Neue Woche, neues Glück. Herzlich willkommen wieder bei Secrets Not Included, wieder mit Daniel und Ole. Diesmal schon die sechste Folge, Daniel. Das ging schneller als erwartet, wenn ich ehrlich bin.

Ja, und es hat mehr Spaß gemacht als erwartet. Die Folgen zeichnen sich echt fast von alleine auf.

Ja. Ja, das ist jetzt ja, weil wir unsere KI-Agenten jetzt hier hinschicken, oder nicht?

Genau, eigentlich sitzen wir gerade auf der Couch und der KI-Agent, der sich für mich ausgibt, macht gerade das Video und quatscht auch noch den Text.

Ja, selbstverständlich. Wir haben natürlich das Skript vorher reingegeben und jetzt läuft das hier alles vollautomatisch ohne uns. Das Schöne ist aber ja, dass unsere KI-Agenten zum Glück noch nicht so schlau sind, um Verschlüsselung zu brechen. Aber damit kommen wir vielleicht bald hin, wenn wir den Quantencomputern geben.

Das ist ein sehr interessantes Thema. Also Verschlüsselung generell, weil halt die meisten es nutzen, aber kaum wissen, wo sie es nutzen oder es ihnen überhaupt nicht auffällt, wo sie es nutzen. Mittlerweile HTTPS ist quasi Standard. Also, Browser zeigt das ja sogar schon an, wenn die Seite nicht mehr HTTPS hat.

Ja.

Google wertet Seiten ab, auch wenn es in Anführungsstrichen nur ein Blog ist, also wo keine Sicherheits- oder Zahlungsdaten oder so rübergehen. Selbst die Sachen werden abgewertet. Und ich bin auch ehrlich, ich weiß gar nicht mehr, wann ich die letzte Seite eingerichtet habe, wo kein HTTPS mit dran ist. Aber ob es jetzt von AWS oder mit CertBot oder so, da kümmert man sich ja schon fast gar nicht mehr drum, weil es einfach Standard ist.

Genau, jetzt verkürzen sich ja auch in naher Zukunft die Lebensdauer der Zertifikate.

Ja, auf drei Monate.

Ja, stufenweise auf drei Monate, nicht in einem Schritt.

Genau, das Ziel sind drei Monate, wenn ich das richtig im Kopf habe.

Ja, und das betrifft ja erstmal die Transportschicht für den Webbrowser an sich. So ganz primär, das heißt, alle drei Monate ändert sich da etwas. Bedeutet aber auch, dadurch, dass sich die Zertifikate häufiger erneuern, erhöht sich am Tagesende die Sicherheit, weil die größte Sicherheitsgefahr sind langlebige Credentials, die nie geändert werden. Gerade wenn wir auf Infrastruktur schauen und es ist gut, wenn sich Zertifikate jetzt häufiger ändern. auch wenn man gerade bei LinkedIn wieder so ein bisschen Panikmache liest mit, ja, ihr müsst jetzt nochmal schnell euer Zertifikat erneuern, damit ihr noch eins bekommt, das ein Jahr lang gültig ist.

Würde ich auch sagen, wenn ich die verkaufe.

Nein. Ja, nein, falscher Schritt. Ihr müsst das Erneuern automatisieren. Ihr müsst eure Prozesse jetzt anpassen. Und ja, wenn ihr das jetzt nicht hinbekommt, dass in vier Monaten alles cool ist, dann kauft jetzt nochmal ein Zertifikat und erneuert das. Aber viel spannender ist ja der Trend, den wir jetzt sehen, dadurch, dass Quantencomputer in greifbare Nähe rücken, dass unsere klassischen Verschlüsselungsalgorithmen nicht mehr greifen. Wenn wir auf den SSH-Key schauen, soll man der Schlange RSA nicht mehr einsetzen. An anderen Stellen im TLS, also im HTTPS-Bereich, ist es auch schon länger deprecated und soll nicht mehr benutzt werden. Manchmal sieht man das noch in freier Wildbahn, dass das trotzdem jemand supportet. Aber eigentlich sterben ja so ein bisschen die unsicheren Algorithmen langsam wieder aus. Aber wir werden sehen müssen, dass wir in nächster Zeit, in absehbarer Zeit, ein, zwei, drei Jahre, den Sprung dahin machen, dass alle Verbindungen quantensicher verschlüsselt sind.

