mit Ulrich Irnich & Markus Kuckertz

Shownotes

In Folge 67 diskutieren Uli und Markus mit Linus Neumann, Head of Security Strategy bei Security Research Labs, über die Frage, ob IT-Sicherheit ein reines Managementthema ist. Linus berät als IT-Sicherheitsexperte Unternehmen und Betreiber kritischer Infrastrukturen in Fragen der IT-Sicherheit. Seit 2012 ist er zudem einer der Sprecher des Chaos Computer Clubs, Europas größter Hackervereinigung.

Linus räumt mit dem verbreiteten Irrglauben auf, IT-Sicherheit sei in erster Linie ein technisches Thema. Tatsächlich, so seine Erfahrung, liegen die Ursachen für Sicherheitslücken fast immer im Organisatorischen: fehlende Verantwortlichkeiten, zu viel Komplexität und mangelnde Priorisierung.

Warum reichen Backups nicht aus? Warum versagen viele Sicherheitsprodukte in der Praxis? Und was kann eine sogenannte “Human Firewall” wirklich leisten? Gemeinsam mit Linus beleuchten Uli und Markus, wie IT-Sicherheit effektiv gestaltet werden kann – jenseits von Buzzwords und technischer Kosmetik. Besonders spannend ist der Blick auf die Rolle von Management und Regulierung: Sollen Softwarehersteller für ihre Sicherheitslücken haften?

Eine klarsichtige und überraschend praxisnahe Folge über Verantwortung, die richtigen Fragen in der IT-Sicherheit – und warum echte Resilienz weniger mit Firewalls als mit Psychologie und Führungswillen zu tun hat.

Wer mehr wissen möchte, findet hier weitere Informationen:

Euer Feedback zur Folge und Vorschläge für Themen und Gäst:innen sind sehr willkommen! Vernetzt Euch und diskutiert mit:

Mitwirkende – Hosts: Ulrich Irnich & Markus Kuckertz // Redaktion: Marcus Pawlik © Digital Pacemaker Podcast 2025

Zusammenfassung

In dieser Episode sprechen wir mit Linus Neumann, Head of Security Strategy bei Security Research Labs und Diplom-Psychologe, über die komplexe Welt der IT-Sicherheit. Wir diskutieren, dass IT-Sicherheit weniger ein technisches, sondern vielmehr ein organisatorisches Problem darstellt. Der technische Fortschritt in der IT-Sicherheit ist oft vorhanden, doch wer Verantwortung übernimmt, bleibt häufig unklar. Linus beleuchtet die Schwierigkeiten, die Unternehmen vereint mit ihren spezifischen Herausforderungen im Bereich Cybersecurity, haben und erklärt, dass die IT-Sicherheitsindustrie häufig von der Komplexität der Lösungen profitiert, anstatt echte Verbesserungen anzubieten.

Ein zentrales Thema, das wir ansprechen, ist die Frage der Haftung bei Softwareherstellern. Linus argumentiert, dass Softwareentwickler, ähnlich wie Hersteller anderer Produkte, für Fehler und Sicherheitslücken in ihren Programmen verantwortlich gemacht werden sollten. Er beschreibt, wie Unternehmen oft nicht in der Lage sind, angemessene Sicherheitsmaßnahmen zu ergreifen, und dass es an der Zeit sei, die Standards für die Haftung und Produktverantwortung zu überdenken.

Wir erfahren auch, dass viele Security-Lösungen der Industrie überwältigend und oft schwer verständlich sind, was zu Frustration unter den Nutzern führt. Linus teilt seine Erfahrungen, wie Unternehmen, die glauben, ihre Sicherheitsprobleme mit dem Kauf einer Lizenz zu lösen, oft ganzheitliche Strategien zur IT-Sicherheit vernachlässigen. Die Diskussion geht weiter in Richtung der Erkennung von Frühwarnzeichen für organisatorische Schwächen in der IT-Sicherheit, von denen viele auf eine unzureichende Vorbereitung auf Krisensituationen hinweisen.

Darüber hinaus wird die Rolle von Simulationen und praktischen Übungen in Unternehmen thematisiert, um das Bewusstsein für Sicherheitsprobleme zu schärfen. Linus erklärt, wie simulierte Cyberangriffe managern helfen können, ein besseres Verständnis dafür zu entwickeln, wie man in Krisensituationen reagiert.

Am Ende tauschen wir Überlegungen zu den Illusionen im digitalen Raum aus und wie neue Technologien, insbesondere KI, sowohl über- als auch unterschätzt werden können. Linus warnt davor, dass wir uns möglicherweise in einer gefährlichen Position befinden, in der diese Technologien ohne ein tiefes Verständnis ihrer sicheren Anwendung implementiert werden.

Diese Episode bietet wertvolle Einblicke in die Herausforderungen der IT-Sicherheit während wir gemeinsam erkunden, wie wichtige Verantwortlichkeiten, organisatorische Strukturen und technologische Fähigkeiten den gesamten Bereich beeinflussen. Durch Linus’ Perspektiven entsteht ein klareres Bild davon, was zur effektiven Wahrung der IT-Sicherheit in modernen Unternehmen notwendig ist.

Transkript

Linus:[0:00] Erstmal muss man feststellen, es gibt eigentlich nur zwei Arten von Produkten,

Linus:[0:05] die du auf diesem Planeten ohne Haftung verkaufen kannst. Das eine ist Software und das andere sind Drogen.

Music:[0:12] Music

Markus:[0:28] Herzlich Willkommen zum Digital Pellsmacker Podcast mit Uli Oehlich und mit mir, Markus Kuckers. Lieber Uli, ich begrüße dich.

Uli:[0:35] Lieber Markus, schön dich heute zu sehen und wir haben ein interessantes Thema heute vor uns.

Markus:[0:39] Ja, mega spannend, weil heute diskutieren wir die Frage, ob IT-Sicherheit nur ein Management-Thema ist oder vielleicht auch anderweitig betrachtet werden kann. Zu Gast ist Linus Neumann, unter anderem Head of Security Strategy bei Security Research Labs. Linus, schön, dass du heute bei uns bist.

Linus:[0:54] Moin, ich freue mich über die Einladung. Vielen Dank.

Markus:[0:57] Unser heutiger Gast ist Linus Neumann. Linus ist Diplom-Psychologe und berät als IT-Sicherheitsexperte in Berlin Unternehmen und Betreiber kritischer Infrastrukturen in Fragen der IT-Sicherheit. Er ist zudem einer der Sprecher des Chaos Computer Clubs, Europas größter Hacker-Vereinigung. In dieser Funktion tritt er regelmäßig als Experte für IT-Sicherheit auf, unter anderem in Ausschüssen des Deutschen Bundestags. Linus, wir haben uns natürlich mit dir im Vorfeld beschäftigt, ein bisschen recherchiert und wollen einmal folgende Themen zur Diskussion heute hier stellen, die herausgearbeitet haben. Zum einen ist das, IT-Sicherheit ist kein technisches, sondern ein organisatorisches Problem. Die Technik ist häufig vorhanden, aber niemand fühlt sich verantwortlich. Die IT-Sicherheitsindustrie verdient an der Komplexität, nicht an echten Lösungen. Viele Sicherheitsprodukte sind so kompliziert, dass sie kaum jemand richtig nutzen kann. Und zu guter Letzt, ohne echte Produktverantwortung der Softwarehersteller bleibt IT-Sicherheit eine Illusion. Wir brauchen klare Standards, Haftung und Führung, denn nur so wird Sicherheit

Markus:[1:58] zur Priorität und nicht zur Nebensache. Aber lieber Uli, zum Thema IT-Sicherheit haben wir hier schon ein paar Mal gesprochen und ich habe mir jetzt überlegt, was ist das denn eigentlich bei dir privat, was dich gut schlafen lässt, wenn du an IT-Sicherheit denkst?

Uli:[2:11] Boah, grundsätzlich ist das immer ein Thema, wo du drüber nachdenkst. Ich finde, du brauchst auch so eine gewisse Angespanntheit, um ganz ehrlich zu sein, weil es ist halt kein Projekt, sondern es ist tatsächlich ein Prozess. Ja, also das fließt ja permanent und auch die Vektoren verändern sich über die Zeit. Ja, und ich glaube, eines der wichtigen Dinge, die dabei sind, ist natürlich, zum einen Experten an Bord zu haben, aber auf der anderen Seite halt auch immer wieder zu hinterfragen, ob das, was wir da getan haben, auch den neuen Standards entspricht und damit logischerweise das Unternehmen und damit halt auch unsere Kunden gesichert sind. Und ich würde mal sagen, so eine gewisse Grundparanoia hilft da auf jeden Fall, weil die hält dich halt auch schon ein Stück weit wach. Und ich bin daher umso glücklicher heute auch Linus hier zu haben. Und jetzt werden wahrscheinlich alle denken, boah, die erste Frage,

Uli:[3:00] die er stellt, ist wahrscheinlich zum Thema Cybersicherheit. Aber nein, ich würde mal lieber irgendwo anders hinspringen und sagen, Linus, Diplompsychologe, wie ist das denn passiert?

