt halt nicht ist es jetzt wirklich alles so korrekt man das dann auch sagen würde wirklich oder auch schreiben würde dass das ärgert mich so ein bisschen also ich kenne jemanden der das ganz gut der guckt dann noch mal darüber wenigstens ob das so passt und in die richtige Richtung geht. Das ist halt trotzdem ein bisschen ärgerlich, wenn du so einen großen Kundenstamm hast, der eine Sprache spricht, die du nicht erfassen kannst, nicht greifen kannst. Das ist ein bisschen nervig.
Das finde ich sehr spannend, weil damals bei meinem Shop, bei dem wir darüber gesprochen haben, da habe ich ja auch als Supplier mit chinesischen Firmen zusammengearbeitet. Und da habe ich auch öfters mal überlegt, ob ich mir irgendwie so eine 400 Euro chinesische Kraft anstelle, die einfach viel so Outreach machen soll zu möglichen Suppliern oder so, weil man steckt da ohne richtig... Chinesisch zu können und so in der Kultur drin zu sein, steckt man ja nicht so richtig drin.
Ja, ich erlebe das auch bei unseren Kunden, jetzt von der Muselwahl noch, regelmäßig, die halt auch im chinesischen Markt sind, wie, was ist denn heute los?
Ja.
Die halt wirklich viel Aufwand da reinstecken. Also allein, die müssen halt für ihre Online-Shops auch jeweils ein eigenes Hosting im Land haben mittlerweile. Und dann auch halt alles geht tausendmal hin und her. Also das ist echt aufwendig und mit viel, viel Arbeit und viel, vielen Kosten verbunden, quasi den Markt noch mit zu bedienen.
Ja, aber es lohnt sich halt in dem Fall.
Ja.
Erstens, okay, es sind 40% meiner Kunden sind halt wirklich im chinesischen Markt und generell 70% aller möglichen erreichbaren Kunden von mir, also es sind alles Spieleentwickler, die kommen halt aus China. Das heißt, 30% sind halt nur der Rest und 70% kommen halt aus der Region, also lohnt es sich schon extrem. Also ich habe das bis jetzt so gelöst, ich hatte einen Kunden aus China, der, ja, das hat damit angefangen, dass er Probleme hatte, wirklich meine Software in den amerikanischen Markt zu kaufen, da kann ich ihm das Gespräch und über meine Webseite habe ich ihm einfach die ganzen Lösungen dann erstmal kostenlos einfach angeboten und da haben wir so einen kleinen Deal halt gemacht, der kann halt kostenlos meine Software halt verwenden, guckt halt dann immer nur über meine Texte und korrigiert dann meine Texte, die ich halt auf dem chinesischen Markt veröffentliche.
Oh.
So ein bisschen Win-Win halt für beide. Er kann halt kostenlos Software benutzen und ich habe halt immer nochmal irgendwo drüber geguckt. Also die ganze Übersetzungstool, die können das ja mittlerweile eigentlich ganz gut. Aber manchmal gibt es dann so zwei, drei so kleinere Feilstricke oder irgendwie sowas und das korrigiert er mir dann und das ist schon auf jeden Fall echt ganz nett.
Das Interesse hast du ihm mal gefragt, ob er irgendwie Ideen hat, wie du noch mehr Umsatz auf dem chinesischen Markt machen könntest?
Ja, der hat einige Sachen schon mal gesagt, aber da bin ich noch nicht so tief hinterher. Zum Beispiel, ich biete ja verschiedene Support-Channels an. Einer ist ja zum Beispiel jetzt meine neue Community über Discord. Discord kannst du zum Beispiel ja gar nicht erreichen aus China.
Mhm.
Die nutzen dann halt irgendwelche anderen Tools. Sehr viel geht dann über WeChat oder sowas. Das habe ich zum Beispiel nicht. Das wäre vielleicht eine Möglichkeit, da nochmal in die Richtung zu expandieren und vielleicht da nochmal einen Kanal irgendwie anzubieten. Plus hat er natürlich nochmal ein, zwei andere Tools, die es gibt und Lösungen. Und da vielleicht mal Fuß reinkriegt. Aber da ist auch wieder Schwierigkeit. Bei einigen Sachen ist es so, dass du als Europäer oder westlicher Mensch dich da gar nicht für anmelden kannst oder das gar nicht nutzen kannst. Das kommt manchmal auch dazu.
Und was ich noch weiß, ist auch unsere Kunden, also die Kunden, die in China wirklich Geschäft machen, die hosten halt auch ihre Videos extra nochmal bei Yuko oder so in China, um da die mitzunehmen, weil YouTube, glaube ich, nicht erreichbar ist oder teilweise erreichbar ist, irgendwie sowas. Das ist halt auch echt, ja, es ist halt mit Arbeit verbunden, damit du im Markt sichtbar bleibst und wirst und erreichbar bist.
Genau, das kommt auch dazu. Ja, ja, ja. Du musst halt wirklich alles irgendwie doppelt machen.
Ja.
Ist ein bisschen nervig, aber ich sag mal, hoffentlich lohnt es sich am Ende. Schauen wir einfach mal, ne?
Wenn 70% eines Marktes da sind, lohnt es sich, glaube ich, schon. Spannend.
Dann lohnt es sich ja eher fast Europa abzuschalten.
Ja, aktuell kommen ja auch 60% meiner Kunden aus Europa und Amerika oder auch Afrika viele. Das ist auf jeden Fall sehr interessant und ich glaube, dass diese Spannung werden in Zukunft auch noch zunehmen. Aber naja, da bleiben wir einfach dran und ich berichte auch, was da so passiert. Ja, naja, jetzt vielleicht mal zu den Themen, die wir anfang angesprochen haben was vielleicht so interessant sein könnte da hast du letztens einen sehr interessanten bericht aufgeworfen ohne mit der azubi pflicht in berlin ja
Ah ja. Hilf mir nochmal, wie viele Azubis man auf wirklich viel festgehalten macht. Es war auf jeden Fall sehr niedrig, ab wann man das braucht. Berlin hat auf jeden Fall jetzt die eingeführt oder wolltest du einführen? Ich bin mir gerade nicht mehr so sicher, ich habe den Artikel nicht mehr im Kopf zu 100%.