Warum? Also was ist der Hintergrund? Weil es gibt ja Verschlüsselungen, die werden unsicher und es gibt welche, die sind weniger unsicher oder werden weniger unsicher oder abgewertet, sage ich mal so.

genau das sind ja die zweite kategorie ist ja das was wir heute als sicher noch betrachten aber die reale gefahr sage ich mal ist du speicherst heute schon dinge und lässt sich später einfach entschlüsseln das heißt in dem bereich wo wir mit kritischen Daten hantieren. Also im E-Commerce wäre es so eine Kreditkarte, die ja auch eine gewisse Laufzeit an Gültigkeit einfach hat.

Mhm.

wird es wichtig sein, möglichst schnell Algorithmen einzusetzen, die wirklich auch Postquanten-Kryptographie sicher sind. Sprich, die auch ein Quantencomputer nicht entschlüsseln kann, weil wenn jemand diese Systeme einsetzen kann und das ist halt greifbar nah, dass es möglich ist, dann sind auch die Algorithmen entschlüsselbar, die wir heute noch als sicher betrachten.

Ja.

Und gerade wenn wir auch auf IT-Infrastruktur jetzt wieder schauen, wir beide sollten schon lange keine RSA-SSH-Keys mehr einsetzen. Und wir kennen ja auch alle die Mechanismen, wie man mittlerweile die Systeme konfigurt, dass die sagen, nee, also das ist jetzt zu alt, das machen wir nicht mehr. Und das ist halt eigentlich der nächste logische Schritt, dass wir unsere SSH-Keys dann mal wieder nehmen und austauschen gegen neue. Das macht eh Sinn, das regelmäßiger zu machen. Und betrifft ja auch nicht nur SSH-Keys. Wir haben ja noch viel mehr Stellen im Internet, die eigentlich relativ schlecht geschützt sind, wenn wir gerade mal auf E-Mails schauen.

GPG-Käse.

E-Mails... sind halt in 99,9% der Fälle, würde ich mal ganz frech behaupten, unverschlüsselt. Also im Sinne von, okay, wir bauen zwar einen gesicherten Tunnel zwischen den Servern auf, der wird wieder mit TLS verschlüsselt, also das gleiche wie HTTPS, aber die E-Mail an sich ist halt nicht verschlüsselt. Also bedeutet halt, wenn wir die Kommunikation Sicherheiten wollen, zumindest mal, dass dieser Tunnel, den wir aufbauen, dass der nicht bröckelt und niemand reinkommt und irgendwie in fünf Jahren Betriebsgeheimnisse lesen kann. Oder andere Informationen, die vielleicht einfach jetzt nicht an die Öffentlichkeit gelangen sollen.

Ich finde, was auch immer untergeht bei dem Thema, ist nur nicht mal das Verschlüsseln, sondern gerade das Signieren finde ich sehr interessant von E-Mails, weil, und da habe ich schon öfter von gehört, dass Leute zum Beispiel Social Profiling betreiben, Und dann im Namen des Geschäftsführers eines Unternehmens an zum Beispiel die Buchhaltung schreiben mit, oh mein Gott, ich brauche unbedingt, mach mal 50.000 Euro auf das Konto. Und wenn das Unternehmen groß genug ist, dann ist das schnell durch. Und dafür sind zum Beispiel ja signierte E-Mails sehr gut, dass man sagen kann, guck mal, der Absender ist wirklich die Person. Gerade wenn du wichtig genug bist, finde ich das sogar fast interessanter oder wichtiger als Verschlüsseln im Sinne von Geheimhalten von der Infos, ne?

Ja, wir sind jetzt auf verschiedenen Ebenen unterwegs. Ich sage jetzt mal die Transport-Ebene, dass die sicher bleibt.

Mm. Mm.

