Secrets Not Included: Security-Theater mit Zertifikat: Warum ISO & Co. keine Systeme retten
Dritter Aufnahmeversuch, zu viel Kaffee und ein Thema, das wehtut: Zertifizierungen, Audits und Compliance-Checklisten versprechen Sicherheit – liefern aber oft nur Papier. Kai und Daniel sprechen über Security-Kultur statt Papiertiger, transparente Pipelines, automatisierte Patches und warum echte Sicherheit nicht an der Wand hängt, sondern jeden Tag gelebt werden muss.
Transkript anzeigenTranskript verbergen
Willkommen zurück zu einer hervorragenden, provokativen Folge No Secrets Not Included. Hervorragend. Heute läuft alles voll super. Wollen wir neu machen?
Nee, ist lasst.
Wir wollen neu machen.
Alle guten Dinge sind drei. Also es ist der dritte Versuch. Wir versuchen es zum dritten Mal irgendwie eine Folge auf die Reihe zu kriegen heute.
Ja, es läuft, Daniel. Wir hätten das doch anders machen sollen heute.
Ja, also ich muss betonen, Disclaimer, wir sind nüchtern.
Anders.
Es ist morgens 10 Uhr und wir haben noch nichts getrunken. Auch wenn wir anders aussehen oder uns anders verhalten.
Ja, vielleicht hätten wir zumindest Wasser trinken sollen oder Kaffee.
Nee, zu viel Kaffee habe ich schon.
Ach, zu viel Kaffee. Okay. Das passt ja eigentlich auch ziemlich gut. Wir wollten nämlich eigentlich über die große Security-Lüge reden und dass Zertifizierungen keine Systeme sicher machen.
Das ist ein sehr schönes Thema. Habe ich allein letzte Woche... In einem Startup, in dem ich beteiligt bin, haben wir so ein Self-Assessment gemacht, sagen wir mal. Ich müsste jetzt mal gucken, wie die genaue Bezeichnung ist. Und ja, also ich weiß nicht, wie ich es ohne Schimpfwörter sagen soll. Ich mag solche Zertifizierungen, weil die mir Ideen oder Anstöße geben, wo man sagt, okay, komm, das ist ein Punkt, den hast du noch nicht auf dem Schirm gehabt. Und das ist meistens so einer von 50 Fragen vielleicht und der Rest ist einfach Schrott für die Tonne.
Ja, aber wir reden jetzt über so eine ISO 2701 oder 9001 oder irgendwie sowas oder über welche Art von Zertifizierung.
Ja, das... Ja, das auch. Also zwar ich jetzt letzte Woche nicht die ISO 27.01, aber das war so ein Self-Assessment und in der Cloud hosten. Und für mich ist so sehr viel ähnlich. Also da sind oft Sachen dabei, die eigentlich zu meinem Setup gar nicht passen, die zu mir gar nicht passen. Und das ist oft so, dass du dann deine Prozesse an diese Zertifizierung anpasst. Und das habe ich gerade auch bei diesen ISO-Zertifizierungen auch schon ein paar Mal gehört, also selber nicht erlebt, aber Hörensagen ist auch immer so eine schöne Geschichte.
Mhm.
Und das, was wohl am häufigsten schief läuft oder falsch läuft, ist, dass auch bei der ISO-Zertifizierung einfach Prozesse aufgeschrieben werden und da müssen die Leute danach arbeiten nachher. Und das hat aber nichts mit der Realität zu tun. Und das Ding wird einfach oben drüber gestülpt oder gesagt, gedrückt von oben nach unten. Und das muss jetzt passen. Und das funktioniert vorne und hinten nicht, weil die Realität eine andere ist. Und das einfach auch mit meinen Prozessen oder mit den Prozessen nicht zusammenpasst. Und auch mit meinem Setup, je nachdem, mit den Technologien, die man verwendet. Das ist halt immer so, finde ich, sehr schwer zu tun.
Hm, okay, also, also, ja, spannender Punkt. Ich gebe dir auch grundsätzlich erst mal recht, Zertifizierungen an sich machen nichts sicherer. Ähm, ich habe das Ganze bisher zum Teil etwas anders erlebt. Also, es gibt ja zum Beispiel bei AWS, um jetzt wieder mal einen der bösen US-Hyperscaler hier zu nennen, ähm,
Nee. Es wird Fanboy sitzen, pass auf. Mhm. Mhm.
Ich mag AWS auch furchtbar gerne, aber aktuell, es gibt es ja so eine Bewegung in Europa, möchte ich mal sagen, eher sehr dagegen arbeitet, um jetzt nicht zu provokant heute zu werden. So, aber anyway, da wollte ich gar nicht hin, aber da gibt es ja auch Tools, die dir sagen, okay, pass auf, dein Setup ist jetzt so und so viel Prozent ISO 2701, SOC 2 und so weiter kompatibel und wenn du diese weiteren kostenpflichtigen Produkte von uns kaufst, dann wird dein Setup aber kompatibler dazu oder besser. An für sich smartes Upsell und Cross-Sell.
Generell nicht falsch, Make or Buy ist ja immer...
Also man bietet ein Produkt an, was man für Geld kauft, das einem dann sagt, okay, du musst noch mehr Geld ausgeben. Was ich aber daran eigentlich schön finde, ist, es zeigt dir halt ganz konkrete Punkte, auf, die notwendig sind für so eine Zertifizierung, dass das Thema auditierbar sind, dass Veränderungen nachvollziehbar sind und bestimmte Prozesse auch. Und das fand ich bisher, oder die Art fand ich total hilfreich und total schön eigentlich. Ähm, weil es mir geholfen hat, das auch einfach mal zu verstehen. Wo soll eigentlich die Reise hingehen? Weil auf der anderen Seite habe ich halt Zertifizierung und Compliance-Zeugs Compliance-Zeugs erlebt, Audits erlebt und das Ausarbeiten von den Unterlagen erlebt, wo man sagen muss, das hat tatsächlich nichts sicherer gemacht, weil einfach viel Papier produziert wurde für nix.
