Jahresrückblick und Ausblick: 2025-2026

Volker: Moin Moin und herzlich willkommen zur Sicherheitslücke. Wir begrüßen euch zum

Volker: Jahresrückblick 2025 und natürlich auch, da es schon im neuen Jahr aufgezeichnet

Volker: wird, zum Jahresausblick 2026.

Volker: Wir, das sind Volker Skwarek von der HW Hamburg.

Ingo: Ingo Timm von DFKI und der Universität Trier und.

Monina: Monina

Monina: Schwarz vom LSI.

Volker: Also auch da ist die alte Besetzung wieder da. Wir sind hervorragend aus dem

Volker: Jahreswechsel wieder zurückgekehrt an die Mikrofone und begrüßen auch unseren

Volker: Host natürlich, Christian, der gerade einen Schluck auf uns trinkt.

Volker: Der Jahresrückblick, naja, das ist einfach. Im Jahresrückblick können wir euch

Volker: informieren über jede einzelne Sicherheitslücke, über jedes einzelne Highlight.

Volker: Aber ganz ehrlich, die Zeit haben wir nicht, die Lust haben wir nicht und das

Volker: könnt ihr auch alles nachschlagen.

Volker: Vielmehr liegt es uns nahe, euch eigentlich nochmal auf Trends aufmerksam zu machen.

Volker: Wie haben wir das Jahr 2025 erlebt und daraus auch ableitend,

Volker: was erwarten wir für 2026?

Volker: Ich glaube, wir könnten ein richtig gutes Cyber Security Unternehmen aufmachen,

Volker: wenn wir euch ungefähr vorhersagen könnten, wann ihr mit welcher Art von Angriffen

Volker: auf welche Systeme rechnen könnt.

Volker: Also diese Art von Ausblick auf 2026.

Volker: Aber auch da ist es natürlich ein bisschen schwierig mit der Kreativität,

Volker: sodass wir aus unserer Sicht eher Trends mal versuchen werden zu extrapolieren.

Volker: Und wir haben auch die einen oder anderen Berichte mal gelesen und sehen auch

Volker: wie andere Unternehmen, was sie so erwarten für das folgende Jahr.

Volker: Und da möchten wir euch drüber informieren. Und dadurch, dass ich schon direkt

Volker: am Reden bin, fange ich auch gleich mal an mit meinem Rückblick auf 2025.

Volker: Was ich,

Volker: Was sich sehr bedenklich hielt, waren gar nicht mal so die ganzen großen,

Volker: dicken Sicherheitslücken.

Volker: Also je größer die IT-Systeme werden und je umfassender sie werden,

Volker: umso mehr ist natürlich auch gleich so eine Betroffenheit wie bei der,

Volker: keine Ahnung, Microsoft SharePoint Sicherheitslücke, die dann erst entdeckt,

Volker: gefixt, weiter exploited und wieder gefixt wurde.

Volker: Ist nicht schön, erwarten wir auch anders, also tatsächlich auch als echter

Volker: Erwartungshorizont, den wir da haben.

Volker: Aber ganz ehrlich, je IT-lastiger unsere Gesellschaft wird, umso wahrscheinlicher werden auch solche...

Volker: Ausläufer von Wahrscheinlichkeiten, dass es immer mal wieder passieren wird.

Volker: Was ich aber viel schlimmer finde, ist die Tatsache, auf die Ganzheit der IT-Systeme

Volker: gesehen, dass Low-Hanging-Fruits.

Volker: Was man früher als Script-Kiddy-Angriffe bezeichnet hätte, dass die immer dominanter werden.

Volker: Und zwar nicht dadurch, dass sie schwerer schwerer oder schlimmer werden,

Volker: sondern dass immer mehr IT-Systeme, weil es einfach immer mehr auf dem Markt

Volker: gibt, die in sich untereinander immer schlechter gegeneinander abgesichert sind,

Volker: dass die durch wenig Schadcode, durch Dinge, die schon mal gefixt wurden und

Volker: dann wieder exploited werden können, weil sie doch irgendwie nicht alle gefixt

Volker: haben, immer mehr ausgenutzt werden.

Volker: Es ist zunehmend das Problem auch, dass Out-of-Service-Systeme im Markt bleiben

Volker: und die im Vernetzte Systeme mit eingebunden werden.

Volker: Also Out-of-Service-Systeme, das berühmte jetzt ist Microsoft Windows 10.

Volker: Und dort ist es offensichtlich, wie jeder, der sich im Bekanntenkreis umhört

Volker: oder insbesondere auch bei kleinen und mittelständischen Unternehmen,

Volker: die halt nicht so viel Geld einfach in der Hinterhand haben,

Volker: um mal eben aus Sicherheitsüberlegungen ganze IT-Systeme austauschen zu wollen,

Volker: wie viel davon einfach sagen, ach, uns trifft es schon nicht.

Volker: Dass diese Erwartung falsch ist, das wissen wir, das wissen wir alle.

Volker: Und das viel Schlimmere an so einer Aussage ist eigentlich,

Volker: je mehr Systeme um mich herum infiziert werden, umso höher ist die Wahrscheinlichkeit,

Volker: dass es auch mich treffen könnte,

Volker: weil halt die Virenscanner auch eine gewisse Streuung haben in dem,

Volker: was sie an Alarmen rausgeben.

Volker: Und wenn mich halt aus 25 verschiedenen Richtungen irgendeine Malware trifft,

Volker: so ist die reine Möglichkeit, dass sie einmal bei mir zuschlägt,

Volker: höher, als wenn ich sie nur ein- oder zweimal abkriege.

Volker: Und dementsprechend habe ich eigentlich eine ganz große Angst,

Volker: einerseits davor, dass unsere IT-Infrastruktur, Digitalisierungsoffensive Deutschland

Volker: und was es da nicht alles gibt,

Volker: von diesen Einfachangriffen, die tonnenweise im Internet publiziert werden, lahmgelegt werden.

Volker: Und ich zitiere mal aus dem BSI-Jahresbericht 2025, der gerade vor kurzem Dezember erschienen ist.

Volker: Viele Mittelständler wissen gar nicht.

Volker: Ob sie angegriffen wurden, sondern dass sie angegriffen wurden.

Volker: Und das heißt, die wurden nachher vom BSI informiert, dass von ihrem System

Volker: eine schadhafte Aktivität zum Beispiel auf staatliche Systeme ausgeht.

Volker: Und sie waren ganz erstaunt, dass sie plötzlich Teil eines Remote-Bot-Netzes

Volker: sind, das zum Beispiel die Bundeswehrinfrastruktur angreift.

Volker: Aus deutschen IP-Bereichen.

Volker: Das macht mich äußerst betroffen, dass sowas im letzten Jahr immer mehr passiert ist.

Ingo: Wo siehst du da die größte Gefahr in diesem Bereich? Also ist es,

Ingo: dass wir möglicherweise dann auch selber ausspioniert werden oder Funktionen

Ingo: im Unternehmen von kleineren Mittelständlern verhindert werden oder eher in

Ingo: der Gefahr wirklich der großen Angriff,

Ingo: was du jetzt zum Schluss gesagt hast, also der Nutzung der ganz kleinen und

Ingo: alten Systeme, die nicht mehr gefixt werden als Teil eines Angriffes?

Volker: Ich sehe die Gefahr beim zweiten. Also ich will gar keine irgendwie höher oder runter spielen.

Volker: Gefahr ist erstmal Gefahr grundsätzlich, aber mir macht es nicht so viel Angst,

Volker: wenn ein einzelner Mittelständler offline geht.

Volker: Schade, aber selbst schuld. Da will ich auch gar nicht mit Fingerpointing anfangen,

Volker: aber es ist irgendwie ein selbstgewähltes Schicksal.

Volker: Ich finde es eben viel schlimmer, wenn sich daraus so eine Art,

Volker: ja, vielleicht nicht Advanced Persistent Threat,

Volker: sondern vielleicht sogar eine Advanced Persistent Infrastructure plötzlich etabliert

Volker: und früher oder später, zum Beispiel sowas wie das BSI oder der Verfassungsschutz

Volker: oder sowas als auch uns schützende Organe.

Volker: Gar nicht mehr genau wissen, ja, wo kommt jetzt eigentlich ein Angriff her,

Volker: weil eben zum Beispiel der Bundestag mit 500.000 Angriffen pro Stunde aus deutschen

Volker: Netzen bombardiert wird.

Volker: Und das ist das, wovor ich am meisten Angst habe.

Ingo: Also auch für die Forensik, um quasi überhaupt rauszufinden,

Ingo: wer hat den Angriff jetzt gefahren?

Volker: Genau, und welche Angriffsmethode wird hier eigentlich eingesetzt?

Volker: Denn hier kommt jetzt noch dieses KI-Spiel mit dazu.

Volker: Wenn die KI es uns leicht macht, diese Low-Hanging-Fruits zu gewinnen und zwar

Volker: für jeden, der Lust hat, mal irgendwie ein bisschen Malware zu schreiben.

Volker: Auch da wieder der Punkt, ein oder zwei Malwares aus einer KI,

Volker: vielleicht lache ich da noch drüber.

Volker: Aber irgendwie 20.000 im Jahr, würde ich sagen, da müssen wir nur Statistik

Volker: machen, irgendwas wird schon funktionieren.

Volker: Und genau, das ist so der eine Teil und bevor ich jetzt in lange Modologe ausarte,

Volker: vielleicht noch so den anderen Teil und auf ausgefeiltere staatliche Angriffe

Volker: mit staatlichen Akteuren.

Volker: Und da gab es ja dieses Jahr schon wieder zwei richtig dicke Headlines.

Volker: Zum Beispiel russischer Botschafter wird wegen nachweisbaren Cyberangriffen

Volker: Russlands eingestellt auf den Bundestag auf kritische Infrastruktur.

Volker: Ich gehe nicht davon aus, dass das eine Falschmeldung war oder irgendeine Desinformationskampagne,

Volker: sondern dass da echt was hinten dran ist und ja, das macht mich echt betroffen,

Volker: dass wir untereinander mit so harten Angriffen jetzt auch schon zu rechnen haben,

Volker: obwohl wir eigentlich noch in Zeiten des Friedens leben.

