Open Source und moderne Authentifizierung

Shownotes

Die Diskussion beleuchtet, welche Rolle offene Technologien für Innovation, Transparenz und technologische Unabhängigkeit spielen und warum die Frage digitaler Handlungsfähigkeit zunehmend an strategischer Bedeutung gewinnt.

Dabei wird deutlich, dass Open Source für sich genommen keine erhöhte Sicherheit gewährleistet. Entschei-dend seien vielmehr die Qualität der Entwicklung, die kontinuierliche Pflege von Software sowie die Möglichkeit zur unabhängigen Prüfung von Quellcode. Gleichzeitig wird die Bedeutung offener Technologien als Grundlage zahlreicher digitaler Infrastrukturen hervorgehoben.

Auch die aktuellen Debatten um digitale Souveränität werden aufgegriffen. Die Experten diskutieren, welche Voraussetzungen Deutschland und Europa schaffen müssen, um technologische Abhängigkeiten zu reduzieren und Innovationspotentiale besser zu nutzen. Themen wie Digitalisierung, Standortbedingungen für Unternehmen und die langfristige Sicherung technologischer Handlungsspielräume werden dabei ebenso beleuchtet wie die Rolle von Open Source in modernen IT-Strategien.

Praxisnahe Einblicke liefert zudem die Auseinandersetzung mit modernen Verfahren zur Authentifizierung und digitalen Vertrauensbildung. Christian Schorr ordnet die Entwicklung von PKIs, Passkeys und FIDO-basierten Verfahren ein und erläutert, wie sich moderne Authentifizierungslösungen in den vergangenen Jahren weiterentwickelt haben. Insbesondere die zunehmende Verbreitung von Passkeys eröffnet neue Möglichkeiten, die Sicherheit digitaler Zugänge zu erhöhen und gleichzeitig die Benutzerfreundlichkeit zu verbessern.

Der TeleTrusT-Podcast zeigt auf, welche technischen und strategischen Herausforderungen Unternehmen und Organisationen künftig adressieren müssen, um sichere und unabhängige digitale Infrastrukturen aufzubauen.

Transkript anzeigen

00:00:11: Herzlich willkommen beim T-LiTrust Podcast.

00:00:15: Mein Name ist Carsten Fossel und ich freue mich riesig, heute mit zwei neuen Gästen diese Folge aufzeichnen zu dürfen.

00:00:24: Das ist zum einen der Christian Schor von Kee One und das ist der Johannes Loxen von sehr nett!

00:00:31: Und ja bevor die beiden sich ein bisschen vorstellen können und wir dann ins Thema reingleiten natürlich wie immer noch kurz Inweis zum TeleTrust oder den Bundesverband IT-Sicherheit, der diesen Podcast regelmäßig veranstaltet.

00:00:46: Und ja ich glaube ganz spannend aktuell gibt es ein Positionspapier und dazu werden einfach auch die Webseite gehen zum Thema IT Sicherheit in Deutschland Stack.

00:00:56: Ein Thema was uns glaube ich gerade alle sehr beschäftigt unterschiedliche Perspektiven, sei es das Thema Souveränität.

00:01:03: Sei es vielleicht auch das ganze Weltgeschehen was wir gerade haben, darauf vielleicht Antworten zu finden.

00:01:08: wie sollen wir das denken?

00:01:09: Was sollen wir da denken?

00:01:10: Ich glaube dass sind ganz spannende Anregungen da so gerne mal nachschauen.

00:01:15: Ansonsten ja freue ich mich auf jeden Fall!

00:01:18: Wir haben heute spannende Themen die vielleicht gar nicht zusammenhängen aber wir gucken mal ob wir doch Zusammenhänge finden.

00:01:24: bevor wir weiter einsteigen würde ich sagen möchte ich erstmal gerne dies beilen Gäste vorstellen, der Christian.

00:01:31: Magst du vielleicht ein paar Takte zu dir sagen?

00:01:34: Wer bist du und was machst du?

00:01:35: Herzlich willkommen erstmal von meiner Seite!

00:01:37: Ja hallo Carsten herzlich Willkommen.

00:01:41: Mein Name ist Christian Schörp.

00:01:42: praktisch bin Mitgründer CEO und was mir eigentlich lieber ist solution Architekt der Kiwan.

00:01:48: geben wir unser Fokus.

00:01:50: also Wir sind noch ein relativ junges Startup gegründet in einen zwanzig.

00:01:56: Wir beschäftigen uns eigentlich in der ersten Linie mit IT Security Consulting.

00:02:02: Davon lieben wir eigentlich.

00:02:04: Kernthema ist PKI, alles was X-Fünfnohnein betrifft.

00:02:08: Ein bisschen DSMS ein bisschen Zero Trust aber besonders alles rund um das Thema X-fünfnohnnein und mit dem was wir so im Security Consultting dann erarbeiten.

00:02:22: mit dem bauen wir unsere Produkt Suite auf Und die fällt halt unter das Motto PKI neu gedacht, praktisch mit Zinnröhren.

00:02:29: Nix.

00:02:30: wann entwickeln wir da in dem Bereich neue Produkte und Lösungen?

00:02:35: Wunderbar!

00:02:36: Herzlich willkommen!

00:02:37: Ja und Johannes auch du gerne magst du dich für uns vorstellen.

00:02:42: und auch herzlich willkommen dass du dabei bist.

00:02:45: Ja, danke.

00:02:46: Ja, Johannes Loxen ich habe nineteen sechzehneinzig also schon ein bisschen länger her die sehr nett GmbH gegründet in Götting mit zwei Kollegen.

00:02:54: wir sind einen siebzig Leute Mittelständler Mit Fokus auf IT Security Themen Die wir bevorzugt aber nicht ausschließlich mit Open Source Mitteln lösen.

00:03:03: Wir sind außerdem Hersteller von zwei Open Source Stacks und beteuer das eines Samba Plus Brands von der Samba Software SMB und Tali Nux Und das andere ist very nice.

00:03:12: Das ist ein Open Source SMS Tool Das einzige Open Source SMS Tool, das entsprechende Verbreitung hat beim BSI und so weiter.

00:03:21: Und insofern haben wir dort sowohl auf der Komplenzeit als auch auf der Security Seite da unsere Stakes.

00:03:27: Ich selber bin Chef vom Ospo, also Open Source Program Office bei Zenit weil lange Jahre Geschäftsführer habe das aber inzwischen abgegeben.

00:03:35: Bin CEO der Zenit

00:03:37: Inc.,

00:03:37: also unser Tachter im USA auch beim Telechoss dabei und insofern freue ich mich hier heute ein bisschen, was zu diesem Mischfeld IC Security Open Source zu sagen.

00:03:48: Zu dem Thema, was Christian betäut, X-Pfundertneuen da sind wir Anwenderinnen.

00:03:52: Da sind wir einfach natürlich mit unterwegs.

00:03:54: Wir benutzen die Schlüsselung hoch und runter.

00:03:57: Ganz ideal ob wir es software gut unterscheiden, ob wir Sachen verschlüsseln wie auch immer das ist aber dazu gerne später mehr.

00:04:07: Ja, perfekt.

00:04:08: Herzlich Willkommen und ich habe mich nicht aufgerost.

00:04:10: Passt nur in nineteen sechserneinzig.

00:04:11: Hattest du gesagt bei Gründung?

00:04:12: Richtig, richtig!

00:04:13: Als es DSL Fade-Up haben wir an jede DSL Fed-Rate die dann kam eine kleine Linux Piste als Firewall gestellt.

00:04:21: das war im Saal Kickoff

00:04:24: Perfekt.

00:04:24: ja ich hab deswegen ist mir das natürlich gleich aufgefallen meine Gewerbemeldung bei auch sechs und neun Siehen.

00:04:30: soweit feiern wir beide das dreißigjährige Leum.

00:04:32: also da bist du wahrscheinlich auch schon groß am vorbereiten aber Sehr schön.

00:04:36: Insoweit sind wir gut verteilt und haben da glaube ich ganz viel, was wir mitgehen können in dieses Gesohn.

00:04:42: Genau!

00:04:43: Ich hatte ja gerade schon kurz auf das Positionspapier vom TeleTrust hingewiesen zum Thema IT-Sicherheit im Deutschlandsteck und da geht es jetzt zwar nicht zwingend um Open Source oder eher darum wie wollen wir uns eigentlich als Land mit dem Thema auseinandersetzen?