Linus:[3:12] Also ich habe sehr früh angefangen, mich mit Computern zu beschäftigen. Meine Eltern haben damals die sehr kluge, rückblickend sehr kluge damals äußerst unklug erscheinende Entscheidung getroffen, mir so mit irgendwie, ich glaube, mit sieben, acht Jahren habe ich so ein C64 bekommen und mit zehn, elf Jahren richtigen Rechner mit Internet und unbeaufsichtigt.

Linus:[3:39] Und das hat dann natürlich nicht lange gedauert, bis uns andere Computer mehr interessiert haben als die eigenen. Dann sind wir im Internet rumgereist und es gab damals auch so ein bisschen das Problem, dass das noch pro Minute bezahlt wurde und das gab so Konflikte mit der Telefonrechnung und dann haben wir Wege gefunden, die Telefonrechnung niedriger zu halten, indem wir das auf Kosten anderer gemacht haben. Das waren so die ersten, also Internet Beschaffungskriminalität war eigentlich so der Beginn und dann haben irgendwann meine Eltern gesagt, ja Mensch, Linus, du sitzt ja den ganzen Tag an dem Computer, wie wäre das denn mal, wenn du dich ein bisschen mit Menschen beschäftigst? Und dann habe ich Psychologie studiert und als ich damit fertig war, habe ich auch gesagt, nee, ich möchte jetzt gerne zurück zu den Computern. Und das zeichnete sich aber dann sehr schnell, und das war ja auch so ein bisschen das erste Thema, das du gerade angesprochen hast, Markus, zeichnete sich schnell, dass ich mitnichten technische Probleme löse. Also wir finden technische Probleme. Was wir so machen, sind häufig Red Teaming oder Incident Response, aber also auch generelle strategische Consulting-Projekte, viel auch im Mobilfunkbereich.

Linus:[4:49] Aber ich denke, jedes einzelne technische Problem, was wir da so befinden oder bemängeln, hat ja irgendwo eine organisatorische Ursache. Die sind ja nicht da, weil die Leute doof sind, sondern die sind da, weil die Leute vielleicht einen anderen Fokus haben, weil es vielleicht irgendwie so eine Legacy-Debt gibt, also Schulden, technische Schulden, die sich so aufgetürmt haben, dass man nur noch Zinsen zahlt, statt zu tilgen.

Linus:[5:17] Während so jedes einzelne technische Problem gewissermaßen trivial ist, ist so die Menge an Problemen in einer größeren Organisation etwas, was du nur noch verwaltet kriegst. Und das war etwas, was ich sehr früh in meiner beruflichen Tätigkeit gelernt habe. Aber ich habe da so als Consultant angefangen und dachte, boah, jetzt pass auf, jetzt hacke ich da Sachen und dann erkläre ich denen, was da falsch war und dann sagen die, boah, danke Linus, beheben wir jetzt,

Linus:[5:45] komm bald wieder, Gott, das ist gut, dass du uns hier den Laden gerettet hast. Und ich glaube, diese Vorstellung von meiner beruflichen Tätigkeit, die hat sich nur in sehr wenigen Tagen wirklich realisiert.

Linus:[5:58] Relativ früh hatte ich dann irgendwann mal so einen Issue-Tracker mit Vulnerabilities für eine größere Organisation. Und als das dann so die 2000 überschritt, habe ich so gemerkt, oh okay, das werden niemals neu werden und wir müssen jetzt hier mal anfangen zu priorisieren, Ursachenforschung zu betreiben und uns dem Problem in irgendeiner Weise strukturiert nähern als ein Prozess, als ein Wettlauf, der immer stattfindet. Und da habe ich natürlich nochmal viel gelernt über IT-Sicherheit, die jetzt nicht nur meinen eigenen Localhost betrifft, sondern halt eine riesige Organisation mit tausenden Leuten und die Priorisierungen, die damit einhergehen. Und dann natürlich auch sehr viel mit Menschen umzugehen, weil irgendwie so diese Aufgabe, und das ist ja das, was wir eigentlich den ganzen Tag machen, Leute auf Fehler hinweisen. Das ist super, also macht super Spaß, weil du immer sagen kannst, guck mal, hier hast du es falsch gemacht. Aber wenn du mit den Leuten dauerhaft arbeiten möchtest und wenn dein Job ist, nicht denen ihre Fehler zu zeigen, sondern dafür zu sorgen, dass diese Fehler beseitigt werden, dann merkst du irgendwann, dass der Job eigentlich ein anderer ist. Das technische Können ist die Baseline, aber dafür bezahlt dich ja keiner. Also du wirst dafür bezahlt, die Probleme zu lösen.

Speaker3:[7:16] Wie sieht es denn aus?

Uli:[7:17] Hast du da nicht auch irgendwann so ein eigenes Frustrationslevel, wenn du siehst, du hast jetzt irgendwie dreimal Leuten erklärt, was zu tun ist und du siehst immer noch, die Adaptionsrate ist nicht so groß, wie eigentlich erwartet?

Linus:[7:30] Also die diplomatische Antwort darauf ist, dass ich habe das ja auch, also ich habe früh mit dem Job angefangen, ich habe das auch viele Jahre nur selbstständig und freiberuflich gemacht und dann irgendwann auch festgestellt, dass du halt so als Einzelkämpfer eine gewisse Grenze hast, was du hinkriegst, was du quasi wie viel Frustration du in einem Jahr wegräumen kannst. Und das hat mich dazu gebracht, dass ich dann jetzt wieder in der Organisation arbeite, für ein paar Teams verantwortlich bin und da sehe ich dann mehr Fortschritt, wenn du mehrere Teams verantwortest, wenn das eine irgendwie gerade wieder beim Kunden gegen die Wand läuft und dann schafft das andere einen Durchbruch. Aber wie gesagt, es ist eine Frage der Herangehensweise und auch des Verständnisses. Und ich glaube, dass viele in der IT-Security diesen, also zumindest junge Kolleginnen und Kollegen in jeder IT-Security-Branche, sei es Produkt, sei es Consulting, sei es sonst was,

Linus:[8:38] Diesen Teil irgendwann lernen müssen. Dass es am Ende dich keiner dafür bezahlt, dass du einen super geilen Hack präsentiert hast, was wir natürlich regelmäßig machen, aber dass der Applaus halt dann kommt, wenn diesen Hack niemand anders mehr hinbekommt. Oder vielleicht kommt der Applaus, wenn du den Hack gemacht hast, aber der Wertbeitrag kommt erst dann, wenn du die Organisation nachhaltig verändert hast. Und da ist halt der nachhaltige Aspekt der entscheidende, dass nämlich nicht nur das Issue jetzt gefixt wird, sondern dass du in irgendeiner Weise die Organisation in eine Richtung bringst, dass das gleiche Problem nicht nächstes Jahr wieder dasteht.

Markus:[9:14] Ich stelle mir das gerade so vor, wenn ich jetzt zum Arzt gehe und er guckt mich so an, dann sagt er ja so Haut irgendwie komisch, Gewicht irgendwie oder er lächelt gerade nicht. Wie ist denn das, wenn du auf so eine Organisation zugehst? Du hast ja wahrscheinlich auch durch deine Erfahrungen die Möglichkeit, ein wenig zu reflektieren. Gibt es da strukturelle Anzeichen oder irgendwie Symptome, an denen du sagen kannst, bei euch ist was in Sachen IT-Sicherheit nicht in Ordnung, also ohne, dass du da irgendwie nur eine Zeile Code angerührt hast?

Speaker3:[9:39] Also das kommt natürlich sehr darauf an.

Linus:[9:41] Wir haben natürlich ein paar Spezialisierungen. Einerseits ein bisschen so Finanzwesen. Das liegt daran, dass die viel schützen und dafür viel Geld aufbringen. SR Labs hat eine große Research-Tradition im Bereich des Mobilfunks. Da haben wir einiges an Original Research veröffentlicht. Dadurch kenne ich relativ viele Mobilfunkunternehmen. Und das ist jetzt nicht so, als würden diese Organisationen jeweils die Probleme neu erfinden. Die haben natürlich auch gleiche Probleme und deswegen brauchst du jetzt nicht irgendeine, also das wirkt dann vielleicht, als hättest du irgendwie so eine hellseherische Komponente, aber es ist einfach die Erfahrung, dass du beispielsweise,

Linus:[10:26] Es haben relativ viele Organisationen ab einer gewissen Größe, aber die muss noch nicht mal besonders groß sein, das Problem, dass sie eigentlich nicht sich auf einen Ernstfall vorbereiten, dass sie den Laden wieder in die Gänge kriegen. Die Kleinen machen es nicht, weil sie glauben, dass sie als Angriffsziel nicht interessant wären. Die könnten sich aber quasi noch so relativ effizient gegen einen Ransomware-Angriff schützen. Und die Großen machen es nicht, weil die Organisation zu groß ist. Und weil du häufig so ein Disconnect hast zwischen dem Business, dass die sind einfach da Die müssen Geld verdienen, was wir dann mit IT-Sicherheit wieder vernichten. Du hast die IT, die teilweise enorm getrennt davon ist oder losgelöst, die Tetsch davon ist, wo das Unternehmen wirklich sein Geld verdient und was wichtig ist.