Mhm.
Ja, so etwas wie, wir brauchen jetzt einen Patch-Prozess. Und dann ist die wilde Idee, und aus heutiger Sicht jetzt einige Jahre später, ungefähr zwei Jahre später, ist die Idee noch wilder gewesen, wir brauchen einen Patch-Manager. Und jedes Mal, wenn irgendeine Sicherheitslücke auftritt, muss diese Person erscheinen, ob wir jetzt etwas einspielen oder nicht. Wo ich sage, okay, also und wie machen wir jetzt den Prozess damit sicherer? Wie werden die Systeme sicherer, wenn wir jetzt jemanden haben, der dann innerhalb von 24 Stunden sich so ein Ding anschauen sollte und dann innerhalb von sieben Tagen entscheiden soll, ob etwas getan wird? Das ist ja kein wir schaffen aktiv Sicherheit, sondern wir sagen eigentlich nur, okay, wir sind langsam und
Ja, ja. Also... Ob nur gelebt wird? Mhm.
Das haben wir aufgeschrieben und weil es aufgeschrieben ist, findet das Audit das völlig in Ordnung, weil der Prozess ist ja dokumentiert. Und Ähnliches habe ich auch zum Beispiel bei der ISO 9001, also Qualitätsmanagement erlebt. Da wurde dann eine nette Geschichte aufgeschrieben, die nichts mit der Realität zu tun hatte, nichts mit den Prozessen zu tun hatte. Und was ich am schlimmsten fand, nicht die Qualität des Produkts, des Artefakts, was nachher ausgeliefert wird, gesteigert hat.
Du hast ein schönes Zertifikat, was du ausdrucken kannst, kannst du in die Wand hängen und haben Leute Geld dran verdient.
So, also... Genau, relativ viel auch.
Also...
Also die Zertifikate sind schon irgendwie teuer. also für mein Empfinden, für das, was nachher rauskommt, dafür, dass es ein Papiertiger ist, der halt nichts verändert hat und vielleicht einfach auch noch nicht mal das beschreibt, was die Realität ist oder die Realität beschreibt und die Realität einfach nur schlecht ist.
Also ich würde da noch gerne einhaken, weil generell würde ich sie nicht verteufeln.
Ja.
Man muss ja auch ein bisschen gucken, wie groß oder klein ist das Unternehmen. Habe ich zum Beispiel die Auflage, dass nicht jeder Admin-Zugriff haben darf auf Kundendaten? Vollkommen logisch.
Vielen Dank.
Mein Lieblingsbeispiel wäre jetzt das Datum, an dem ich beteiligt bin. Da haben 50% der Leute Zugriff, weil wir sind vier. Und ich brauche einen Backup, damit ich nicht der Einzige bin, wenn ich mal weg bin, damit nur jemand anderes Zugriff hat. Da ist es ja komplett sinnfrei irgendwie. Oder auch Prozesse, so wie du gerade beschrieben hast. Ich bin der Einzige, der sich ums Backend kümmert. Soll ich mir selber Prozesse machen und mich selber fragen, ob ich das einspielen will und, und, und? Die habe ich ja für mich. Gehe ich aber in die andere Richtung und sage, ich habe einen großen Konzern, Und da kann ich das eher verstehen, dass es einfach heißt, dieses ist nicht meine Aufgabe. Steht nicht im Arbeitsvertrag, muss ich mich nicht drum kümmern. Wenn solche Prozesse, ja, ist doch so. Und wenn solche Prozesse gemacht werden, dann ist es zumindest dokumentiert, dann wurde die Person angesprochen. Irgendwo kommt das dann auch vielleicht in einen Arbeitsvertrag mit rein. Oder zumindest eine Prozessbeschreibung, wo es dann nachher heißt, so mit dem Fingerpointing, du hättest dich darum kümmern müssen. Und ich glaube, das ist das einfach. Du hast etwas gebaut und dann ist halt jemand schuld, wenn es schiefläuft.
Also grundsätzlich halte ich es für gut, wenn man auch die eigenen Prozesse dokumentiert und aufschreibt, weil weil im Zweifelsfall, wenn das schief geht, musst du dich nur daran erinnern, in meinem WG liegt irgendwo dieses Dokument, wo ich aufgeschrieben habe, wie ich das jetzt mache.
Also der Worst Case ist ja der Busfaktor.
Und
Und der ist da gerade bei 1. Und...
Und wenn es aufgeschrieben ist, dann gibt es zumindest die Chance, dass jemand anderes da ist. Deswegen bin ich schon grundsätzlich ein Fan davon, alles, was wichtig ist, zu verschriftlichen oder zu dokumentieren. In welcher Form auch immer. Auch wenn du Striche an der Wand malst und damit kommt jemand zu Recht. Go for it.
Ich habe die ganze Wand vollgemalt.
Die Wand muss schon groß genug werden. Ja, so.
Ich habe hier noch weiße Wand.
Aber mein eigentlicher Kritikpunkt an dem ist, dass viele eigentlich hingehen und interpretieren, wenn da jemand sagt, wir haben eine ISO 27001. Oder wir haben BSI Grundschutz Audit gemacht oder irgendwie sowas. Es gibt ja 1001 Anbieter, die auch Zertifikate auf Dinge anbieten, wo es gar keine Zertifikate gibt. Ähm. oder wir haben hier ein Security-Tool gekauft oder irgendein Audit gemacht, dass dann davon ausgegangen wird, dass diese Systeme einfach sicher sind, sicher funktionieren und jetzt alles gut ist. Aber eigentlich sind die meisten Zertifizierungen nur, dass festgestellt wurde, okay, es gibt dort Prozesse, die sind beschrieben, Und, naja, sie haben zumindest einen Reifegrad, dass es keine gravierenden Lücken gibt zu den Sachen, die mindestens vorhanden sein müssen.