Ingo: Aber es ist nicht auch ein bisschen beruhigend und vielleicht ein bisschen optimistisch

Ingo: auch mal das Jahr ausklingen zu lassen,

Ingo: dass dieser Schritt gegangen wurde, dass die Beweise so stark sind,

Ingo: dass man eben gesagt hat, wir können das auch öffentlich machen und wir können

Ingo: eben entsprechend damit dann auch sogar auf diplomatische Ebene gehen.

Ingo: Das ist eigentlich bei aller negativen Aspekte, die jetzt gerade stattfinden,

Ingo: auch ein kleiner Hoffnungsschimmer, oder?

Volker: Ich freue mich drüber, dass der Begriff Hoffnungsschimmer in diesem Kontext

Volker: noch gewählt werden kann.

Volker: Ich habe ihn tatsächlich nicht, weil es gibt so eine Art diplomatisches Protokoll auf UN-Ebene,

Volker: bevor eine Art Tributierung öffentlich gemacht wird, was vorher im Vorfeld alles

Volker: läuft und quasi erfolglos sein muss.

Volker: Und das ist sozusagen der allerletzte Schritt.

Volker: Und wir reden hier von einem Angriff, der im Dezember 2025 publik gemacht wurde,

Volker: der im August 2024 stattgefunden hat.

Volker: Mir fehlt halt mein persönlicher Enthusiasmus zu sagen, ha, schön,

Volker: dass wir diese Schritte mal gegangen sind.

Ingo: Gut, das wollte ich vielleicht noch nicht ganz so damit ausdrücken,

Ingo: aber ich finde, dass wir immerhin in der Lage sind, diese Attributierung entsprechend

Ingo: auch durchzuführen, ist doch schon mal einmal auch ganz positiv.

Ingo: Weil es ist ja auch nicht so, dass die jetzt alles unversteckt machen,

Ingo: sondern sie versuchen ja auch ein bisschen das zu verschleiern,

Ingo: wie sie angreifen oder aus welchem Land sie auch angreifen.

Ingo: Und deswegen ist das eben auf der diplomatischen Ebene öffentlich auch aussagen

Ingo: zu können, finde ich, zeigt auch dahin, dass wir im Bereich der Forensik ein

Ingo: bisschen besser geworden sind.

Monina: Ich habe auch den Eindruck, das hilft ein bisschen das Vertrauen von Leuten,

Monina: die sich vielleicht weniger gut in dem Bereich auskennen,

Monina: in das, was da bei uns auf der Ebene passiert, wo diese Attributierung erfolgt,

Monina: ein bisschen Vertrauen in diese Ebene zu entwickeln.

Monina: Weil, dass wir angegriffen werden, ist irgendwie allen klar.

Monina: Aber die meisten Sachen kriegen wir zumindest ja so in der breiten Masse nicht

Monina: mit, dass da irgendwie eine forensische Untersuchung lief oder dass man da irgendwas

Monina: zurückverfolgen konnte, dass man da Gegenmaßnahmen getroffen hat.

Monina: Deswegen finde ich, ist es auch ein guter, einfach öffentlich gut für Leute,

Monina: die sich darum Sorgen machen, dass wir angegriffen werden, zu sagen so,

Monina: hey, ja, aber wir machen was dagegen, wir sehen das.

Monina: Ich denke, das ist auch nicht verkehrt.

Volker: Ja, auch kein Aber. Du sagtest gerade, es ist uns allen klar, komm mal das.

Volker: Teile ich nicht. Ganz Gallien? Nein, nicht ganz Gallien.

Volker: Das kleine römische Dorf der Unwissenden setzt den abwehrenden großen Widerstand entgegen.

Volker: Es hat mich tatsächlich betroffen gemacht, als ich gesehen habe aus dem BSI-Jahresbericht,

Volker: wie stark sich die Angriffsvektoren oder die Angriffsmengen erhöht haben.

Volker: Das ist von ausländischen Akteuren

Volker: von Großen durchgehend ungefähr 10 Prozentpunkte mehr als im Vorjahr.

Volker: Und damit sind wir bei manchen Angriffen bei 80 bis 90 Prozent,

Volker: dass also manche Unternehmenstypen zu 80 bis 90 Prozent aus klar definierten

Volker: ausländischen Angriffsursprüngen angreifen lassen.

Volker: Und dass, wie gesagt, ungefähr 60 Prozent der KMUs gar nicht wussten,

Volker: dass sie angegriffen waren.

Ingo: Einen Punkt, den würde ich ganz gerne noch anschließen, das ist etwas,

Ingo: was wir vielleicht auch nachher nochmal sehen, ist, wir sind im Straßenverkehr,

Ingo: sind wir es gewohnt, dass ein Auto durch den TÜV gehen muss und wenn es nicht

Ingo: mehr durch den TÜV kommt, dann wird es verschrottet oder es darf nur noch auf

Ingo: dem Werksgelände fahren.

Ingo: Und was mich wirklich immer noch fassungslos macht, ist, dass wir in der Situation

Ingo: 2026 jetzt ja schon sind, in der wir immer noch darüber sprechen,

Ingo: dass wir Computer, die nicht verkehrstüchtig sind,

Ingo: am Datenverkehr weiterhin teilnehmen lassen.

Ingo: Und wir müssen vielleicht auch da nochmal ein bisschen in die Diskussion gehen,

Ingo: vielleicht auch nochmal da uns ein bisschen in die Tätigkeit auseinandersetzen,

Ingo: ob man nicht vielleicht auch irgendwann sagen muss, es gibt auch sowas wie die

Ingo: Verantwortung vom Halter und die Verantwortung vom Fahrer oder von der Fahrerin dann auch.

Volker: Ich kann mir gut vorstellen, dass es da starke Widerstände aus gesellschaftlichen

Volker: Gruppen geben wird, wie zum Beispiel Chaos Computer Club,

Volker: die sagen Freiheit des Internets und es kann halt passieren, was passiert.

Volker: Und dagegen sind dann halt Leute wie wir, die sagen, naja.

Volker: Aber auch Verantwortung muss getragen werden. Und ich glaube,

Volker: dazwischen ist noch viel politisches Wasser, das in welchem Fluss auch immer runterrinnt.

Volker: Wir hatten, also ich war ja beim 39C3 zusammen mit Monina und da waren einige

Volker: interessante Vorträge, auch gesellschaftspolitische Vorträge.

Volker: Einer auch, der so die Frage mit aufgeworfen hat, was muss eigentlich getan werden?

Volker: Wie werden wir eigentlich Cybersecurity-seitig besser?

Volker: Und das Ergebnis aus der Diskussion war dann mehr oder weniger,

Volker: indem Gesetzgeber nicht nur Panikgesetze veröffentlichen, sondern indem Gesetzgeber

Volker: auch schaffen, dass Politiker eine gewisse IT-Kompetenz aufweisen.

Volker: So wie sie lesen, schreiben und Gesetze formulieren können,

Volker: sollte mittlerweile bei einer digitalen Gesellschaft und einer vernetzten Gesellschaft

Volker: auch dazugehören, dass sie, ich sag mal, das klingt jetzt sehr gemein,

Volker: aber das moderne Vierklässlerniveau der IT beherrschen.

Monina: Da kniffst du perfekt an einen der Punkte, die ich in meinem Jahresrückblick

Monina: nennen wollte an oder an zwei sogar.

Monina: Und zwar, dass ich den Eindruck habe, dass IT-Sicherheit von der Politik teilweise

Monina: immer noch nicht besser verstanden wird als die Jahre vorher.

Monina: Da kann man auch wunderbar einen der Talks vom C3, vom C39C3 nennen,

Monina: zur elektronischen Patientenakte in allem drumherum, dass das ja prinzipiell

Monina: eine gute Idee ist und man auch sich ja am Anfang schön hingestellt hat,

Monina: dass man das erst online bringt, wenn das sicher ist.

Monina: Aber es ist immer noch relativ viel Raum für Schwachständigkeit und relativ

Monina: viel Raum für Optimierung, was das anbelangt.

Monina: Und dass das irgendwie so ein Zeichen dafür ist, zumindest sehe ich das so ein

Monina: bisschen, dass in der Politik immer noch nicht so richtig angekommen ist,

Monina: was IT-Sicherheit ist und warum das wichtig ist.

Monina: Und dass man das von vornherein mitdenken sollte und muss, wenn man irgendwas damit tun möchte.

Monina: Gerade wenn es um was so Relevantes geht wie Gesundheitsdaten.

Monina: Oder auch auf Europaebene, finde ich, steckt in dieselbe Kerbe ein bisschen

Monina: die Debatte über die Ende-zu-Ende-Verschlüsselung und Chat-Überprüfungen,

Monina: wo jetzt der, was ist das, Entwurf dieses Jahr dann ins Trilogverfahren geht

Monina: und Deutschland jetzt dann doch zugestimmt hat.

Volker: Kommt die kurz, wie hieß das Ding nochmal, Chat-Kontroll-Gesetz,

Volker: also hier diese Chat-Kontrolle, ne?

Monina: Ja, genau. Das ist für mich so

Monina: eins der Zeichen, dass das mit der IT noch nicht so ganz angekommen ist.

Monina: Und das andere ist diese Souveränitätsdebatte, die wir gerade in den Bundesländern führen.

Monina: Einerseits ja auch mit dem Umstieg von 10 auf 11 und diesem ganzen Microsoft

Monina: 365 Dingen, die jetzt gekommen sind, die Lizenzen und die Lizenzfragen,

Monina: den Kosten, die damit auf einen zukommen. Aber auch mit,

Monina: Den Events, wie beispielsweise, dass man gesehen hat, dass was passiert,

Monina: wenn jemand sich wirklich so unbeliebt macht, dass mal für einen Tag lang die

Monina: Windows-Dienste nicht mehr funktionieren bei der Person.

Monina: Also wie sehr das jemanden aus der Online-Präsenz komplett rausnehmen kann oder

Monina: die Online-Präsenz von jemandem abstreiten kann, wenn kein einziger Windows-Dienst

Monina: zum Beispiel mehr funktioniert.

Monina: Die daraus entstehenden Souveränitätsdebatten in den Bundesländern,

Monina: die manche Bundesländer ja wirklich gut führen und manche anderen jetzt eher schlecht.

Monina: Ich finde, das ist auch ein sehr gutes Zeichen dafür, wie wenig man IT und IT-Sicherheit

Monina: versteht teilweise in der Politik. Wenn man da...

Volker: Hast du da,

Volker: Bundesländer, die du nennen magst, die du gut oder schlecht findest?