Speaker3:[11:17] Und dann hast

Linus:[11:18] Du die IT-Sicherheit, die häufig denkt, sie würde eine IT schützen, statt einem Unternehmen. Und wenn du denkst, du schützt eine IT und du hast aber keine Priorisierung vor, Wo diese IT kritisch ist oder was da irgendwie eine Rolle spielt, dann kriegst du natürlich auch den Laden nicht wieder hochgezogen, wenn du nicht vorher priorisiert hast, was du beispielsweise wieder herstellst.

Linus:[11:42] Teilweise in Krisen sehr spannende Situationen gehabt, wo wir dann mal mit allen, die da so saßen, Unternehmen vollständigen Stillstand, analysieren konnten, wie dieses Unternehmen eigentlich funktioniert und welche IT man dafür braucht. Das wäre natürlich super, sowas vorher zu wissen. Und diese holistische Perspektive, das ist etwas, was man sehr häufig feststellt, dass die fehlt. Und dann an den Übergängen zwischen IT-Business und IT-Sicherheit, in diesen Disconnects, da kannst du immer sehr schön rein. Das wäre so der organisatorische Bereich, also das, wo du vielleicht gar nicht unmittelbar erkennst, dass das so ein unmittelbares IT-Sicherheitsthema ist und daraus ergeben sich aber so ein Schwachstellenbild, was du in einem Red Team oder in einem Incident oder auch wenn du jetzt einfach mal so ein klassisches Review machst, das passt dazu, die mappen dazu. Und das ist das, warum mein Job sich immer auf die Strategie bezieht, obwohl das, was wir machen, natürlich Hands-on-Hacking ist.

Linus:[12:55] Jedes Problem, was du da hast, hat eine organisatorische Ursache oder fast alle. Das ist ein Symptombild und dahinter gibt es eine Ursache. Und diese Ursachen würde ich sehr viel lieber bekämpfen, als nur die Symptome.

Uli:[13:08] Du hast ja mal intensiv vor allen Dingen die Aussage getroffen, kein Backup, kein Mitleid. Jetzt gibt es ja viele Unternehmen, die Backups fahren und damit denken, dass sie eine gewisse Sicherheit haben. Aber meine Erfahrung ist, dass einige eigentlich gar nicht wissen, wie sie dann das Zeug wieder herstellen. Und wenn du so ein Mainframe hast, das habe ich immer in meiner Geschäftsführung gesagt, dann brauchst du zwei Wochen, um den Club wieder hinzustellen. Also das ist nicht irgendwie in der Stunde getan.

Linus:[13:38] Du sprichst genau das Problem an, was wir dann häufig sehen, dass die Leute die Wiederherstellung vor lauter Backups nicht hinkriegen. Ja, wenn du, wenn du, also nimmst du so einen ESXi-Virtualisierung-Server, so dann hast du, von mir aus, da ist dann so ein Cluster, das ist gut ausgestattet und so und dann hast du da 200 VMs drauf und die 200 VMs, die machen jeden Tag einen Snapshot, super, ja und von mir aus fährst du dann sogar noch die Snapshot aufs Band und so, auf Magnetbänder, also kannst du alles machen, das ist auch super, wenn du eine VM wiederherstellen musst, weil du die zerschossen hast. Wenn aber der gesamte, wenn das gesamte Virtualisierungsding weg ist, dann musst du potenziell auch 200 wiederherstellen.

Linus:[14:21] Aber es gibt, sagen wir mal, irgendwie sowas zwischen 8 und 16, die brauchst du jetzt. Und da machen die anderen 190 ungefähr relativ wenig, also relativ viel Mist. Und das sind so Dinge, wo die Wiederherstellung der Organisation in ihren kritischen Prozessen, das will gelernt sein. Und das möchtest, darauf möchtest du natürlich auch eigentlich priorisieren. Cloud-Technologien bringen dir da wunderbare Möglichkeiten. Es geht ja damit los, wenn du so ein ESXi da wegspeicherst, dann hast du ja

Speaker3:[15:03] 100 Mal oder

Linus:[15:04] 200 Mal das Windows- oder Linux-Betriebssystem gesichert, weil du einen Snapshot von der VM hast. Also bin ich denn doof, dass ich das alles noch sicher? Du willst ja eigentlich eine Trennung haben, wo du sagst so, mit so einer Ansible Playbook oder von mir aus mit einer Containerlösung, wo du sagst so, das brauche ich nun wirklich nicht 200 Mal zu sichern. Ich brauche eigentlich so ein System, da kann ich ein Golden Image haben, auf das wird eine Konfiguration draufgeklatscht und dann kriege ich das Nutzdaten. Und das, was ich eigentlich backupen muss, sind nur die Nutzdaten und die Konfigurationen. Und das Windows, das werde ich schon von Microsoft nochmal wieder bekommen. Oder das Linux von Red Hat oder sonst was. Und da merkst du, wie auf einmal aus einem riesigen Datenbestand, der unüberschaubar wird, den du nicht in einer realistischen Zeit wiederherstellen kannst und vor allem, wo du es auch nicht üben kannst, eine Wiederherstellungsaufgabe werden kann, die eigentlich überschaubar ist. Wenn du das geübt hast, wenn du dir darüber Gedanken gemacht hast, wenn du weißt, wie sich deine kritischen Prozesse auf den Assets abspielen. Und das durch in Zeiten des Friedens zu überlegen, ist etwas, was ich jedem Unternehmen sehr empfehlen kann.

Markus:[16:11] Uli, Linus hatte eben gesprochen von dem Disconnect, den man in so Organisationen gerne mal sieht. Jetzt war bei dir als CIO das Management dieses Disconnects ja das Daily Business. Was würdest du denn sagen oder was würdest du empfehlen Unternehmen, was sich denn auf Management-Ebene ändern muss, damit das eben nicht passiert, gerade im Bereich IT-Sicherheit?

Uli:[16:32] Also erstmal, ich glaube, das kann ich nur jedem empfehlen, musst du halt die Sprache sprechen, dass dein Gegenüber dich versteht. Also wenn du jetzt in großen, entweder Cyber Security Fachjargon arbeitest oder IT Fachjargon, hast du schon mal ein paar Leute in deinem Management verloren, weil die dich einfach nicht verstehen. Und was ich mal gerne gemacht habe, damit habe ich auch meine Budgets immer bekommen, ist, ich habe mit den Damen und Herren eine Ransomware-Attack-Simulation gefahren. Und da mussten die quasi in die Stresssituation, Erpresser ruft an, Callcenter ist weg und all diese Dinge haben wir durchgeübt. Und da siehst du schon die erste Hilflosigkeit, wo die Erpresser quasi sagen und du siehst halt, dass deine Systeme wegklappen und keine Ahnung was, gucken alle nur noch dich an. Also so hat der Worte, Uli, ja, jetzt musst du uns hier helfen. Er sagt, Leute, jetzt fangen wir erstmal an, Aufgaben zu spielen und Rollen einzunehmen, so wie das ein normales Unternehmen angeht. Und dann haben wir noch ein bisschen Stress hochgedrückt. Da kam die Bundesnetzagentur, die wollte Abentworten haben. Dann haben wir nochmal Presse-Statements gehabt und so weiter und so fort. Und du merkst halt dann, wie der Druck im Kessel steigt und damit aber auch so ein Stück weit Awareness steigt. Und ich kann nur jedem empfehlen, wenn Budgetverhandlungen anstehen, vorher so eine Cybersimulation durchzuführen. Danach gibt es auf jeden Fall Geld, definitiv.

Speaker3:[17:56] Aber du merkst halt auch ein anderes Ding, dass so langsam verstanden wird,

Uli:[17:59] Wie die Mechaniken dahinter sind und haben wir wirklich den Fokus auf die wesentlichen Dinge. Genau wie Linus am Anfang sagt, erkennen wir denn eigentlich unsere wirklich kritischen Geschäftsprozesse, die wir als erstes wiederherstellen wollen, bevor wir den ganzen Rest irgendwie machen. Und die Diskussion braucht es dann ganz genau. Und da kommst du aber dann auch wirklich zusammen. Und das muss halt auch zusammen dann durchexerziert werden. Aber das ist halt kein Projekt, sondern ein Prozess. Und das braucht auch da kontinuierliche Wiederaufbereitung, weil auch da stellt sich so ein menschliches Gen ein. Cybersecurity, ein halbes Jahr, ein Jahr, keine Incidents, alles läuft gut. Alle legen sich ein Stück weit zurück und sagen, naja, eigentlich brauchen wir jetzt nicht mehr so viel. Eigentlich können wir das ja ein bisschen weiter runterfahren. Und da muss halt immer wieder dranbleiben.

Markus:[18:46] Dino, Hand aufs Herz, wie oft ist das schon passiert, dass sonntags morgens jemand bei dir angerufen hat, ein Geschäftsführer oder CEO und gesagt hat, ey, wir wissen nicht weiter, bitte hilf uns, wir haben nichts vorbereitet?