Das wäre so, wo wir sagen, wir sollten schauen, dass wir da auf dem TLS-Protokoll möglichst sichere Algorithmen jetzt schon einsetzen und schauen, dass wir zukunftsfähig werden, dadurch, dass wir Updates machen, dass wir einfach unser OpenSSL updaten und dann schauen, dass wir das einrichten, dass die neuen Verschlüsselungsalgorithmen verwendet werden. Die kommen nämlich jetzt so nach und nach, Schritt für Schritt. Das ist nicht so, dass ich mich jetzt hinsetzen kann und sagen kann, naja, das läuft alles, wenn ich einfach ein Update mache. Da sind wir noch nicht. Aber wir sollten uns darauf vorbereiten. Und dann natürlich der Punkt, zu validieren, wer schickt mir denn eigentlich diese Nachricht? Und das fängt ja bei der Einrichtung der Mail-Systeme an. Wenn du deine S-Einträge entsprechend setzt, dann sollte dein System eigentlich eine E-Mail ablehnen, die nur ausgibt, von einer Person geschickt zu sein, die aber nicht vom richtigen Mail-Server kommt.

Mhm.

Das ist so ein Ding, das sollte unbedingt so passieren. Wenn du erstmal in dem System drin bist und Zugriff auf die E-Mail hast, dann ist es eh zu spät. Aber dann natürlich signieren mit Zertifikaten, total schönes Thema. Da ist dann aber auch wieder die Frage, wie bewahre ich denn das Zertifikat auf? Habe ich das auf, ja, liegt mir das hier auf so einem schicken, warte mal, hier, Yubiki, hier habe ich gerade noch einen neuen.

Ah, okay. Richtig.

habe ich das darauf abgelegt und musste eingesteckt sein, das unterstützen leider nicht mal alle Systeme, ja, also Apple Mail kommt damit gar nicht zugrecht, Apple möchte, dass das in die eigene Zertifikatsverwaltung übertragen wird, dass es funktioniert, das ist ein bisschen, finde ich, nicht cool, ich fände es cooler, wenn ich sagen kann, nein, das Zertifikat liegt da und wenn das halt nicht da ist, dann kannst du es halt nicht signieren, dann kannst du meinetwegen auch diese E-Mail nicht verschicken, ähm, Aber das sind ja zwei Ebenen. Also eine die Transport-Ebene sicher halten und dann das andere sicherstellen, das ist tatsächlich die Person, die mir schreibt. Wie machst du das denn mit deinen Keys für das Signieren? Oder signierst du deine E-Mails?

Ich habe damit angefangen, habe es dann wieder sein lassen, weil genau aus dem Grund, das ist leider exotisch, also für uns ist das jetzt nett, wir richten das ein, kein Problem. Alle anderen Gesprächspartner sind, das hat kaum einer eingerichtet und Das macht dann mehr Probleme, als es hilft, beziehungsweise Rückfragen waren und so, was ist das, was bedeutet das, das kaut da welch da unten dran. Also das wurde dann wirklich als Signatur unten im Text mit eingefügt und den anderen Nutzern angezeigt und wenn du dann kein passendes Programm hast, und der andere auch gar nicht, also das verifiziert, dann bringt das auch nichts.

Ja.

Also es ist schade. Ich habe es eine Zeit lang zum Beispiel mit einem guten Kumpel von mir gemacht, gerade weil es dann so um Buchhaltungssachen ging und so. Da habe ich ihm das auch eingerichtet und erklärt und es hat super funktioniert, weil mir das da wichtig war. Also genau dieses Beispiel mit, da geht es um Geld, um Rechnungen und, und, und. Und da habe ich dann gesagt, das möchte ich gerne so haben, aber ansonsten schwer einzurichten. Das ist halt wieder die Hürde für die Nutzer zu groß, um akzeptiert zu werden, leider.

Viele Unternehmen gehen ja hin und haben einen entsprechenden Proxy dafür. Und leider sind die manchmal auch gegen alle Richtlinien, die es gibt, konfiguriert. Ich hatte den Fall, ich habe meiner Krankenkasse eine E-Mail geschickt mit meiner Signatur. Dann habe ich die automatisch verschlüsselt bekommen, die Antwort. Was ich cool finde, das Problem war, Der Schlüssel von denen war nach aktuell geltenden Standards nicht gültig, im Sinne von zu lange gültig.

Ah. Mhm.