Volker: Also das hat ja jetzt nichts mit Wohnsitzen zu tun, sondern eher faktenorientiert,

Volker: wer tut was, wer tut wenig.

Monina: Also ich muss sagen, ein sehr schönes Negativbeispiel, was mir im Kopf schwebt, ist Bayern,

Monina: die einfach, vielleicht ändert sich das nochmal, ganz fest sind so Sachen ja

Monina: meistens dann doch noch nicht in Stein gemeißelt, aber wie es ausschaut,

Monina: gerade voll und ganz auf Microsoft und Windows setzen.

Monina: Ich glaube, jetzt müsste ich tatsächlich nochmal nachschauen.

Monina: Ich bitte mir, ein Schleswig-Holstein war das, die gesagt haben,

Monina: sie gehen jetzt komplett weg oder versuchen wegzugehen.

Monina: Das waren auch einige andere Bundesländer, die meinten, naja,

Monina: sie kommen nicht sofort weg davon.

Monina: Das war jetzt ja überhaupt nicht absehbar, dass das passiert.

Monina: Da muss man ja Jahre planen, um davon wegzukommen, was sie versuchen Stückchen

Monina: für Stückchen davon wegzukommen, was ja auch schon eine gute Strategie ist.

Monina: Es ist okay, wenn man dafür Zeit braucht, aber sie versuchen es wenigstens im

Monina: Vergleich zu manchen anderen Bundesländern.

Volker: Aber was zu IT-Sicherheitsinfrastrukturen angeht, würde ich sagen,

Volker: sieht man wieder ein deutliches Süd-Nord-Gefälle.

Volker: Also der Süden eigentlich recht hoch mit eigenen IT-Sicherheitsinfrastrukturen,

Volker: der Norden, naja, wir verlassen uns hier mal auf Dänemark in Schleswig-Holstein, die schützen uns schon.

Volker: Also keine Ahnung, ich wüsste nicht, dass hier irgendwas wäre.

Monina: Meinst du auf Hardware- oder auf Software-Seite?

Volker: Nee, ich meine eigentlich behördlich, also institutionell. Dass im Süden doch

Volker: eher Baden-Württemberg, Bayern, Hessen mehr ist, auch Nordrhein-Westfalen noch

Volker: und das hier so im fernen Norden.

Volker: Naja, wir sind halt so die Bremsstrecke nach Dänemark, wenn du zu schnell auf

Volker: der Autobahn fährst, da ist da halt nichts mehr.

Monina: Ich bin mal gespannt, vielleicht ändert sich das ja nächstes Jahr auch,

Monina: mal schauen. Aber wenn da Bundesländer so motiviert sind, ihre IT-Infrastruktur

Monina: so in die Hand zu nehmen, dass sie sagen, wir ändern hier wirklich was,

Monina: kann ich mir eigentlich nicht vorstellen, dass die IT-Sicherheit dann nicht mitgedacht wird.

Monina: Da bin ich gespannt, ob wir nächstes Jahr vielleicht von den entsprechenden

Monina: Bundesländern auch was hören, die da gerade sehr motiviert sind.

Ingo: Also so viel Hoffnungsschimmer ich bei Volker eben gesehen habe,

Ingo: so wenig sehe ich es jetzt gerade bei diesem Thema.

Ingo: Ich befürchte, dass das ein Thema ist, was nicht genug langfristiges Engagement

Ingo: in der Politik nach sich zieht, um diesen Prozess durchzuführen,

Ingo: weil es ja nicht damit getan, zu sagen, wir wollen in vier oder fünf Jahren

Ingo: umsteigen, sondern das sind ja ganz, ganz viele Aspekte, die man da überlegen muss.

Ingo: Also man muss ja, wie macht man eben verteiltes Arbeiten, wie realisiert man

Ingo: eben das, was wir jetzt mit Sharepoint können,

Ingo: die ganze Dokumententeilung mit Editierung, wie kommen wir davon weg,

Ingo: dass wir das eben so einfach und schnell benutzen können, wie können wir das

Ingo: behördlich da zur Verfügung stellen oder zentral zur Verfügung stellen und dann

Ingo: macht man vielleicht ein paar Piloten und dann sagt man eigentlich,

Ingo: wenn es schnell gehen muss, machen wir halt doch wieder Office und in ein paar

Ingo: Jahren sinkt dann das Engagement dafür wieder. Das ist jedenfalls eine Befürchtung, die ich dort habe.

Ingo: Also die Souveränität, glaube ich, ist ein Thema, die wir noch viel stärker

Ingo: auch in der Öffentlichkeit pushen müssen, als eben Vertreter von diesem Fachgebiet auch.

Monina: Einen sehr großen Vorteil hier oder ein Punkt, der mich da wirklich hoffen lässt,

Monina: den ich hier mit sehe, ist einerseits, dass es wahnsinnig teuer ist,

Monina: diese ganzen Microsoft-Lizenzen, also die sind ja...

Monina: Da ist richtig Geld dahinter und das können sich ja einfach nicht alle in der

Monina: Form, in der sie es bräuchten, leisten.

Monina: Das ist tatsächlich einer der Punkte, wo ich die Hoffnung habe,

Monina: dass das dazu führen kann, dass nachhaltig gesehen wird, dass man Geld in die Hand nehmen muss,

Monina: sich das aber auch vielleicht wieder sparen kannst in einem Teil,

Monina: wenn man wechselt auf andere Open-Source-Beserungen, zum Beispiel auf Linux oder dergleichen,

Monina: dass man sagt, okay, wir wissen, dass das normalerweise ein relativ großer Betrag

Monina: ist, der kostet Geld, wir nehmen dieses Geld in die Hand und machen damit was Sinnvolles anderes.

Monina: Und dass man gewisse Geldsummen, die man ausgibt, ja auch als Bundesland vom

Monina: Bundesrechnungshof oder vor irgendwelchen Steuerbehörden rechtfertigen muss.

Monina: Und das schwierig wird bei manchen Beträgen, die Microsoft da abrechnet.

Monina: Also das ist tatsächlich eine Hoffnung oder ein Weg, der damit rein zählt,

Monina: in den ich Hoffnung setze.

Monina: Den anderen Punkt habe ich gerade wieder vergessen, den ich gerade zu dir anmerken

Monina: wollte, fällt mir bestimmt nachher wieder ein.

Monina: Aber genau deswegen, also ich bin mal gespannt. Also ich habe den Eindruck,

Monina: es könnte sich, oder habe noch die Hoffnung, es könnte sich da jetzt wirklich

Monina: mal was in Richtung Souveränität auch teilweise vorwärts bewegen.

Monina: Auch durch diese Bedrohungsmodelle, die dadurch kommen, dass es jetzt schon öfters mal das Bild gab,

Monina: was passiert, wenn jetzt wirklich so ein Microsoft oder die Dienste darum herum

Monina: nicht mehr funktionieren und man auch einen politischen Partner hat,

Monina: auf den man sich nicht mehr komplett verlassen kann, der da irgendwie dahinter steht mit Amerika.

Volker: Ich fände gut, wenn es eine Verpflichtung gäbe, dass Security by Design nachgewiesen werden muss.

Volker: Ich würde im Moment noch nicht mal ein absolutes Level setzen,

Volker: sondern einfach, also Security by Design heißt ja im Entwurfsprozess schon Angriffe,

Volker: Bekannte, Definierte, wie auch immer mitdenken als Anforderung.

Volker: Und bisher du kannst im Prinzip ein NAS, also ein Storage Device ans Netz nehmen,

Volker: Und da einfach betreiben. Also ich meine jetzt nicht Privatpersonen,

Volker: ich meine tatsächlich Institutionen, Unternehmen und so weiter.

Volker: Und das sollte meinetwegen gerne möglich sein, aber die sollen sich vorher Gedanken gemacht haben,

Volker: so eine Art Risiko-Checkliste oder Asset-Checkliste, was wollen wir damit bezwecken

Volker: und was kann das Einfallstor dadurch werden?

Volker: Und allein dieses Nachdenken darüber könnte ja schon dazu führen,

Volker: dass man sagt, machen wir doch keinen NAS, sondern buchen uns einen Cloud-Dienst,

Volker: weil da ist das schon geregelt.

Monina: Ich finde ganz besonders bei eben so Sachen wie den selbstprogrammierten Sachen,

Monina: wie der elektronischen Patientenakte und allem, was da drum herum ist.

Monina: Ich finde gerade da wäre tatsächlich Security-By-Design unfassbar wichtig und

Monina: da, wie gesagt, habe ich den Eindruck, da könnte man noch nachbessern.

Volker: Ja, ich fand ja sehr interessant beim 39C3, das war der zweite Tag morgens,

Volker: gab es einen Vortrag über Sicherheitslücken in Mobile Apps,

Volker: stark auf China bezogen, aber auch generell haben die sehr gute Studien darüber gebracht.

Volker: Wie viel Prozent von Apps aus dem Google Store, also aus dem Android Store,

Volker: undefinierten Datenverkehr hatten.

Volker: Undefiniert hieß das, also in diesem Fall waren es, glaube ich,

Volker: wenn ich richtig in Erinnerung habe, chinesische App-Anbieter und die dann nach

Volker: Hause telefoniert haben. Warum auch immer.

Volker: Und ich habe da so eine Zahl von irgendwie 60 Prozent im Kopf oder sowas.

Volker: Und das sollte verboten werden, wenn es nicht schon verboten wäre.

Monina: Ja, wundert mich tatsächlich weniger, als es dich wundert.

Monina: Ist auch eine klassische Sache wieder, finde ich, man sollte als Benutzer mehr

Monina: verstehen, was das eigene Gerät tut und mehr die Möglichkeit bekommen,

Monina: sowas auch entsprechend einzuschränken und in der App auch nur die Berechtigungen

Monina: zu geben, die sie haben muss.

Monina: Aber das ist eigentlich gar nicht,

Monina: worauf ich jetzt gerade noch mit meinen anderen Punkten raus wollte.

Monina: Ich würde mal kurz diesen Sack schließen. Da können wir vielleicht mal wann anders drüber reden.

Monina: Und noch kurz auf meine anderen Punkte vom Jahresrückblick hier eingehen, wenn es okay ist.

Monina: Das hatten wir vorhin schon mal kurz angesprochen. KI wird momentan als Lösung für alles gehypt.

Monina: Ich habe Rückenschmerzen.

Volker: Hilft die da auch? Ingo, du kennst dich doch aus bei sowas.