Linus:[18:57] Die rufen üblicherweise nicht Sonntag morgens an, sondern Freitagabend. Sonntag ist wahrscheinlich echt wirklich eher seltener, müsste ich mal gucken, wird sicherlich auch mal einen Fall gegeben haben. Interessanterweise ist das außerdem, so muss ich auch sagen, meine, also, Also unsere Bestandskunden, die haben solche Probleme ja nicht. Das heißt, das sind meistens Leute, die wenden sich über irgendwie ein Kontaktformular oder so an mich oder über eine Empfehlung von anderen Kunden. Und dann kann ich die Zahl echt nicht sagen, aber es ist schon relativ regelmäßig. Es gibt übrigens auch Unternehmen, die das als Service anbieten, dass man da anrufen kann. Das machen wir nicht. Also nennt sich dann so Service Level Agreement oder so eine Incident Response Anbieter, die machen das alles. Insofern bei mir schlagen eher Leute auf, die, also wenn sie mich dann anrufen, ja vielleicht auch nicht von einer Versicherung oder sowas haben oder halt eine besondere Krise, aber ich kann die Zahl echt nicht nennen. Also auf jeden Fall sehr viel häufiger als meiner Erholung am Wochenende zuträglich wäre. Wäre natürlich immer schön, wenn das den Leuten erspart geblieben wäre.

Linus:[20:24] Wir machen diese Projekte einerseits gerne, weil man Leuten in einer Notsituation hilft, wer würde das verweigern.

Linus:[20:32] Andererseits, weil wir da für unsere Consultants natürlich sehr viel Erkenntnisse auch draus ziehen, Wenn die mal nicht die ganze Zeit nur klug daherreden, sondern auch mal mit den Knien in der Matsche stehen und sehen, was das bedeutet, wenn die Scheiße in den Ventilator geflogen ist. Und dann daraus natürlich sehr viele Erkenntnisse ziehen. Das ist der Teil, warum man sowas macht. Und es ist ja auch in der Regel ist es immer ein tolles Erfolgserlebnis am Ende auch für das Team, aber zwischendurch stehen, liegen die Nerven natürlich blank für alle, die da sitzen. Das ist auch der Grund, warum die glaube ich dann, also das ist häufig die eigentlich,

Linus:[21:11] Die eigentliche Leistung, ja, dass man mit ein bisschen besonnen, also mit einer Außenperspektive, so ein gewisses, also mein Lebenswerk liegt da gerade nicht im Feuer, das gibt einem schon mal ein bisschen weniger Puls. Die Erfahrung, wie man mit so einer Sache umgeht, hilft und ja, das ist dann, die Krise gemeistert werden muss trotzdem von den Leuten, die da sind. Es sind ja teilweise Unternehmen, von denen ich gar nicht wusste, dass es die gibt, die mir erstmal noch erklären müssen, was sie überhaupt machen, wo ich teilweise fasziniert bin und wie sie das auf einer IT abgebildet haben, wo ich dann auch teilweise wirklich fasziniert bin und dann sagt man, okay Leute, Lass uns doch jetzt mal überlegen, wie wir das hier wieder gerade gezogen bekommen. Das ist häufig eher

Linus:[22:04] Der Strukturierungsprozess, die Ruhe, die man da vielleicht reinbringt, das können auch andere noch sehr viel besser als ich. Und Dann sortiert man die Situation, muss auf ein paar Sachen dann sagen, nee, diese Daten sind jetzt weg oder so, da schaut man dann und strukturiert so ein bisschen die Entscheidungsprozesse, handelt natürlich aus einer Erfahrung raus, was jetzt ein Problem ist oder was ein Verdacht ist, dem man nachgehen muss und was keiner ist und dann versucht man irgendwann wieder auf 8-Stunden-Tage zu kommen.

Markus:[22:36] Und viele derer, die da anrufen, werden sicherlich auch über Pech klagen, dass sie ja sehr viel Geld in Sicherheitslösungen investiert haben. Du hattest ja auch schon mal öffentlich kritisiert, dass viele Sicherheitslösungen überkomplex sind. Und ja, was glaubst du denn, warum setzt Unternehmen dann trotzdem genau auf diese Tools? Ist das pure Unwissenheit oder warum ist das so der Weg?

Linus:[22:57] Also ich habe den Eindruck, ein klassischer Fehler, der in so Organisationen passiert, ist, dass sie die Lizenz kaufen und dann denken, so jetzt ist das durch. Jetzt haben wir hier den Defender, den Crowdstrike, den Monitoring, hast du nicht gesehen. Und nicht daran denken, dass alle diese Tools sehr wohlmeinend geschaffen sind, damit sich Leute damit potenziell die ganze Zeit beschäftigen. Und die Leute, die sich damit beschäftigen, die schaffen dann wirklich einen Wertbeitrag. Und das wird mal mehr, mal weniger anerkannt. Und natürlich gibt es dann da irgendwelche M-Socks, die vielleicht auch gar nicht funktionieren. Dann freuen sich alle, weil man von denen nichts hört. Oder wenn du jetzt irgendwie ein ordentliches Monitoring ausrollst, dann heißt das ja nicht, dass von der Stange dieses Monitoring angepasst ist auf deine Organisation. Das heißt, anfangs flutet das dich mit Alerts, die keinen Sinn für dich ergeben. Irgendwann stellst du diesen Lösch, diesen Hydrantenstrahl, Wasser irgendwie wieder ab und sagst, da kommt da eh nur Mist raus. Das heißt, ich würde schon sagen, dass in den meisten IT-Security-Tools

Linus:[24:15] Ein großer Wertbeitrag versteckt ist, wenn ihn kompetente Menschen anwenden. Wenn das von Leuten bedient wird. Und das wird häufig von Organisationen nicht so gesehen, weil man sagt, Moment mal, wir zahlen jetzt hier sechsstelligen Betrag für irgendeine blöde Lizenz. Da muss ich doch jetzt nicht noch jemanden daneben setzen, der die Systeme den ganzen Tag einölt. Sorry, will ich doch auch mal hier diese Anspruchshaltung, die kann ich persönlich total gut nachvollziehen, vor allem bei den Preisen, die einige dieser Tools kosten. Insofern will ich sie nicht delegitimieren. Sie geht nur leider häufig an der Realität vorbei. Und dann hast du natürlich auch das ein oder andere Mal den Eindruck,

Linus:[24:59] dass so ein Service vielleicht eingekauft wurde beim sehr guten Gespräch auf dem Golfplatz. Und vielleicht nicht aus einer, das war wirklich super, wir haben es ja echt super verstanden, aber nicht sich in ein strategisches Gesamtkonzept, wie man denn so eine IT-Infrastruktur schützen und monitoren möchte, einfügt und das will natürlich schon informiert getan werden, sei es, ob du jetzt deine präventiven Maßnahmen, deine Detektionsmaßnahmen, dann hast du vielleicht noch einen Honeypot und dann hat irgendeiner aber draufgeschrieben, guck mal hier, da haben wir noch ein bisschen Quantum

Linus:[25:40] Security und da haben wir auch noch AI, da müssen wir noch ein bisschen AI mit rein in dein Portfolio und guck mal, was haben wir noch? Resilience, Resilience haben wir auch noch, ja? Dann machen wir hier noch ein bisschen Resilience bei und dann irgendwann, wenn das jetzt nicht

Linus:[25:55] Mit Sinn und Verstand ausgewählt wird, sondern nach Buzzwords und das ist, das höre ich von mehr IT Security tätigen, als du glaubst, dass sie sagen so, oh fuck, der Chef hat jetzt wieder hier irgendwas. Wir haben das, wir müssen halt jetzt hier, kannst du mal, Linus, was machen wir jetzt damit? Ich hätte viel lieber was gehabt, was dieses Problem löst, das mich jeden Tag beschäftigt. Und da können wir natürlich teilweise auch mit einer Außenperspektive dann eher wirken, als die Abteilungen, die mit dem Klumpadstand da stehen und sagen, boah, Seit drei Jahren sage ich, ich hätte gerne dieses und jenes und jetzt hat der Chef irgendwas gekauft, wo irgendwelche Buzzwords draufkleben. Dann fügt sich das nicht zusammen. Das ist dann teilweise sehr bedauerlich für alle Beteiligten. Außer diejenigen, die Rechnung schreiben.

Markus:[26:50] Vielleicht mal umgekehrt gedacht, wir hatten auch mal den Niklas Hellemann von SoSafe hier mit dem Thema, ich glaube Human Firewall war ja damals das Thema. Was ist denn aus deiner Sicht, wenn du jetzt mal umgekehrt denkst, gar nicht so vom Markt her gedacht, was sich verkauft, sondern was ist aus deiner Sicht ein gutes Sicherheitsprodukt, was wirklich hilft? Wahrscheinlich pauschal schwer zu sagen, aber wenn wir jetzt mal so einen, weiß ich nicht, ich sage jetzt mal einen durchschnittlichen globalen Telco-Konzern betrachten, ja, was braucht so ein Unternehmen oder wo setzt man da an?