Und dann hat sich logischerweise, weil halt die Integrität nicht stimmte von diesem ganzen Ding, es halt auch geweigert ist zu entschlüsseln. Völlig richtigerweise aus meiner Sicht. Das endete nur dann in dieser Diskussion, nein, wir machen alles richtig. Ja, weil dann, das hilft ja nichts, wenn du diese Nachrichten dann ja nicht lesen kannst, weil sie dir alles verschlüsselt schicken, automatisiert, dieser Schlüssel nicht gültig ist und du dann letztendlich die Richtlinien des BSI auch um die Ohren hauen musst, weil das ist ja das Einzige, worauf man in Deutschland achtet. Man achtet ja nicht auf internationale Standards und sagen muss, nein, ihr müsst das anders machen. Und das ist, finde ich, die der viel größere Pain-Point, wenn ich das einrichte und jemand anderes hat das auch eingerichtet, dann finde ich das grundsätzlich gut, dann finde ich auch gut, wenn dann automatisch verschlüsselt wird. Aber aus meiner Sicht muss natürlich jeder, der das einrichtet, gilt ja auch übrigens für alle Verschlüsselungsmöglichkeiten, dafür sorgen, dass es nach dem aktuellen Stand der Technik ist. Und das ist manchmal auch nicht die BSI-Richtlinie, sondern irgendwie die internationalen Standards.

Ja.

Und wenn da halt drinsteht, das SSL-Zertifikat gilt nur noch drei Monate, dann ist das so. Da kann das BSI meinetwegen schreiben, aber in Deutschland sollen das zwei Jahre sein. das hilft keinem weiter, weil sich international an andere Dinge gehalten wird. Und gerade bei öffentlichen Stellen, wir schreifen jetzt gerade ein bisschen ab, aber gerade bei öffentlichen Stellen, finde ich, ist es eigentlich wichtig, dass diese Dinge vollständig und richtig eingerichtet sind und auch funktional sind, in jedem Fall, dass es auch so ist, dass man es einfach benutzen kann. Und Jetzt muss man ja sagen, selbst IPv6 ist ja noch nicht überall angekommen. Das ist aber ja wieder ein komplett anderes Thema, da reden wir glaube ich nochmal ein andermal drüber.

Oh ja. Hmm.

Aber deswegen ist es wichtig, dass wir uns heute schon Gedanken um Übermorgen machen oder auch morgen mit Post-Quantum-Algorithmen, wo es halt einfach wichtig ist, sich den Plan zu machen, abzudaten und abzugraden. Mal wirklich zu sagen, jetzt sind wir an dem Punkt, wir verarbeiten personenbezogene Daten, wir selbst wenn es nur das Kontaktformular ist. Wir wollen, dass das sicher zu uns übermittelt wird und die Dateneingabe sicher ist. Das heißt, wir müssen uns damit beschäftigen, dass sich die Häufigkeit der Zertifikate verändert, dass wir andere Standards in den Verschlüsselungsalgorithmen unterstützen müssen. Und die Standards werden jetzt halt heute tatsächlich heute ja eingepflegt in die Repos aus Vanata alles rein und wir müssen den Upgrade Pfad dahin finden, dass wir auch die aktuelle Version von OpenSSL nutzen.

Mhm.

Und das mal zumindest nach allem, was an Kommunikation nach außen läuft. Wenn ich jetzt MTLS in meinem Cluster benutze, okay, da hat das vielleicht jetzt nicht die Top Priorität, wenn dann überhaupt irgendeine Verschlüsselung genutzt wird. Aber auch das für Entwickler bedeutet es letztendlich, dass in den nächsten Jahren sage ich jetzt mal, definitiv so etwas mal wieder fällig wird wie neue SSH-Keys. Dass sich die im DevOps-Bereich einfach mehr Automatisierung Richtung Zertifikate muss vorhanden sein. Ja, wer das heute noch nicht hat, der muss jetzt hingehen und jemanden da dran setzen, der sich damit beschäftigt, dass das automatisiert wird.

Ansonsten brauchst du nachher jemanden, der nur noch Zertifikate tauscht, im schlimmsten Fall. Ja. Ja.