Ja, ja, also ab.
Ja, das war so, ich bin nicht in Berlin, das ist gut.
Ja, das ist so.
Weil du jetzt halt tatsächlich verpflichtet wirst, abhängig von der Anzahl der Beschäftigten Azubis zu haben und sonst musst du Abgaben dafür zahlen. Und was ich dazu so absurd fand, war, Es gibt Unternehmen, die halt einfach ihre freien Stellen für Azubis gar nicht besetzt bekommen. Und dann hast du auf der anderen Seite halt super viele Startups, wo auch Leute sitzen, die aber auch gar nicht ausbilden könnten oder dürften. Die haben gar nicht die Voraussetzungen, auch um ein Ausbildungsbetrieb zu werden. Ich finde das so absurd. Einerseits möchte Berlin Haupt-Startup- City in Deutschland sein. Ja, oder und dann kommt man mit solchen Regeln um die Ecke, wo ich mir so denke, wem soll das denn jetzt wirklich helfen? Wen soll das voranbringen? Ja, also noch schnelle Umziehen.
Ja, also das Gesetz wurde am 26. März, also vor knapp drei Wochen, wurde das jetzt final verabschiedet im Berliner Abgeordnetenhaus und gilt ab 2027. Und wie du gesagt hast, ja, beziehungsweise die ersten Rechnungen, was du gerade gesagt hast, erst ab 2028, also hast du noch knapp anderthalb Jahre Zeit.
Ja. Ja.
Aber generell sind halt alle Berliner Unternehmen betroffen, die mindestens zehn Mitarbeiter haben. Und das geht ja, wenn einem das Startup ganz gut läuft, geht das ja relativ fix. Da hast du ja noch nicht mal das Bürogebäude. Und dann ist die Quote, die du erfüllen musst, also die Ausbildungsquote von 4,6%. Also auf deine Mitarbeiter natürlich bezogen.
Ja, wie, also, das ist auch spannend, ne? Wo nimmst du denn den 0,6? Also, du hast ja irgendwo einen halben Azubi. Aber egal.
Also wahrscheinlich alle zwei oder drei Jahre musst du dann einmal einen durchziehen.
Jetzt sind wir mal ehrlich, gerade die Startups mit VC wachsen schnell, aber die holen sich ja keine Azubis rein.
Also Ja, ja. Da gibt es keine Zeit, auch so. Ja. Ja.
Dafür ist das ja, also da hat ja keiner die Zeit. Wie willst du das machen? Und das hilft jetzt ja auch keinem Startup und das hilft ja auch keinem Azubi, weil ja einfach die Startup-Welt eine völlig andere ist als die Corporate-Welt nachher oder die, also das ist ja nochmal komplett anders. Da brauchst du einen ganz anderen Typ Mensch, der sich da wohlfühlt und der da wachsen kann, als wenn du jetzt sagst, komm, ich mache jetzt Azubi, meinetwegen in so einer Consulting-Bude oder in einem klassischen Unternehmen.
Ja. Ja.
Und das ist auch gut, dass du da lernst, weil dann lernst du halt quasi für... den normalen Arbeitsmarkt, wenn du sagst, ich habe mehr Bock auf Startups, dann ist das ein gutes Ding nach Studium oder Ausbildung. Aber jetzt Ausbildung beim Startup, dann kannst du gut rutschen und Tischtennis spielen und crazy shit, alle zwei Wochen ändert sich alles und die klassischen Inhalte musst du dann irgendwie in der Berufsschule mitnehmen und die Berufsschulen waren zumindest zu meiner Zeit nicht so geil. Na, ich weiß es ja nicht. Und was ist zum Beispiel, wenn du duale Studenten hast? Wir hatten auch mal dualen Studenten bei uns. Zählt der dann mit in die Azubi-Quote? Weiß ich nicht, müsste man mal nachlesen. Ja, ne?
Könnte ich mir schon vorstellen, weil der macht ja gleichzeitig die Ausbildung irgendwie mit. Das ist ja so ein Spezialfall, aber... Der einzige Vorteil ist halt, das ist halt so ein bisschen Zucker, Brot und Peitsche, also Kosten. Wenn du unter diesen 4,6% liegst, dann musst du eine Umlage von 0,5% der Bruttolohnsumme zahlen. Jetzt habe ich gerade nicht nachgeguckt, ob Bruttolohnsumme sich auf das Azubi-Gehalt bezieht oder auf den kompletten Umsatz der Firma.
Garantiert auf das, was in deinem Unternehmen läuft.
Aber du kriegst halt, wenn du die Quote erfüllst oder auch zusätzliche Plätze schaffst, erhältst du halt Zuschüsse aus dem Fonds mit ein paar tausend Euro pro Azubi und ja. Also das ist wenigstens okay, aber ich sehe eher sogar das größte Problem auch, dass es einfach gar nicht genug Azubis gibt.
Ja, genau.
Der auch zum Einstieg gesagt ist.
Was machst du, wenn du einen Platz anbietest, niemanden findest?
Ja.
Also, und ich finde, das ist ja genau die Situation, man findet gerade nicht genug Azubis, aber viele Unternehmen finden keine Azubis. Und jedes Jahr sind Stellen frei und ja, jedes Jahr gibt es auch welche, die haben keinen Ausbildungsplatz gefunden, aber dann ist es ja ja einfach, also das kann ja nicht das Problem der Unternehmen werden und sein, fände ich jetzt auch persönlich.
Ja, ja.
Solange sich da an der Situation nichts ändert, sollte man halt nicht solche Regeln machen. Aber vielleicht bin ich da zu liberal, was das angeht.
Ja, bin ich mal gespannt, wenn das ab nächstes Jahr greift, was das so genau bedeutet und die Fragen hat.
Ja, ach, dann ziehen die Startups dann ins Ruhrgebiet um?
Ja, wäre ja auch gut für uns hier.
Ja, warum nicht? Wir haben ja noch alte Stollen, die kann man zu Büroflächen umwandeln. Besonderes Büroflair.