00:04:58: Aber ich finde die Brücke zum Thema ID Security und Open Source ist damit vielleicht klar... nicht ganz so weit weg.

00:05:08: Wie, beziehungsweise gerade hast du ja eigentlich schon angefangen aber ich würde trotzdem nochmal an Christian das Wort geben wollen.

00:05:14: Was wären die ersten Gedanken wenn du einfach diese Stichwort IT Security und Open Source

00:05:20: bekommst?

00:05:23: Also Open Security, Open Source ist praktisch, wenn ich daran denke... Ich würde sogar sagen es ist eigentlich ein Innovationstreiber aus dem Use Case heraus.

00:05:36: Also die meisten Open Source Projekte tatsächlich entstehen heute daraus,

00:05:42: dass

00:05:43: es Use Cases gibt, die mit kommerzioneller Software eigentlich so nicht abzudecken sind und das ist ein großer Teil Innovationstreiber.

00:05:52: ich habe selbst zwei Kollegen Im PKI-Umfeld Open Source Software entwickeln und die in der Tat genial sind, in dem was sie machen.

00:06:05: Das ist der Thomas Ottolhus, der entwickelt den ECMISurfer ADCS und der Uwe Gradenegger mit Temmyshirt.

00:06:14: Die sind wirklich genial!

00:06:15: Ich muss den Hut ziehen, die publizieren das Ganze was oftmals dazu verwendet wird, es nachher in kommerziellen Produkten mit einzubauen und weiter zu verarbeiten.

00:06:27: Das muss man auch ganz ehrlich sagen.

00:06:29: sieht das aus?

00:06:31: aber Open Source heißt natürlich nicht oder ist nicht.

00:06:35: gleichzusetzen ist gleich sicher das muss man halt auch trennen.

00:06:40: Es ist wie alle andere Software auch.

00:06:42: die wenigsten Open Source Nutzer beschäftigen sich eigentlich mit dem Code oder setzen sich wirklich da miteinander.

00:06:48: Das machen nur ganz selten welche.

00:06:51: Und das eine und das andere gleichzusetzen sollte man dann auch nicht, aber wie gesagt oftmals in riesen Innovationstreiber.

00:07:00: Ja, vielen Dank!

00:07:01: Was wäre um so deine Gedanken Johannes?

00:07:06: Na ja da kommt schon ein paar kommerzielle und konventionelle Software.

00:07:10: also früher war software frei und offen Als es anfing in den fünftiger sechziger Jahren, dann kamen irgendwelche Leute und meinten ja wir können das auch propretär machen.

00:07:20: Wir können den Source closed halten.

00:07:23: Und das war eigentlich der Punkt in den siebzehren Achtzigern als man dann sagte Ja wie können wir eben auch aus der Tarte hat dass der Koch nicht beliebig verteilt werden kann?

00:07:33: Dann auch noch ein Geschäft machen?

00:07:35: Das war die Hochzeit der der Close Source Software.

00:07:38: aber mit dem Internet das komplett auf Open Source Software basiert, also wenn ich mir angucke fange wir an beim DNS fangen wir an bei den Basisbetriebssystemen die heutzutage im Netz unterwegs sind auch in Microsoft Azure ist.

00:07:51: Also haben wir eigentlich die Infrastruktur des Internets als Open Source software.

00:07:57: dass einzelne Applikationen close laufen können wunderbar.

00:08:00: aber erstmal die Infrastrukturen.

00:08:03: Die meiste Software, die im Internet verwendet wird als Open Source und der wesentliche Grund dafür ist dass Leute die Software entwickeln auf Schultern von Riesen stehen und meistens eben schon vorhergehende Programme nutzen können.

00:08:16: Und völlig richtig was Christian Sackers sagt noch gar nicht über die Sicherheit aus sondern erst mal nur das wir einen großen See an Open Source Software Input Möglichkeiten haben und man sich sehr einfach Software schreiben kann wenn man so ein bestehendes Software weiter nutzt mit all dem Problem, die es dort sowohl bei OpenVac Close gibt.

00:08:34: Die Security bei OpenSource ist dann ein Thema argumentiert ja da kommt's wie bei closed völlig darauf an.

00:08:40: welcher engineering input wird in security Aspekte gesteckt?

00:08:43: Da würde ich sagen unterscheiden sich close und open erst mal gar nicht.

00:08:47: Die spannende Frage ist nachher die Prüffähigkeit in der Öffentlichkeit wenn ich sage Ich habe die prinzipelle Prüfmöglichkeit auf einen Quellcode zu checken.

00:08:56: Das habe ich bei Close nicht.

00:08:57: Das ist dieses ganze Thema Escrow, Hinterlegung vom Quellbrot im öffentlichen Bereich und damit eine Prüfbarkeit die auch oftmals für besseren Code sorgt.

00:09:08: Wenn einer propertären Code baut, Close Source dann gibt er sich oftmals nicht so viel Mühe das nachvollziehbar zu programmieren als wenn einer weiß nahe das Veröffentlich hinterher und dann kommen Leute und hauen mich in ein Flamewall was ich da alles für den Mist programmiert hab.

00:09:25: Also da gibt es Unterschiede, aber ich stimme Christian völlig zu.

00:09:28: Sicherer Code, sichere Software – das ist engineerbedingt nichts was sich auch closed und open verteilt.

00:09:37: Das bin richtig weit dabei!

00:09:40: Aber hat nicht eventuell das Thema, wenn ich erst veröffentliche den Nachteil dass jetzt gerade natürlich auch mit dem Thema AI Übereinsatz der AI bei einem veröffentlichten Sourcecode schneller herausfinden kann, wie ich dann auch beim laufenden System angreifen kann?

00:09:55: oder ist das auch eine Mehr?

00:09:58: Ja die Zeiten sind... Das war eine ganz kurze Phase in der AI zum Beispiel nicht mit Beinerecord umgehen kann.

00:10:05: Inzwischen kannst du schon recht komplexe Programme.

00:10:09: also es gibt diese coolen Beispiele wo dir die Floatmaschine ein Beinerie nimmt.

00:10:16: Ihr sagt, aus welchen Quellcode das Verlust wahrscheinlich zusammengebaut worden ist und der Fehler im Quell Code wird dann zurück bis in den Assembler-Code nachvollzogen.

00:10:24: Das heißt die KI hört ja nicht beim Quell code auf.

00:10:27: Die nimmt ihr auch Beineris auseinander und sagt da sind Fehler drin.

00:10:30: und dann durch die verschiedensten Technologien.

00:10:33: früher hat man nur Fussing gemacht und hat mal geguckt wie sieht es aus?

00:10:37: Man hat zig Methoden um auch Assemblerscode zu checken.

00:10:40: Das ist der KI egal!

00:10:42: In welcher Hochwache das zur Verfügung steht, die nimmt ihr zum Schluss auch Maschinencode auseinander.

00:10:47: Im Gegensatz zu Menschen kann die KI das und deswegen ist die Sicherheit diese obfuscation genannte Sicherheiten.

00:10:54: aber man kann ja nicht direkt den Quellcode gucken zukünftig ganz schnell wieder vorbei und deswegen gerade z.B.

00:11:00: bei Kryptografie es ist natürlich wichtig dass ich das nur sicher veröffentlichter Code den ich prüfen kann in den Kernroutine wohl gemerkt dann auch wirklich langfristig und sicher betrachtet werden kann.

00:11:11: Dass es so unsere überzeugenden, guten Sorgungsfelder sehen.

00:11:15: Aber das ist der entscheidende Punkt.

00:11:17: Man hat keinen Vorteil mehr bei der KI.

00:11:22: Ich hatte offensichtlich diesen kurzen Zeitpunkt mal als ich mich mit dem Thema auseinandergesetzt habe dass es den Unterschied gab.

00:11:28: aber vielen Dank für die Information macht total Sinn was zu sagen.

00:11:31: ja die Entwicklung geht weiter.

00:11:33: Das ist richtig.

00:11:34: wie wäre denn eure Einschätzung jetzt auch gerade in diesem Spannungsfeld von Souveränität und Open Source?