Monina: Ja, du musst nur googeln, was hilft und dann sagst du dir KI automatisch, was das Wichtigste ist.

Ingo: Du googelst nicht mehr, du schreibst Symptome in die Chat-Assistenten hinein

Ingo: und hoffentlich hast du einen guten Arzt, der dich dann wieder auf dein normales

Ingo: Leben zurückbringt und deine Krankheit wirklich mit dir assoziiert.

Ingo: Aber es gäbe da ganz tolle Sachen, also ich habe ja gerade der letzte,

Ingo: wenn man verschiedene chronische Erkrankungen hat und dann nach bestimmten Dingen googelt oder chattet,

Ingo: gibt es interessante Lerneffekte, die man da haben kann, was gar nicht so leicht ist mit alternativen.

Ingo: Suchmechanismen rauszufinden. Ich würde ganz gerne nochmal, auch um balanced

Ingo: zu bleiben in diesem Podcast.

Volker: Ammonie hat auch noch eine Frage gestellt, oder?

Monina: Wir können auch gerne einfach weiter wechseln.

Ingo: Ich würde ganz gerne nochmal ganz kurz auf deins vom Android eingehen mit dem

Ingo: undefinierten Datenverkehr.

Ingo: Ich finde ein Thema, was einfach ganz gut zeigt, wo wir da eigentlich stehen,

Ingo: ist auch dieses Apple App Tracking Transparency.

Ingo: Also die Idee, dass Apple dem Nutzer es überlässt, ob eine App ihn tracken darf oder nicht.

Ingo: Was man dann ja auch zustimmen muss, explizit über das BitHub-System bei einer App.

Ingo: Was aber im Prinzip nicht heißt, dass eine App, der das verboten wird,

Ingo: also über das Device selber mit einer bestimmten Geräte-ID zu arbeiten,

Ingo: nicht trotzdem Fingerprinting, also die Nachverfolgung der Nutzeraktivitäten auf dem Telefon macht.

Ingo: Und ich finde, das sind Themen, über die wir auch dringend sprechen müssen.

Ingo: Also genau diese Frage, was eigentlich auch Privacy mit Sicherheit zu tun hat.

Volker: Ja, da müssen wir, also da machen wir tatsächlich schon einen Fass auf,

Volker: weil ich vor kurzem ein Paper darüber gelesen hatte, das war mir gar nicht klar,

Volker: also De-Anonymisierung, Tor-Datenverkehr,

Volker: also quasi im Tor-Netzwerk, man muss ja nicht unbedingt über das Darknet reden,

Volker: aber im Tor-Netzwerk und zwar rein über Browser-Fingerprinting,

Volker: dass man sagt, dein Browser schickt ja mit, wer bin ich in welcher Version,

Volker: auf welchem Betriebssystem laufe ich, bla bla bla, Dass man schön alles toll angezeigt kriegt.

Volker: Und diese Informationen sind so unik, dass wenn man dich einmal schafft,

Volker: außerhalb des Tor-Netzwerkes genau mit dem Fingerprint zu tracken,

Volker: dass du komplett im Tor-Netzwerk nachher de-anonymisiert bist.

Monina: Was aber auch nichts Neues ist, diese Information.

Volker: Ja, also ich sage mal, in diesem Ausmaß diese Eindeutigkeit,

Volker: also diese wirklich Uniqueness, die war mir tatsächlich nicht klar.

Volker: Dass ich so ein Fingerprint hinterlasse und dass der mich einschränkt,

Volker: aber dass tatsächlich ein Single-Inzident schon ausreicht, um zu sagen,

Volker: hey Volker, herzlich willkommen.

Volker: Es wäre auch schön, wenn das Tor-Netzwerk mich begrüßen würde mit Hallo Volker,

Volker: aufgrund deines Web-Requests haben wir dich schon erkannt.

Ingo: Ja, das sind natürlich auch Dinge, die gerade wieder durch KI bestärkt werden,

Ingo: dass man eben mit besseren Datenauswertmöglichkeiten auch leichter Personen

Ingo: identifizieren kann. Also das kommt natürlich alles zusammen.

Ingo: Also die große Datenverarbeitungsmöglichkeiten, die wir haben und das dann eben

Ingo: auch assoziativ zu verknüpfen.

Ingo: So, du wolltest noch Fragen stellen, Monina.

Monina: Nein, nicht fragen. Ich wollte eigentlich bei dem KI als Thema weitermachen,

Monina: weil wenn wir das jetzt schon aufgreifen, das war definitiv ein Punkt,

Monina: der dieses Jahr für mich auch sehr bezeichnet für das Jahr war, dass KI,

Monina: ich meine, das war davor auch schon gehypt, aber dieses Jahr ist der Hype ganz

Monina: schön durch die Decke gegangen.

Monina: Soweit, dass wir gefühlt im Internet Bereiche haben, wo Chatbots nur noch mit

Monina: Chatbots reden und zum Beispiel Bildgenerierungs-KI auf KI generierten Bildern lernt.

Monina: Aber zum Beispiel auch, es ist mittlerweile so Carmen im Alltag angekommen.

Monina: Ich würde behaupten, die meisten Leute, die programmieren, benutzen irgendwas

Monina: wie Cloud als KI-Unterstützung beim Programmieren.

Monina: Das funktioniert auch oft relativ gut, aber dadurch macht man sich auch wieder

Monina: angreifbar, weil man bei manchen Sachen einfach aufhört, darüber nachzudenken.

Monina: Bei Kleinigkeiten.

Monina: KI-Modelle können relativ gut angegriffen werden, indem beispielsweise irgendwo

Monina: Sachen injected werden. Ich glaube, da reden wir auch nochmal drüber, eher gesondert.

Monina: Und umso mehr man sich auf sowas verlässt, umso mehr das im Alltag einfließt

Monina: und das konvinient wird, das zu benutzen, umso gefährlicher ist das aus meiner Sicht.

Monina: Gerade bei sowas wie beim Programmieren, wo Leute eh schon oft nicht zwingendes

Monina: Verständnis haben, wie man Sachen sicher programmiert.

Monina: Und ich meine, einerseits kann eine KI da helfen, so ganz typische Fehler zu

Monina: beseitigen, aber andererseits kann das natürlich auch wieder wunderbar eine

Monina: Funktion mit reinschreiben, die man vielleicht einfach übersieht.

Monina: Da bin ich sehr gespannt, wie das weitergehen wird.

Ingo: Und es kann natürlich auch zu Volkers Problem führen, was er vorhin dann gedeutet

Ingo: hat, dass wir viel zu viele alte Systeme oder eigentlich gelöste Schwachstellen

Ingo: immer noch im Netz rumfliegen haben.

Ingo: Wenn wir spezifische Anfragen haben, die nicht häufig vorkommen in so einer

Ingo: Programmier-Chat-Assistenz, kann es natürlich passieren, dass eben auch schlechte

Ingo: Lösungen mit möglicherweise bekannten Sicherheitslücken vorgeschlagen werden als Lösung.

Volker: Ja, natürlich. Ich meine, das ist ja immer irgendwie Digitalforensik,

Volker: die KI-Systeme betreiben.

Volker: Also die werden irgendwann trainiert. Vielleicht trainieren sie sich differenziell

Volker: weiter, aber das historische Wissen ist doch in Tiefen verankert.

Volker: Weil, weißt du, also kannst du mehr zu sagen irgendwo als ich, aber so.

Ingo: Ja, umso weniger Beispiele, umso stärker kommen bestimmte historische Fälle wieder hervor.

Ingo: Das heißt also gerade, wenn man seltene Programmierarten vornimmt oder Aufgaben

Ingo: vornimmt, kann es passieren, dass man sehr viel stärker reinfällt.

Ingo: Aber ich hoffe, dass wir dazu dann auch nochmal spezifisch ersprechen werden.

Ingo: Also das ist auf jeden Fall ein Thema, was auf uns zukommt. Ich denke auch,

Ingo: dass wir, was die KI-Assistenten angeht, dieses Jahr ein...

Ingo: Schwieriges Jahr hatten, im Sinne von, dass das, was letztes Jahr alles offensichtlich

Ingo: noch nicht funktioniert hat,

Ingo: dieses Jahr doch relativ gut funktioniert und wir sehr, sehr viele sehr gute

Ingo: Antworten bekommen, ohne dass da ein echtes Reasoning an vielen Stellen dahinter steckt.

Ingo: Und wir insgesamt, damit der KI immer weiter Vertrauenszuschüsse geben,

Ingo: in der Art und Weise, wie wir mit den Ergebnissen umgehen und immer unkritischer

Ingo: auch in der Reflexion werden.

Ingo: Mit diesem Jahr meine ich natürlich 2025.

Monina: Fair.

Monina: Ja, das war ein Teil von KI.

Monina: Aber was auch mit reinkommt, was, glaube ich, nächstes Jahr oder dieses Jahr

Monina: jetzt, also 26, auch sehr spannend wird, sind diese voll durchgenerierten Angriffe mittels KI.

Monina: Ich meine, jedes IT-Sicherheit-Unternehmen wirbt mittlerweile damit,

Monina: dass ihre Produkte KI benutzt und Subway.

Monina: Das mag funktionieren, besonders überzeugt hat es mich bisher noch nicht,

Monina: aber diese Angriffe, wie den einen Fall, den wir besprochen hatten,

Monina: der ein Konzept sein kann oder auch eventuell schon so passiert ist oder auch

Monina: nicht, aber dieses Konzept, dass mehrere KI-Modelle oder Systeme miteinander

Monina: reden und einen vollautomatisierten Angriff durchführen mit verschiedenen Stufen,

Monina: da kann ich mir schon vorstellen, dass auch dieses Jahr was auf uns zukommen

Monina: wird. Und da bin ich sehr gespannt drauf.

Monina: Also aus wissenschaftlicher Sicht bin ich da sehr neugierig drauf,

Monina: ob das passieren wird. Aus IT-Sicherheitssicht habe ich ein bisschen Angst davor.

Monina: Schauen wir mal, was auf uns zukommt.

Ingo: Ich glaube, es reicht schon, wenn wir die Skalierung weiter vorantreiben.