Linus:[27:16] Also du

Speaker3:[27:17] Wirst von mir

Linus:[27:18] Aus unterschiedlichen Gründen keine Antwort hören. Also ich werde jetzt nicht in die Falle tappen, irgendein spezifisches Produkt zu empfehlen und mich dann auf Dauer damit aufziehen zu lassen oder diesem Produkt eine besondere Wertschätzung entgegengebracht zu haben. Also ich glaube, dass der größere Teil der Produkte durchaus Wertbeiträge leisten kann, wenn sie sinnvoll angewendet werden. Und ich nehme mal ein Beispiel, wenn man jetzt so eine, oder auch vielleicht den Konflikt, den wir da sehen, diese Crowdstrike-Ausfall, der müsste, ist jetzt noch nicht ein ganzes Jahr her, würde ich sagen, müsste so ein Dreivierteljahr. Das ist also, Crowdstrike ist ein MDR oder XDR oder wie auch immer das dann wieder, also eigentlich ein Tool zur Erkennung von Angriffen, also klassisch würde man sagen ein

Speaker3:[28:17] Virenscanner mit ein bisschen klügeren

Linus:[28:18] Einbettungen im Betriebssystem, die gleichzeitig dem Tool selber eine sehr große Angriffsfläche in das Betriebssystem geben. Und das weiterhin, wenn man dann einmal den Agent auf dem Rechner hat, kann der auch verwendet werden beim Incident, zum Beispiel bei der Suche. Wenn jetzt irgendwie, also dieses Tool verspricht, wenn jemand Standard-Malware auf den Rechnern ausrollt, dann wird es gemerkt und wenn du jetzt irgendwie beispielsweise Leute hast, die sich mit Credentials durch dein Unternehmen bewegen, dann hast du eine relativ schnelle Möglichkeit nach Indicators of Compromise auf den Geräten zu suchen. Das ist das Produktversprechen. Und jetzt haben die, weil die sich so tief in das Betriebssystem eingebettet haben, bei einem Bug dazu geführt, dass irgendwie wirklich massenhafte IT-Ausfälle weltweit stattgefunden haben. Die Rechner gingen nicht mehr an. Das war ein absolutes Desaster, insbesondere wenn die Leute dann noch eine Festplattenverschlüsselung hatten, weil dann konntest du das, also da wurde richtig Geld verbrannt worden.

Linus:[29:21] Und natürlich sagen dann diejenigen, die sagen, so eine Software, die so tief in ein Betriebssystem eingreift und mit so einem Qualitätsbewusstsein irgendwelche Schrottupdates ausrollt, die sollte man nicht haben. Das ist ein absolut richtiges Argument. Stelle ich mich deswegen hin und rate einer größeren Organisation, sie soll ohne ein XDA arbeiten. Ich denke, mit dem Rat wäre ich auch relativ schnell auf der Liste derer, auf die man nicht mehr hört. Deswegen musst du da natürlich Trade-offs machen und natürlich machen diese Tools Fehler und natürlich bringen diese Tools dir gar nichts, wenn du sie nicht sinnvoll einsetzt. Ja, aber wenngleich ich selber, vielleicht das kann man zum Beispiel sagen, ich würde mir niemals so eine Software auf meinen Rechner packen, aber ich würde auch niemals einer größeren Enterprise-Organisation sagen, komm, das machst du ohne, ja, da machst du hier eine Human Firewall vom Niklas Hellemann, dann passt das schon, dann klinken die schon nicht. Also so hat jedes, jede dieser Schutzmaßnahmen irgendwo ihren Zweck und ihren Sinn und ihre Bedeutung und muss sinnvoll umgesetzt werden. Das ist nicht die Antwort, die du dir oft hast,

Speaker3:[30:37] Markus.

Markus:[30:38] Nee, kann ich gut mitleben. Aber ich habe mir auch nicht gedacht, dass du in die Falle tapst.

Linus:[30:44] Nice try.

Uli:[30:46] Was aber am Ende des Tages sehr deutlich wirkt, ist, dass immer ein ganzheitliches Konzept sein muss. Also egal, was ich verwende, egal, was ich anwende, es muss halt zusammenpassen. Und ich muss mir vorher Gedanken darüber gemacht haben. Also irgendwie ein blindes Zusammenstellen von gewissen Tools hilft nicht. Wenn auf der anderen Seite deine Hintertür aufsteht, sicherst du dein Haus auch nicht. Auch wenn du vorne das absolut beste Schließsystem hast, das nützt dir nichts.

Linus:[31:12] Und ich denke, Uli, genau das ist die Erkenntnis, die viele noch nicht so haben.

Uli:[31:21] Das ist in der Tat so. Das siehst du auch, dass teilweise so ganz haltliche Strategien, und wie gehe ich eigentlich damit um, nur halt lückhaft sind. Und ein Stück weit, gerade vor allen Dingen bei größeren Unternehmen, halt nur Flickenteppiche darstellt und halt kein ganzheitliches Konzept. Und das macht es halt Angreifern wieder leicht, ne?

Speaker3:[31:41] Schauen wir uns vielleicht mal die Softwarehersteller an.

Markus:[31:43] Ich meine, die liefern so ein Ding an das Unternehmen im Standart und da könnte man ja vermuten, und das hast du ja auch schon mal öffentlich gesagt, dass die vielleicht auch eine gewisse Haftung haben, wenn dann da was schief

Markus:[31:54] läuft oder wenn dann irgendwie sich eine Lücke auftut. Die könnte so eine Haftung denn konkret aussehen und müsste sich da vielleicht sogar gesetzlich oder regulatorisch irgendwas ändern, damit sowas überhaupt möglich ist in Europa?

Linus:[32:04] Also erstmal muss man feststellen, es gibt eigentlich nur zwei Arten von Produkten, die du auf diesem Planeten ohne Haftung verkaufen kannst. Das eine ist Software und das andere sind Drogen. Beide nennen, für beides gehst du zum Dealer und die nennen ihre Kunden User. Aber das ist alles andere, was du in die Welt setzt, da musst du für haften. Und jetzt gibt es, die Argumentation ist ja auch richtig und sagt so, wenn man für die Schäden oder für IT-Sicherheitslücken in einer Software haften würde, dann wären so großartige Unternehmen wie Microsoft, hätte es niemals gegeben.

Linus:[32:56] Und das ist ja auch korrekt und auf einer anderen Seite schaffen ja auch viele Softwareprodukte eine Reihe an Produktivität für Unternehmen, sonst würden sie die ja nicht kaufen. Irgendwo dazwischen muss aber ja mal eine Grenze her. Jetzt haben wir aber gleichzeitig schon etabliert, Unternehmen… Haben ja auch einen Teil der Verantwortung. Also wenn hier mein Computer sagt, übrigens Linus gibt ein Update und ich klicke das die ganze Zeit weg und dann wird mein Computer hier gehackt oder mein Handy aufgemacht, dann kann ich natürlich auch nicht dem Unternehmen die Schuld geben. Gleichzeitig schaut man sich dieses Crowdstrike-Debakel an. Also da gibt es ja eine ganze Reihe an Gerichtsverfahren oder Klagen, die da jetzt anhängig sind. Nach meiner Kenntnis wurde noch keine wirklich entschieden, würde mich wundern. Aber natürlich bringen da Leute das Argument, dass CrowdStrike zumutbare Maßnahmen hat unterbleiben lassen, wenn sie irgendwie die Hälfte der Welt lahmlegen. Und die einfachste Maßnahme wäre gewesen, guck mal erstmal bei dir, ob das klappt, bevor du das, so ein einfacher Prozessschritt, lass mal testen, lass mal testen, ob das geht.

Speaker3:[34:22] Und den haben

Linus:[34:22] Die offensichtlich nicht in ausreichendem Maße ausgeführt und dann könnte man denen dafür eine Fahrlässigkeit und dem daraus abgeleitet eine Haftung unterstellen. Das nächste ist, wie lange stellt denn so ein Unternehmen, wenn es dir ein Gerät verkauft, dafür Updates bereit? Kaufst du ein Handy, kaufst du ein Router, war mal ein großes Thema, kaufst du dieses oder jenes.

Linus:[34:50] Wie wäre das denn, wenn man da mal zumindest an der Grenze der Fahrlässigkeit sagt, okay, jetzt gucken wir mal, ob wir da nicht mal beigehen. Das könnte übrigens auch Wenn du dich an den Fall mit Log4j erinnerst, das war eine Software-Library in Java, die für Logging verwendet wird. Die Entwickler sind auf die geniale Idee gekommen, dass man in diese Logs ja wiederum einen interpretierbaren Syntax reinbringen kann. Das heißt, deine loggende Instanz schreibt quasi Befehle an den Logger. Und jetzt kannst du den Logger einerseits lokal haben, also dann schreibt die Software an ihren Logger und der Logger führt das dann aus. Du konntest den Logger beispielsweise auch irgendwo aggregierend haben oder so. Was hat das zur Folge gehabt? Du konntest im Prinzip, wenn du als Angreifer weißt, das, was ich hier schreibe, landet in einem Log und dieses Log wird von Log4J verarbeitet. Dann kann ich da einen Befehl hinschreiben. Einfachstes Beispiel wäre, mein User-Agent ist, was weiß ich, bei einem Browser und dann wird das in irgendeiner Java-App geloggt und dann wird dieser Code ausgeführt.