00:11:41: werden wir hier ein Aufwunk weiter sehen, auch mit dem ganzen Thema Open Source.

00:11:46: Oder ist es jetzt eher eine heiße Diskussion die wir führen?

00:11:48: Die sicherlich auch berechtigt ist, die aber vielleicht doch nicht so die richtigen großen Schritte wieder nach vorne bringt weil wir gerade so viele Themen haben.

00:11:56: Wir haben das Thema Souveranität, wir haben das thema AI, wir habe das Thema Sicherheit und ja sie greifen auch irgendwie ineinander und letztendlich kann ich ja eine Power nur auf die Straße bringen, nur einmal in Anführungsstrichen.

00:12:08: Ich kann nicht alle Felder versuchen zu bearbeiten weil die Kapazität das Geld wie auch immer habe ich ja vielleicht gar nicht.

00:12:14: Fertig ist aber auch ne falsche Sichtweise.

00:12:16: Wie wären eure Gedanken dazu?

00:12:18: Ja also wenn du mich fragst macht Open Source die Welt jetzt nicht sicherer und uns unabhängiger.

00:12:26: Das macht das eine Modell nicht.

00:12:28: Das macht es andere Modellen nicht.

00:12:29: um unabhängig zu werden dürfen wir nicht durchgreift erreicht werden in Deutschland bis ganz unten hin Und da gehören ganz andere Dinge dazu.

00:12:39: Man muss sie dafür den Anschluss nicht verlieren, wir haben sehr gute Leute, Wir haben sehr gut Entwickler in Deutschland und wir haben noch nicht optimale Infrastruktur wenn ich das mal so ausdrücken darf.

00:12:54: Wir sind mit KI kurz davor den Anschluß komplett zu verlieren.

00:13:00: Zumindest aus meiner Sicht trotz guter Wissenschaftler.

00:13:04: Wir haben mir in Saarbrücken selbst das CIS-Bar.

00:13:07: Wir sind Forschungstechnisch da ganz oben mit dabei, die sind also überall ausgezeichnet ein Aushängeschild eigentlich in der Welt.

00:13:16: aber wir kriegen die Performance im Moment nicht auf die Straße.

00:13:20: so sehe ich das.

00:13:22: Hast du Gedanken warum wird sie nicht auf den Straßen bringen?

00:13:25: Also ich würde dir zustimmen muss.

00:13:26: ich muss sich leider sagen aber die Frage ist immer warum?

00:13:29: Woran harbert das?

00:13:31: Ja das ist ein technischer Podcast, ich will jetzt nicht zu pulieren.

00:13:36: Aber genauer das ist wohl das Thema mit dem wir uns natürlich beschäftigen müssen.

00:13:41: und tatsächlich es ist ja bei uns so wie wir haben gegründet in einen zwanzig nicht vor dreißig Jahren.

00:13:51: Ich kenne die ganzen Problematiken die mit einer gründung verbunden sind.

00:13:55: ich kenne den Pakopierkram die rechtsvorschriften.

00:13:58: Ein einfaches Beispiel, das erste was ich mir machen musste.

00:14:01: Wir sind voll digital unterwegs und das Erste was ich erworben habe war ein Stempel.

00:14:08: Eine gute Geschichte.

00:14:11: er sieht schön aus aber es muss einfach stärker wachsen dass wir mehr Digitalisierung brauchen und da vor allem auch mehr Zentralisierung ist geht alles viel einfacher.

00:14:24: Ein einfaches Beispiel, du kennst es.

00:14:26: Wir haben ein großes Register das für alle gilt, dass für alle Autofahrer Geld.

00:14:32: dort ist alles gelistet und fertig.

00:14:35: bei allem anderen fehlt irgendwie die Zentralisierung des Zusammenführendes.

00:14:39: kriegen sie nicht hin.

00:14:41: Daran denke ich habe jetzt einfach noch einen Moment wissen.

00:14:46: Okay ja, Johannes, was hast denn so deine Gedanken?

00:14:50: Ja, Souveränität gibt's.

00:14:51: Das spannt natürlich... Es ist erstmal ein zu definierender Begriff.

00:14:54: also auch die Spacklinge von der AfD haben jetzt was zum Thema Souveranität rausgelassen und entsprechend leben wir das auf ihre Fahnen.

00:15:01: und wenn wir digitale Souveraneität hier in Deutschland oder Europa sagen dann gucken die Amerikaner da sehr kritisch drauf und fremden das als Nationalismus

00:15:10: usw.,

00:15:11: es gibt dort dasses Industriepolitisch als ein industriepolitischer Begriff.

00:15:14: deswegen Christiana ist völlig recht.

00:15:16: Da gehen wir wirklich in der politischen Dimension, weil so eine Realität ist hochgradig von der Definition abhängig.

00:15:23: Vielleicht um das nochmal zu wechseln... Also ich hab, naja ein Stempel habe ich auch irgendwo hier rumfliegen, aber glaube ich habe ihn seit fünfzehn Jahren nicht mehr benutzt.

00:15:31: Das ist immer so'n Punkt.

00:15:33: Wir arbeiten ja auch voll digital.

00:15:36: Ja!

00:15:36: Aber das ist eigentlich vorbei.

00:15:38: also wir arbeiten hier voll digital und wir haben arbeiten mit dem Stack da komplett mit freier Software, basiert bis zu dem Punkt wo wir eine Rechnung stellen weil wir dann Datefekunde sind und das ist nicht mehr open.

00:15:51: Aber ich sage mal so man kann das alles bringen.

00:15:53: ja warum ist es in Deutschland so schwierig?

00:15:55: In anderen Ländern gibt es im primat dass auch der Staat erstmal die heimische Softwareindustrie auch stärkt.

00:16:01: den Thema der Gründe ist und das machen zum Beispiel die Franzosen verstärkt so nicht nur die Amis die das im Exzess machen ne die würden keine Software aus anderen Ländern kaufen wenn sie amerikanisch Dienstleistertipter ist auch nur ein bisschen macht und so sind Microsoften groß geworden, weil der amerikanische Staat selber ein großer Grund ist.

00:16:19: Und der deutsche Staat macht das halt nicht.

00:16:22: Da gab es ja erst gestern im Ultrascharnal einen schönen Artikel dazu dass das eben natürlich eines der Probleme ist.

00:16:27: Im zweiten Punkt wird hier sehr viel Schwarz gemalt.

00:16:29: ständig wird gesagt wir können den Vorsprung nicht mehr aufhalten.

00:16:32: Wir hatten vor fünf Jahren keine KI und der Punkt ist ja nicht, dass man sagt jetzt sind wir völlig hinten dran mit Cloud.

00:16:43: Die spannende Frage ist was kommt als nächstes hoch?

00:16:47: Und wo können wir vielleicht in der Technologie dort dann auch mal gleich vom Start weg machen?

00:16:55: Und hier eine Infrastruktur aufbauen, die es uns erlaubt bei dem nächsten großen Dingen mit dabei zu sein.

00:17:00: Natürlich und ehrlich gesagt beim Mainframe haben wir auch nie groß dabei aber da brauchen wir nicht mehr.

00:17:06: Es gibt immer alle fünf Jahre irgendwas Neues wo man sagt ja das ist jetzt wichtig ein technologischer Hype der wird in der Regel aus den USA betrieben.

00:17:16: Uns wird gleich gesagt wir sind viel zu klein.

00:17:18: wie können das nicht?

00:17:20: Dann gibt es natürlich auch Borschenverbände die dann auch nicht neutral sind.

00:17:27: Die dann auch sagen, ja klar da sind dann auch große amerikanische Dienstleister Mitglied.

00:17:32: Bei TeleTrust sind wir in einer guten Position.

00:17:34: das ist dort nicht so.

00:17:36: aber wenn ich mir angucke der Bitcoin ist der Verein der Firmen in Deutschland und nicht aus Deutschland und du hast dort natürlich auch eine kräftige Stimmung dort.

00:17:43: Deswegen das alles Politik!

00:17:45: Und wenn wir zurück auf die Technik gehen um zu sagen was heißt Souveränität?

00:17:51: In der Lage bin meine IT-Plattform prinzipiell selber zu betreiben, ohne dass mich jemand das abschalten kann.

00:17:58: Souveränität ist nicht so sehr der Punkt was kann ich alles einschalten sondern wer kann es mir abschalten?