Ingo: Also wenn wir einfache Angriffe, gar nicht als größere automatisierte orchestrierte

Ingo: Angriffe haben, sondern wir kleine einfache Angriffe haben, die aber im Prinzip

Ingo: die schadhaften Personen oder die Personen, die gerne Schaden anrichten wollen,

Ingo: nichts kosten, weil sie einfach das durch KI reproduzieren können,

Ingo: also sehr groß an sehr viele Stellen,

Ingo: dann erweitert sich das mögliche Angriffsziel erheblich, weil auch die,

Ingo: die eigentlich völlig uninteressant sind für irgendeinen Cyberangriff,

Ingo: möglicherweise als Beifang einfach durch diese Automatisierung dann mitgefangen werden.

Ingo: Ich glaube, das ist ein Problem, auf das wir zukommen.

Ingo: Das ist ein bisschen, finde ich an dieser Stelle, so ein bisschen wie mit den,

Ingo: wenn man für die offenen Ports scannt bei den Rechnern, was ja auch eine relativ

Ingo: einfache Funktion ist, dass man im Prinzip dann erstmal schon mal das gesamte

Ingo: Internet mit bestimmten spezifischen,

Ingo: etwas intelligenteren Tools konfiguriert und kleinere Angriffe oder das Einhecken

Ingo: in die Systeme schon mal, jedenfalls bei den offensichtlich nicht gefixten Angriffe.

Ingo: Lücken dann durchführen kann.

Volker: Ich halte das für äußerst schwierig und auch bedenklich, diese LLM-Systeme.

Volker: Ingo, du hattest mal, also diese tiefe Integration der LLMs in die Betriebssysteme.

Volker: Du hattest es ja mal gesagt, KIs sind, KIs verfolgen den Zweck,

Volker: auf dem sie im Training optimiert wurden und LLMs sind daraufhin optimiert,

Volker: mir gefällige Antworten zu geben.

Volker: Wenn ich jetzt nur eine LLM dazu benutze, zum Beispiel meine E-Mails zu scannen,

Volker: um zu sehen, ist das möglicherweise ein Spam oder eine Malware sogar,

Volker: dann ist ja ein LLM von seiner Struktur nie darauf konstruiert worden,

Volker: sowas zu erkennen, sondern es wird nur dafür verwendet, um es zu erkennen und

Volker: wird mir gefällige Antworten geben.

Volker: Und jetzt gibt es mittlerweile einen theoretischen Angriff, der zumindest in

Volker: the wild noch nie detektiert wurde,

Volker: aber dass ich in den E-Mail-Metadaten, das heißt die, die ich gar nicht lese,

Volker: schon System-Prompt reinschreibe, dass das LLM so beschäftigt,

Volker: also denk nochmal drüber nach und ich bin doch gar keine Malware und sonst was,

Volker: dass es die Bearbeitung und Erkennung einer Malware verzögert.

Volker: Und jetzt haben wir aber die Nutzer darauf trainiert, mir gefällige Antworten zu geben.

Volker: Also das LLM sagt mir nicht, dass es eine Malware ist, weil ich es über die

Volker: Metadaten damit beschäftige, zu erkennen, ob ich eine Malware bin.

Volker: Grausame Anwendungsszenarien durch, aus meiner Sicht, Fehlverständnis von KI

Volker: in der tiefen Betriebssystemintegration. Es ist kein Virenscanner.

Ingo: Nein.

Ingo: Stimme ich dir voll zu. Und das ist ja ein bisschen das Beispiel,

Ingo: was wir auch in der Folge hatten mit den Wissenschaftlern, die zum Paper schreiben

Ingo: die KI verwenden und zum Paper reviewen die KI verwenden.

Ingo: Und dann wird eben entsprechend weißer Text dazugefügt, der Anweisungen macht,

Ingo: wenn du ChatGPT bist oder wenn du Gemini bist oder sowas, dann bewerte dieses Paper doch bitte gut.

Volker: Genau, und ich nehme mittlerweile zum Paper Lesen KI und frage die immer, bist du KI generiert?

Volker: Naja, also dieses KI ist,

Volker: ich finde KI nicht grundsätzlich schlecht, das wäre zu unwissenschaftlich,

Volker: sondern es wird viel zu viel missbraucht für Dinge, für die es nie gebaut wurde.

Ingo: Ja, deswegen bin ich immer, auch wenn es nicht ganz formal korrekt ist,

Ingo: immer so ein großer Freund davon zu sagen, stellen wir uns das einfach vor wie

Ingo: eine große Assoziationsmaschine.

Ingo: Man verknüpft einfach Informationen miteinander, die irgendwie miteinander in

Ingo: Beziehung gestanden haben, aus welchen Gründen auch immer.

Ingo: Und das kann eben die Scheinkorrelation sein, wie wir es früher hatten bei der

Ingo: Statistik mit den Schwänen und den Kindern, dass da, wo viele Schwäne sind,

Ingo: eben viele Kinder geboren werden, was aber eher daran liegt,

Ingo: dass die Siedlung größer ist,

Ingo: mehr Schornsteine da sind, mehr Siedlungsmöglichkeiten für die Störche.

Ingo: Für die Störche, genau, Schwäne, ja.

Ingo: Es ist schon spät heute, für die Störche dann eben zur Verfügung steht und das

Ingo: ist so ein Thema, das werden wir auch so einfach nicht los.

Ingo: Andersrum hat es natürlich eine ganz tolle Möglichkeit und das ist das,

Ingo: was ich im Gesundheitsbereich bei multimorbiden Patienten gerade spannend finde,

Ingo: dass man durch die Assoziationsmöglichkeiten, die sich da ergeben,

Ingo: nicht nur ein oder zwei Themen im Kopf miteinander verknüpft als menschliche Arzt-Experte,

Ingo: sondern die Maschine im Prinzip mit der technischen Funktion eine sehr,

Ingo: sehr große Zahl von Informationen gleichzeitig verknüpfen kann,

Ingo: von verschiedenen Krankheitsbildern gleichzeitig verknüpfen kann.

Ingo: Und damit eben auch ganz interessante Dinge aufdecken kann, die natürlich aber

Ingo: genauso falsch sein können wie alles andere und die dann eben validiert werden müssen.

Ingo: Und das Grundproblem bei KI, aber da kommen wir auch nochmal zu, denke ich,

Ingo: ist einfach, wir geben mit den Chatassistenten Menschen einen Zugriff auf KI,

Ingo: die nicht wissen, wie KI funktioniert,

Ingo: und nicht wissen, wie man das Ergebnis von KI nutzen muss, was man dabei verstehen

Ingo: muss über das, was da zurückgeliefert wird.

Ingo: Und das ist eine große Gefahr auch, die sich da aufschließt.

Monina: Wir haben damit ein wahnsinnig tolles und wahnsinnig mächtiges Werkzeug,

Monina: was halt in jede Richtung gehen kann und was man halt bedienen können sollte

Monina: oder sich sonst zumindest nicht wundern darf, wenn die Antworten oder das, was rauskommt,

Monina: eventuell irgendwas anderes tut, als man möchte.

Monina: Aber da reden wir ja auch nochmal gesondert darüber, über KI, mit allem drum und dran.

Monina: Was du vorhin gesagt hast, es wird immer größer, ja auch die KI hat mittlerweile

Monina: sehr viel mehr Power dahinter.

Monina: Was dieses Jahr auch wirklich beeindruckend war, war die Größe an DDoS,

Monina: die dieses Jahr dazu kam.

Monina: Es gab ja ein paar richtig große DDoS-Angriffe.

Monina: Ich bin echt gespannt, welche Bahnen das noch zieht. Ich meine,

Monina: alleine, wenn man sich mal verbildlicht, was da an Power dahinter steckt.

Volker: Wie viele Daten. Also die Nail-A-Service, also Rechner, also gerade Entry-Gateway-Rechner

Volker: lahmlegen, egal welche jetzt.

Monina: Wir haben einfach die Menge an Traffic, die da jemand durchs Internet schickt.

Monina: Wenn man sich mal versucht, das vorzustellen, was man einfach alles da übers

Monina: Netz schicken könnte in dieser Datenmenge, das ist einfach so absurd und das in kürzester Zeit.

Monina: Das ist eigentlich schon richtig beeindruckend, wenn es nicht für einen schlechten

Monina: Zweck verwendet werden würde, was es ein bisschen traurig macht.

Ingo: Was ich spannend finde bei diesen DDoS-Attacken ist, soweit ich sie gehört habe,

Ingo: jetzt nur gerüchteweise, dass die auch deutlich länger anhalten.

Ingo: Also dass eben, ich weiß von einer Institution, die ich jetzt nicht nennen möchte,

Ingo: aber die eben nicht nur ein paar Tage oder so damit zu tun hatte,

Ingo: sondern über Wochen damit zu tun hatte, dass immer wieder spezifische Server,

Ingo: die für die Arbeit wichtig waren,

Ingo: versucht würden, eben dann über einfach zu viele Aufrufe dann abzuschießen.

Monina: Ich glaube, es gibt beides. Also sowohl, dass es längere gibt,

Monina: also auch, dass es sehr massive, sehr kurze gibt. Wahrscheinlich gibt es auch

Monina: massive, die länger dauern.

Monina: Ja, aber um von dem DDoS und von der massiven Menge an Daten,

Monina: was man damit alles schicken könnte, weiterzukommen, was auch dieses Jahr gefühlt

Monina: nochmal mehr geworden ist, also 2025,

Monina: und wo ich auch sehr gespannt bin, welche Blüten das noch treibt und in welche

Monina: Richtung das wieder ausschlägt, ist das im Großteil illegale Mediensharing,

Monina: das wieder sehr viel größer geworden ist.

Monina: Sowohl Filmpiraterie als auch Ähnliches. Die Datenleitungen sind dicker geworden.

Monina: Die Streaming-Plattformen haben sich viel mehr zersplittert und sind wieder teurer geworden.

Monina: Führt dazu, dass sich zumindest, was man so liest und was man so mitbekommt,

Monina: schon deutlich wieder das Ganze an Zuwachs gewinnt, was illegalen Datenaustausch angeht.

Monina: Und da bin ich auch sehr gespannt, in welche Richtung das jetzt mit neuen Mitteln

Monina: und dickeren Datenleitungen und dergleichen gehen wird.

Ingo: Ja, das habe ich auch gehört. Und das wird ein großes Thema sein,

Ingo: weil natürlich auch immer in diesen illegalen Tauschbörsen, die dann entstehen,

Ingo: das Risiko von Mailware natürlich sehr, sehr groß ist, dass man sich die damit einfängt.