Stimmt, du brauchst ein paar Büros rein. Du fährst immer eine Viertelstunde, zwar nur runter dann immer mit dem Fahrstuhl, aber dann haben wir eine tolle Atmosphäre.
Hat auch nicht jedes Büro in den Bergbaustollen einfahren als Bürobeschäftigung.
Ja, ja. Ja. Ja, dann.
Neues Leben auf der Zeche.
Ja, aber dann gibt es auch noch so ein zweites neues Gesetz, was ich gesehen habe, was auch ein bisschen nervig sein kann. Natürlich aus der Kundensicht kann man es natürlich vollkommen verstehen, aber aus so einer Startup-Sicht, das kann da schon nervig sein, wenn man einiges mal beachten muss. Das ist nämlich der tolle neue Wiederrufsbutton für den E-Commerce-Bereich, den man ab dem 19. Juni 2026, also
Übermorgen.
knapp zwei Monate, musst du den halt drin haben. Das heißt, neben deinem Kündigungsbutton, den es jetzt neuerdings gibt, was auch ganz gut ist, die ganzen Fitnessstudios oder andere, die nicht diese ewig langen Verträge mal anbieten können oder schwierig machen zu kündigen, gibt es jetzt ja diesen tollen Widerrufsbutton. Das heißt, wenn du B2C-Shop bis oder B2C halt irgendwie anbietest, musst du halt ein Widerrufsrecht halt natürlich anbieten, plus halt diesen schönen Button jetzt anbieten, dass man innerhalb von den 14 Tagen kannst du ganz entspannt einfach kostenlos wieder rufen. Und finde ich für mich persönlich ein bisschen nervig. Meine Produkte Produkte richten sich zwar Richtung B2B, aber du musst halt sicherstellen, dass wenn du B2B nur anbietest, dass es auch nur B2B-Unternehmen sind, die sich bei dir anmelden, beziehungsweise auch diese Subscriptions oder Payments halt ausführen. Und das kann ganz schön nervig sein. Also ein bisschen guckt, was man halt machen kann. Also Möglichkeit 1, natürlich in die AGB reinpacken. Guckt sich aber trotzdem wahrscheinlich keiner an. Möglichkeit 2 ist, beziehungsweise zusätzlich noch, dass du bei deinem Payment darstellst, also bei deinem bei dem Pricing, wirklich darstellst, okay, die Subscriptions oder die Sachen, die du kaufen kannst, richten sich wirklich nur an B2B-Unternehmen.
Mhm.
Dass du mal so einen kleinen Infotext auf jeden Fall dazu packst, der es offensichtlich macht. Und natürlich das Dritte, das Beste ist natürlich, dass du, wenn sich jemand anmeldet, da direkt entweder den Business-Namen halt mit abfragst, um darüber sicherzustellen, dass es halt ein Unternehmen ist, oder halt sowas wie Umsatzsteuer oder sowas, aber das ist Kann ein bisschen übertrieben sein. Das Recht, weil das pro Land ja auch unterschiedlich ist. Also... Ja.
Ja, wobei viele fragen die Umsatzsteuer-ID ab, ne? Also zumindest im B2B-Bereich ist das halt relativ üblich.
Ja, die Umsatzsteuer-ID wird ja auch oft abgefragt, damit man theoretisch ein bisschen Kosten sparen kann, dass irgendwie die Mehrwertsteuer nicht mitberechnet wird oder so. Ja, richtig.
Naja, dann hast du Reverse Charge, das liebe ich immer, ne? Da kommt dann Freude auf in der Buchhaltung. Und was mega ätzend ist mit Reverse Charge, ne? Wenn du viele, ähm, Reverse-Charge-Buchungen hast, prüft dich das Finanzamt häufiger.
Ach, ja, da freut man sich doch richtig.
Ja. So, das ist total toll.
Ja.
Wenn du dann als Unternehmen in Europa unterwegs bist und das dann üblicherweise hast, dann wirst du häufiger geprüft. Ja. Also soviel zu europäischen Wirtschaftsraum und alles ist super und einfach. Aber ja, der
Ein Kommentar zu dem Thema, als auch mit dem Widerrufspartner und so. Ich finde das auch natürlich wie immer übertrieben, was Deutschland alles so macht und worum man sich dann irgendwie halten soll. Und das auch besonders für Leute, die gerade sich selbstständig machen wollen. Und noch neu... Das weiß ich auch gerade nicht.
Ist das aber nicht sogar eine EU-Richtlinie?
Oh, das habe ich gerade nicht im Kopf. Das kann vielleicht sein. Sondern alle zusammen.
Aber ich meine allgemein auch EU-weit...
Aber das ist ja an sich ja gut.
Ja, ich wollte nochmal kurz Deutschland in Schutz nehmen. Vielleicht ist es gar nicht Deutschland, die nervig sind.
EU-weit, deutschlandweit gibt es immer wieder solche Sachen. Ich meine, schon allein die DSGVO-Sache, was damals so war, als es angefangen ist. Aber ich meine,
Und wenn man ehrlich ist, also DSGVO, das Ding ist, wenn man sich vorher ans Datenschutzgesetz gehalten hat, ist eigentlich nur das Auskunftsersuchen und diese Löschklamotten dazu gekommen. Alle haben diese riesige Welle gemacht bei der DSGVO, aber eigentlich, und das ist nämlich der Punkt, war da nicht viel Neues drin.
Tür.
So, da sind wir jetzt wieder nach der kurzen Postunterbrechung Bei Tim sind wir jetzt wieder zurück. Wir waren, ihr wisst das bestimmt, weil ihr gar keine Unterbrechung hattet, DSGVO und jetzt der neue, was war es? Wiederrufsbutton.
Widerrufs-Button, genau.
Wiederrufsbutton, ja, sehr gut.
Göttings-Button gibt es schon, Widerrufs-Button kommt jetzt.
Wiederrufsbutton ist jetzt neu. Ich meine, aus Agentursicht ist es total hervorragend, dass die Regulierungen kommen, weil es bringt mehr Umsatz. Aber als Shop-Betreiber ist es natürlich schwierig und ich finde halt auch, was du eben meintest, Moritz, mit für Startups wird es natürlich immer aufwendiger, alle Regulierungen sofort einhalten zu müssen, ne?
