Sichere Kommunikation

Volker: Moin Moin, hallo und herzlich willkommen zur Sicherheitslücke.

Volker: Es begrüßen euch Volker Skwarek von der HAW Hamburg.

Monina: Monina Schwarz vom LSI.

Volker: Und unser Kollege Ingo Timm lässt sich heute leider entschuldigen,

Volker: der aufgrund, so nannte er es, äußerer Einflüsse seinen Tag spontan umpriorisieren musste.

Volker: Wir haben uns aber dann doch noch zur Aufzeichnung entschieden und hoffen,

Volker: naja, die Hoffnung stirbt nie, ihn adäquat ersetzen zu können.

Volker: Wir freuen uns, Ingo aber beim nächsten Mal wieder mit dabei haben zu dürfen.

Volker: Unsere heutige Episode zum Thema sichere Kommunikation, mir ist kurz das passende

Volker: Wort entfallen, sichere Kommunikation mit sensiblen Informationen,

Volker: zeichnen wir am 29.04.2025 auf.

Volker: Ja, und wie ihr wahrscheinlich alle mitbekommen habt und schon ausführlich auch

Volker: in vielen, vielen Medien diskutiert wurde, gab es ja eine Signalgate-Affäre

Volker: neben den politischen Umständen, die sicherlich auch super spannend waren.

Volker: Erst so die Definition, was ist denn alles geheim und was ist zu verschlüsseln

Volker: und alle diese militärisch relevante Kommunikationen waren natürlich nicht geheim

Volker: und auch nicht für, keine Ahnung,

Volker: your ears only oder your eyes only oder was auch immer,

Volker: sondern war ja eigentlich erst mal völlig unkritisch definiert.

Volker: Aber das ist, glaube ich, nicht unser Thema, das wir heute besprechen wollen,

Volker: denn dazu gibt es mittlerweile beliebig viele Artikel, Podcasts und wahrscheinlich

Volker: sind da auch schon irgendwelche Kinofilme in der Produktion im Anmarsch.

Volker: Naja, nein, wir wollen dieses Thema heute aufgreifen und mal überlegen,

Volker: was müssten wir eigentlich tun in Unternehmen und auch als Privatpersonen?

Volker: Um diese sichere Kommunikation so halbwegs zu gewährleisten.

Volker: Und da gilt wahrscheinlich wieder als Ansatz, naja, sicher im Sinne von gar

Volker: nichts kann passieren, wird natürlich nie möglich sein, sondern es ist immer

Volker: so eine Aufwandsabwägung.

Volker: Oder Monina, was sagst du, kommunizieren wir gerade sicher?

Monina: Nachdem der Sinn von unserem Gespräch gerade ist, dass es irgendwann nach außen

Monina: dringt und sich das Leute anhören, Es ist ja nicht relevant,

Monina: dass es unter Ausschluss jeglicher Zuhörer passiert.

Monina: Das wäre ja gegenteilig. Aber wenn du Kommunikation meinst, dann meinst du vermutlich

Monina: jetzt nicht Kommunikation über eine Fax, sondern gezielt Chats und Voice,

Monina: Voice-Übertragung und dergleichen, oder? Oder hast du da Einsteigungen?

Volker: Und, naja, ich weiß gar nicht, über Fax, ich habe gerade letztens erst wieder

Volker: bei einer Session mitgewirkt, da hieß es, die häufigste Behördenkommunikation

Volker: ist in Deutschland immer noch das Faxgerät,

Volker: also selbst da wäre ich mir gerade nicht ganz sicher, was ich mir mit sicher meine,

Volker: aber naja, die erste Frage ist jetzt zum Beispiel dieser so CEO-Fraud,

Volker: Monina, bist du eigentlich KI oder Human Intelligence, mit der ich gerade rede?

Volker: Da wäre echt schon die erste Frage oder das erste spannende Thema wie kann ich

Volker: mir eigentlich sicher sein, dass du du bist?

Monina: Naja, nachdem mittlerweile sowohl die Sprache als auch die Bildmöglichkeiten

Monina: von KI ausreichend sind, kannst du dir eigentlich nicht sicher sein, außer ich

Monina: Kommunizier dir jetzt im Gespräch irgendein Geheimnis, was wir beide teilen,

Monina: wodurch du dir sicherer sein kannst, dass ich ich bin?