Ich frage mich gerade, müssen die erneuert werden, die Zertifizierungen?
Ja, die haben nur eine begrenzte Götigkeit.
Ja?
Also du musst eine Rezertifizierung alle paar Jahre machen. Ich kann jetzt ehrlicherweise nicht die Fristen sagen, ich glaube, ein oder zwei Jahre oder sowas. Also das heißt, das ist auch eine begrenzte Laufzeit. Du musst neu auditiert werden. Der Auditor darf auch nicht aus dem Unternehmen kommen, das dir beim Ausarbeiten geholfen hat. Also da ist schon eine gewisse... Also es ist...
Ach so, das ist dann sozusagen wie der TÜV, so alle Jahre musst du hin und dann baust du mal die Teile ab, die du nicht dran haben darfst. Oder nach dem TÜV kommen sie wieder ran, ja.
Ja, und der TÜV macht ja durchaus sinnvolle Sachen. Der schaut auch, sind die Bremsen noch in Ordnung?
Das auch, ja. Aber das ist eine Momentaufnahme.
So.
Und das ist ja, glaube ich, wenn ich richtig verstanden habe, auch der Punkt, auf den du hinaus wolltest. Es ist eine Momentaufnahme mit das System oder das Produkt sollte in diesem Zustand sein, ist aber keine, also es ist ja nicht irgendwie sichergestellt, sagen wir mal, außer durch Auditoren, dass der Zustand einmal so war. Was danach passiert, ob sich irgendjemand an diese dokumentierten Prozesse hält oder wieder alle Leute im Unternehmen den Admin-Zugriff kriegen oder das Admin-Passwort per E-Mail, der im Verteiler rumgeht,
Ja, genau, das verhinderst du durch Zertifizierung nicht, das verhinderst du durch klare Prozesse und durch sinnvolle Prozesse, an die sich die Leute halten. So, und wenn der Prozess halt einfach ist, dann halten sich die Leute darin. Immer wenn der Prozess schlecht ist, dann gibt es so diese Schatten-Dinger, die entstehen und
Schatten, IT, Schalten, KI und was nicht alles. Mhm.
Ja, und dann änderst du halt in so einem Security-Theater. Ja, dann wird so getan, als wäre alles sicher, als wäre alles gut, weil wir haben hier diesen Zettel, da steht das drauf. Das war dann für die Zeit, wo jemand da war, geprüft hat, da war das vielleicht so, vielleicht aber auch nicht, vielleicht waren die Schattenprozesse so schattig, dass sie nicht aufgefallen sind. Und, ähm, dann sitzt du da und am Tagesende hat es das halt nicht gebracht. Und eigentlich finde ich das schade, aber ich glaube, das ist auch die Natur dieser Prozesse. Du kannst ja auch nicht ständig jemand extern da haben, der schaut und macht und tut.
Mhm.
Und Eigentlich muss man sich ja überlegen, was sind denn so diese Knackpunkte, um tatsächlich Sicherheit zu erreichen und dann sich gute Prozesse bauen. Und wenn diese Prozesse halt da sind, dann bekommst du auch die Zertifizierung dafür. Das ist ja gar nicht so, dass jemand hingeht und sagt, naja, jetzt musst du aber dieses Tool benutzen, damit das funktioniert. Also mag sein, dass es das gibt, aber das ist eigentlich aus meiner Sicht nicht möglich, verpflichtend in diesen Zertifizierungen. Das ist vielleicht ein netter Cross-Sale vom Anbieter.
Ja.
Wir haben hier diese Tochtergesellschaft und hier hast du noch das Tool und damit bist du immer zertifiziert. Es gibt mittlerweile im Übrigen auch Anbieter und das finde ich auch falsch und kritisch und ich frage mich, warum da nicht gegen vorgegangen wird stärker. Es gibt Anbieter, die bieten dir an, gegen eine monatliche Ablösesumme, gar nicht so hoch übrigens, dass du dann, solange du die bezahlst, eine gültige Zertifizierung hast für 9001 oder 27001. Ja, da erstellst du mit KI, also die KI erstellt dir diese Handbücher, die du brauchst.
Echt? Namen? Ich frage nur für einen Freund in Minecraft, also Nein Ja
bei denen und ein Tochterunternehmen von denen sagt dann, ja, das ist alles voll super und solange du monatlich brav deine, ich weiß nicht, paar Euro da zahlst, bist du erfolgreich zertifiziert. Ja, echt. Soll ich dir Adressen schicken, Daniel? Möchtest du so ein Zertifikat haben, damit du es ausdrucken kannst und an die Wand hängen kannst? Ah, okay. Ja, dachte ich mir. So, also, verstehst du, warum ich sage, eigentlich ist Sicherheit eine Kulturfrage und eine Prozessfrage und keine Zertifizierungsfrage an sich.
Okay.
Die Zertifizierung kann halt den Moment aufnehmen und kann halt sagen, ja, okay, hier wurde das dokumentiert, was gemacht wird und das scheint offenbar auch so umgesetzt zu werden, aber das Leben dieser Sicherheit, das muss im täglichen Doing passieren. Und
Umgekehrt kannst du genau diese Sicherheit ja haben ohne ein Zertifikat. Also die Abwesenheit von einem Zertifikat bedeutet nicht gleich Unsicherheit.
Ja, natürlich.
Und deswegen sind ja die Zertifikate, kannst du die irgendwo hinhängen. Im besten Fall stimmt das, was da drinnen steht oder was damit sichergestellt wird. Aber mehr nicht. Mhm.