00:18:05: Da geht's nicht darum, dass man autonom oder autark ist.

00:18:07: Wir verwenden auch Software als USA.

00:18:09: gar kein Problem aber ich habe einen klaren Disasterplan.

00:18:12: wenn ich dieses und jene nicht benutzen kann dann benutze sich die andere Software die man mir nicht abscheiden kann.

00:18:17: wir haben Tabellen die kriegen wir leider nur in Excel auf.

00:18:20: Wir benutzen grundsätzlich LibreOffice.

00:18:22: Wir haben die Excel-Lizenz nur da, weil wir ein paar Sachen vom Kunden nebenbei haben, die wir in Excel verarbeiten müssen.

00:18:30: und dann rufen wir mal Excel auf den Rest machen wir mit Libra.

00:18:33: Und wenn uns irgendjemand Excel abschaltet dann muss man sagen ja diese Kundentabellen ist dann nicht mein Problem sondern auch Problem des Kunden oder der Grundbeziehung.

00:18:41: also da geht eben so Varenität für mich hin dass man sagt man kann es mir nicht abschalten.

00:18:46: das das ganz oft mit freier Software zu tun hat, mit Open Source Software.

00:18:51: Dass das auch besser unkontrolliert eben ist und ich damit Freireiten habe die ich mit closed nicht habe.

00:18:59: Das ist dann eine politische Diskussion schon wieder ein wenig an der Technik.

00:19:03: Okay spannend!

00:19:05: Ich würde mal auf unserer, das ist ein zweiten Teamblock den wir uns ja auch noch vorgenommen haben da hab' ich sichere Zwei Faktor-Authentisierung mit Certificaten pro und kontra.

00:19:15: Das is doch erstmal ein schöner Titel oder?

00:19:20: Grundsätzlich, ich hatte gerade im Vorfeld noch mit Kollegen bei mir gesprochen.

00:19:24: Hatten wir wieder ein Incident-Response auf der Kundenseite?

00:19:29: Ich glaube, wir reden jetzt gerade über zwei Faktor oder wollen jetzt über zwei faktor reden und leider sehen wir in der Realität immer noch so wie wir denken und hoffen dass das Realität ist, ist es leider immer noch nicht.

00:19:40: Und jetzt gehen wir gleich durch die nächste Stufe.

00:19:43: Ich glaube grundsätzlich sind wir uns einig.

00:19:46: Also wir brauchen zwei Faktor Identifizierung.

00:19:48: und jetzt ja die Frage, wie kann ich das am charmantesten machen?

00:19:50: Und da ist zumindest mal so das Thema Fido und sonstiges mit drin.

00:19:56: Ich habe das eben verstanden.

00:19:58: Das ist das Thema wo du dich vor allem beschäftigst, Christiane.

00:20:01: Absolut korrekt!

00:20:04: Genau das Kernthema.

00:20:05: praktisch und zwei Faktor tatsächlich Du kannst dir heute jeden Block durchlesen oder irgendwas.

00:20:11: Es kommt immer wieder auf dasselbe raus Passwörter, Hashtz.

00:20:16: Irgendwo liegt das kredential offen.

00:20:19: Dabei ist das Thema eigentlich so alt wie die IT und seit mehr als dreißig Jahren eigentlich schon gelöst.

00:20:26: So weit die Theorie!

00:20:28: Genau, genau, genau.

00:20:29: Die ist soweit die Theorie... Also ich kann ja mal ein bisschen die Historie rein.

00:20:35: im Prinzip wir hatten so Ende der siebziger gab es mal ein paar schlaue Leute den Diffley Hellman und den RSA, die Algorithmen kennste.

00:20:46: Die waren fünf sehr clevere Leute, die haben sich mal Gedanken gemacht wie man sowas also IT-Vertrauen auf digitaler Ebene erstellen kann und das war so die Vorreiter der eigentlichen PKI.

00:21:02: dann hat es ein paar Jahre gedauert bis das Ganze im Prinzip dann normiert wurde durch die ITU.

00:21:13: so etwa zehn Jahre bis Netscape und Verisign im Prinzip dann kamen.

00:21:18: Und die so Mitte der Neunziger ungefähr haben sie mit ihrem Browser und einer eigentlichen PKI das ganze Modell dann Realität gebracht, aber im Prinzip ab dem Thema oder ab dem ich sage konzeptionellen Ansatz sind wir eigentlich in der Lage zwei Faktor Authentifizierung zu leben In die Fläche im Prinzip hat es dann aus meiner Sicht zumindest Microsoft gebracht.

00:21:49: Die haben ein komplettes Trustmodell, ich sag mal die erste Microsoft PKI, die kamen glaube ich, mit Windows Server und Windows Server.

00:22:02: Und ab dem Zeitpunkt hattest du eigentlich ein kompletes Trustuniversum und ein Modell für etliche Youthcase.

00:22:10: das begann... mit der zwei Faktor-Otentifizierung ging dann über S-Mime, über alles Mögliche hinweg.

00:22:16: Heute sind wir soweit dass wir uns über Passkeys Fido unterhalten auch ein spannendes Thema.

00:22:25: das kam allerdings erst so nochmal zehn, fünfzehn Jahre später getrieben dann irgendwann durch Google und Ubiqui.

00:22:34: die hatten glaube ich dann irgendwann die erste zwei Faktor Authentifizierung per Hardware ursprünglich aufgesetzt, auch ähnlich wie eine Smartcard.

00:22:46: Das heißt wir haben auch eine asymmetrische Produktgrafie im Hintergrund und haben dann praktisch ein Smartcard als USB-Stick den ersten Jubiläum getrieben von Google.

00:22:58: Warum haben die das gemacht?

00:23:00: Ganz einfach damals war das Problem pass war natürlich überall ein riesiges Problem.

00:23:07: Nicht mehr für die Unternehmen, die schon eine PKI hatten und ne zwei Faktor-Authentifizierung oder jetzt mal in Microsoft on-prem AD und das Ganze schon umgesetzt hatten.

00:23:20: Sondern mehr für den Webshop Betreiber, die Cloudbetreiber mit Portalen arbeiten.

00:23:26: Die wollten sich natürlich nicht die Komplexität von der PKI antun und denen ihr einziger Use geht ist eigentlich die Benutzer-Authentifizierung.

00:23:37: Und dann hat es noch mal ein paar Jahre gedauert, weil Fido ursprünglich ausgelegt war für Hardware-Bound.

00:23:47: und jetzt so inzwischen haben wir den Durchbruch.

00:23:51: das kam dann mit Apple.

00:23:56: ich weiß nicht da muss ich jetzt ungenau sein Fleisch um die zweitausend kam Apple mit Individualianz und die haben gesagt ja wenn wir mit reinkommen Aber nur unter der Bedingung, dass das Trastmodell sich ändert.

00:24:09: Das heißt wir gehen von DeviceBound zu SynctParskis und wenn du heute so ein Apple Handy hast oder so eine Android-Hit-Tenny, das kennst Du!

00:24:20: Du kriegst von deinem Portal, von Deinem Shopbetreiber, von Amazon, von Tithub oder irgendwie kriegste Du einen Paski zugestellt und dieser Pasky den kannst Du Dir ganz einfach speichern.

00:24:32: für den entuser eine riesen revolution und der hat keine passwerte mehr.

00:24:37: genial.

00:24:38: aber apple hat natürlich gesagt.

00:24:41: Für uns ist es kein richtiger anwendungsfall wenn wir sagen ok jeder muss sich in hartwert hucken beschaffen sondern wir wollen alle benutzer mitnehmen und die haben ja schon unsere, hardware in anführungszeichen die haben mir schon die haben einen mac die haben ein ipad Und wir synchronisieren ganz easy über die Cloud, das heißt nicht unsicher.

00:25:05: Es ist ein geniales Verfahren.

00:25:09: aber damit kam eigentlich so die Revolution.

00:25:11: und was wir jetzt in der letzten Zeit beobachten im letzten halben Jahr da können wir beobachten dass die ganzen Portal- und Jobbetreiber auch auf diesen Zug aufspringen und es ist wirklich einfach wird für den Endanwender.