Volker: Oder vorher, ne? Wir haben irgendwie das geheime Schlüsselwort,

Volker: so keine Ahnung, wie heißt deine Lieblingskatze oder sowas.

Monina: Genau, oder ich zeige dir irgendwas, was nur ich haben kann,

Monina: was natürlich danach, wenn es jetzt mehr davon aussieht, dass es eine unsichere

Monina: Plattform ist, kopiert werden kann. Das wäre dann sozusagen nur einmal gültig.

Monina: Wir hätten, als wir uns gesehen haben,

Monina: beispielsweise ein großes Sheet mit One-Time-Pads austauschen können.

Monina: Könnten uns dann immer eine Code-Seite zeigen, um zu wissen, dass wir wir sind.

Volker: Ja, das sollten wir demnächst auch, glaube ich, mal machen. Naja,

Volker: aber okay, bleiben wir mal realistisch.

Volker: Ja, die klassische Kommunikation, die heute ja gemacht wird,

Volker: ist ja erstmal der Messenger.

Volker: Also Messenger und, wenn wir nochmal auf das Pseudofax wollen,

Volker: vielleicht sogar noch E-Mail.

Volker: Das gilt ja mittlerweile auch schon zu den Faxen der Dinosaurier.

Volker: Da ist schon, aber gehen wir mal weg von der Behördenkommunikation,

Volker: sondern mal auf das Thema Kommunikation zwischen Privatleuten und meinetwegen auch zwischen Firmen.

Volker: E-Mail ist ja an sich erstmal relativ gut abgesichert. Also in der Server-Client-Kommunikation,

Volker: so per TLS und alles sowas.

Monina: Sagen wir, man kann E-Mail ausreichend aussichern. Man kann E-Mail natürlich

Monina: auch immer noch unsicher betreiben.

Monina: Ist halt Quatsch. Aber man kann E-Mail mittlerweile ordentlich betreiben.

Monina: Aber ja, ich würde sagen, auch selbst unter Firmen ist mittlerweile viel Kommunikation

Monina: über irgendwelche Messenger-Dienste.

Monina: Da momentan oft genannt sind Dinge wie WebEx oder Teams und ganzen Microsoft-verwandten

Monina: Produkte, mit denen man da,

Monina: Messenger-Funktion abbilden kann.

Volker: Du meinst also diese integrierten Messenger jetzt gar nicht unbedingt WhatsApp oder Signal oder sowas?

Monina: Ich denke, WhatsApp hast du dann mehr, wenn du in dem Übergang zu Privat bist.

Monina: Also sowohl Privat zu Privat als auch Privat zu Firmen.

Monina: Da kommt dann wahrscheinlich WhatsApp relativ oft rein. Beispielsweise mit Handwerkern,

Monina: was ja auch kleine Unternehmen dahinter stecken.

Monina: Ist erfahrungsgemäß die Kommunikation über WhatsApp irgendwie dann doch oft

Monina: so das Mittel der Wahl, weil E-Mail nicht mehr gelesen wird und andere Möglichkeiten

Monina: auch nicht so wirklich da sind.

Monina: Signal scheinbar ja auch in manchen Regierungseinheiten benutzt.

Volker: Meist du jetzt nur USA oder auch Deutschland?

Monina: Ich bilde mir ein, ich habe auch schon in Deutschland von Fällen gehört,

Monina: wo Signal verwendet worden ist.

Monina: Aber genauso WhatsApp hat man ja auch gelegentlich in den Nachrichten gehört,

Monina: dass das auch im Unternehmens- und Regierungskontext benutzt wird. Messenger generell.

Volker: Ja, ich glaube, das liegt schlicht und einfach auch daran, wie sich das normale

Volker: Nutzer-Nutzerin-Verhalten sich einfach darstellt.

Volker: Du bist es einfach gewohnt mittlerweile, mal so diese kurzen flüchtigen Sachen

Volker: über Messenger rauszuhauen und machst dir eigentlich gar keine Gedanken mehr,

Volker: dass das vielleicht gerade dein Firmenhandy war, das du dafür benutzt hast.

Volker: Und deine Arbeitskollegen, da sind ja dann auch die ganzen Nummern abgespeichert, die Firmennummern.

Volker: Und damit hast du ja quasi automatisch im Import, also wenn wir es mal insbesondere

Volker: auf WhatsApp gucken, dann hast du ja gleich alle deine auch Firmenkontakte auf

Volker: deinem Privathandy, das bietet sich ja schon fast an.