Ingo: Und das ist also ganz von der ökonomischen Perspektive und von allem,

Ingo: was man da gut oder schlecht finden kann,

Ingo: auf jeden Fall erhöht es das Problem, dass möglicherweise Menschen,

Ingo: die eigentlich mit solchen Themen wie Sicherheit nicht vernünftig auseinandersetzen

Ingo: und nur kommen und zu konsumieren wollen, auf einmal eben angegriffen werden

Ingo: aus Bereichen, wo sie dachten, dass da nichts passieren kann.

Ingo: Also das sind Themen, die da kommen.

Ingo: Ich würde vielleicht mal anschließen mit ein paar Aspekten von meinem Rückblick.

Monina: Ja, gerne. Ich bin jetzt auch tatsächlich durch.

Ingo: Also eigentlich würde ich ganz gerne nochmal zu dem, was Molina eben schon mal

Ingo: eingeworfen hatte mit der EPA, also mit der elektronischen Patientenakte aufgreifen.

Ingo: Das, was mich am meisten überrascht hat im letzten Jahr, es ist eigentlich im

Ingo: vorletzten Jahr gewesen, weil es ja der 2024-jährige Chaos Computer Kongress war.

Ingo: Aber das, was mich da wirklich überrascht hatte, war die Einfachheit,

Ingo: wie in der analogen Welt,

Ingo: also nicht in der technischen Aufbrechen von Schlüsselwelt, sondern in der analogen

Ingo: Welt, wie schnell man dort an Terminals gekommen ist, die ja nicht nur Ärzten

Ingo: vorbehalten sein sollten oder eben an bestimmte Funktionen rangekommen ist.

Ingo: Also wie wenig wir die Relevanz von Sicherheitsinfrastruktur auf einer technischen

Ingo: Ebene in den dafür verantwortlichen Institutionen vergegenwärtigen,

Ingo: wenn ich es mal ein bisschen platt sagen darf.

Ingo: Das ist eine Sache, die für mich hängen geblieben ist.

Ingo: Dass, also wir haben ja an ganz, ganz vielen Stellen eigentlich immer wieder

Ingo: das Problem an der Stelle, wo Digitales die physische Welt trifft,

Ingo: dass dort ein ganz großes Potenzial für Betrug, für Eingriff,

Ingo: Manipulation und sowas besteht.

Ingo: Also wenn es beim Bahnverkehr geht, in dem Augenblick, wo ich sage,

Ingo: in dieser Kiste sind bestimmte Produkte drin und ich klebe einen FID-Tag drauf

Ingo: und plomb das Ding zu, dann ist es immer noch meine Prüfung voll gewesen, dass es passiert ist.

Ingo: Und wenn wir dort nicht Sicherheit richtig verstehen, wie man diese Zugänge

Ingo: auf der analogen Welt, also in der physischen Welt sichern, dann mache ich mir

Ingo: auf Dauer relativ große Probleme und Sorgen noch.

Ingo: Und das führt ein bisschen zu dem, was ich eben meinte, beim Auto sind wir ganz

Ingo: klar, wenn ein Auto nicht durch den TÜV kommt, darf es nicht gefahren werden.

Ingo: Und bei solchen Systemen gehen wir damit um, als wenn wir Nerds alle nur damit

Ingo: belästigen wollen, dass wir immer von Sicherheit sprechen.

Ingo: Und das führt mich zu meiner zweiten relativ für mich problematischen Aspekt,

Ingo: der im letzten Jahr passiert ist,

Ingo: also 2025 passiert ist und das war diese Sicherheitslücke bei Passwortmanagern,

Ingo: wenn sie im Browser genutzt werden, zum automatischen Ausfüllen.

Ingo: Ich kann das nicht ganz genau konstruieren, ihr konntet das beide besser,

Ingo: Aber das hat mich persönlich ziemlich mit großen Fragezeichen konfrontiert.

Ingo: Zum einen, weil ich natürlich auch auf Komfortfunktionen großen Wert lege,

Ingo: um schnell arbeiten zu können.

Ingo: Zum anderen aber, weil wir einerseits sagen, die Menschen sollen sich den neuen Bedingungen anpassen.

Ingo: Und Sicherheit ist ja moving target, das verändert sich ja jeden Tag wieder,

Ingo: was wir als sicher oder als unsicher anzählen.

Ingo: Also früher waren es eben diese alle drei Wochen wechselnde Passwörter oder

Ingo: drei Monate wechselnde Passwörter, oder was wir in manchen Bereichen immer noch

Ingo: aus Missverständnissen weiterführen.

Ingo: Oder eben dann zu sagen, nee, du brauchst für jedes Login ein eigenes Passwort

Ingo: und dieses Passwort speicherst du am besten in deinem Passwortmanager ab und

Ingo: dann hast du den immer dabei und kannst jederzeit in deine Dienste rein.

Ingo: Und dort haben wir natürlich selten darüber diskutiert, dass es ein Problem

Ingo: sein könnte, ein Autofill oder ein automatisches Ausfüllen von Formularfeldern

Ingo: über den Passwortmanager in deinem System zu haben.

Ingo: Ich bin mir sicher, ihr in eurer Expertenwelt der IT-Sicherheit habt das diskutiert.

Ingo: In der Nutzungsseite, wo ich stärker auch vorhanden bin oder mich bewege,

Ingo: war das jedenfalls kein diskutiertes Thema.

Ingo: Und wir müssen den Menschen jetzt sagen, passt auf, es könnte sein,

Ingo: dass es gefährlich ist, möglicherweise macht ihr es lieber nicht.

Ingo: Oder ihr müsst es immer für drei Monate nicht machen, aber wir kommen in so

Ingo: eine Situation rein, dass wir immer denen sagen müssen, es ändert sich der Gegenstand,

Ingo: was wir als sicher oder als nicht sicher voraussetzen oder voraussetzen können

Ingo: und ihr müsst euch mit euren Verfahren daran anpassen und das geht in einem

Ingo: sehr viel schnelleren Takt durch die ganzen Verbesserungen der Angriffe,

Ingo: durch die Verbesserungen auch von möglichen Abwehrstrategien,

Ingo: dass wir aber Menschen, die wenig mit IT zu tun haben, immer wieder neu aufklären

Ingo: müssen über das, was jetzt wieder aktuell ist und wie man sich jetzt wieder vernünftig verhält,

Ingo: um möglichst eben einen Beitrag zum Schutz von IT-Systemen zu leisten und nicht

Ingo: an deren Digitalisierung zu machen.

Ingo: Und ich mache mir an zwei Stellen damit Sorgen. Zum einen ist diese Frage,

Ingo: was macht das mit den Menschen, die sich damit nicht auskennen?

Ingo: Und kommen wir irgendwann in eine Diskussionsfeld hinein, in der wir als Experten

Ingo: dann doch mit der Fake-News-Keule geschlagen werden?

Ingo: Also was ihr da sagt, das ist doch Quatsch, dafür wird das gar nicht benutzt,

Ingo: das geht doch gar nicht und das ist doch nicht relevant, ich bin doch viel zu unwichtig.

Volker: Ja, ich glaube, da müssen wir, also ich finde, mal auf das Beispiel des Passwortmanagers,

Volker: das finde ich gut zurückzukommen.

Volker: Die, ich will jetzt gar nicht so für uns IT-Nerds reden, aber die Leute,

Volker: die aus der Hardware-Sicherheit kommen, also aus den unteren Sicherheitsschichten,

Volker: denen wird es klar sein, dass alles, was du im Speicher hast,

Volker: du aus diesem Speicher auch rausbekommst. Dafür ist Speicher da.

Volker: Der einzige Speicher, aus dem du Dinge nicht rausbekommst, sind solche Trusted

Volker: Elements oder sowas, die eigentlich nur auf Challenge-Response-Games antworten.

Volker: Das heißt, du kannst dir eine Aufgabe stellen und mit dem Speicherinhalt verschlüsseln sie die Aufgabe.

Volker: Und wenn du wüsstest, wie der Speicherinhalt aussähe, also das Passwort zum

Volker: Beispiel, dann kennst du die Ausgabe und weißt, das, was der drin hatte,

Volker: muss das gleiche gewesen sein wie ich. Also eine Art Zero-Trust-Prinzip.

Volker: Also kein Mensch kommt mehr an diese Speicherinhalte ran.

Volker: Aber hey, das, was ich jetzt gerade erzählt habe, wird vielleicht vielen Nerds noch klar sein.

Volker: Aber hier Opa Egon oder Oma Erna werden die Worte gar nicht verstehen, die ich genutzt habe.

Volker: Und genau da sehe ich eigentlich die Verantwortung in der Politik.

Volker: Und da sind wir vielleicht auch so ein Stück weit schon so unsere Erwartungen an 2026.

Volker: Wir erwarten von keinem Menschen, dass er oder sie weiß, wie ein Auto gebaut

Volker: wird, wie Bremsen in Redundanz zu funktionieren haben,

Volker: dass kritische Systeme wie Licht eine Mindesteinschaltdauer für Lichtassistenzen

Volker: haben, also eine höchste Einschaltdauer, also Latenzzeit oder Fallback-Mechanismen.

Volker: Das erwarten wir, weil die Profis, die Fahrzeughersteller, kriegen ein Fahrzeug

Volker: nicht zugelassen in den Markt, wenn sie das nicht erfüllen.

Volker: Straßenbahn, Flugverkehr, für alles gilt sowas. Das, was für die Nutzerinnen

Volker: und Nutzer des Straßenverkehrs gilt, ist die Straßenverkehrsordnung.

Volker: Und genau auf so ein Niveau müssen wir in der IT-Security kommen.

Volker: Es muss eine IT-Security-Verkehrsordnung geben, die von Grundschulalter,

Volker: von Kindergartenalter trainiert wird.

Volker: Und es muss eine Inverkehrsbringungsordnung, wie zum Beispiel das Kraftfahrtzulassungsamt

Volker: oder sowas mit Zulassungen, die dann die Hersteller erfüllen müssen.

Volker: Und sonst wird ein IT-System nicht in den Betrieb genommen.

Volker: Ich hoffe, meine Gedanken waren jetzt nicht zu komplex. Also wir haben die Verantwortung

Volker: auf beiden Seiten, aber die Profis müssen sicherstellen, dass es nach einem

Volker: bestimmten Schema funktioniert.