Ja, genau. Wenn du da reinrennst und manuell ständig Zertifikate tauschen möchtest oder musst, das möchtest du ja vielleicht noch nicht mal, dann hast du halt einfach ein Problem. Weil wir kennen das alle, wenn das Zertifikat tauschen nicht automatisiert ist, wird es vergessen. Oder dann läuft das Zertifikat an einem Sonntag ab, So, das heißt, am Donnerstag vorher hätte es getauft sein müssen und so Scherze, weil wir kennen ja alle die Regeln, die dann da irgendwie greifen mit, ja, okay, freitags wollen wir das eigentlich nicht machen, weil es könnte ja was kaputt gehen. Ich sage auch, ja, da muss man mehr automatisieren, mit mehr Fallbacks arbeiten, mit mehr Intelligenz in diesen, also Intelligenz in den Systemen arbeiten im Sinne von Fehlererkennung und Rollbacks automatisierten. so und das ist halt einfach ein Weg, wo wir hin müssen, ja, das ist ja auch Tayscale jetzt als quasi ja WireGuard VPN für nicht nur SSH, aber auch da, ja, was durch OpenClaw jetzt ja irgendwie gerade bekannter wird, dass es das gibt, das sind ja alles so Ansätze, ja, auch da,

Mhm.

muss das natürlich erstmal reinwandern in die Systeme. WireGuard ist zum Beispiel einfach ein System, was Stand heute eben noch nicht Postquantenverschlüsselung in den Tunneln hat. oder das halt noch nicht vollständig abgesichert ist. Das heißt, das SSH an sich ist jetzt gerade mit OpenSSL sogar ein Schritt vorne, aber das ist ja auch die Grundlage dafür. Also so muss man das auch sehen.

Ja.

Also das heißt, wenn es in OpenSSL drin ist, dann kann es erst in die anderen Systeme reinwandern und da sind wir jetzt zum Glück bei OpenSSL. An der Stelle, dass das jetzt reinwandert und wir halt auf absehbare Zeit das hoffentlich dann auch in allen anderen Tools sehen können,

Du meinst damit andere Protokolle in OpenSSL oder basiert das, was du sagst, darauf, dass asymmetrische Verschlüsselung einfach zu einfach wird für Quantencomputer und symmetrische Verschlüsselung noch schwer genug bleibt, dass man erstmal den Transportkanal symmetrisch verschlüsselt? Mhm.

Das ist ja ein laufender Prozess. Das wird ja in einer gewissen Übergangszeit wird es einfach mit Sicherheit ein Hybrid-Modell sein, wo ich jetzt die aktuellen Systeme unterstütze und schon die neuen Systeme. Ja, weil auch natürlich muss dann mein Arbeitsrechner auch dieses neue Protokoll unterstützen. Da muss auch die neue Software drauf laufen und so weiter und so fort. Das heißt, wir werden halt sehen, oder sehen müssen, wie bei vielen Migrationen in diesem Bereich. Wir haben heute das eine Protokoll noch aktiv, weil wir gesagt haben, hier die alten RSA-basierten Sachen, die haben wir alle abgeschaltet. Und da wird dann jetzt wieder ein zweites dazukommen, genauso wie bei dem letzten Switch auf sichere Protokolle, wenn wir halt einige Zeit haben, wo wir zwei verschiedene Verschlüsselungsalgorithmen in den Protokollen unterstützen und auf den baut, auf OpenSSL baut er einfach sehr, sehr viel auf. Wenn das das unterstützt, dann werden es auch viele andere zügig unterstützen können, weil es einfach darauf aufbaut und bedeutet halt,

Mhm.

Schlüssel tauschen, Zertifikate erneuern, neue Versionen installieren, Konfigurationen anpassen, dass das genutzt wird, um auch mal kleine Teststrecken zu bauen. Wie funktioniert das denn? Funktioniert das bei uns tatsächlich oder rennen wir in Schwierigkeiten rein? Haben wir irgendwo einen Proxy, der das verhindert?

Aber das bedeutet eigentlich für mich als Entwickler weniger Arbeit, oder? Weil ich gehe immer davon aus, dass egal ob ich jetzt einen V-Server habe, Docker-Container, irgendwas hoste, da sind Bibliotheken drauf und solange die jetzt nicht die nächsten zehn Jahre nicht aktualisiert wurden, also ich unterstelle jedem, dass er die aktuellsten Versionen installiert oder zumindest LTS-Versionen. Bei LTS-Versionen müssen wir jetzt nochmal gucken, da wird ein Down-Patching oft gemacht.