00:25:26: Wenn wir noch mal auf die ursprüngliche Fragestellung gehen Wenn wir das generell hinterfragen würden, ist PKI eigentlich mit Fido abgelöst oder irgendwas?

00:25:38: also?

00:25:38: aus meiner Sicht im Gegenteil.

00:25:42: Fido deckt heute primär ein Newcase ab und beschäftigt sich mit den ganzen Problemen die tatsächlich vor dreißig Jahren schon mal schriftlich von der ITU niedergeschrieben und beantwortet wurden.

00:25:57: Das heißt einen Universelles Trastmodell.

00:26:02: Wie sperre ich?

00:26:03: Wenn du heute dran denkst, Du verlierst dein Handy Das ist klar!

00:26:09: Du gehst zu Apple in den Account rein und sagst Device löschen.

00:26:14: Du weißt weder wo das Device ist noch wo es sich befindet Und du weißt auch nicht mehr wie viel Paskis du da drauf gespeichert hast.

00:26:22: Weißt du dass du jeden einzelnen Paski nachgelagert nochmal löschnen musst?

00:26:27: weil die sind ja alle synchronisiert mit einem ganzen Device.

00:26:31: Also, die Frage des Trastmodells das ist etwas das muss man sich stellen.

00:26:36: aber da muss ich auch ganz ehrlich sagen wir haben jetzt viele Unternehmen die sagen Ja!

00:26:42: Wir haben ein Trast-Modell und eine PKI.

00:26:49: saubere Revocation auf Multiplay Use Case.

00:26:53: Wir machen das alles in diesem Trastmodell.

00:26:55: und was wir nicht einfangen können, dass unser Einkauf im Amazon Account hat.

00:27:02: Dass alles andere irgendwo in Passkeys bereitstellt und die Benutzungen Mitarbeiter alle damit arbeiten.

00:27:10: Da ist es mir lieber, dass sie mit einem Passkey arbeiten als mit dem Password.

00:27:15: Und die gehen jetzt dazu hin und sagen, okay wir machen so ein Mixed-Modell zwischen klassischer PKI und dem was an Rest bleibt.

00:27:25: An Web Services und dem Ganzen und die sagen ok wir stellen unseren Mitarbeiter zum Beispiel einen Hardware-Token bereit und da haben sie ihre klassischen Zertifikate für multiple Anwendungsfälle und Sie können auch die modernen Passkeys dort speichern.

00:27:44: Das waren

00:27:44: jetzt schon ein langer Ansatz, aber ja.

00:27:46: Ja,

00:27:46: also stelle ich fest die dreißig Jahre scheinen uns irgendwie öfters über den Spur zu laufen in diesen Autos.

00:27:53: B war so ein bisschen... Ich hatte diesen Begriff kritische Masse.

00:27:56: Also letztendlich selbst wenn eine Technologie schon da ist fängt sie erst dann an spannend zu werden oder einen Mehrwert zu schaffen, wenn eben auch genug Betreiber da sind, die Möglichkeit schaffen.

00:28:06: das hier kennen wir glaube ich alle von dem digitalen Personalausweis.

00:28:10: Solange ich keine Portale habe, wo ich mich identifizieren kann ist das schön.

00:28:13: Das geht aber es hilft mir trotzdem nicht weiter und das hab' ich jetzt ein bisschen bei dir rausgehört dass im Grunde erst durch den Einsatz von mehr und mehr Website-Betreiber oder Shopbetreibern die Möglichkeit des Passkis da ist, dass jetzt auch wirklich ein spannendes Thema wird Auch wenn das nicht alle Szenarabdeck, das habe ich richtig verstanden.

00:28:32: Genau!

00:28:34: So sehe ich das Insbesondere getrieben dadurch, dass man jetzt die kritische Masse auch erst erreicht hat.

00:28:43: Indem man die ganz großen mitgenommen hat also in dem Apple eingestiegen ist und dem Microsoft eingestiegene ist indem wir heute auch in der Lage sind schon im Browser im Prinzip Schlüssel zu generieren zu verwalten und direkt mit der Cloud zu sinken.

00:28:58: das macht es dem Endanwender natürlich richtig einfach.

00:29:02: Jetzt ganz ehrlich in Unternehmen, in größeren Unternehmen sind wir natürlich in der Lage für ein ganz anderes Sicherheitsniveau zu fahren.

00:29:12: Aber der Endanwender und gerade der nicht so IT-affinis oder irgendwas, der tut sich dann doch relativ schwer mit der ganzen Technologie.

00:29:25: Fünfzig Passwerte halt in der Excel-Liste oder auf einem Zettel, oder irgendwo und der bekommt jetzt in die Lage reinversetzt.

00:29:34: Ich sage mal mit seinem Device das er zu Hause hat ein sehr einfaches Authentifizierungsverfahren zu nützen, dass wesentlich zur Sicherheit im Prinzip seiner Applikationen

00:29:48: beiträgt.".

00:29:50: Ich

00:29:56: halte da nicht so viel von.

00:29:59: Also, der Punkt ist aus unserer Sicht wir arbeiten ja auch seit dreißig Jahren mit Kunden und wir haben also seit fünfzig Jahren gibt es die für Hellmann.

00:30:06: um mal eine andere Zahl zu bringen Komplexität ist immer der Feind.

00:30:09: Da wird Christian mir auch zustimmen.

00:30:11: Die Komplexkeit ist immer den Feind.

00:30:13: in dem Moment wo ich meinen Benutzerinnen und Benutzern etwas zu kompliziertes gebe dann habe ich immer ein Problem.

00:30:19: Und Verschlüsselung ist nun mal kompliziert und da muss man jetzt immer genau gucken, wie kann man die Komplizität erst möglich für den Benutzerinnen-Bennutzer

00:30:26: verstehen.

00:30:28: Grundsätzlich bei wo sprünglich Kennwörter heißt ich habe ein Geheimnis im Kopf Und zwei Faktor heißt, ich habe einen geheimnissen Kopf und eins in der Hand.

00:30:36: Ich hab irgendetwas das nicht nur in meinem Kopf ist was ich irgendwo aufschreibe sondern ich hab zusätzlich noch etwas in der hand wie zum Beispiel Newbie Key oder Token Generator irgendwas was noch dazukommt so dass selbst wenn mein tenbot die Gelegtes der zweite Faktore hilft oder wenn mein token weg ist geht.

00:30:54: da kann man nichts machen ohne was geheimnis im Kopf zu haben.

00:30:57: Wir haben ja auch noch die juristische Komponente.

00:30:59: Geheimnis im Kopf, hast du einen Eissage Verweigungsrecht?

00:31:02: und heutzutage kommen viele Leute und sagen ja mach doch einfach Biometrie.

00:31:06: Und das ist aber nur Identifizierung und man kann mir meinen Fingerabdruck ohne Zwang abnehmen.

00:31:11: und deswegen ist ein jemand der seinen Handy über Biometriesichert hat keine Authentifizierungen mehr sondern nur nach einer Identifisierung.

00:31:19: und jedermann Schrafverfolge kann sein Handy aufspießen weil man nur einfach weitens Recht aus dem geheimnissen Kopf hat und nicht das außenlegende Fingerabdrück oder wie das Gesicht aussieht.

00:31:29: Und das sind so die Themen, die uns sozusagen mit unserer Kundschaft immer angeht.

00:31:33: Erst mal Geheimnis im Kopf!

00:31:36: So und dann geht es darum ja wie speichere ich die ganzen Kennbord?

00:31:39: Dann kommen wir mit Passport Saves und sagen Ja da speicherst du die alle rein, dann hast du nur noch ein Kennboard was du dir merken musst und dann hat man schon einen Fortschritt.

00:31:48: Das Problem bei Passkeys ist ja wem vertraue Ich?

00:31:53: Denn in dem moment ich habe weiterhin eine verschlüsselung.

00:31:56: die hat ein private key und ein public key der publik wird.

00:31:59: natürlich ist beliebig verteilbar.

00:32:01: Und die frage sind immer wohl nicht mein private key, und wer zugriff drauf?

00:32:05: wie mache ich den private key überhaupt aus?

00:32:07: Und da gibt es natürlich die leute sagen ja du kaufst bei uns einen apple device oder microsoft device und dann hast du dort über vielleicht eine hardware metode oder software metode Dann dein Private Key erzeugt und der liegt dann in der Cloud.