Genau, also das Zertifikat bedeutet halt, nur es hat jemand draufgeschaut. Es bedeutet halt nicht, es sagt halt nichts über den tatsächlichen Reifegrad aus. Also zumindest ist das meine Information, dass der Reifegrad da nicht dokumentiert wird. Und ja, das heißt halt einfach nicht,
Aber auf der anderen Seite kann ich das zum Beispiel auch aus Kundensicht verstehen. Man möchte halt, je nachdem muss man, ist das ein Kriterium bei der Anbieterauswahl, wie auch immer, oder es ist ja immer schwer, den Leuten hinter die Stirn zu gucken und aus Kundensicht zu beurteilen, ist derjenige oder ist diese Agentur, keine Ahnung, was da geprüft wird und Ist das sicher? Ist das vernünftig, was da läuft? Keine Ahnung, ich möchte mir Software as a Service zulegen und das wird ein betriebskritischer Prozess, weil das ein ERP-System ist oder irgendwas.
Mhm.
Ich kann dieses Bedürfnis verstehen, weil die können ja nicht, oder ich könnte ja auch nicht in den Quellcode von diesem System reinschauen und gerade heutzutage hätte ich schon die Sorge, dass da zum Beispiel mit Vibe-Coding einfach viele Sachen ganz schnell starten, die aber unter der Haube richtig übel sind, ne? Und dieses Grundbedürfnis kann ich schon verstehen, dass man sagt, guck mal, es gibt Zertifizierungen, weiß ich nicht, Label A, B und C, ne, und auf einer Skala, das ist in Ordnung, da kannst du dich drauf verlassen, im Sinne von, dass das Ding morgen nicht weg ist. Und deine Güte... Hm...
Genau, es macht halt die Prüfung einfacher. Du kannst halt immer sagen, wir haben hier das Zertifikat gesehen, es ist in Ordnung. Also du musst keinen Fragebogen ausfüllen lassen, wo du dann selber prüfst, stimmt das? Also reicht uns das oder nicht? Also ich verstehe auch den Sinn und Zweck dahinter. Ich finde es halt nur kritisch, dass du halt eigentlich halt nichts gewinnst daraus.
Blinde vertrauen. Also es ist schwer und ich frage mich auch immer, gerade in solchen Situationen, wie kann ich jetzt zum Beispiel als Softwareanbieter Zugang ermöglichen und sagen, guck mal, mal abgesehen von den Zertifizierungen, wie könnte ich beweisen, dass ich diese Kultur lebe? Ohne jetzt einen Aufkleber, sondern dass man sagt, weiß ich nicht, komm vorbei, trink einen Tag Kaffee, ich zeige dir meine Entwickler und wenn der WTF-Faktor unter 10 pro Minute liegt, dann wird das schon gut sein oder so. Ja.
zeig dir meine Entwickler, die habe ich hier in der Schublade, dann dürfen die auch mal wieder raus. Aber sprich die nicht zu sehr an, die mögen Licht nicht. Nein, also das ist jetzt gemein. Was wir ja machen ist, Also unsere Kunden haben zum Beispiel auf Skidlab bei uns Zugriff, so ganz hart auf die Pipelines.
Auch Quellcode. Nee, das finde ich aber gut. Genau.
Da liegt zum Beispiel auch einfach die, ja, auf Quellcode, auf die Pipelines, auf das Deployment, da siehst du ja, also da sieht man, welche Schritte ausgeführt werden auf die ganzen Tickets, ja, auch das, was Renovate mal eben da raushaut mit, oh, wir haben hier eine Sicherheitslöcke, wir fixen mal kurz. Also wir spielen den Patch ein und so. Also du kannst da halt tatsächlich nachverfolgen, was machen die denn da eigentlich? Und was da halt auch drin liegt, ist halt das Unternehmenshandel. Ich habe auch mal überlegt, ob wir es nicht einfach komplett öffentlich machen, aber im Moment liegt es da drin, da liegt es auch eigentlich ganz gut. Wo halt auch jeder Scheiß drin dokumentiert ist.
Mhm.
Ja, also bei uns kannst du halt einfach reinschauen und sagen, ja, gefällt mir oder gefällt mir nicht. Die Pipeline läuft jetzt aber 30 Sekunden zu lang für mich. Okay, wir laufen hier gerade mit 100 Pipelines gleichzeitig, weil ein kritischer Sicherheitslücker läuft. Das ist okay, dass der Runner gerade länger braucht.
Ich glaube, die Laufzeit wird keinen interessieren. Was ich aus Kundensicht cool finde, ist, und vielleicht ist das auch einer der wichtigsten Punkte, also wenn man sich so eine Agentur oder irgendwas, einen Kooperationspartner aussucht, so die Frage, wie tief bin ich in die Prozesse integriert oder kann ich reinschauen, wenn ich möchte?
Ja, wenn du Bock hast, kannst du auch bei uns selber deployen, ne?
Und wenn ich zum Beispiel sehe oder auf LinkedIn irgendwo einen Beitrag lese, mach du zuerst. Das leckt gerade, glaube ich.
Ja, sorry. Bei uns kannst du sogar hingehen als Kunde und selber deployen. Also du kannst meinetwegen auf Merch klicken, wenn du sagst, boah, ich hab's mir auf dem Testsystem angeschaut oder ich hab's mir nicht angeschaut.
Okay.
Ist mir scheißegal, ich will das jetzt deployed haben. Kannst du auch draufklicken, deployen. Und wenn es dann halt nicht funktioniert, weil die Pipeline dann halt abbricht, dann bricht die Pipeline halt ab, weil die Tests nicht da sind. Oder weil die Tests sagen, nee, sorry, not sorry. Du nicht. Aber im Prinzip, du kannst auch selber einen Rollback machen. I don't care. Ja, also das ist jetzt nicht so, dass wir da irgendwie... Ja.
Das finde ich schön, dass wir jetzt so den Kreis schließen aus den ganzen anderen letzten Themen mit, warum Pipeline automatisiert sein muss, bla bla bla, Sicherheit, Credentials, weil jetzt kannst du den Kunden auf die Pipeline und auf sein eigenes System loslassen, ohne dass du Credentials verteilst.