Ja.

dass man da auch noch aktuellere Sachen bekommt, aber wenn da die Bibliotheken von OpenSSL und so weiter aktualisiert werden, ist man ja erstmal auf der sicheren Seite. Also was Ops betrifft im Sinne von, wenn ich einen V-Server betreibe, wenn ich dann einen Certbot habe, der immer wieder Zertifikate aktualisiert, gehe ich mal davon aus, das wird im Automatisierungsprozess mitlaufen oder ein einmaliges Ding sein, dass man sagt, ich möchte gerne... Zertifikat mit einer neueren Version, Verschlüsselung, was auch immer haben. Bei anderen Anbietern wird man das vielleicht gar nicht merken, dass da Zertifikate, also bei AWS, und wenn du da irgendwas machst, merkst du das doch, glaube ich, gar nicht.

Ja, da wählst du ja im Zweifelsfall nur aus, wenn du ältere Protokolle auch noch unterstützen möchtest. Da muss man natürlich prüfen, ob das jetzt auch so ist, wann das kommt. Da muss man in die Dokumentation einmal reinschauen. Wenn du natürlich Maintainer von einem Open-Source-Tool bist oder irgendeiner Software, die das aktiv einsetzt, dann sieht das anders aus. Dann kann das sein, dass du halt auch schauen musst, dass das bei dir korrekt implementiert ist.

Ja. Hm.

Also kommt so ein bisschen darauf an, was du im Daily Doing machst oder auch in deiner Freizeit. Wenn du dir jetzt überlegst, ich schreibe jetzt einen VPN-Client, weil ich das so cool finde, dann wirst du dich mehr damit beschäftigen müssen, als der Entwickler, der jetzt sagt, ah ja, ich deploy hier nur das CMS und den Rest macht eh jemand anderes.

Ja, ich glaube schon, dass es relevant wird, gerade beim Debuggen.

So.

Wenn zum Beispiel im Browser irgendwelche Sachen nicht mehr funktionieren oder komisch funktionieren, HTTPS, ist dann, wenn das zum Beispiel einer der Gründe sein kann, ist es schon sinnvoll zu wissen. Wenn Nutzer sich melden und sagen, guck mal, Checkout funktioniert nicht mehr in meinem Shop, weil, keine Ahnung, die Klickstrecke von dem PayPal-Anbieter oder irgendein anderer Payment-Anbieter irgendein altes Zertifikat nicht mehr unterstützt, dann stehst du schon da und

Ja.

Dann das übliche It Works on my Machine hilft dann keinem, weil du den aktuellen Browser gerade hast. Aber eine andere Baustelle ist, glaube ich, auch noch Embedded Software. Also der kluge Kühlschrank, der vor zehn Jahren gekauft wird und der noch die nächsten 20 Jahre laufen wird und die ganzen Geräte, die ja keine Updates mehr kriegen oder kaum Updates bekommen. Ich glaube, das wird dann noch sehr interessant.

Ja, IoT an und für sich ist ein ganz spannendes Thema. Habe ich ja mal eine Zeit lang mithantiert. Spannenderweise. Und ich habe mich auch sehr lange dagegen gewehrt, dass wir entsprechende Geräte bei uns im Haus haben. Jetzt quatscht seit neuestem unsere Spülmaschine mit uns. Und ich bin auch sehr gespannt, ob und wann da so ein Update kommen wird. Ob es kommen wird. Weil das ist etwas, ich habe noch nicht gesehen, dass unsere Spülmaschine irgendwie mal gesagt hat, sie hat ihre Software, die Software geupdatet. So, und die hängt halt, irrerweise, im Internet.

Hmm. Hmm.

um damit man mit einer App die steuern kann. Und da sind tatsächlich auch Funktionen, die ich nicht mehr an Tasten einstellen kann, sondern nur in der Software. Ja, so einen speziellen Silent-Mode oder so. Das finde ich... Und dann kannst du auch Programme halt runterladen, Spülprogramme runterladen für was anderes. Finde ich ein bisschen... Okay, es mag Anwendungen dafür geben. Ich gehe immer noch hin, drücke einfach auf die Knöpfe auf Start und dann wird das Geschirr sauber. Aber ja, das ist so ein Ding. Natürlich hängt das bei mir in einem eigenen Faulahn und kommt nicht an andere Dinge dran. Ich bin ja misstrauisch an der Stelle. Also die Spülmaschine kann man ruhig hacken, die kommt nirgendwo anders hin in meinem Netzwerk. Aber ja, diese ganze IoT-Geschichte wird natürlich spannend, weil in der Regel wissen wir oder aus Erfahrung wissen wir eigentlich, dass in IoT-Geräten, also Internet of Things, Geräten immer Hardware verbaut ist, die halt nicht mit neuen Standards zurechtkommt. Ja, weil da wird der billigste Chip reingeknallt. Da wird dann nur Wi-Fi 4 unterstützt, statt der aktuelle Stand.