00:32:20: Und dann kannst du dort entsprechend mit deinem Device kennenworten oder mit anderen Methoden, mit irgendeiner Methode eben diese kryptografische Kette herstellen, dass du sagst ja irgendwas wurde mit einem Public Key verschlossen und dann kann es mit dem Private aufmachen oder umrücken.

00:32:34: Und zum Schluss das die Leute keine Kennwörter mehr eingeben müssen heißt, dass sie irgendjemand vertrauen müssen, der ihren Private Keys dort.

00:32:43: denn das ist bis heute immer noch so.

00:32:45: ich habe asymmetrische Verschnüßelungen Ich habe Public und Private Key.

00:32:49: Und wenn ich, da hat Christian völlig recht die normalen Nutzerinnen und Nutzern, die haben eine Menge von Passkeys weil sie dort sich dann deutlich weniger Kennwörter merken müssen.

00:33:00: aber irgendjemand vertrauen Sie dann zum Beispiel Apple oder Microsoft?

00:33:04: Und wer auch immer sagt, ich hab ja nichts zu verbergen gegenüber meinem Hersteller der jetzt meine Private Keys hält, der hat natürlich vielleicht noch ein Problem früher oder später.

00:33:15: Das heißt, wir als IT Professionals würden niemals unsere Private Keys sozusagen in der iCloud sünden und sagen ja fein dann habe ich meine Public Keys dort in der Infrastruktur.

00:33:26: Und meine Private Keys liegen auch irgendwo aufgemacht.

00:33:31: Meine Passphrase um mein Private Key aufzumachen den lege ich dann in irgendeine Device-Kennung oder sonst was.

00:33:37: Und deswegen ist das immer eine Frage, wem ich vertraue.

00:33:41: Als IT-Professional hat man zum Schluss noch ein paar Kennwörter im Kopf, Geheimnisse im Kopf und nicht nur Identitäten oder Geräte, sondern tatsächlich ein Geheimnis.

00:33:55: Wie immer man das auch zusammenkocht und sagt, ich habe nachher nur noch ein Geheimnis, das ist das Kennwort für meinen Passort Safe.

00:34:03: Ohne Geheimnisse im Kopf... Geht es nicht, weil wenn man bei asymmetrischer Verschlüschung das Geheimnis komplett ausgelagert hat.

00:34:10: Da muss man jemanden vertrauen der auf dieses Geheimniss aufpasst und dass ist so die theoretische Betrachtung und da bekommt man auch nicht von weg.

00:34:18: Christian jetzt zu

00:34:23: Ja

00:34:26: In Teilen sag ich mal

00:34:29: gebe ich dir recht.

00:34:31: also ich habe.

00:34:33: Ich hab's ja gerade eben schon versucht, da zu stellen.

00:34:35: Also für die End-Anwender ist es meiner Sicht eigentlich eine riesige Vereinfachung.

00:34:44: selbst meine Mutter kommt damit klar.

00:34:47: Kein Problem.

00:34:47: und tatsächlich ist es auch so dass ich sie warum mal hier der Einfachheitshalber jetzt auch in Apple Universum rein gesteckt habe weil das halt relativ benutzerfreundlich ist, ich würde dir niemals ein Windows PC geben.

00:35:03: Ein

00:35:04: offenes System oder ein Linux-System würde dich ja auch nicht geben.

00:35:08: also dazu zu sagen.

00:35:10: Oh Gott sei Dank!

00:35:11: Wir

00:35:13: bleiben mal bei der Gleichheit... Also kein offenes system für einen Endanwender finde ich eigentlich immer das Beste des Trastmodells und da gebe ich dir absolut recht.

00:35:24: aber da habe ein Device Bound und es gibt einen Sync Pass Key.

00:35:30: Das sind zwei unterschiedliche Modelle, als IT Professional heute noch KeyPass zu nutzen das erachte ich als

00:35:43: schwierig.

00:35:49: Oder problematisch, sagen wir mal so.

00:35:52: Wir reden jetzt über... Wenn es vielleicht

00:35:54: das Prinzip havers now decrypt later?

00:35:57: Das ist genau die Thematik warum wir heute alle an postquanten Kryptografie arbeiten.

00:36:03: Aber dass sind andere Thematiken.

00:36:06: Ja genau aber ernte jetzt entschlüsseln später

00:36:09: d.h.,

00:36:09: wenn du irgendwo Key Pass oder irgendwo abgelegt hast, oder irgendwas ist es nur eine Frage der Zeit bis wann er entschlüsselt werden kann.

00:36:18: So grundsätzlich die Unternehmen sind natürlich angehalten ihren Sicherheitsstandard im Prinzip in dem Trast zu managen.

00:36:30: das können sie wie gesagt seit zweitausend schon.

00:36:40: Fürst das ja weiter aus.

00:36:40: Aber zum Beispiel, wenn ich ein Password-Key habe... Also man muss immer gucken weil passkey ist.

00:36:45: das Verfahren keypass?

00:36:46: Ist jetzt dein Password Key?

00:36:48: deswegen musst du mal aufpassen auch die Begrifflichkeit nach außen.

00:36:50: also wenn nicht einen Schlüssel, wenn dich ein Passwort safe habe um das mal Abzugseinsen machen vom KeyPass Passkey.

00:36:58: Wenn ich ein password safe habe und ich hab den sauber hybrid verschlüsselt Das BSI sagt zurzeit hybride Verschlüsselung ist Stand der Technik d.h.

00:37:04: wundepostquantumgrütto als auch eine klassische Kryptowitter eingesetzt.

00:37:09: und wenn ich einen modernen Passwort Safe nehme, der das eben kann.

00:37:14: Dann bin ich da erstmal in dem Bereich.

00:37:16: so weit safe.

00:37:17: Der kommt es in den Moment.

00:37:20: die Frage der Intensität der Verschlüsselung.

00:37:22: Ob ich mit welcher Methodik verschlüsselt wurde ums Ex-Post nachdem ich den verschlüsselten Brei irgendwo habe dann doch zu analysieren ist ja völlig unabhängig davon wem ich vertraue wer mein Private Key hält.

00:37:36: Ja, und das war ja mein Pokos nochmal die was das vertrauen.

00:37:40: Wer hat meinen Private Key ist für mich die Kernfrage und dies mit Passkeys?

00:37:44: Und man wieder auf dem Programm nicht gelöst.

00:37:47: Für den meisten...

00:37:50: Das ist nicht korrekt!

00:37:52: Die Passkeys, die natürlich klau züngt sind damit kannst du das nicht lösen aber die ganzen Passkeys die es du speicherst.

00:38:03: Im Moment technologisch noch nicht so einfach möglich.

00:38:07: Also wir haben unterschiedliche Verfahren, wo wir unterschiedliche Anwendungsfälle direkt nur in Hardware-Speicherung zulassen.

00:38:17: Aber jeder, jeder Anwender kann sich heute ein Hardware token, egal welches das ist.

00:38:24: Ein Nitro Key ins Wispel, den Ubiqui, was auch immer.

00:38:27: es gibt mehrere Hersteller.

00:38:28: wie gesagt Nitro key ist ein Hersteler hier aus Berlin der macht reine Open Source pro ihr Produkte Und backt die in Hardware rein, der macht auch sowas wie HSMs und das ganze.

00:38:42: Du bist problemlos in der Lage für den Hardware-Token zu kaufen und kannst dort deinen ganzen Passwortkeys speichern.

00:38:50: Aber mal eine Gegenfrage wenn du Keypass oder irgendein Encryption verwendest Wie kommst du denn an deinem Rechner um die Datei zu öffnen?

00:38:59: Wie meldest du dich dort an?

00:39:01: Ja Aber der Punkt ist, ja gleich.

00:39:03: Der Punkt ist in dem Moment wo ich mir einen Token kaufe kann wir den Token verloren gehen.

00:39:08: Ich brauche wieder ein Geheimnis im Kopf das von diesem Device unabhängig ist weil wer mit meinen Token klaut?

00:39:14: also wenn ich jetzt was ein Geheimnis auf einem Token habe fein aber wer mir mein Token kaut ich brauche ja wieder ein Kennwort.

00:39:21: ich brauch auch wieder ein geheimnissen Kopf wie immer dass beschaffen ist um den token aufzumachen.