Ja. Mhm.
Das macht es natürlich auch unattraktiver, in den Markt einzusteigen und zu gründen und zu sagen, ja komm, jetzt machen wir.
Vielen Dank.
Dein Invest steigt halt mit jeder Compliance-Anforderung, die erfüllt sein muss irgendwie. Oder du fängst halt an auf irgendeiner Plattform und hast dann da das vielleicht mit drin oder sicher mit drin. hast dafür aber halt höhere Kosten die ganze Zeit laufen für den Betrieb. Vielleicht, vielleicht auch nicht.
Da würde ich gerne nochmal eure Meinung zu hören.
Kommt halt darauf, alles was du machst. Hm?
Und zwar, ja, ich sehe das nämlich auch so, diese Anforderungen werden immer höher, aber ich finde, als jemand, der sich selbstständig machen möchte, der was Neues probieren möchte oder auch was was es schon ganz viel gibt, irgendwas Neues aufmachen möchte, sollte man sich nicht so sehr davon beeindrucken lassen, finde ich jetzt. Also ich finde ganz am Anfang, um erstmal das Geschäftsmodell zu testen, ob man damit sein Geld verdienen kann, das Ich bin da jemand, ich kümmere mich um diese ganzen hakeligen Sachen erst, wenn ich überhaupt weiß, dass es überhaupt funktioniert. Also das heißt, ich gehe das Risiko teilweise ein, dass jetzt vielleicht noch kein Widerrufsbutton auf meiner Webseite ist. Aber wenn ich merke, okay, ich kann ja mit Geld verdienen, dann kann ich auch in jede kleine Regularie dann da noch reingehen und das Geld investieren. Wie seht ihr das? Ist das für euch zu viel Risiko?
spezialisieren. Und in der Vergangenheit war es ja so, mit jeder neuen Regulierung gab es auch immer diese Abmahnwelle. Jeder, der es nicht eingehalten hat, ich sage nur Google Fonts etc., hat dann erst mal Post bekommen.
Okay.
Mal. Weiß ich nicht. Vielleicht ist dann auch der bessere Weg, von Anfang an einen technischen Partner zu haben, der diese Compliance-Anforderungen schon für andere gelöst hat und das einfach, ich sage mal, im Standardpaket mit drin hat. dann ist vielleicht der Weg starker technischer Partner oder halt fertige Plattformlösung dann doch besser. Also ich würde das Risiko persönlich jetzt nicht eingehen wollen. Das lohnt sich. Also ich finde, da gibt es Risiken, die lohnen sich mehr einzugehen.
und ich meine erst recht wenn ich schon parent provider irgendwie drin hast Da musst du halt irgendwie noch einen kleinen Check irgendwie mit einbauen. Das guckt wird, okay, wenn wir die Subscription abgeschlossen oder der Kauf, dann zeigst du die nächsten 14 Tage halt noch einen Button an, mit dem man halt die Subscription rückabwickeln kann. Oder das Payment. Das ist natürlich ein bisschen nervig, aber ich glaube gar nicht so viel Aufwand, weil es natürlich auch Finde ich dann zum Beispiel blöd, Moritz, wenn du es dann meinst, okay, ich mache das erst später, oder generell, wenn man sich überlegt, das später zu machen, ist die Strafe, soweit ich das jetzt rausgefunden habe, keine Geldstrafe, sondern das Widerrufsrecht verlängert sich jeweils um ein Jahr.
Ja, und das wieder...
Das heißt, der Kunde hat dann ein Jahr und 14 Tage Widerrufsrecht. Dann gucken wir am Ende, wie sich das danach akkumuliert. Hast du vielleicht auch immer direkt 100 Kunden und dann kommen die nach einem Jahr an. Oh ja, jetzt hätte ich gerne meine, keine Ahnung, 5000 Euro bitte jetzt zurück. Dein Business lief gar nicht. Okay, einmal generell. Okay.
Da muss man sicherlich auch schauen, um welche Sache es jetzt geht, wenn bei diesem Widerrufspartner, das hört sich so an, das würde ich auf jeden Fall auch dann sofort machen. Aber ja, es ist
Also.
Ja, klar kann man das so machen, wie ihr sagt. Ich weiß halt nur, dass... Also ich kenne halt zum Beispiel niemanden, der wegen irgendeiner von diesen Sachen abgemahnt wurde, jemals.
Wahrscheinlich ist man auch zu klein. Das kann auch sein, dass die Anwälte natürlich auch da gucken, wo es am meisten Geld gibt.
ein paar der größeren Kunden, wo ich so unterwegs bin, haben da entsprechend Probleme gehabt. Gar nicht, weil sie es nicht umsetzen wollten, sondern einfach, weil, naja, die meisten Teams sind halt entsprechend ausgelastet. Manchmal sind halt zwei Jahre dann in der einen oder anderen Gesamtkonzernplanung doch echt kurz. Oder dann wird halt doch gesagt, so aus Strategiesicht, dass es jetzt Wir machen das einfach einen Monat später. Also zum Beispiel so Sachen wie Cookie Banner. Kleine Anekdote dazu. Da wurde mit der Umsetzung an dem Tag des Inkrafttretens erst gestartet. Plan. Riesenkonzern, wer weiß wie viel Compliance-Anwälte und hast du nicht gesehen, überall mit drin. Aber bis es dann beim Entwicklungsteam tatsächlich mal da war, dass es umgesetzt werden konnte, dass klar war, welche Lösung soll es auch wie sein, hat dieser ganze Prozess so lange gedauert, dass es halt erst dann in die Teams getragen wurde. So, das war dann irgendwie drei Tage oder vier Tage auch später da. Das war jetzt nicht so das Thema, ne? Ähm, Aber selbst wenn du groß bist, schützt sich das halt kein Stück vor solchen Sachen. Und dann sind Dinge auch sehr überraschend für einige.