Ja.
Der Kunde kann selber interagieren, Und hat viel mehr Möglichkeiten auch zum Beispiel zu sehen. Und ich finde das auch gut und das war das, wo wir gerade so übereinander gequatscht haben. Zum Beispiel dieses Gefühl für den Kunden auf LinkedIn, Panik, nächste Inzident, irgendwas ist wieder geleakt, irgendeine Kette, irgendwas ist passiert. Er möchte dich anrufen, guckt in die Pipeline und sieht schon, dass Renovate am Laufen ist oder schon gelaufen ist vor zwei Tagen, weil das einfach schon längst durch ist, bis LinkedIn dann der Hype-Train da ankommt. Perfekt. Dann hat der Kunde sich einen Anruf gespart und kann auch noch sagen, guck mal, die machen, also das Feedback ist ja auch da, der sieht was, was du machst zwischendurch, was sonst ja komplett verschwindet.
Genau, es ist einfach direkt transparent.
Ja.
Wir sind jetzt dazu übergegangen, schreiben das auch direkt in den Blog rein. Also, du musst dich gar nicht mehr ins System einloggen. Natürlich weißt du meistens als Gründer nicht mal, wo sind wir von betroffen, aber dann ist da irgendwas ganz Kritisches und dann hast du das Bedürfnis zu sagen, ich möchte mit jemandem sprechen. Ja, dann ruf halt an, das ist kein Thema, oder schau halt einfach ins System und dann siehst du, da läuft schon was oder ist schon gelaufen, weil wir ja auch so ein Issue haben, wo alles dokumentiert ist dann, was Renovate zum Beispiel eingespielt hat und hey, also du bist halt nicht darauf angewiesen, dass ich jetzt zum Beispiel direkt ans Telefon gehe. Das kann jetzt ja auch sein, gerade wenn so ein total kitzeliges Ding ist, dass halt zehn Leute auf einmal anrufen.
Ja, genau. Mhm.
Das ist schwierig. Unsere Telefonanlage kann das. Ich habe aber hier nur zwei Telefone stehen. Also kann ich nur mit zwei Leuten gleichzeitig telefonieren, denen ich halt sage, ja, ist eingespielt. Keine Ahnung, ob eine andere Frage da war, aber einfach überall rangehen und sagen, ja, ist eingespielt. Also irgendwie nicht so der geile Prozess und irgendwie nicht so richtig cool für den Kunden. Und schaust halt rein, siehst es und wenn du keinen Bock hast, dann rufst du halt an, schreibst eine E-Mail und bekommst dann eine Antwort. Aber vermutlich ist es so, dass wenn du bei LinkedIn schon liest, da gibt es eine kritische Sicherheitslücke, läuft bei uns längst die Pipeline oder ist es wahrscheinlich sogar schon im System drin oder wird in der nächsten halben Stunde im System ankommen.
Ja.
Also klar, die Pipelines, gerade wenn viel los ist, brauchen die manchmal ein bisschen. Und ja, bestimmte Tests laufen auch manchmal länger, wie das halt so ist, gerade weil ja das dann voll automatisiert durchdeployt wird. Aber eigentlich ist jede Sicherheitslücke, wenn es einen Patch dafür gibt, ja nicht so wie die letzten beiden im Linux-Kernel, Copy-Fail und was war es, Dirty-Frag. Die waren ja nicht schön, weil man ja keinen Patch hatte so zum direkt einspielen. da mussten wir also selber erstmal was machen und selber in die Config schreiben und ausrollen, dass es halt entsprechend gesichert ist. Aber wenn das nicht ist, läuft es ja automatisch durch, ja, dass jedes Ding einfach entspannt.
Ja, aber das ist ja eigentlich einer der wichtigen Punkte oder Schlussfolgerungen.
Chill.
Das Zertifikat ist schön, aber in die Prozesse integriert sein oder integriert werden, Tiefzugriff haben auf alle möglichen Sachen, weil es halt kein Betriebsgeheimnis ist, wie der Quake-Code aussieht. Also das ist langweilig hoch 10 eigentlich.
Ja, und ganz ehrlich, lad ihn dir runter, nimm ihn mit, wenn du uns doof findest, geh zum anderen Anbieter. I don't care.
Ja, gerade dieses Mein-Quell-Code-Spiel, das finde ich lächerlich.
Ja, also wenn man uns doof findet, dann möchte ich auch niemanden aufhalten, deswegen, was soll ich da irgendein Spiel drum machen? Ich glaube, das ist, also für meinen Seelen, Frieden ist das Wichtige. Ähm, und, ähm, Ich glaube, du findest es auch einfach geil, wenn du da sitzt, siehst die Pipeline, läuft, du weißt, du musst dich jetzt nicht drum kümmern, weil für diese kritische Lücke gab es oder für ein normales auch Maintain-Solice, ja. Es läuft halt einfach durch, du musst dich nicht drum kümmern. Wenn was schief läuft, bekommst du eine Nachricht und dann schaust du rein. Also ich finde, das ist, das hat mir persönlich sehr viel Stress genommen.
Kann ich mir vorstellen.
Und Und hatte auch sehr viel Stress aus dem Team halt genommen. Wenn du halt weißt, okay, dieses Grundrauschen an Überraschungen minimiert sich extrem, weil du nur noch dann tätig werden musst, wenn was nicht funktioniert. Und das ist dann auch nicht auf dem Produktivsystem, sondern vorher. Ja, hey, weißt du, dann kannst du auch mit allen Dingen viel entspannter umgehen. Du musst halt viel seltener nachts aufstehen.
Oh ja.
So.