Linus:[36:14] Die Idee, die gerade dafür vorgetragen wird, ist, dass Unternehmen eine S-Bomb pflegen müssen. Eine Software Bill of Materials. So, und jetzt, wenn du dir jemanden anschaust, wie Ulrich, der für die Vodafone verantwortlich war, und dann sagen wir uns, so, dann haben wir jetzt unser Excel-Sheet und dann gucken wir mal, in jedem einzelnen Gerät, in jeder einzelnen Software, die wir hier haben, muss ich jetzt aufschreiben, welche Software-Libraries da drin sind und in welcher Version. Und wenn nächste Mal einer sagt, Log4j ist das Problem. Dann kann der Uli seine Excel-Datei aufmachen, muss eine halbe Stunde warten, bis die geladen ist und dann weiß er, wo die Probleme sind.

Linus:[36:56] Das waren jetzt so die Vorschläge, dem zu begegnen, dass für größere Organisationen es eben unmöglich war zu wissen, wo überall Log4j drin ist. Und dass du außerdem dadurch halt einen Longtail hast, weil natürlich wirst du jetzt in jeder Organisation, in jedem größeren Environment irgendwo immer noch Lock4J-Dinger finden. Man könnte natürlich auch sagen, so, irgendjemand hat euch den ganzen Klumpatsch verkauft und da kann man jetzt sagen, das ist eine hochkritische Code-Injection-Schwachstelle, die auch weltweit bekannt ist und wenn die noch in irgendeinem Produkt schlummert, dann ist nichts mit Haftungsfreistellung oder so, Sondern dann ist, entweder du hast ein Update bereitgestellt und zwar in einer angemessenen Zeit oder du hast es nicht bereitgestellt und bist jetzt dafür verantwortlich. Und ich könnte mir vorstellen, dass das die Motivation bei Software-Bereitstellenden sehr stark erhöhen würde, diese Form der Qualitätssicherung dann auch vorzunehmen. Also es geht nicht darum, ein weiteres Argument, das natürlich angeführt wird, ist ja das Open-Source-Umfeld. Der Linus Torvalds, der releast doch keine einzige Version des Linux-Körnels mehr, wenn der dafür verantwortlich ist, wenn demnächst die Welt abraucht. Darum geht es ja nicht. Und übrigens ist ja auch da ein Ökosystem drumherum.

Linus:[38:18] Das Geld verdient. Also die Linux-Distributionen, die bereitgestellt werden, ja, da sitzt dann der Linus zu Hause mit seinem Linux-Rechner und freut sich, dass er es kostenlos bekommen hat. Aber eine größere Organisation, die hat ja dann schon ihre Wartungsverträge mit Red Hat oder wem auch immer, die diese Distributionen bereitstellen und die die auch pflegen und die Patches da drin backporten. Und selbstverständlich würden auch diese Linux-Organisationen nicht darunter zerbrechen, wenn man sagt, so Leute, ihr haftet jetzt mal für den ganzen Krempel. So das unter Bedingungen der Fahrlässigkeit. Also wenn ich mir überlege, was Juristen schon alles reguliert haben, dann

Speaker3:[38:59] Wird denen dafür

Linus:[39:00] Auch die entsprechenden Formulierungen einfallen, ohne dass die IT-Welt zusammenbricht.

Markus:[39:08] Uli, wie schaust du aus der CIO-Brille auf das Thema Haftung?

Uli:[39:12] Grundsätzlich halte ich das gerade auch für größere Hersteller für sehr sinnvoll, das zu regeln, also gemeinschaftlich da logischerweise auch ein Sicherheitsnetz hinzubringen. Und ich glaube, was die große Herausforderung dahinter ist, also nicht bei den Standardherstellern, sondern halt gerade dann, wenn du heute mit vielen Entwicklern Code zusammenstellst und aus verschiedenen Open-Source-Quellen dich bedienst, da wird es eher spannend. Und wenn dann noch intern Code weiterverarbeitet wird, ab wann bin ich dann plötzlich selber Hersteller? Also ab wann bin ich eigentlich selber der Master des Codes? Und ich weiß, gerade viele Telcos haben den Traum, eher Richtung Softwareunternehmen zu streben, also viele Entwickler einzustellen, selber Codes zu entstellen und vor allen Dingen die Customer Journeys, was ich auch für sehr sinnvoll halte, oben an den Applikationen und so weiter zu ownen. Aber das heißt auch logischerweise, damit kommt halt auch eine Verantwortung ins eigene Unternehmen rein, das sicherzustellen. Und da würde ich sagen, ist der Reifegrad noch überschaubar.

Linus:[40:19] Ich glaube, es gibt da so einen generellen Trend in der IT, den wir jetzt halt überall beobachten. Software wird immer weniger als Produkt angeboten als als Service angeboten. Also diese IT-Landschaft, die On-Prem steht, für die du irgendwann mal ein Produkt gekauft hast und dann das da irgendwie am Live-Support hältst oder so, das wird immer weniger angeboten. Das heißt, da kommst du dann in diesen Service-Bereich und dann ändern sich natürlich auch so ein bisschen die Haftungsregelungen. Aber wenn du dir anschaust, ich freue mich dann immer, wenn mal so Microsoft-Services einen halben Tag ausfallen oder so und alle mal so einen Tag der Einkehr und der Ruhe spontan nehmen können, weil der ganze Krempel nicht funktioniert. Da haftet ja auch wieder keiner, weil das könnte man ja sonst nicht anbieten. Oder die haben dann irgendwie so eine Service-Level-Agreements mit 99 Prozent. Das heißt, die dürfen dann so dreieinhalb, vier Tage im Jahr ausfallen. Was ich auch super finde. Beim Flugzeug würde man das nicht akzeptieren. Aber okay, da sind natürlich auch etwas größere Risiken noch.

Uli:[41:34] Ich wollte gerade sagen, auch im Krankenhaus. Es wird keiner akzeptieren,

Uli:[41:36] dass du mal drei Tage off bist.

Linus:[41:37] Ja, also gleichzeitig möchte ich, also es ist ja schon so, dass die Idee dahinter einfach nur wäre, dass die Unternehmen, die Code in Umlauf bringen, sich einfach mal überhaupt ein bisschen mehr Gedanken über das Risiko machen müssen, was die anderen Leuten da aufbürden.

Uli:[42:01] Ja, es wird aber dann irgendwann auch auf die Hyperscaler übergehen, weil wenn AWS weg ist oder wenn Meta weg ist oder sonst irgendwas, das ist ja das Gleiche. Also da hängen ja auch teilweise geschäftskritische Prozesse drauf.

Linus:[42:15] Und immer mehr, das hast du ja auch regelmäßig, dass da irgendwas abraucht und da hast du dann, ja, auch da gibt es natürlich Abwägungen, die jetzt sag ich mal meiner politischen Überzeugung nicht unbedingt, also die ein bisschen meinen politischen Vorstellungen ein bisschen entgegenstehen. Natürlich müsste man sowas long term betrachten, wenn du jetzt, wenn du sagst, okay, alles klar, ich konsumiere irgendetwas als Service von jemand anders, der sich damit auskennt, der das macht und der fällt alle paar Jahre so und so lange aus oder ich versuche es selber mit einem Taschenmesser und den Leuten, die ich bei mir im Dorf heiern kann. Da gibt es dann eben auch Abwägungen, die

Linus:[43:04] Eine kurzfristige, eine mittelfristige und eine langfristige Komponente haben. Die kurzfristige ist, naja, ich als SMI-Geschäftsführer bin kurzfristig auf jeden Fall wahrscheinlich ganz gut beraten, so viel wie möglich Leuten zu geben, die sich damit auskennen. Und von mir aus fällt das mal aus, aber bis dahin habe ich schon so viel Geld gespart, dass mir der eine Tag Ausfall auch nicht mehr die Rechnung kaputt macht. Das wäre so die Die eine Perspektive, dann kann man sich gleichzeitig überlegen, was bedeutet das für so ein Land, wenn wir unseren ganzen Kreppel outsourcen in die USA und Gott bewahre in den USA irgendwann mal so ein politischer Wandel stattfinden würde, der die Macht dieses Landes in die falschen Hände gibt, was natürlich völlig unwahrscheinlich wäre. Aber stelle sich vor, dass das jetzt irgendwie Donald Trump der Präsident wäre und Elon Musk die Regierung abschafft, dann würden wir jetzt auf einmal uns echt große Gedanken machen und dann reden wir auf einmal über Themen der nationalen digitalen Souveränität. Das heißt, da haben wir teilweise bei kurzfristigen Incentives starke Abweichungen zu dem, was sich als langfristig und nachhaltig erweisen würde.

Markus:[44:15] Was glaubst du denn, was momentan die gefährlichste Illusion ist, die wir im digitalen Raum leben, wenn du mal so ein bisschen die Vogelperspektive einnimmst? Und ich meine jetzt nicht an so Science-Fiction wie Terminator oder so,

Speaker3:[44:26] Sondern so dein Blick,

Markus:[44:27] Wo du denkst, da kommt was auf uns zu, da gibt es was, was bald platzen wird.

Linus:[44:34] Da wüsste ich gar nicht, welche jetzt da die gefährlichste ist.

Speaker3:[44:38] Ja.