Das ist genau das gleiche wie mit der Barrierefreiheit. Das ist ja ein zweites Unternehmen, was ich ja mit Aufbau, User Aid, kümmern uns ja um Barrierefreiheit für Webseiten. Das unterschätzen halt auch sehr viele. Also erstens fehlt das Wissen, wer überhaupt barrierefrei sein muss. Und, also mal kurz zur Erinnerung, ab 10 Mitarbeiter, B2C oder 2 Millionen Jahresumsatz. Und viele Firmen, also entweder sie wissen es nicht, deswegen muss man da viel Arbeit reinstecken, oder sie unterschätzen es total. Oder sie lassen sich irgendwas von irgendwem... einreden, dass halt irgendwelche anderen Lösungen zum Beispiel reichen. Es gibt hier zum Beispiel, was viele von euch vielleicht schon mal gesehen haben, ist so ein Widget, das ist wie so ein Icon, das unten rechts oder unten links so eine Ecke ist, das ist ein bisschen wie so ein Cookie-Banner.
Ja.
Da kannst du draufklicken und dann ein bisschen an der Webseite ein bisschen Kontraste einstellen, Texte erhöhen und so weiter und so fort. Und da glauben halt viele, beziehungsweise es gibt viele, die verkaufen das, Und sagen dann, ja, das ist jetzt die Lösung, das braucht er, das kauft er mal für uns von, für uns, bei uns von, für, keine Ahnung, 10 Euro im Monat, dann seid ihr fertig, dann glauben die das und dann werden sie trotzdem mal abgemahnt, weil das gar nicht, das erfüllt das gar nicht. Und zwar, es funktioniert auch nur, wenn die Webseite barrierefrei auch ist einfach. Aber, ja.
Das Problem ist aber auch, das ist gar nicht mal so einfach, weil auf der Umsetzungsseite, es gibt gar nicht so viele Entwickler, die tatsächlich genau wissen, wie das funktioniert. Und dann hängt es auch immer ganz stark an, Wenn du dann ein entsprechendes Audit machst, hängt das Ergebnis auch immer ganz, ganz stark davon ab, von welcher Prüfer war das denn dran. Ja, weil jeder Prüfer bewertet die Ergebnisse oder die Sachen, die da sind, auch noch ein bisschen unterschiedlicher. Das ist jetzt nicht so, dass man jetzt sagen könnte, 100% sind davon hart durchtestbar und es gibt ein, zwei, drei richtige Wege zur Lösung, sondern es ist halt mega... mit Unschärfen belegt, was denn jetzt auch wie bei welcher Prüfung durchgeht. Wir haben Menüstrukturen, zum Beispiel, die wir überall gleich haben eigentlich. Die sind in der einen bei ihren Freiheitsprüfung ohne Probleme durchgegangen, alles war in Ordnung. Und in der anderen hat der Prüfer gemerkt, er möchte das anders haben.
Ja, ja, das ist total beschwert. Mhm. Mhm.
Und gleichzeitig hast du dann ja auch so Sachen wie der HTML5-Standard ändert sich. In 5.2 war es jetzt, glaube ich, ist rausgeflogen wieder, dass du Überschriften pro Section eigentlich strukturieren kannst und so Sachen. Und dann war mal eine ganze Zeit lang der Trend, mehrere H1 auf der Seite zu haben, nämlich für Navigation, für den Main-Bereich und so weiter. Und dann kommt ein Prüfer und sagt, ja, hier, aber das möchte ich haben und das geht nach heutigen Standards einfach nicht mehr, weil es nicht mehr gültig ist. oder auch nie so richtig unterstützt wurde. Also, naja, so.
Das ist natürlich richtig, aber gleichzeitig market SEO das Ganze auch hat. Viele H1-Überschriften auf der gleichen Seite. Finde ich Google jetzt auch nicht toll und rankt die da entsprechend auch wieder niedriger.
Ja, genau, deswegen ist es ja auch wieder aus dem HTML-Standard her wieder rausgeflogen.
Man hat auch die Struktur haben. Okay.
Das war quasi mal eine Idee, die nie ins Leben gerufen wurde, dass das wirklich überall unterstützt wird.
Ja.
wieder.
ja, das stimmt.
Weil heute was barrierefrei ist, heißt das nicht, dass es morgen noch ist.
Ja. Das stimmt, die Regeln entwickeln sich natürlich auch weiter. Und nur weil etwas technisch barrierefrei ist, heißt es ja trotzdem nicht, dass jemand, der die Webseite sich anguckt, die auch barrierefrei bedienen kann. Man muss schon immer häufig so eine Kombi irgendwie machen, dass die Menschen wirklich die entsprechenden Probleme, die Bedienung,
Ja, und da kommen dann nochmal, ich war in so einem großen angelegten Test auch drin mal, und da kommen dann komplett andere Anforderungen und Ergebnisse raus, als eigentlich technisch gefordert werden.
haben, dann auch nochmal drüber schauen. Hm. Hm. Hm.
Die sagen dann zum Beispiel, nee, das ist totaler Unsinn, das brauchen wir eigentlich gar nicht. Das steht aber drin, du musst das machen. Dann sagen die, eigentlich wäre viel hilfreicher, macht A, B, C, D. Und das kannst du da aber nicht machen, weil sich das eigentlich mit anderen Regeln weist. Also auch da sind dann wieder Schwierigkeiten.
Ja. Und theoretisch gilt ja dieses Gesetz ab letztem Jahr.
Ich finde, das ist ein mega wichtiges Thema. Aber es fehlt eigentlich an der Klarheit immer noch, wie das alles so umzusetzen ist, dass es tatsächlich gut bedienbar ist.
Juni? Juli? Das gehört gar nicht mehr ganz im Kopf. Aber so Abmahnwellen gingen da jetzt auch noch nicht los. Und ich glaube, das ist halt auch so ein bisschen das Ding.
Ja, genau. Das ist ja auch schwieriger zu prüfen, weißt du. Ich glaube, das ist dann wieder so, das ist anders als so eine Buttonlösung. So eine Buttonlösung ist halt super einfach zu prüfen.
Das stimmt.
Ist es da, ist es nicht da. Kein technischer Aufwand hinter. Barrierefreiheit in echt prüfen, ist halt mit echtem Aufwand verbunden. So.