Ja, gerade wenn solche Sachen zeitkritisch sind, automatisiert eingespielt werden, dann kannst du dich auf die wichtigen Sachen konzentrieren, und zwar den Kunden. Dann bist du nicht damit beschäftigt, zu patchen, Pipelines zu schubsen und gucken, dass Sachen irgendwo deployed sind und gucken, was wo deployed ist und ob du es updaten musst oder nicht, sondern das ist die Zeit, wo du einfach mit dem Kunden reden kannst. Sagen kannst, ist längst geschehen, wir reden über das nächste Feature.
Genau. Wollen wir nicht was trinken gehen? So, ne?
Oder das...
Ja, aber das ist es ja am Tagesende. Also, ich glaube, wir ticken da ziemlich ähnlich an der Stelle und sind sehr darauf aus, saubere, sichere Systeme laufen zu haben. Und ich meine, da tut dann natürlich so eine Sicherheitslücke, wie sie jetzt Composer gestern veröffentlicht hat mit den GitHub-Actions immer weh.
Ja, du kommst da sonst gar nicht mehr hinterher.
Jetzt muss ich sagen, okay, wir nutzen keine GitHub-Actions, das ist nicht so relevant für uns. Composer-Patch haben wir trotzdem sofort eingespielt. Also es passiert halt auch gerade viel und je mehr quasi von diesen ganzen Sachen gerade passiert, je glücklicher bin ich darüber, dass wir einfach vor Jahren automatisiert haben.
Wobei, das wäre die Frage, ist das gefühlt, es passiert immer mehr oder fallen einfach nur immer mehr Sachen auf? Also wir konzentrieren uns natürlich immer mehr darauf, weil wir auch nach solchen Sachen suchen und etwas haben, worüber wir reden können. Ist das so eine selbsterfüllende Prophezeiung oder habe ich vor fünf Jahren einfach noch nicht so drauf geachtet?
Nein, nein, also wenn du mal auf die Statistik schaust, zum Beispiel bei Firefox, wo wir jetzt ja nichts mit zu tun haben, an Bugfixes, die jetzt auf einmal laufen für Sicherheitslücken, dann muss man schon sagen, es nimmt gerade einfach extrem zu.
Oh ja.
Das ist ja auch das, was die Briten angekündigt hatten. Wir stehen vor einer Patchwave und ich fürchte, es ist erst der Anfang der großen Welle, die kommt. Auf der anderen Seite Curl Daniel, Nachnamen habe ich vergessen. Naja. Also der Hauptentwickler von Curl hatte jetzt ja auch gesagt, okay, er hat Cloud Mythos auf Curl zugelassen und irgendwie nach Stunden des Laufens sind dann fünf Sachen irgendwie übrig geblieben, die nachher eine Sicherheitslücke waren und ein Bug und der Rest war eigentlich so, wie es sein sollte.
Völlig gute Leistung.
Ähm.
Aber zeigt halt auch wieder, gute Entwickler produzieren guten Code auch ohne KI.
Genau, und halt, wo halt auch regelmäßig auf Security geachtet wird. Das ist nämlich der entscheidende Faktor. Du kannst ja ein guter Entwickler sein und ringsherum gibt es einfach keinen Prozess, der Sicherheit abbildet und sagt, okay, wir wollen sicher sein mit allem. Und das ist unsere Priorität. Und, ähm, dann erreichst du dieses Ziel einfach nicht. Wenn du aber halt ja auch mit dem Anspruch hast und andere Leute da auch den Anspruch haben, dass diese Systeme sicher sind, die Software sicher ist, die ganzen Server sicher sind, dann lebst du ja in einer ganz anderen Unternehmenskultur, Teamkultur und dann werden die Sachen auch sicherer.
Ja.
Wenn du halt nicht Compliance mit der Excel-Liste machst, für die Zertifizierung, sondern wirklich lebst und das halt auch nicht in fünf Silos aufteilst irgendwie mit Zuständigkeiten und dann hast du einen Patchmanager und der muss dann mit diesen Leuten reden und jenen Leuten reden und dann passiert vielleicht irgendwann etwas, ja, dann ist klar, dass dein Ergebnis nie so gut sein wird, wie wenn du ein Team hast, in dem Sicherheit gelebt wird und, ähm, mitgedacht wird und jeden Tag quasi existiert, als, ja, wenn du es nicht hast, ne? Aber wenn du so ein Team hast, das das auch lebt und mitmacht, dann wirst du auch jede Zertifizierung bestehen. Naja, Naja, ich glaube nicht mal der Große, sondern alles da ist, was du brauchst, um es zu bestehen.
Ja, weil der Großteil einfach schon da ist oder fast von alleine kommt. Das macht KI für mich.
Ja, wenn du jetzt noch deine Prozesse mal aufschreibst, Daniel, dann bin ich sicher, würdest du auch einfach die Zertifizierung bekommen. Das Aufschreiben, ja, schau, ne, also das ist ja auch so ein Ding.
Ich glaube, das wird auch mittlerweile leichter werden dadurch. Was, da ist Doku?
Viele der Dokumentationen, die wir haben, schreiben wir natürlich mit KI. Ja, wir jagen die KI auch einfach über alte Software drüber, wo die Dokumentation optimierungsbedürftig ist. Ja, oder halt nicht. Dann ist sie auch optimierungsbedürftig im Übrigen, wenn sie nicht da ist. Und dann bekommst du dann die beste Dokumentation, also eine sehr ausführliche Dokumentation raus. Wenn die Teile fehlen, dann kannst du nochmal sagen, was ist denn damit? Sondern dann hast du die ja innerhalb, ich sag mal, einer halben Stunde mit vor und zurück.
Ja. Genau. Ja.
Dann sagst du noch, ja, nee, in Deutsch gefällt es mir nicht, in Englisch auch nicht, mach mal bitte in Spanisch oder Latein. Ja, lebende Sprachen sind auch doof. liegen. Also Software nachzudokumentieren ist heute ja gar kein Thema mehr. Genauso finde ich auch nachträglich Testfälle schreiben lassen ist sehr, sehr einfach geworden. Aber das ist wieder ein neues Thema.