Mhm.

Ja, dann fängt es schon an, dass er WPA 3 nicht kann und solche... Sachen beim WLAN und so. Ich fürchte, wir werden da noch in Themen reinrennen, dass wir einfach dann tatsächlich unsicherer als heute mit den Geräten auf einer gewissen Art und Weise kommunizieren. Also ich meine, das ist ja so, meine Verbindung oder die App-Verbindung zu dem Server vom Anbieter, die wird aktuell verschlüsselt sein, da mache ich mir wenig Sorgen. Und gut verschlüsselt sein, da kann man das auch austauschen, das ist ein Web-Server, mit dem man spricht. Viel spannender ist halt die Verbindung Anbieter zur Maschine selber, weil ja auch die Maschine halt einfach mit dem Chip leistungsfähig genug sein muss, diese Algorithmen landen zu können.

Software-Updates und dann ist das durch. Also ich kann mir vorstellen, dass man da auch abwägen kann. Außer dass man sagen kann, guck mal, eine Spülmaschine hat jetzt vielleicht nicht den höchsten Stellenwert, was Absicherungen betrifft, wenn das, also ich weiß nicht, was da für Daten rübergehen. Was man sagt, vielleicht reichen auch noch alte Protokolle aus und dass die dann von den Anbietern unterstützt werden. Wenn ich jetzt daran denke, dass ich zum Beispiel auf dem Handy oder im Shop irgendwo Paymentsachen abgebe, das ist eine ganz andere Baustelle einfach, wo man sagt, da gehen gerade meine Kreditkarten ab. Daten durch die Leitung. Ich glaube, das ist schützenswerter als dein Lieblingsprogramm für die Spülmaschine.

Ja, aber... Was ist denn, wenn jemand deine Spülmaschine übernimmt?

Will ich auch nicht runterspielen, aber ich könnte mir vorstellen, dass solche Sachen gar nicht mehr angefasst werden, weil sich das nicht rechnet irgendwo. Ich muss sie trotzdem noch einräumen.

Ja, aber im Sinne von, die geht zum Beispiel mitten im Spülgang auf oder ähnliche Sachen.

Ja, ja. Ja.

Oder du bist im Urlaub und die startet immer und immer wieder und es wird Strom und Wasser verbraucht. Also ich meine, das sind ja auch Sachen, die da einfach dann auf, ja, die halt theoretisch,

Meistens sind es Botnetze, die relevanter werden. Mhm.

halt ein Angriffsszenario darstellen. Ja, klar. So ein Botnetz, der von der Spielmaschine aus irgendwie das Internet vollspamt für eine DDoS-Maschine, für eine DDoS-Attacke ist auch nicht cool.............

Also das sind so die meisten Sachen, die mir immer bei sowas einfallen. Die Leute interessiert das, also wenig Leute, außer vielleicht andere Leute, die mich nicht mögen. Aber ein Großteil der Hacker, sage ich mal, interessiert das ja eher, ein großes Bot-Netzwerk aufzubauen. Und da ist dann eine von fünf Millionen Waschmaschinen natürlich hilfreich bei. Mhm.

Ja, aber es ist halt auch, ich sage jetzt mal, ScriptKiddy Prestigetechnik zu sagen, hey, ich steuere jetzt hier die Waschmaschinen und wir wissen es zum Beispiel ja auch von Kamerasystemen, dass die meisten Kameras auch völlig ungesichert im Netz hängen.

Ja.

Also da kann man jetzt den tollsten Algorithmus der Welt haben, der alle Daten sicher verschlüsselt und niemand kann das entschlüsseln, wenn die Dinge halt offen im Internet hängen, dann gibt es halt eine reale Gefahr, dass es irgendwer für irgendetwas cool findet zu benutzen.

Hatten wir nicht das Beispiel mit dem Schlüssel unter der Fußmatte? Ich kann das beste Schloss haben, wenn ich den Schlüssel unter die Fußmatte lege, dann muss ich mich nicht wundern, wenn ich Besuch bekomme. Genau.