00:39:26: ich hab eine Passphrase auf ein Private Key.

00:39:28: Wie immer ich das nenne es gibt ein private key wie immer der aus.

00:39:31: zum schluss habe ich einen geheimnis im kopf mit dem mich mein secret hier auf machen.

00:39:35: wenn ich das auf sonst was draufspeichere in der cloud oder sonst mit ihren fahren muss sich ein geheibendes geben um zu sagen ja jetzt dass sind das ist der heilige das ist ja eingang der heile gerade sozusagen.

00:39:47: damit komme ich an die private keys.

00:39:49: und wo ich jetzt meine.

00:39:53: Wenn ich zb ein paske wenn ich jetzt einen Wenn ich einen Password-Safe benutze und ich habe diesen Password Safe, diese Datei irgendwo liegen.

00:40:02: Dann ist das eine Frage wie ist der selber verschlüsselt?

00:40:04: Und mit welchem Geheimnis im Kopf kann ich den aufmachen?

00:40:07: Für mich ist eine softwarebasierte Verschlußelung aller meiner Geheimnisse erst mal die gleiche wie eine hardwaremäßige weil zum Schluss geht es darum wer hat Besitz von der Sache?

00:40:18: und dann wer hat das geheimnis.

00:40:20: Da kommen wir nicht drumweg dass wir ein Geheimniss brauchen.

00:40:25: Also auch hier teilweise, weil der Unterschied an der ganzen Sache ist der Kryptografieansatz.

00:40:35: Wenn du dich mit einem Passwort irgendwo anmeldest dann muss das System dich als Identität in Gänze kennen und das System muss auch dein Passwort kennen, weil es muss es checken.

00:40:49: Bei asymmetrischer Kryptographie ist genau das nicht der Fall

00:40:54: Ja, sag ich.

00:40:54: Das

00:40:54: heißt das System ... Nee du sagst ...

00:40:58: Nein, nein!

00:41:00: Aber wie gesagt das System bei asymmetrischer Kryptografie funktioniert ja eben so dass der Provider oder der Anmeldedienst eben dein Passwort oder deinen Schlüssel nicht hat.

00:41:15: So egal welches Andere Autentifizierungsverfahren oder die meisten klassischen Autentifikationsverfahren, die du verwendest sind irgendwie Passwörter oder Pins oder irgendwas.

00:41:27: In dem Moment ist es immer so dass das System das noch kennen muss und das ist eben bei hart gewonnener, wehrgebundener asymmetrischer Kruptografie anders.

00:41:36: Ich versuch mal dazwischen zu gehen.

00:41:41: nicht in der Tiefe ausdiskutieren.

00:41:44: Genau,

00:41:44: ich glaube aber wo wir doch einen gemeinsamen Blick haben auf den Unterschied zwischen Wo habe ich erstmal den Standard End Anwender?

00:41:51: Du hast eben deine Mutter ins Feld geführt.

00:41:54: da kann ich mir auch sehr gut vorstellen dass mit bestimmten Themen eine Mutter genauso überfordert wäre.

00:41:59: und Mach ich vielleicht einen großen Gewinn mit einer Technologie die erst mal, und auch das war etwas was du ja gesagt hast Johannes Komplexität ist der große Feind.

00:42:09: Also ich glaube wir haben es schonmal da sind wir hoffentlich einer Meinung ein großen Sprung nach vorne gemacht.

00:42:14: erstmal für die breite Masse und ich glaube hinter eben IT Pro, hattet ihr glaube ich beide verwendet als Begriff in den entsprechenden Anwendungsfällen.

00:42:23: Bin nicht in einem Unternehmung bin ich in einem Kritisbereich bin ich im hoch sensiblen Bereich.

00:42:29: da muss sich sicherlich viel mehr Hirnschmars reinstecken und da mag dann Lösung XYZ und der entsprechende Weg dann hinter sich auch aufzeigen die man gehen muss.

00:42:39: wenn wir uns da einig sind dann können wir da mal einen Haag machen weil ich glaube sonst ziehen wir das hier noch stunden auseinander.

00:42:46: Aber vielleicht gehe ich noch mal auf was anderes ein, nämlich auf den Open Source Aspekt der ja meiner so ein bisschen hier auch nochmal war.

00:42:52: Nämlich... Der Punkt ist egal wie ich Security implementiere, wie Verschlüsselung implementiere alle diese Schlüsselungsmethoden die wir heute haben sind ja Open Source und das hat nicht so sehr... Das hat vor allen Dingen dem Punkt dass zum Schluss die entscheidenden Verschlüßelungen Algorithmen sind gar nicht so groß und ausladend wenn ich mir angucke wie zB im Signal Messenger Verschlüsselung gemacht wird und dann haben sich die WhatsApp.

00:43:19: Leute beim Beta dazu entschlossen auch, die nachgewiesen sehr sichere Verschließungen von Signal zu verwenden.

00:43:24: das hat ja seine Gründe weil so eine sicher Verschließlichung zu bauen ist ein Riesenproblem und wenn man einmal eine saubere Implementierung hat sie auch vielfach geprüft ist dann übernimmt man die besser bevor jeder seiner eigene Kryptografie erfindet.

00:43:38: und auch die Standardfehler immer wieder.

00:43:40: Und dass dieser Code open sein muss, das wirklich jeder sagen kann.

00:43:44: Meine Kryptografie die ich habe, die kann sich jeder angucken Die Implementierung der Routinen ist in Open Source gegossen.

00:43:51: Das würde ich gerade bei Kriptografien als essentiell ansehen Weil ob ich mir nachher irgendein CitySons-Haus-Programm kaufe, das nicht Open Source ist?

00:44:00: Das ist vielleicht egal.

00:44:01: Aber die Sicherheitskomponenten sind natürlich grundsätzlich Als freies Software vorzuhalten damit man auch beta noch Das ist ja der Punkt.

00:44:11: Auch in zwanzig Jahren noch reingucken kann, war diese damalige Implementierung sicher?

00:44:16: Damals schon sicher oder damals noch falsch?

00:44:19: Weil Bugs keine Software ohne Bugs und entscheidend ist immer das Wissen.

00:44:23: nicht nur Ist jetzt meine Software ohne bekannte Bugs in Exploit sondern auch seit wann ist dieses Exploid dieser Bug da draußen.

00:44:32: Das kannst du halt die Uhr vernünftig mit freier Software, die auch wirklich für jeden auf den Prüfbar ist, sauber abbilden.

00:44:40: Sonst habe ich immer ein Unternehmen das es im schlimmsten Fall gar nicht mehr gibt von dem ich nicht sagen kann ja die Software haben das Zeugs mit deren Farmes verschlüsselt aber wir können jetzt auch nicht mehr sagen seit wann das unsicher ist und da deswegen da brechen wir gerade bei Sicherheitsrelevantes Software noch mal eine extra Flanke raus für Open Source und dass das eben ohne gar nicht geht.

00:45:05: Also letztendlich schließt sich damit auch so ein bisschen der Kreis.

00:45:09: Auch wenn der Einstieg ja das Thema Vertrauen letztendlicher ist, genau hier nochmal den prüfenen Blick zu haben und es öffentlich zu haben fand ich jetzt diesen Gedanken eben auch zu sagen.

00:45:18: auch sollte dass Unternehmen was jetzt seine Verschlüsse gemacht hat gar nicht auf dem Markt sein habe.

00:45:22: ich da natürlich auch eine Nachvollziehbarkeit.

00:45:26: Nicht nur das Vertrauen sondern die Nachvollziebbarkeit über letztendliche Karten hinweg sich mit dem Thema auseinanderzusetzen.

00:45:33: Ich hatte es schon befürchtet, dass wir bei diesem Thema ein bisschen aus der Zeit rutschen.

00:45:38: Insoweit wäre vielleicht noch die abschließende Frage.

00:45:43: Wir haben uns mit dem aktuellen und auch mit der Vergangenheit beschäftigt.

00:45:47: was glaubt ihr?

00:45:49: Die Frage würde ich einfach an jeden von euch beiden stellen Was werden so die nächsten Themen sein, die wir in diesem Kontext Authentifizierung und Authentisierung erwarten dürfen?