Wir haben so viele Themen. Ja, das wäre eine gute Idee. Und 24 Stunden machen wir danach.
machen. Ja. Genau. Danach mag uns, glaube ich, auch keiner mehr.
Das ist okay.
So, jetzt habe ich dich totgelabert.
Ja, ich muss gerade sagen, ich weiß jetzt auch erstmal nicht so viel. Zertifizierung, da fällt mir nichts Dummes mehr zu ein. Haben eigentlich alles gesagt. Also ich finde das mit KI generieren sehr interessant. Also drüber laufen lassen, gucken, ob das passt. Und zum Beispiel bei meinem Beispiel letzte Woche war das genauso. Wir haben den Fragebogen runtergeladen. Ich glaube, war eine Excel- ins Repository mit reingelegt und gesagt, hier, guck dir das mal an, passt das, spuck die Punkte aus, die wir anpassen müssen und mach einen Plan daraus. Dann haben wir Spezifikationen daraus generieren lassen und, ja, also, ich glaube, da war man eine Stunde durch.
Ja.
Das waren natürlich mehrere Punkte, wo ich dann gesagt habe,
Ja. Worüber wir noch gar nicht gesprochen hatten, ist, was denn so eigentlich Angreifer tatsächlich ausnutzen.
Die unzertifizierten Unternehmen natürlich. Ich habe hier noch ein Zertifikat. Mit offiziellem Stempel. Genau, der gute Kartoffelstempel. Ja, ja.
Okay. Ich muss mal kurz runtergehen und mir ein Zertifikat mal einlassen. Ja, bekommt meine Tochter hin, Kartoffelgedruck. Ja, so, also gar kein Problem. Zertifizierungsstelle.
Ja, was greifen die Hacker denn an? Beziehungsweise was sind die Haupteinfallstore heutzutage?
Ja, weiß ich nicht, Daniel.
Ja, was genau ist.
Also ich kann dir sagen, die Sachen, die ich, also das verschiebt sich ja auch gerade ganz krass. Jesus. Langsamer denken, schneller reden oder umgekehrt. Früher waren es ja eher die Server, die Produktivserver, die angegriffen wurden. Ich finde mittlerweile, gerade mit diesen ganzen MPM-Klamotten, die wir sehen, ist es so, dass ja mehr die Lieferkette angegriffen wird und die CI-Systeme.
Es wird zumindest viel interessanter, weil ich meine, Produktivsystem ist auch interessant, aber wenn du so einen Developer-Rechner mal übernimmst oder da zumindest alle Credentials scrappen kannst, dann hast du viel mehr.
Ja, oder die CI-Pipeline...
Oder das, ja, genau.
Ja, also mit Pandora.
Da sind viel mehr, also die Angriffsfläche, beziehungsweise das, was du erbeuten kannst, Angriffsfläche nicht, aber das, was du erbeuten kannst, ist halt viel bedeutender. Da hast du dann nachher Zugang zum Produktivsystem, zu anderen Systemen. Das geht ja ganz schnell.
Ja. Ja, je nachdem Security Setup, ne? Das ist ja auch das, was ohne Credentials schwierig ist. Wenn du die nicht hast, dann hast du sie nicht. Und jetzt überleg mal, Pandora ist ja auch so eine lustige Sicherheitslücke, die aktuell ist. wo du halt dir selber einen Root-Zugang besorgst mit Credentials, wenn du das geschickt machst mit einer MPM-Lücke, über die Pipeline verbindest, ein schönes Paket dir schnapps, das in der Pipeline ausgeführt wird, darüber eine SSH-Config irgendwie deploys und dann Zugriff erlangst. Das ist ein schöner Angriffswerk. Warte mal, ich muss mir nachher mal, glaube ich, ein
Also nur in Minecraft. Das ist keine Hacking-Beratung hier. Also hypothetisch. Für eine Freundin.
Ja, hypothetisch. Also vielleicht ist das ein Ding, was ich vielleicht nachher mal weiter überlegen möchte. Aus Forschungsgründen.
Ja, aber so läuft das ja ab. Also es ist ja selten eine Sache, die problematisch wird, sondern es ist ja immer diese Kombination aus zwei, drei Sachen, die in Kombination zusammen, also eine Sache ist der erste Schritt, dann bist du im System, dann kannst du die nächste Lücke ausnutzen und hast dann zum Beispiel nachher Vollzugriff auf Systeme oder Zahlungsdaten oder sowas, also Kundendaten zum Beispiel in der Datenbank, die nicht verschlüsselt sind, solche Sachen.
Und die Lieferkette anzugreifen ist halt total schlau, wenn du ehrlich bist. Weil du mit wenig Aufwand, also mit verhältnismäßig wenig Aufwand, an sehr viele Daten kommen kannst.
schwerer das abzuhören
Weil halt einfach, wenn du einen Produktivserver hackst, dann bist du halt auf einem System drauf. Wenn du erfolgreich in die CI-Pipelines eindringst, dann bist du auf sehr vielen Systemen sehr schnell drauf.
Da hast du sehr viele Credentials.
So.
Und es ist auch schwerer, das abzuwehren. Also Produktivsystem, wissen wir mittlerweile, was wir da machen müssen. Alle Ports zu, Fail to Bun und, und, und.
Ja, und entsprechende... Ja.
Tailscale.
Ja.
Da gibt es zig Möglichkeiten. Also um da reinzukommen, das wird richtig schwer und die sind mittlerweile auch, also ich denke mal, der Großteil, behaupte ich mal, ist ja auch gut geschützt. Aber als Entwickler bin ich ja davon abhängig, erstmal zu sagen, in diesem Projekt werden diese Libraries genutzt und die installiere ich jetzt. Ich meine, mit KI kann man jetzt mittlerweile sagen, vielleicht, also als Mensch kann ich die gar nicht reviewen, andauernd und die ganze Zeit. Mit KI war vorhin so mein Gedanke, könnte man vielleicht noch irgendwas machen, so wie Renovate, dass man nachts drüberlaufen lässt und gucken lässt, bevor man die wirklich einspielt. Aber das ist sehr paranoid.