Linus:[44:41] Also grundsätzlich digitaler muss ja auch noch mit Sicherheit zu tun haben. Die Frage ist schwierig. Also ich, meistens, ich gehe jetzt mal auf eine Vogelperspektive, meistens sind die Fehler, die wir machen, dass wir Dinge einerseits überschätzen und andererseits unterschätzen. Und das würde ich sagen, passiert gerade mit der sogenannten künstlichen Intelligenz. Dadurch, dass sie überschätzt wird in dem, wofür sie geeignet ist und was sie alles machen kann, wird jetzt überall reingeknotet, ohne Sinn und Verstand. Weil die meisten Leute sich noch nicht ausführlich damit auseinandergesetzt haben, was überhaupt der Vorteil dieser Systeme ist und warum man die intelligent nennt. Und das heißt, das wird jetzt überall reingeknotet. Da werden wir uns noch sehr viel die Finger verbrennen. Nicht nur im Bereich der IT-Sicherheit, auch im Bereich dessen, was wir die Dinger dann anrichten lassen. weil wir denken, Mensch, das ist aber super, machen wir mit KI. Und das heißt dann eine Überschätzung der Technik, die auf einer anderen Seite damit einhergeht, dass man sie unterschätzt in dem, was sie potenziell, also wo die richtigen Potenziale sind und was sie anrichten kann für uns und was das für vielleicht eine Arbeitswelt bedeutet.

Linus:[46:10] Und da würde ich so in diesem Buzzword-Getriebenen nicht wirklich verstehen, was die Vorteile einer Technologie sind, was die machen kann, sich in Erinnerung rufen, wo kann ich die klug einsetzen, wo nicht, wo gehe ich Risiken ein, wo nicht, wird häufig so der falsche Teil diskutiert.

Linus:[46:32] Beispielsweise würde ich mal, um das zu illustrieren, Autonomes Fahren. Nicht so einfach, wie man sich das vorstellt. Autohersteller haben da große Probleme mit, das hinzukriegen. Und wir diskutieren die ganze Zeit, überfährt das Auto dann die alte Frau oder das Kind? Wäre ja schön, wenn wir das Problem überhaupt mal hätten. Bisher werden die alten Frauen und die Kinder regelmäßig einfach vom Besoffenen umgenietet und da macht sich keiner Gedanken drüber. Das heißt, wir führen dann teilweise so ein bisschen Scheindebatten, die sich eignen für irgendwelche Bühnen oder für irgendwelche Kurzbeiträge im Fernsehen, aber nicht eine ernsthafte Diskussion darüber, wo wendet man das am besten an oder hier autonomes Fahren. Darauf würde ich von ausgehen, also nicht mein Expertisebereich, aber ich würde davon ausgehen, da jetzt die ersten Level, hast du nicht gesehen, Autos auf der Autobahn rumfahren, dass wir bald ein Problem haben mit den Kraftfahrern, weil du demnächst so einen LKW nicht mehr betreuen musst.

Speaker3:[47:40] Den setzt du auf die Autobahn, dann fährst du den von mir aus,

Linus:[47:43] Von der Autobahnausfahrt noch zur Spedition oder so. Und diese gesellschaftlichen Impact, den das haben wird, da machen sich dann wenig Leute Gedanken drüber. Und dann kommst du in den Bereich, wo die gesellschaftlichen Spannungen entstehen. Und du merkst es, jetzt gleite ich ab ins Dystopische. Aber ich würde mir eine sehr viel mehr inhaltlich fundierte Auseinandersetzung mit Technologien wünschen, um zu einem realistischen Bild ihrer Anwendbarkeit und ihres gesellschaftlichen Impacts zu kommen. Und diese Diskussionen sehe ich nirgendwo stattfinden. Oder zumindest nicht in der Breite, die finden schon statt, aber die finden in der gesellschaftlichen Breite nicht so wirklich statt.

Speaker3:[48:31] Kann ich unterschreiben.

Uli:[48:33] Also wie viele, ich sage mal, Geschäftsführungskollegen kommen irgendwie aufgeregt irgendwo hingelaufen und sagen, wir brauchen KI, wir brauchen KI. Wenn du dann fragst, ja warum denn eigentlich, dann kann das keiner so richtig beantworten und die Antwort ist dann meist, ja die anderen haben es ja auch. Ja, und das ist schon mal nicht die cleverste Antwort, ja. Weil es gibt halt in der Tat, ich habe dir das schon mal erzählt, es gibt mittlerweile echt gute Anwendungsfälle, ja, die auch dazu führen, dass Technologie uns was Gutes tut, uns Menschen, ja. Also da gibt es ein Startup-Dinos, die beschäftigen sich mit Altersblindheit, ja, was nicht ganz unwesentlich ist, ne. Also in der Bundesrepublik erkranken irgendwie eine Million Menschen pro Jahr in dieser Altersblindheit, ja. Und wenn die aufgetreten ist oder wenn sie halt in einem erweiterten Stadion ist, dann ist das dein Schicksal klar, dann wirst du irgendwann blind, weil dieser schwarze Fleck dehnt sich dann aus und irgendwann kannst du halt nicht mehr sehen.

Uli:[49:27] So, und die haben mittlerweile mit ihren, und das ist jetzt nicht Generative AI, sondern tatsächlich Machine Learning-Rhythmen, Computertomographie-Bilder angeschaut. Die können halt vorhersagen, bist du jemand, der in dieses Muster fällt und können dann halt frühzeitig Behandlungsmuster anwenden, dass dieses Ding halt gar nicht mehr bei dir auftaucht. Also, dass diese Krankheit in Anführungszeichen irgendwann abgeschafft wird. Und das sind halt genau diese Beispiele, wo ich sage, lass uns doch Technologie dafür nutzen, die der Mensch halt dient und logischerweise nicht ähnlich wie damals bei der Erfindung der Eisenbahn gesagt wird, wenn wir 80 kmh erreichen, werden alle wahnsinnig.

Linus:[50:06] Wobei, rückblickend schätze ich raus. Ungefähr da sind auch echt alle wahnsinnig geworden.

Speaker3:[50:11] Ja, genau.

Uli:[50:13] Und das ist halt, also in der Tat, diese Technologie wird grundsätzlich, das haben wir ja viel erlebt, Markus. Also am Anfang vollkommen überschätzt und dann bricht sie durch und dann wundern sich alle, wo das plötzlich herkommt. Was dann exponentiell wächst im Hintergrund. Aber tatsächlich die Diskussion, wie kann ich Technologie für uns Menschheit nutzen, um viele Fragen, die für uns noch nicht beantwortet sind, mal zu beantworten. Die Diskussion würde ich auch lieber haben.

Linus:[50:40] Ich finde dieses Beispiel schön, das kenne ich jetzt nicht, aber du zeigst spezifisch, nämlich hier Computer können mit großen Mengen Daten umgehen und darin Zusammenhänge finden und lernen. Und was wir jetzt mit der mit KI sehen, es kann sprechen also es ist schon wirklich auch beeindruckend, ja normalerweise wissen wir alle, es gibt nur einen Weg wie Menschen etwas kreieren können, was spricht und das dauert relativ lange und dann ist es nicht mehr ruhig, ja das ist dann auch irgendwie, also da haben wir auf jeden Fall jetzt was sehr was Irres geschaffen das aber auch natürlich uns als Menschen sehr fordert, weil jetzt diese blöden Maschinen echt auf einmal sprechen

Linus:[51:32] Und zwar das Sprechen auch von uns gelernt haben, dann haben wir die Herausforderung bei, die ab und zu reden, die Quatsch, genauso wie Menschen, leider aber enorm überzeugend. Das heißt, das stellt so die Heuristiken, wie wir als Menschen bisher durch dieses Leben gegangen sind, ein bisschen auf die Probe. Und jetzt trauen wir diesen Systemen alles zu, weil er, meine Güte, kann reden, der hat mir gesagt, wo ich langfahren muss und kann auf meine Fragen antworten und da werden wir, daher kommt, denke ich, sehr stark auch diese Überschätzung, dass das jetzt alles kann. Und die Klugen werden sich jetzt darauf konzentrieren, in welchen Datenmengen Einsichten schlummern, die man mit klassischen Methoden nicht finden kann oder schwer finden kann. Die klassische Programmierung ist, wir haben Daten, wir wenden Regeln darauf an und wir haben Ergebnisse. Und was wir jetzt mit dieser sogenannten künstlichen Intelligenz machen können, ist, wir haben Daten und vielleicht Ergebnisse. Wir kennen aber nicht die Regeln, die können wir da jetzt einfach rausholen. So das Blöde ist und das System kann uns die Regeln nachher nicht sagen.

Linus:[52:52] Und das ist ein bisschen schwierig, wenn man dann sagt, boah, wahrscheinlich wird es ganz gut zu funktionieren. Lass das Ding mal groß spielen gegen jemand anders, lass das Ding mal Schach spielen gegen jemand anders, na oh, ist ganz gut.