Ja, deswegen ist ja immer wichtig, den Schlüssel in den Blumentopf. Ja, Fußmatte kann jeder. Aber ja, das sind halt so Themen. Das ist ja genauso, wenn wir uns halt anschauen, Bluetooth oder auch Wi-Fi auf 2,4 Gigahertz hat halt eine große Reichweite. Die Signale kannst du halt auch wunderbar nutzen.

Mhm.

für Sachen und es geht dann halt weiter, als einem lieb ist und es ist immer kürzer, als man es tatsächlich braucht, wenn man mal was schnell übertragen will. Ähm, so, aber das sind halt andere Probleme abseits Postquantenverschlüsselung des Algorithmus, ähm, Und der wird ja eigentlich auch nur relevant, weil wir heute halt Daten speichern könnten, die wir später entschlüsseln, um dann halt an Informationen jeglicher Art zu kommen. Ich sage jetzt mal, alles, was du nicht an die Öffentlichkeit haben möchtest, da ist es dir hoffentlich wert und jedem Unternehmen und jedem Entwickler wert, zu sagen, okay, wir schauen, dass wir möglichst schnell auf neue Algorithmen gehen, die entsprechend sicher sind oder die schon unterstützen für diejenigen, die es auch unterstützen. Ja, so ist es ja irgendwie. Und wenn du das halt nicht hast, dann nimmst du halt den Älteren. Und das ist halt einfach wieder ein wichtiger Weg durch die Entwicklung der letzten Jahre, was Quantencomputer angeht und jetzt halt auch Verschlüsselungsalgorithmen angeht. Heißt das halt, wir spielen eine große Upgrade, Update-Runde, in naher Zukunft, damit unsere Systeme sicherer sind. Gleichzeitig erlauben wir dann unseren KI-Agenten wieder auf alles zu greifen.

Das soll ja nicht langweilig werden. Genau. Ich befürchte das sogar. Äh.

Genau, das muss sich ja auch ausgleichen. Mehr Sicherheit mit mehr Unsicherheit und dann sonst wird das ja nichts. Ja. Hast du noch Fragen dazu? Willst du noch was wissen? Sagst du noch, nein, wir bleiben bei den alten Dingern, weil dann muss ich nichts machen.

Genau, es ist alles einfacher. Hat früher doch auch gereicht. Nee, definitiv ist es Zeit zu wechseln. Der Aufwand, solche Sachen zurückzurechnen, wird immer weniger. Und wann die Sachen kommen, ist nicht die Frage, wann die kommen, sondern es ist Fakt, dass sie kommen werden. Ob das kurz- oder langfristig sein wird. Und mir geht halt dabei durch den Kopf. Man hat zum Beispiel irgendwo eine Textdatei auf dem Rechner, die ich immer verschlüssel, so als Backup mit allen Masterpasswörtern, beziehungsweise... 1Password haben viele in der Cloud, ich habe KeyPass und das Ding verschlüssel ich zum Beispiel auch auf einem USB-Stick zu Hause. Und das wäre dann theoretisch in Zukunft, wenn ich das Passwort vergesse, einfach wieder errechenbar, wenn Quantencomputing da ist.

Ja. Auch ganz praktisch, wenn man das Passwort vergisst. Ja.

Und das ist ein ganz realer Vektor, wo man sagt, Also ich werde eh älter, vielleicht hilft mir das dann irgendwann mal. Aber das Problem ist, solche Daten, die man da verschlüsselt und da hat jeder genug Sachen, die nicht an die Öffentlichkeit, also die nicht für andere bestimmt sind, die man heutzutage verschlüsselt, die aber dann zum Beispiel in der Cloud abgelegt werden oder was auch immer und dann einfach später entschlüsselbar sind. Und das nur, weil es heute nicht lesbar ist, heißt das nicht, dass es so bleibt.

Genau. Wunderbar. Also stellen wir fest, wenn du Passwort vergisst von deinem Key Pass, dass du nicht updatest, dann geht das in ein paar Jahren wieder.

Das ist ein schöner Slogan, gefällt mir. Ja. Genau, bis nächste Woche. Ciao.

Wunderbar. Dann war das, glaube ich, das Schlusswort zur sechsten Folge. Secrets not included. Ich hoffe, ihr hattet so viel Spaß wie wir. Und dann hören und sehen wir uns nächste Woche wieder. Bis dahin, macht's gut. Ciao.