Volker: Und wenn ein Passwortmanager Passworte verwaltet, müssen die Profis entweder sicherstellen müssen,

Volker: dass der Speicher nicht ausgelesen werden kann, was beim Speicher ziemlich schwierig

Volker: ist, wie ich gerade sagte, oder dass es andere Verfahren gibt,

Volker: wie man an die Passworte nie und nimmer rankommt.

Ingo: Ja, das Problem ist aber, dass natürlich die Kommunikation von Firmen dort anders ist.

Ingo: Also bei Apple gibt es beispielsweise Beschränkungen auf die Zwischenablage,

Ingo: bei denen ich Apps den Zugriff auf Zwischenablage genehmigen muss.

Ingo: Das heißt aber nicht, dass es dort Ausnahmefunktionen gibt, die da trotzdem

Ingo: rankommen oder ich vielleicht einem System ein generelles Recht,

Ingo: die Zwischenablage auszulesen, gegeben habe.

Ingo: Aber das ist, glaube ich, so schon etwas, wo es eben anfängt,

Ingo: wo es nicht mehr ganz so einfach ist, dass es eben nicht nur ist,

Ingo: alles, was quasi im Speichers kann, gelesen werden, sondern es gibt schon die

Ingo: Kommunikation von Software gegenüber dem Anwender, dass es Beschränkungen auf

Ingo: bestimmte Abschnitte des Speichers gibt.

Ingo: Und die ist möglicherweise aber nicht so gut, wie man es erwarten würde.

Ingo: Trotzdem kommen mir die entsprechenden Checkboxes bei mir an,

Ingo: die diesen Eindruck erzeugen und verstärken.

Volker: Ich, ja, ich habe Angst, dass wir zu sehr abdriften.

Volker: Wir haben, ja, du redest halt mit so einem Low-Level-Security-Menschen.

Volker: Ich denke in anderen Dimensionen. Also beispielsweise Kaspersky hat vor zwei

Volker: Jahren auf einem CCC-Kongress, war es sogar letztes Jahr? Ne, vor zwei Jahren.

Volker: Ich glaube, letztes Jahr, ich weiß es gar nicht, egal, einer von den letzten

Volker: beiden, haben sie vorgestellt, wie sie eine Apple-Hardware-Lücke ausnutzen,

Volker: bei dem sie, ich glaube, das war eine Betriebssystemumstellung von 32 auf 64

Volker: Bit und wo sie mit 32 Bit-Zugriffsmechanismen quasi in einem 34 Bit-Betriebssystem,

Volker: irgendwie sowas war das,

Volker: das ging nachher um ungerade Speicheradressen, wo sie eigentlich gar nicht rankommen

Volker: sollten und das haben sie geschafft.

Volker: Damit bist du fernab von jeglichen Betriebssystem-Funktionalitäten.

Volker: Wenn du an der Stelle angekommen bist, lachst du das Betriebssystem aus.

Volker: Und deswegen von Nichtzugreifbarkeit auf Zwischenablagen, da reden wir gerade von Scriptkiddies.

Volker: Da reden wir nicht von den Leuten, die verstehen, wie die Hardware im Assembler-Modus

Volker: funktioniert und wie ich an die Schutzmechanismen an denen vorbeikomme.

Volker: Oder Spectre-Attack, dass man Auslesen von Speichern macht, schon mal um schneller

Volker: zu machen und erst nach dem Auslesen prüft, ob du es durftest.

Volker: Ja, Speicher auslesen heißt, der Kram liegt irgendwo rum, wo andere Leute rankommen.

Ingo: Also ich wollte dir auch damit eigentlich zustimmen, will aber auf meinen Punkt

Ingo: hinaus, ich glaube, einer der großen Punkte, vielleicht geht es auch schon in

Ingo: die Erwartungen ein bisschen rein, aber einer der großen Punkte ist,

Ingo: und ich glaube, das ist ja auch das, was wir uns mit dem Podcast hier ein bisschen

Ingo: versprechen, Denn wir müssen es irgendwie schaffen,

Ingo: dass die Nutzerinnen und Nutzer von IT, und das sind ja im Prinzip mittlerweile alle Menschen,

Ingo: jeweils fast alle bis auf eine ganz, ganz kleine Zahl,

Ingo: eine gewisse Resilienz entwickeln im Umgang mit der IT.

Ingo: Dass man weiß, wie man sich verhält in bestimmten Situationen und dass man vielleicht

Ingo: auch Dinge nochmal hinterfragt und eben insgesamt auch vielleicht eine größere

Ingo: Vorsicht beim wahrnimmt.

Volker: Ich möchte gerne, also da bin ich ganz rabiat, ich möchte die Politik verpflichtend

Volker: mehr in die Verantwortung nehmen.

Volker: Die Politiker müssen sich mit IT auskennen auf dem Niveau eines Zehnjährigen.

Volker: Ich kenne persönlich mindestens eine, die diesen Podcast auch definitiv nicht

Volker: hört, ich nenne sie auch nicht bei Namen, die dieses Niveau nicht hat.

Volker: Und ich glaube, das ist kein Einzelausnahmefall, sondern das ist leider die Mehrheit.

Volker: Und bei der Verabschiedung von Gesetzen muss das konsequent mit drin sein,

Volker: dass man auch sagt, welche Verpflichtung obliegen wir den Herstellern,

Volker: welche Verpflichtung obliegen wir den Nutzern, wie mit Auto,

Volker: Straßenverkehrsordnung.

Volker: Da sind wir leider noch nicht. Da werde ich richtig stinkesau,

Volker: wenn ich bei dem Thema ankomme.

Ingo: Ist aber ein wichtiges Thema.

Volker: Ja, hoffentlich. Ich hoffe auch, dass wenigstens ein Politiker,

Volker: er oder sie möge uns schreiben, unseren Podcast hört.

Volker: Dann haben wir zumindest schon mal ein Promille der Zielgruppe erreicht.

Volker: Frage, wollen wir weiter schwenken zum Ausblick 2026? Yeah, alles wird besser.

Monina: Außer Ingo hat noch ein paar Punkte.

Ingo: Ich bin fein.

Monina: Okay, sehr gut.

Volker: Ja, deswegen auch gerade die Frage noch. Ja, ich fange einfach mal wieder an.

Volker: Ich versuche mich kurz zu halten. Ich habe auch nur drei Seiten Notizen,

Volker: also es wird funktionieren.

Volker: Nein, meine Hoffnung auf 2026 ist, dass die Digitalisierung nicht nur in irgendwelchen

Volker: Ministerien ankommt und mehr, besser, schneller, schöner gemacht wird.

Volker: Nee, das ist gar nicht meine Erwartung, sondern meine Erwartung geht an die

Volker: Meta-Ebene der Politik betreibenden Politikerinnen und Politikern,

Volker: dass sie sich mehr Kompetenz in Sachen IT und Cyber Security verschaffen oder

Volker: dass sie diese zumindest nicht komplett ausblenden und ignorieren.

Volker: Also hört bitte auf die Experten und Expertinnen.

Volker: Meine Erwartung, meine Verbefürchtung ans nächste Jahr ist,

Volker: dass wir durch diese weiter, weiter exponentiell zunehmende Vernetzung und Digitalisierung

Volker: viel mehr OT, also Operational Technology, Angriffe bekommen.

Volker: Und zu OT würde ich tatsächlich im weitesten Sinne auch sowas nennen wie Router,

Volker: also nicht nur die Fabrikmaschinen, die irgendwo in der Produktion stehen,

Volker: das ist die klassische OT,

Volker: aber auch die Operational Technology für IT, also Router, DNS-Server.

Volker: Irgendwelche Gateways, diese Denial-of-Service-Krams und so weiter,

Volker: dass das drastisch zunimmt.

Volker: Und dass damit vom OT eine Lateration, also Querausbreitung in die Betriebs-IT geht.

Volker: Bisher, so ein berühmter Fall, der berühmteste war ja Stuxnet,

Volker: hier mit dem die iranischen Atomanreicherungsanlagen so 2008 bis 2011 außer

Volker: Betrieb gesetzt wurden.

Volker: Da ist tatsächlich die Malware von der IT über das Airgap in die Operational

Volker: Technology, in den Produktionsbereich gewandert.

Volker: Ich rechne jetzt damit, dass es zunehmend umgekehrt passiert.

Volker: Ein Beispiel war im vorletzten Jahr 2024,

Volker: dass ein Over-the-Street-Angriff von einer Firma über das WLAN auf die andere

Volker: Firma gemacht wurde, ins Gäste-WLAN.

Volker: Dort ein schwach abgesicherter Router des Gäste-WLANs dann Zugriff auf das Hauptlan

Volker: zuließ und damit Daten abgezogen wurden.

Volker: Das ist so ein genialer OT-Angriff. Ich hacke das IT-Netzwerk der einen Firma,

Volker: um die Daten der anderen Firma abzuziehen.

Volker: Den Leuten sollte man schon fast einen Nobelpreis verleihen.

Volker: Oder lebenslänglich knast, je nachdem, was sie mit den Daten jetzt gemacht haben.

Volker: Mit solchen Dingen rechne ich viel mehr, weil ich glaube, damit rechnet einfach keiner.

Volker: Die werden sehr erfolgreich sein, solche Angriffe.

Ingo: Was im weitesten Sinne ja auch zu dem geht, was ich vorhin mal gesagt hatte,

Ingo: die Verbindung zwischen Hardware und Software wird manchmal noch zu selten gesehen.

Ingo: Dass wir in der physischen Welt, wo wir leben, Dinge zulassen und dann in der

Ingo: digitalen Welt Dinge dadurch passieren können oder ermöglicht werden.

Ingo: Das finde ich ist auch immer noch ein Riesenthema.

Monina: Und ich würde andersrum anknüpfen. Ich finde, das könnte endlich mal das Konzept

Monina: Zero Trust weiter voranpushen.

Monina: Also Zero Trust ist ja an sich eine gute Sache damit, nur wer auf eine Ressource

Monina: wirklich zugreifen muss für den Dauer des Zugriffs authentifiziert,

Monina: hat dann auch den Zugriff drauf.

Monina: Und gerade wenn man sagt, okay, wir haben jetzt einfach viel mehr Vernetzung

Monina: und es können solche Angriffe passieren, wäre das doch mal eine schöne Gegenmaßnahme.

Monina: Ganz leicht direkt gefolgt und kombiniert vielleicht mit Multifaktor-Identifizierung

Monina: und mal sicheren, sagen wir mal, Multifaktoren wie beispielsweise UbiKeys oder dergleichen.