Linus:[53:03] Lass das Ding mal sprechen lernen. Oh, spricht, kann nicht nur sprechen, sondern alle Sprachen fließend ineinander übersetzen und so weiter. Und hat auch noch irgendwie mitgelernt, die Inhalte, die wir vermittelt haben. Ja mach daraus mal einen Online-Service und lass die Leute 20 Euro einwerfen und also im Moment wird noch sehr viel wird ja sehr viel heuristisch vorgegangen und alle die davon mehr Ahnung haben als ich sagen, dass die Warenturchbrüche jetzt eben da schlummern, wo große Datenmengen bisher nicht analysiert wurden oder nicht analysiert werden konnten, weil sie unstrukturiert da lagen und wir jetzt quasi etwas haben, was in diesen Daten Zusammenhänge finden kann. Und bin ich mal gespannt, welche Daten sich da noch so finden. Ich habe nicht so viele, ich glaube aus meinen Daten wird es nicht mehr so viel machen lassen, aber ich würde hoffen, dass da vor allem in der Wissenschaft noch Durchbrüche auf uns warten, weiß aber nicht, wie brav die waren im Sammeln und Aufwarn ihrer Daten.

Markus:[54:09] Ich habe tatsächlich mal ChatGPT gefragt, wenn du Linus Neumann zu Gast hättest, weil da hat natürlich einige dann über dich. Was wäre die eine Frage, die eine Sache, die du von ihm wissen wollen würdest?

Linus:[54:21] Oh nein.

Markus:[54:22] Ja, pass auf, pass auf. Ich war sehr, sehr überrascht. Und ChattGVT4O würde dich fragen, was sagt der aktuelle Zustand digitaler Infrastrukturen über den Zustand unserer Gesellschaft aus? Ich glaube, da könnten wir eine komplette Folge drüber anschließen, aber ich war wirklich sehr überrascht, weil ich dachte, boah, wenn ich die stelle,

Speaker3:[54:40] Dann geht es richtig los.

Markus:[54:43] Aber möchtest du die sogar beantworten?

Speaker3:[54:45] Fällt dir dazu was?

Markus:[54:45] Was sagt der aktuelle Zustand digitaler Infrastrukturen über den Zustand unserer Gesellschaft?

Linus:[54:54] Okay, sagen wir mal, digitale Infrastrukturen sind, nehmen wir jetzt einfach mal Mobilfunknetze und Festnetze als digitale Infrastrukturen.

Linus:[55:05] Also sehr viel besser in den Ballungsgebieten als auf dem Land. Und das ist eine Folge dessen, dass der Anreiz, diese Infrastrukturen zu bauen, nicht deckt den größeren Teil der Fläche ab, sondern deckt den größeren Teil der Bevölkerung ab. Mit mobilem Internet zu Hause. Wäre sicherlich klüger gewesen, hier andere regulatorische Anreize zu schaffen. Dann hätten wir, was wir ja auch feststellen, in den Städten enorme Mieten, enorme Kaufpreise. Teilweise kannst du wenige 10 Kilometer außerhalb von Berlin da ist es jetzt auch vorbei, aber gibt es eben Flächen in Deutschland, wo du ganze Dörfer für sehr wenig Geld kaufen kannst, weil da einfach niemand mehr sein möchte und das da ist es gekippt diese digitalen Infrastrukturen die hätten potenziell das Leben in diesen Regionen sehr attraktiv machen können inzwischen und jetzt werde ich gemein, ist es teilweise einfacher und das muss man sich wirklich auf der Zunge zergehen lassen.

Speaker3:[56:25] Inzwischen kannst du

Linus:[56:26] Einfacher über ein Satelliten, über tausende Satelliten, die Elon Musk ins Weltall geschossen hat, Internet irgendwo kriegen, als einfach eine schöne Glasfaser da hinzulegen. Das ist also offenbar einfacher, dir so ein Starlink zu kaufen und dir darüber eine Internetversorgung irgendwo in der Einöde zu holen, als dass dir einfach jemand dann ein Kabel hinlegt. Oder so ein Kabel liegt ja bei so einer ordentlichen Glasfaser. Technologie, die Jahrzehnte alt ist, die hätten wir einfach nur damals schon in der Erde verscharren müssen. Und da würde ich sagen, spiegeln sich gewisse gesellschaftliche Verhältnisse und auch die gesellschaftlichen Möglichkeiten für Teilhabe in dieser Infrastruktur wieder, die da gebaut wurde und die jetzt bestimmte Ungleichheiten in Deutschland längst manifestiert hat. Ich glaube wir haben auch die Zeit verpasst, dass es noch vielleicht Prosperity irgendwo hinbringt, weil man da jetzt auf einmal Glasfaser legt,

Speaker3:[57:26] Weil sich die Leute,

Linus:[57:27] Die Internet haben wollen, die sind längst dahin gezogen, wo es Internet gibt. Ja, du hast ja jetzt so Situationen nicht mehr, also ich weiß nicht, wie glaubhaft das ist, aber dass dann die Festnetzbauer Schwierigkeiten haben, die Leute auf die Glasfaser zu upgraden, weil sie inzwischen Regionen erschließen, wo schon alle weggezogen sind und nur noch

Speaker3:[57:48] Irgendwie ein paar Rentner

Linus:[57:49] Jeden mit einer Pantoffel hauen, der an der Tür klingelt, weil der wahrscheinlich ein Betrüger ist. Und das würde ich sagen, lässt sich inzwischen an dieser digitalen Infrastruktur leider ablesen und viele weitere Ungleichheiten, die sich inzwischen zementiert haben, auch in der Bildung und auch natürlich in den Einkommensverhältnissen, die sehr bedauerlich sind. Und da haben wir inzwischen mich kürzlich mit meinem Podcast-Partner Tim Pridleff darüber unterhalten, das ist jetzt bald ein Vierteljahrhundert mit dem Internet, dass das in die Breite gekommen ist. Dass eigentlich jeder Haushalt in Deutschland in Erwägung gezogen hat, mal das mit diesem Internet zu probieren.

Linus:[58:31] Und über dieses Vierteljahrhundert haben wir natürlich eine ganze Menge Ungleichheiten zementiert.

Uli:[58:36] Schaffen. Ja, definitiv. Also mein Lieblingsbeispiel, Lino, ist es immer Digitalagenda der Bundesrepublik. Da wird immer auch viel drüber geredet, aber wenn du einfach mal rechts und links guckst und sagst, sag doch mal die Top 3 Dinge der Digitalagenda der Bundesregierung, da tun sich die meisten, und da fällt mir auch manchmal schwer, überhaupt zu erkennen. Und was ist denn ein User-Prio?

Linus:[58:59] Ja, also was du da dann hast, sind Leuchtturprojekte. Mich jetzt kürzlich auch bei uns im Podcast sehr darüber echauffiert. Also der Leuchtturm als architektonische Metapher. Äußerst ungeeignet. Total.

Uli:[59:14] Und vor allem total alt.

Linus:[59:16] Vor allem der sagt, fahr hier nicht hin. Und dann hast du halt ein Land voller Leuchttürme. Und ich habe kürzlich jetzt hier gesehen, im neuen Koalitionsvertrag steht auch schon wieder was von Leuchtturmen drin. Diesmal soll ganz Deutschland ein Leuchtturm werden. Vielleicht bringt das uns weiter. Aber auch da um vielleicht wieder den Kreis zu schließen, ein doch irgendwie planloses Vorgehen, wo man sich freuen würde, wenn das irgendwann einmal planvoll würde.

Markus:[59:46] Ich danke euch beiden für das Gespräch und an der Stelle fassen wir mal so ein bisschen zusammen, was wir denn mitgenommen haben aus dem Gespräch. Lieber Ulli, möchtest du loslegen?

Uli:[59:55] Ja, also ich nehme aus dem sehr interessanten Gespräch drei große Themen mit. Das eine ist, IT-Sicherheit oder Cyber Security ist ein ganzheitliches Konzept und eine Reise und kein Projekt. Das ist Nummer eins. Nummer zwei ist, wir müssen Haftungsfragen nochmal neu sortieren und halt auch Leute, die, also ich meine, wir sagen unseren Programmierern immer, you build it, you own it. Und das heißt halt auch mitgehangen, mitgefangen. Das heißt, du bist dafür verantwortlich. Und das andere ist halt, Technologie wird immer überbewertet. Und die Vorteile und die wirkliche Nutzendiskussion in den Vordergrund zu stellen, ist glaube ich auch ein Thema, was wir hier in Deutschland weiter mehr nach vorne treiben müssen. Wir sind ja nun Ingenieursland. Und da halt auch diese Mehrwerte zu diskutieren.

Markus:[1:00:46] Linus, vielen, vielen Dank, dass du heute unser Gast warst. Und ja, danke für die Zeit.

Linus:[1:00:49] Ich danke euch für die Einladung.

Markus:[1:00:51] Das war der Digital Pacemaker Podcast mit Linus Neumann, Head of Security Strategy bei Security Research Labs. Wer unseren Newsletter abonnieren möchte, kann sich auf digitalpacemaker.de registrieren und alle 14 Tage Updates von uns erhalten. Weitere Informationen zur heutigen Folge findet ihr wie immer in den Shownotes. Folgt uns jetzt auf der Podcast-Plattform eurer Wahl und auf keine unserer Folgen. Viel Spaß und bis bald, euer Uli und Markus.

Music:[1:01:14] Music

 

Leave A Comment

Related Posts