Ja, ja. und auch und auch kosten also das haben wir auch verbieten ja auch so ein automatisches tool mit an aber das braucht schon ein bisschen bisschen rechenpower also es muss ja die verschiedenen webseiten durchgehen dann hast du 100 plus regeln und die muss halt auf alle html elemente automatisiert anwenden und dadurch kann das schon auch ein bisschen länger auch immer dauern die Automatisierung auch ein bisschen kostenverbunden und dann hast du recht, ne? Müssten sich solche Anwälte ein Tool halt auch so ein Tool halt irgendwie kaufen?
Ja, aber immer noch... Ja, das ist immer noch günstiger als der klassische Barrierefreiheitstest.
Hat man das durchzuchecken?
Mit echten menschlichen Prüfern.
Ja, ja, klar. Das kostet mal ein paar Euro mehr. Aber schon sinnvoll. Ja, ähm, ja.
Bisschen abgedriftet.
Ist doch gut. Ich hätte noch mal so ein paar, ein, zwei, drei andere Themen mitgebracht. Wollen wir ein bisschen über Claude quatschen oder NIST 2, das Umsetzungsgesetz, was findet ihr denn irgendwie so mal spannendes? Ein bisschen letztes Abschlussthema.
Koritz, sag was.
So, Claude, da kann ich vielleicht ein bisschen was noch mit zu sagen.
Okay, dann lassen wir es mal über
Können wir gerne das Thema nehmen, aber wenn ihr erstmal einsteigt, wäre super.
Können wir gerne machen. Also ich hätte zwei Sachen so gesehen mitgebracht, also sehr gebrannt aktuell, Claude47, was ja gestern rausgekommen ist, plus halt ClaudeMythos, was jetzt schon ein bisschen länger draußen ist, vielleicht noch mal kurz zu ClaudeMythos. Das ist ja ein ganz tolles Cyber Security Modell, was das Antropic halt rausgebracht hat und unter Verschluss hält, weil das halt, was sie auch mit Tests nachgewiesen haben, das nicht nur Marketing ist, aktiv Sicherheitslücken findet und die auch ausnutzen kann. Das ist komplett autonom. Weil wir uns zum Beispiel mit Cloud 4.6, das letzte Modell, vor 4, 7, haben sie es verglichen und das clort Opus 4, 6 oder nehmen wir es einfach mal an,
Ja.
hatte mit Hilfe von Menschen es geschafft, ja, circa bei 10% der Versuchen halt irgendwelche Sicherheitslücken zu finden, konnte sie aber auch nicht selber irgendwie ausführen. So, und das Mythos ist in der Lage, in 70% der Fällen komplett alleine Sicherheitslücken zu finden und die auch komplett alleine auszunutzen. Und das sind halt auch wirklich Sicherheitslücken, drin, dass der dich einfach über deinen Browser ganz entspannt angreifen kann und halt den kompletten PC übernehmen kann. Und da dachten sie sich, ja, das mal so in die Welt loslassen, ist vielleicht auch nicht so eine gute Idee. Deswegen, ja, das ist erstmal unter Verschluss und haben so eine, genau, Glassbring heißt das jetzt.
Ja, beziehungsweise in dem Projekt Glasswing jetzt drin.
Vielen Dank.
Ja, für, ich glaube, zehn Unternehmen oder so, die drin sind.
Ja, ich weiß, AWS, Google, Microsoft, ganze Linux Foundation plus halt die ganzen Banken und sowas, die ziehen sie da irgendwie alle mit rein.
Google und so. Ja.
Plus, minus, was da noch so drunter fällt. Die sind auf jeden Fall, die nutzen das auch schon, um halt ihre Sicherheitslücken zu fixen. Mhm.
Ja, ich sag mal, ich finde, dass dieser Kreis so geschlossen ist, nicht so gut. Obmeier hatte jetzt ja dann quasi als Gegenschlag GPT-5-4-Cyber rausgebracht, oder Cyber Defense oder so heißt das, aber und das Programm ist offener, das heißt, wenn du nachweisen kannst, dass du in quasi in der Sicherheitsforschung unterwegs bist, kannst du dich da reinbewerben in das Programm, damit du Zugriff bekommst. Ich finde den Ansatz ein bisschen attraktiver und offener.
Amen.
Weil es gibt ja noch mehr als nur die amerikanischen Unternehmen, die halt ihre Software absichern müssten oder gerne absichern würden auch. Also ich finde, das ist jetzt so die Tür. Also erst sagt man, ah, das ist mega gefährlich alles. Wir können quasi das gesamte Internet lahmlegen. Und dann geht man hin und sagt, ja, sorry, aber nur unsere guten amerikanischen Unternehmen bekommen den Zugriff darauf. Weil ich glaube, Linux und Dash. Aber so im Großteil finde ich ein bisschen uncool. Ich würde mir da halt einen anderen Ansatz wünschen, aber ja, mal sehen.
Ja, das stimmt. Aber es wäre nicht... Also, ich kann schon verstehen, dass erst mal die großen Player...
Was meint ihr denn, wieso die diesen Ansatz fahren? Wieso die das so geschlossen machen? Was haben die davon?
Das ist es.
Was haben die davon?
erstmal reinbringen wollen und dann erstmal alles absichern wollen, weil entweder laufen halt Sachen über dein Windows-PC, es ist ein Linux-PC, was ja meistens die ganzen Server-Farmen ja alle betrifft, oder halt deine MacBooks halt irgendwie. Plus halt dann natürlich gibt es auch noch die ganzen iOS, Android und was es noch so gibt.
Also ich finde das geschlossene Vorgehen an sich nicht verkehrt, aber ich finde, es ist zugeschlossen.
Und bewerben finde ich auch ganz gut von OpenAI.
Wie gesagt, ich... Ja, also ich finde halt den Ansatz zu sagen, okay, jeder, der wirklich ernsthaft nachgewiesen Sicherheitsforschung macht und da tätig ist, dann entsprechend nach Prüfungen Zugang zu geben, finde ich deutlich attraktiver, weil damit schafft man halt, da kann man halt ernsthaft Sicherheit schaffen.