Naja, also was wir machen, ist, wir haben einfach seit geraumer Zeit ein Proxy, über die wir die Pakete laden. Und das wir tatsächlich auch in unseren ganzen Projekten auf den Systemen selber keine Updates mehr machen, sondern die alle über Renovate laufen.
Mhm.
Renovate sieht über den Proxy, das ist vor allem für Ausfallsicherheit. weil Renovate eh halt eine Retention Time drin hat, also wir ziehen nicht sofort die Pakete, aber auch abhängig von der CVE. Also wenn jetzt eine neue Version rauskommt und wir wissen, dafür gibt es eine CVE mit einer entsprechend hohen Bewertung, dann ziehen wir die Sachen schneller in die Systeme als wenn das ein normaler Patch ist. Bisher ist es ja so, dass diese ganzen MPM-Geschichten immer sehr, sehr schnell entdeckt wurden.
Mhm.
Aber das ist natürlich auch einfach. Das ist jetzt kein Prozess, wo ich sage, ah, das schafft jetzt absolute Sicherheit. Das ist einfach nur ein Mechanismus, mit dem man sagt, okay, wir gehen davon aus, dass wenn das passiert, es so sein wird, dass es rechtzeitig entdeckt wird, bevor wir das in den Systemen drin haben. Dann greifen natürlich diese ganzen anderen Schritte mit, okay, Hardware-Token, keine Credentials auf den Systemen, kurzlebige OIC, OpenID Connect, O-D-I-C,
Ah, Mann. Jetzt ist es mich angesteckt. Die sind komisch, ne?
Wo IDC? Ah, du weißt, was ich meine. schützen. Es ist halt auch keine hundertprozentige Sicherheit. Das muss man sich nicht einreden.
Gibt es nicht.
Es sind halt verschiedene Hindernisse, die wir in den Weg gebaut haben.
Es gibt keine hundertprozentige Sicherheit. Also das kannst du nicht haben. Kannst du niemals haben. Du kannst versuchen, so nah wie möglich dran zu kommen. Gerade im Internet.
Ja. Genau.
Also wenn du hundertprozentige Sicherheit haben willst, ist dein Rechner nicht erreichbar aus dem Internet.
Und jetzt hast du halt einen Burggraben, eine schöne Burgmauer und
Das steht da bei dir im Keller. Die Tür ist abgeschlossen. Und am besten auch abgedichtet, damit kein Wasser reinkommt. Dann ist er sicher. Aber alles andere ist halt so. Es muss einen Weg reingeben, damit du reinkommst. Und dann kann halt auch immer jemand mitkommen, wenn du Pech hast. Du kannst das natürlich möglichst schwer machen.
Zugpulke und solche Dinge.
Türsteher.
Und dann hofft man immer, dass nicht zu viele kritische Sicherheitslücken aufeinander kommen, dass dann doch was angreifbar ist.
Ja, aber genau, wenn so Zero-Day-Sachen kommen, wie willst du dich davor schützen? Das ist ja etwas, das kannst du fast gar nicht. Du kannst nur den Zeitraum reduzieren, indem du angreifbar bist. Indem du schnell genug, so wie du es beschrieben hast, Patches einspielen kannst.
Genau, deswegen... Ja, deswegen machen wir diese MPM-Sachen auch viel mehr Sorge, gerade weil er bei MPM jetzt auch der erste Angriff war, wo ein gültig signiertes Release rausgebracht wurde. So, ähm, bin ein sehr großer Fan von Signieren und sage, hey, eigentlich schaffen wir damit Sicherheit, aber natürlich nur, wenn diese Zertifikate und so weiter, alles, was da genutzt wird, entsprechend geschützt ist. Wenn das einfach so dann durchläuft und da ist, dann haben wir halt auch nichts gewonnen.
Ja, das ist problematisch. Hm. Gut, auch.
Aber das ist genauso problematisch, ehrlicherweise, bei uns in der Pipeline. Die Pipeline signiert das auch. Keyless. Und das heißt, wenn man das bei uns entsprechend reinkippen würde oder reinkommen würde, diese Sicherheitshürden, die wir haben, überwindet, dann würde bei uns auch ein gültiges Release rausfallen. Das ist auch etwas, wo ich im Moment sehr... intensiv darüber nachdenke, wie wir das eigentlich noch verbessern können. Wie wir mit dieser ganzen Lieferkettenproblematik in dieser dieser Sicherheitsklamotte umgehen.
Das ist ein Thema für eine eigene Rolle. Ja, wir haben es wieder geschafft. Links geblinkt und rechts abgebogen.
Jetzt sind wir aber sehr weit weg von Zertifizierungen, weil das beantwortet die Zertifizierung am Tagesende auch nicht. Ja, wir haben es wieder geschafft. Wunderbar. Perfekt, so macht man das auf dem Dorf.
Aber das wäre echt ein gutes Thema oder wäre interessant, so mal ein bisschen darüber vielleicht noch zu reden. Signieren, wie man das absichert.
Ja, machen wir in der Gesonderten-Folge. Wir hatten ja auch schon mal ein bisschen über die Lieferketten-Sicherheit und die Pipelines geredet, aber vielleicht nochmal so ein Spotlight auf diese.
Gerade weil es so aktuell ist und dadurch interessant ist.
Ja. Gut. Ich glaube, dann war es das mit Secrets Not Included. Diesmal richtig im ersten Anlauf. für diese Woche und dann hören und sehen wir uns hoffentlich in der nächsten Woche wieder zu einer wunderbaren neuen Folge. Bis dahin, macht's gut.
Bis dann. Ciao.