00:46:02: Vielleicht gibt es da schon Themen, die ich noch gar nicht sehe.

00:46:05: Wo ihr schon erste Ansatzpunkte habt und wo ihr schon mitbekommen habt was sich da entwickelt?

00:46:09: Ich fange mal bei dir an, Christian.

00:46:11: Was wären dafür jetzt so, wenn man den Blick nach vorne richtet ein Thema, das du siehst?

00:46:17: Also Themen die ich sehe ist wie gesagt ganz stark.

00:46:21: Das Thema natürlich Authentifizierung, Authentifikation.

00:46:24: Die Unternehmen müssen sich entscheiden für einen Trastmodell, die Endanwender Für die wird es wesentlich einfacher und sicherer.

00:46:33: Die kriegen jetzt mit der Zeit ein Trastmodell, das vielleicht nicht das Optimalste ist unter der auch noch viel Fragestellung offen sind.

00:46:42: aber die kriegen zumindest etwas an die Hand wo sie besser damit agieren können.

00:46:48: Aber das große Thema der Zukunft wird sein PKI Vertrauensbeziehungen allgemein.

00:46:55: Wir haben das Cap Mit reduzierten Laufzeiten wir haben Viele Themenbereiche, die auch im Open Sourceunfeld ist jede Schnittstelle irgendeine Trastverbindung.

00:47:10: Das heißt es wird in Zukunft darauf ankommen dass PKI einfach neu gedacht wird.

00:47:18: der klassische PKI Admin wird in zukunft nicht mehr eine Zertifikatsliste haben.

00:47:24: Der wird nicht mehr schauen das seine pfx ausgegeben wird sondern Im besten Fall mit dem Applikations-Owner nur noch einen Kaffee trinken gehen.

00:47:35: Er wird auf die Automatisierung Vertrauen, die Techniken mitbringt, die den Endpunkt im Blick haben.

00:47:44: Wir werden eine ganz andere Blickrichtung kriegen.

00:47:47: Jedes Vertrauensmodell jedes Gerät was du kennst arbeitet irgendwie über einer vertrauenswürdigen Kommunikationskanal.

00:47:55: Meistens sind dazu asymmetrische Verbindungen werden genutzt Und es wird ein Certificat benötigt.

00:48:02: All die Zertifikate lassen sich heute nicht mehr manuell verwalten, das heißt wir müssen hin zu einer sauberen Automatisierung und wir müssen vor allem verstärkt den Blick ändern!

00:48:20: Nicht der klassische PKI-Atmen der seine CA hat sondern der Blick geht genau auf diese Verbindung.

00:48:26: Diese Verbindung kennen diese Verbindung monitorn und diese Verbindung natürlich in einem sauberen Bindingzustand zu halten.

00:48:37: Das wird die Aufkommenstellung der Zukunft.

00:48:39: so sehe ich, die Entwicklung in dem Bereich und da spielt es in der Tat überhaupt keine Rolle ob das Ganze jetzt auf Open Source oder auf Close Source Software läuft.

00:48:50: Es wird die Welt komplett ändern Wenn heute die Waschmaschine schon mit der Cloud spricht, wir werden in Zukunft keine Geräte mehr haben, die solche Trastetverbindungen nicht mehr brauchen.

00:49:04: Und da sind die Aufgabenstellungen ganz anders und aus meiner Sicht nur mit Automatisierung zu lösen und einem anderen Blick.

00:49:12: Das sagt übrigens auch jetzt Dora oder Liss.

00:49:15: also Die Anforderungen gehen jetzt auch gezielt immer mehr auf diese Kernthemen.

00:49:22: Spannender Ausblick auf jeden Fall, vielen Dank dir dafür.

00:49:25: Johannes was wären deine Gedanken um die Richtung?

00:49:28: Naja wir haben ja hier es mit auch mit Industriepolitik zu tun und ich führte ja auch als einfacher Gründe einer Microsoft oder einer Apple überhaupt nicht über den Weg trauen wenn die mir sagen das ist jetzt alles ganz super einfach und du musst lediglich da eine Geheimnisse mit mir teilen und bestimmte Themen dann doch bei mir ablegen Stichwort share pass keys und dann habe ich dann doch einen privaten Schlüssel genauso in die Cloud beschoben und jemand sagt nur, das ist toll einfach.

00:49:54: Deswegen da wäre ich extrem vorsichtig.

00:49:57: natürlich brauchen wir Automatisierung bei vielen Vorgängen, dass es völlig richtig aber als Nutzerinnen-Nutzer muss ich immer gucken mit wem ich spreche und wer welche Interessen hat.

00:50:06: und deswegen zum Schluss geht's bis heute darum wie ich das schon eingangs sagte wer keine Geheimnisse mehr im Kopf hat ist grundsätzlich kompromissierbar weil zum Schluss wird mir ein Gerät bescholen.

00:50:21: Ich habe irgendjemand mein geheimnis anvertraut, mit dem alle meine anderen Geheimnisse auch geschlossen werden können und bis jetzt gibt es dort keine Möglichkeit wirklich außer durch viele Finderneres von Software die offen sein müssen.

00:50:36: ich finde meiner Meinung das geht nicht anders.

00:50:38: zum Schluss doch ein Geheimnis zu haben und Geheimnisse zu haben ist extrem wertvoll und wichtig Damit ich nicht irgendeinem Hersteller oder irgendeiner Marke dann doch eben meine Geheimnisse übermitteln.

00:50:52: Und deswegen glaube, egal wie man das jetzt automatisiert und verschönert das System.

00:50:58: zum Schluss geht es darum mein privater Schlüssel.

00:51:01: der sollte in meiner Hosentasche sein und nur meine Tür aufschließen können.

00:51:08: Wenn mir jemand sagt nein du kannst deine Haustür auch mit irgend einem anderen Verfahren aufmachen und du brauchst gar keinen privaten eigenen Schlüssel mehr, dann würde ich immer gucken wer erzählt mir das.

00:51:20: Und wäre da sehr vorsichtig mir sagen zu lassen dass sich keine Geheimnisse erbaut denn das ist meistens immer der Eintritt für Überwachung.

00:51:28: Auch dir vielen Dank für dieses Statement!

00:51:31: Ich lasse die beide mal so im Raum stehen.

00:51:33: Ich glaube es einfach so.

00:51:33: ein Blick nach vorne.

00:51:34: ich glaube wir werden ja auch in den nächsten Jahren noch erleben und gucken was sich so tut.

00:51:40: Das Thema bleibt auf jeden Fall super spannend, da bin ich mir ganz sicher.

00:51:45: Wir werden glaube ich immer wieder dann auch die Ergebnisse finden wenn Dinge nicht so funktionieren wie sie sollen und damit würde ich das für heute schließen wollen hier im Podcast.

00:51:54: Ich danke euch beiden sehr sehr herzlich!

00:51:56: Ich fand es war in Teilen sehr kontrovers was ich aber gut finde weil das ist auch wirklich ein schwieriges Thema und je nachdem aus welchen Blickwinkel man mit rauf schaut glaube ich gibt es gute Argumente für den Blickwinkel von der linken Seite manchmal auch eine supergute Argumente für den anderen Blick.

00:52:12: insoweit, glaube ich ist weder das eine noch das andere richtig oder falsch sondern es eröffnet einfach mal einen Raum sich mit diesem Thema intensiver auseinanderzusetzen.

00:52:20: Viel tiefer schaffen wir das hier nicht.

00:52:22: aber und das ist ja dann auch die Chance wenn sich der ein oder andere unserer Zuhörer jetzt angesprochen fühlt und sagt da möchte ich die vereinsteigen behaupte ich einfach mal sind sowohl der Christian als auch der Johann ist natürlich total gerne bereit in diese diskusantive einzusteigen direkt sich an die beiden wenden oder einfach an info at teletrust.de und wir leiten das dann entsprechend auch sehr gerne weiter, insofern herzlichen dank an dich Christian und auch an dich Johannes natürlich an die Zuhörer und dann würde ich sagen viel spaß beim Entknoten dessen was wir heute gehört haben.

00:53:03: und bis demnächst Dankeschön.

00:53:06: Danke auch, Carsten.

00:53:07: Danke auch Johannes!

00:53:08: Ja, gleichfalls.

00:53:09: Danke Christian und Carsten!

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.