Hm.
Ich finde das jetzt den anderen Ansatz sehr, sehr unattraktiv gerade, weil für mein Gefühl, sorgt dieses Gatekeeping nicht dazu oder trägt nicht dazu bei, allgemein die Sicherheit zu erhöhen. Ich finde, das ist nett, dass Hyperscaler das können, aber als europäische Cloud-Anbieter, die ja auf die gleichen Lösungen zugreifen müssen, können halt nicht jetzt ihre Infrastruktur absichern. Und das finde ich okay. Ja, ich tue mich ein bisschen schwer damit. Und eigentlich würde ich gerne auch selber rumspielen, ja.
So ist es einfach.
Aber ich glaube, für Privatpersonen wird es auch ein bisschen teuer. Also im Schnitt kostet es, so eine Sicherheitslücke zu finden, 10.000 bis 50.000 Dollar.
Ja, aber wir haben jetzt halt auch eigene Software, die wir entwickeln, für die wäre das natürlich schon attraktiv, auch um halt besser mal prüfen zu können, wie sicher sind zum Beispiel unsere Pipelines, wie gut greifen unsere Maßnahmen, die wir für Lieferketten Sicherheit ergreifen.
Ja. Ja.
Das sind ja so ganz reelle Probleme. Wir sind ja einfach Zulieferer auch für NIST 2-pflichtige Kunden. Also in dieser Lieferkette sind wir dann halt auch irgendwie in der Pflicht, gewisse Nachweise zu erbringen.
Ja. Das ist auf jeden Fall.
Und ja, dann wäre es halt schon cool, wenn man auch prüfen kann und absichern kann. So. Aber das ist, jetzt sind wir so klein, wir sind so unbedeutend an der Stelle, dass es halt auch nicht so richtig attraktiv ist, dass wir jetzt sofort Zugriff haben, verstehe ich alles. Ja, aber wir müssen es ja auch am Tagesende machen. machen und leisten können. Das bringt ja nichts, wenn jetzt AWS ganz toll abgesichert ist am Tagesende, aber mein Container, den ich nach AWS deploye, weil ich auf Open Source sitze, die nicht entsprechend gesichert werden konnte, ist dann wieder unsicher und dann wird es bei AWS, wird dann mein Container gehackt.
Mhm.
So, schade. Ja, oder wenn ich den bei Hetzner oder sonst irgendwo liegen habe, ist dann ja völlig egal.
Ich finde trotzdem, also ich bin ja Laie, aber wenn ich mir das so durchdenke, dann finde ich es gut, wenn man erstmal mit den Sachen, worauf alles basiert, anfängt, wie jetzt zum Beispiel Microsoft Windows, Linux, Apple, so mit den Sachen erstmal anfängt, die erstmal sicher macht und dann kommen die Softwarebetreiber, die auf diesen Sachen dann aufbauen oder so und dann geht man immer höher. Also hätte ich.
Naja, aber schau mal, das ist ja so, wenn wir so einen rootless, distroless Container bauen, dann bauen wir da ja einen Linux ein. Und diese Linux-Distribution ist jetzt nicht von der Linux-Foundation gepflegt.
Okay.
Und Das heißt zwar, der Kernel mag dann abgesichert sein, der da mit reingezogen wird. Machen wir aber zum Beispiel gar nicht, weil wir den tatsächlich ja auf dem Server liegen haben. Wir haben keinen, wir deployen den Kernel nicht mit in dem Ding, weil es Distroless ist und so. Und dann, oder eine Andistribution, so heißt das sogar genau. Und das ist halt einfach das Ding, wo ich sage, okay, ähm, Das hilft mir jetzt gar nicht, dass diese großen Player da drin sind, weil es gibt halt, das Internet wird betrieben auf Open-Source-Software und diese Open-Source-Software muss sicher werden. Ja, Ja, also.
Okay.
Aber ich glaube, längerfristig wird das sogar auch so passieren. Ich habe mal jetzt... Ja, ich habe zum Beispiel, ich höre sehr gerne Cybersecurity Podcast, Security Now heißt es.
Ja, genau. Da habe ich auch wenig Zweifel dran, aber es ist gerade finde ich ein bisschen unbefriedigend einfach und irgendwie auch ein bisschen kritisch. Vielen Dank.
Das ist auch ein... das ist ein Security-Experte, der, ich glaube, den Podcast schon seit 20, 30 Jahren oder so macht, also seitdem man irgendwie Audio aufnehmen kann, gefühlt. Und der hat gesagt, dass wahrscheinlich so Modelle wie Cloud Mythos dazu führen werden, dass Software bugfrei und nicht angreifbar in Zukunft sein wird, sondern eher dann halt, ja, die Menschen.
Vielen Dank.
dann wie es jetzt aktuell auch sehr viel ist, das größte Hauptproblem einfach werden, dass die Software am Ende gar nicht mehr so richtig angreifbar ist, weil das Ding einfach alles findet in deiner Pipeline später. Das hat wirklich danach noch gezielt, wirklich nur noch der Mensch angreifbar ist.
Das wäre ja auch gar nicht schlimm, wenn wir Software mit weniger Fehlern hätten. Also jede Software ist fehlerhaft, das muss einem bewusst sein, egal welcher auf dem Markt ist, egal wo, man muss immer davon ausgehen, da sind Fehler drin und ja, dass das reduziert ist voll super.
Ja, ja.
sehe ich auch so, dass es irgendwann kommen wird, dass die Qualität dann doch steigen kann. Auf der anderen Seite, wenn ich mir die Ergebnisse von den aktuellen Modellen anschaue, bauen die sehr regelmäßig sehr schöne Sicherheitslücken ein. So.
Ja, noch schon, aber vielleicht dann zukünftig nicht mehr.
Wenn Ja, genau. Und jetzt mit dem neuen Update bauen, werden noch schneller Sicherheitslücken gebaut und Code. Und dann sagst du, okay, jetzt machen wir mal Security Audit hier drüber und dann findet er ja auch wieder welche und so. Ja, genau. Vielleicht zukünftig dann nicht mehr. Wäre ja auch schön. Macht ja nichts.