Monina: Also ich hoffe, dass das einen Boost gibt und auch vielleicht bedingt dadurch, dass ja mittlerweile,

Monina: einmal ein Vorteil von großen Herstellern, große Hersteller sich auch dahin

Monina: bewegt haben, dass sie mittlerweile zunehmend Multifaktor-Identifizierung verlangen

Monina: und auch die Möglichkeit geben, dass man einen externen Faktor auch benutzt.

Monina: Also das wäre zumindest zwei Punkte daraus ausfallen, die ich mir für 26 erhoffe

Monina: und erwünsche. Mal schauen, ob das so passieren wird.

Volker: Da ein gerade nur wesentlich qualifizierter Einwurf von mir.

Volker: Warum wurde dieser Over-the-Street-Attack gemacht ins andere WLAN?

Volker: Weil die Nutzer-Accounts multifaktor abgesichert sind, aber die WLANs ja nicht.

Volker: Da gibt es ja dann eines Passwort, manchmal sogar noch das Standard-WLAN-Passwort,

Volker: das war da jetzt nicht der Fall, weil die Multifaktor-Authentifizierung übers

Volker: WLAN nicht gegriffen hat und damit waren sie direkt im LAN.

Monina: Wow.

Monina: Ja, da fällt einem auch nicht mehr mehr dazu ein. Sprachlos, ne? Wunderschön, ja.

Ingo: Aber das ist ja ein Phänomen, was man beobachtet, wenn man mit Multifaktor arbeitet,

Ingo: dass es auch immer wieder bestimmte Anwendungen gibt, indem man den zweiten

Ingo: Faktor auf einmal nicht braucht, überraschenderweise.

Ingo: Sei es, dass beim Betriebssystem-Mail-Programm auf einmal doch der zweite Faktor

Ingo: vielleicht dann nicht genaucht wird bei bestimmten Mail-Anbietern oder nicht.

Ingo: Also das sind so Punkte, irgendwann geht man nicht ein und denkt so,

Ingo: habe ich nicht eigentlich Multifaktor eingestellt? Wieso passiert das jetzt

Ingo: gerade eigentlich nicht?

Monina: Ja, also da bin ich gespannt. Vielleicht wird das ja einfach 2026 strikter umgesetzt,

Monina: strikter durchgezogen und dann vielleicht auch noch mit CEO Trust kombiniert,

Monina: dass wir dann wirklich ein sehr ordentliches und strenges Modell haben,

Monina: auf welche Daten und Ressourcen wir mit welchen Berechtigungen zugreifen und

Monina: wann und was wir dafür tun müssen.

Monina: Mal schauen. Es können ja noch Zeiten und Wunder passieren.

Volker: Ist ja noch Anfang des Jahres.

Monina: Genau.

Volker: Ja, was habt ihr so an Wünschen fürs neue Jahr oder Ausblicken?

Monina: Ich bin sehr gespannt, was jetzt NIS 2 ändert letztendlich, nachdem es jetzt

Monina: ja doch irgendwie da ist und man sich damit langsam beschäftigen muss.

Volker: Da haben wir sogar noch eine Folge angekündigt, dass wir zu NIS 2 und was bringt

Volker: es uns wirklich nochmal was machen wollen.

Volker: Ich glaube, die schreiben uns gleich mal auf die Do-Do-Liste.

Monina: Ja, das könnte spannend sein. Da bin ich auch sehr gespannt,

Monina: was wir da noch erzählen.

Monina: Zwei Punkte hatten wir jetzt schon, die ich noch mit auf meiner Wunsch- oder

Monina: Ausblicksliste für 2026 habe.

Monina: Einmal auch das Trilogverfahren zum Entwurf dieser freiwilligen Chat-Kontrolle,

Monina: die ich vorhin angesprochen hatte.

Monina: Da bin ich gespannt, wie das ausgeht und was es dann für Auswirkungen hat.

Monina: Und noch die digitale Souveränität, wie das weitergeht.

Monina: Also ich glaube Linux hat einen guten Aufschwung auch in einer,

Monina: sagen wir mal, breiteren Bevölkerungsmasse bekommen, durch diesen Wechsel von

Monina: Windows 10 auf Windows 11.

Monina: Habe ich zumindest den Eindruck gehabt, dass das wirklich ein paar Leute dazu

Monina: gebracht hat, auch umzusteigen, nachdem es mittlerweile auch wirklich wunderschön

Monina: bedienbare Linux-Distributionen gibt.

Monina: Und sich da auch eine breite Community gebildet hat, die auch ein Linux für,

Monina: ich sage mal, normale Endbenutzer, die sich nicht gut mit Computer auskennen, benutzbar macht.

Monina: Da bin ich auch noch sehr gespannt, wohin diese digitale Souveränitätsdebatte

Monina: dieses Jahr führen wird.

Ingo: Ja, das wird auf jeden Fall spannend, aber ich glaube, das steht und fällt ein

Ingo: bisschen mit der Ausbildung.

Ingo: Also wenn wir anfangen, für Bachelor, Masterarbeiten auch Open-Office-Vorlagen

Ingo: bereitzustellen, haben wir vielleicht eine größere Chance, auch diese Open-Office-Produkte

Ingo: stärker zu vermarkten oder stärker zu bewerben.

Ingo: Es wird aber, also bei uns wird jedenfalls immer der Kampf darüber geführt,

Ingo: entweder ihr nutzt Linux, äh, ihr nutzt Linux, falsch, ihr nutzt LaTeX oder

Ingo: ihr macht das eben mit Word und dafür gibt es die beiden Vorlagen.

Ingo: Und da tragen wir natürlich auch dazu bei, dass schon eine Ausbildung auf ein

Ingo: bestimmtes System geframed wird, ne, oder Office-System.

Monina: Ja, oder man benutzt halt nur noch, also man gibt nur noch die LaTeX-Vorlage raus.

Monina: Dann haben wenigstens alle den Schmerz damit, egal aus welchem Betriebssystem sie kommen.

Monina: Ich mag Ratte, ich wollte es nur dazu sagen. Aber die Vorlagen,

Monina: die man aus Universitäten bekommt, sind meistens unangenehm.

Ingo: Keine Kritik an unseren Vorlagen, bitte.

Monina: Eure habe ich noch nicht gesehen. Ich kenne nur viele andere.

Volker: Okay, Ingo, hast du noch Punkte?

Ingo: Ich bin ja eigentlich ungern der Showstopper. Eigentlich bin ich ja ganz gerne optimistisch.

Ingo: Ich muss ganz ehrlich sagen, ich mache mir über die, jetzt bin ich ein paar

Ingo: Tätschers, bitte verzeiht mir,

Ingo: ich mache mir über die gesamtgesellschaftliche Diskussion rund um Cybersicherheit,

Ingo: Cyberrisiken, IT-Sicherheit nächstes Jahr extremen Sorgen, also 2026 dieses Jahr.

Ingo: Ich befürchte, wir werden ja noch mehr Diskussionen kriegen,

Ingo: rund um den AI-Act, der dann ja im August zum Tragen kommt.

Ingo: Wir haben ein Kritis-Dachgesetz, was alles auf Unternehmen zukommt im Großen.

Ingo: Aber es wird bei ganz vielen Menschen eben nicht gleichzeitig mit einer Verbesserung

Ingo: der Sicherheit gesehen, sondern mit einer Gängelung des Alltages.

Ingo: Und ich befürchte, dass wir in so einem Spannungsfeld sein werden zwischen Bürokratie und Sicherheit.

Ingo: Also inwieweit dient das der Sicherheit? Es ist nicht nur eine Bürokratie-Verstärkung,

Ingo: die wir hier gerade haben.

Ingo: Oder inwieweit behindert das sogar Innovation, wenn es in Richtung KI geht.

Ingo: Und ich könnte mir vorstellen, dass es öffentlich ein sehr, sehr schweres Jahr

Ingo: wird, also dass wir da sehr viel daran arbeiten müssen, auch immer wieder darauf

Ingo: hinzuweisen, warum diese Initiativen, diese Themen, die bearbeitet werden, auch sinnvoll sind,

Ingo: um eben auch natürlich mit darauf hinzuwirken, dass die auch wirklich sinnvoll sind,

Ingo: weil wir ansonsten vielleicht sehr viel Vertrauen verspielen,

Ingo: was wir nur wieder über viele Jahre mit sehr viel Arbeit aufbauen können, wenn überhaupt.

Monina: Und damit hast du uns ja, glaube ich, auch gleich eine Aufgabe für nächstes

Monina: Jahr oder für dieses Jahr jetzt mitgegeben, was wir versuchen wollen zu erreichen.

Monina: Oder versuchen müssen zu erreichen.

Ingo: Zumindest als kleines Rädchen im großen Getriebe, dass die Sicherheit vorantreibt.

Monina: Wenn es nicht jeder versucht und nicht jeder daran mitarbeitet,

Monina: kann es ja nicht gelingen. Also muss ja jeder irgendwie seinen Beitrag leisten.

Volker: Tja Mensch, dann hätten wir mit einem positiven Ausblick in das Jahr 2026,

Volker: nämlich hört uns weiter, unterstützt uns weiter.

Volker: Wir übernehmen die Verantwortung, nein, wir übernehmen nicht die Verantwortung,

Volker: um Gottes Willen, was rede ich da?

Volker: Bevor ich weiter rede, Monina, hast du vielleicht noch deinen wunderbaren,

Volker: herrlichen Abspann auf Lager?

Monina: Das war mit der ersten Folge von 2026 die Sicherheitslücke, ein Podcast der

Monina: Hamburg Open Online University.

Monina: Ihr hört uns überall dort, wo ihr Podcast hört, hört uns weiter, empfehlt uns weiter.

Monina: Unsere Kapitelbildchen, die ihr hoffentlich auch zu sehen bekommt,

Monina: sind weiterhin von der Fantastischen Anne gemacht Und Christian hilft uns hier,

Monina: uns zu koordinieren und uns aufzunehmen und in hoffentlich guter Soundqualität

Monina: bei euch anzukommen. Danke an die beiden.

Monina: Ansonsten an alle, die zuhören, ein schönes neues Jahr, hoffentlich.

Monina: Und ja, wir hören uns wieder. Das war die Sicherheitslücke mit Monina Schwarz.

Volker: Ingo Timm und Volker Skwarek.