Aber das passt dann auch perfekt zu dem letzten kleinen Teil, sag ich dann auch mal ein bisschen. Ich hatte ja gesagt, vielleicht nochmal Claude 4.7 ist immer ansprechend, was jetzt vor ein, zwei Tagen rausgekommen ist. Da verspricht jetzt Anthropic, dass die Programmierfähigkeiten von dem 4.7 jetzt von dem Level ausreichend auf autonom gestiegen sein sollen. Ist die Frage, ob das jetzt wirklich mal so stimmt. Ich wollte das jetzt die Tage mal nochmal durchtesten. Aber das wird dann vielleicht ein Problem lösen, was du gerade gesagt hast, oder?
Ja, sagen wir mal in meinem kurzen Test, den ich hier gemacht habe.
Aber schauen wir mal.
4, 7. Heute Morgen ganz schnell.
Mit 4.6 oder 4.7? Ah, okay. Hast du schon getestet. Ah, nice.
Ja, das ist ja.
geworden. Aber wirklich autonom. Nee. Also autonom mehr als vorher. Ja, es hat ein Problem jetzt zum Beispiel, das 4.6 hat ein Problem jetzt über fünf Tage debugged, irgendwie das immer wieder aufgetreten ist. Ähm. Das habe ich einfach nochmal in 4.7 jetzt reingeschmissen gehabt, also quasi gepositiv zurückgesetzt und gesagt, hier, das passiert ständig. Ähm. Da ist es dann tatsächlich jetzt relativ zügig in einer halben Stunde auf eine Lösung gekommen.
Okay, das ist auch schon ziemlich cool.
Ähm.
Ja. Ja, aber jetzt...
Das ist auf jeden Fall cool. Und jetzt mal schauen, wie das so ist. Also ich finde ja, seitdem der Kontext so riesig geworden ist, ist die Qualität so furchtbar runtergegangen. Mal sehen, wie das jetzt so ist. Ich bin auch noch skeptisch. Aber ich habe manchmal auch komische Probleme. Vielleicht bin ich auch das Problem, dass ich komische Sachen mache.
Achtung mal mit deinem PHP auch, das ist das Problem. Okay. Ist aber ein Witz. Okay. Mhm.
Es ist ja nicht nur PHP. Also jetzt kannst du es nicht aufs PHP schieben. Das PHP ist meistens gar nicht das Thema bei dem Ding. Ja, sowas wie Podman-Konfigurationen und Compose-Konfigurationen, wo er dann irgendwie sich sehr schnell verheddert mit Und manchmal fantasiert er auch immer noch Sachen, in was Docker oder Container-Files zu können.
Ah, okay, spannend.
Da bin ich auch noch nicht so hintergekommen.
Ja, das ist natürlich.
Vielleicht liegt das an der Distribution, die wir als Grundlage nehmen oder so. Da gibt es, ich sage mal, Herausforderungen.
Hm. Okay. Aber was sie jetzt versprechen und was das noch mehr können soll, ist jetzt, also erstens, was auf jeden Fall kann, ist jetzt hochauflösende Bilder verstehen.
Mhm.
Vorher wusste ich auch nicht, wurden die Bilder halt extrem halt runter skaliert. Dementsprechend konnten manchmal Feinheiten einfach gar nicht erkannt werden in den Bildern. Erst recht, wenn er irgendwie den Browser oder sowas bedient hat, sich ein Screenshot gemacht hat und dann vielleicht mal irgendwas, paar Pixel von links nach rechts schieben sollte, dann konnte er das gar nicht. Das soll das neue Modell jetzt können. Es gibt dann noch ein weiteres höheres Reasoning, das natürlich noch teurer macht. Das ist dann das X-High. Aber dann ist ganz gut, meint ja mittlerweile die ganzen Tasks und Tools dann ja mittlerweile in den Agentenmodellen. Da kann man jetzt eine Kostenkontrolle jetzt einstellen. Das heißt, Tool X oder Tool Y darf jetzt nur noch die und die Kosten einfach verursachen. Das ist ganz gut. Je nachdem, was man nutzt, kann das halt auch teuer sein.
Naja, definitiv.
Und Wissensstand haben sie erhöht. Von 4,6 war der nur bis Mitte 2025. jetzt bis 2026. Aber was ich auch gesagt habe, wo vielleicht viele jetzt auf die Nase fallen werden, das reagiert jetzt deutlich präzise auf das, wie man was genau schreibt. Das heißt, der vibet nicht mehr so ein bisschen mit, sag ich mal, und denkt sich, ah, das könnte der User gemeint haben, sondern er folgt dann eins zu eins dem, was du dem sagst. Kann einige Nachteile haben. Also man muss sich wirklich Besser auf jeden Fall ausdrücken, nicht hier fix mal oder mach mal. Oder mach mal schön.
Ja. So, heißt jetzt, wir haben das Softwareentwicklungsproblem mit ungenauen Angaben, haben wir jetzt in die KI erfolgreich migriert.
Ja, muss ein bisschen mehr Mühe wahrscheinlich geben. Aber der Preis ist gleich.
Jetzt brauchen wir Leute, die noch präziser beschreiben können als bisher. Ach, das wird toll.
Ja, dann sind wir doch noch sicher vor dem Kunden, weil er immer noch nicht weiß, was er genau haben möchte. Dass wir irgendwie ersetzt werden. Ja, aber sehr schön.
immer noch mit Kunden sprechen als Entwickler.
Genau, das muss er noch machen. Okay, ja, ich würde sagen, dann sind wir für Holz durch. Ich habe es ein bisschen länger gemacht als sonst, aber wir haben noch schön was abgedeckt, würde ich sagen. Dann machen wir die Tage mal die ganzen anderen Themen mit NIST 2 und EU AI Act. Das könnte auch nochmal spannend sein, finde ich.
Definitiv, definitiv.
Okay.
Ja.
Ja. Dann. Schön, dass ihr wieder eingeschaltet habt, zugehört habt. Ich hoffe, es war einiges Spannendes für euch mit dabei. Und dann sehen wir uns nächste Woche wieder. Oder hören uns.
Macht's gut. Ciao, ciao.