Monina: Vor allem, wenn man beispielsweise eh für beide Arten der Kommunikation denselben Messenger benutzt,

Monina: dann auch noch die Unterscheidung zu treffen zwischen, ist das jetzt das private

Monina: WhatsApp-Signal, was auch immer, oder ist das jetzt das Firmenbezogene,

Monina: ist für die meisten vermutlich einfach unkomfortabel.

Monina: Und es gibt ja auch so Konzepte wie Bring Your Own Device.

Monina: Also benutzt das Privathindy auch, um damit Firmenkommunikation oder wie auch

Monina: immer Kommunikation im Kontext der Arbeit zu erledigen.

Monina: Und dann verschwimmen die Grenzen ja eh nachhaltig.

Volker: Ja, wird ja auch noch dadurch vereinfacht, dass du Dual-SIM hast oder eSIM oder sonst was.

Volker: Das heißt, du hast also eine Hardware, wo du mehrere Nummern drauf betreiben kannst.

Monina: Ja, dann darf man das halt nicht verwechseln.

Monina: Aber ja, die Möglichkeit ist dann naheliegend und es ist komfortabel,

Monina: wenn man hat nur ein Gerät. Und Menschen sind ja im Prinzip Gemütlichkeitstiere.

Monina: Umso komfortabler, umso eher wird es benutzt.

Volker: Das Problem ist ja auch, dass wir dann eine Software nur haben.

Volker: Also wir haben eine Softwareplattform für beide Institutionen, privat und dienstlich.

Volker: Und da bietet es sich dann ja schon wirklich förmlich an, wenn ich in einem

Volker: Adressbuch alle Nummern habe, dass ich auch WhatsApp für die Dienstkommunikation verwende.

Volker: Und ich bleibe jetzt wirklich mal bewusst bei diesen kritischen Messengern WhatsApp und Telegram.

Monina: Du meinst auch gerade, weil...

Monina: Weitergabe von Nummern allein schon umstritten ist. Also dass man dann alle

Monina: Nummern dem Messenger quasi in den Rachen wirft, dass der die kennt.

Volker: Ja, die lesen ja die Telefonbücher, ne? Also erstmal gibt es ja frei,

Volker: dass sie die Telefonbücher lesen können und damit machen die ja gleich einen internen Abgleich.

Volker: Das ist im übrigen Punkt, da habe ich mich in der Vorbereitung gar nicht so

Volker: richtig drauf vorbereitet, aber bei Signal soll das ja anders sein.

Volker: Aber ich frage mich gerade mal, wie?

Volker: Weil mir ja ins Signal auch immer neue Kontakte vorgeschlagen werden.

Volker: Aber wenn doch meine Telefonnummern privat bleiben oder nur einmal abgeglichen

Volker: werden, mir danach aber immer neue Kontakte vorgeschlagen werden,

Volker: wie kann das eigentlich funktionieren?

Monina: Also Signal greift auch aufs Telefonbuch zu. Es kann sein, dass Sie sie dann

Monina: anders bei sich abspeichern oder verwalten.

Monina: Da muss ich aber tatsächlich auch nochmal nachschauen, weil das weiß ich nicht

Monina: auswendig, wie das jetzt aktuell läuft.

Volker: Ich glaube, das können wir uns mal offen halten. Vielleicht schieben wir es

Volker: noch in die Shownotes rein oder machen da vielleicht sogar, wenn es ein eigenes

Volker: Ding ist, eine eigene Folge raus mit den Signal-Verantwortlichen.

Volker: Die sind ja tatsächlich für sowas sogar offen, dass sie mal auch in irgendwelchen

Volker: Sachen auftreten. Mal gucken.

Volker: Na gut, also wir haben jetzt erstmal so die Messenger-Typen aufgezogen und haben

Volker: gesagt, es gibt einerseits die integrierten Messenger, die entweder wie bei

Volker: Teams oder sowas eine Chat-Funktion zulassen und auch alles andere mögliche.

Volker: Dann gibt es die klassischen wie WhatsApp und Telegram, wenn man mal die Schmuddelkinder

Volker: dazu nennt, aber eben auch Signal, weil es ja dann doch eher Community-driven ist.

Volker: Und dann haben wir noch das absolute Gegenteil zu Signal, das aber den gleichen,

Volker: sagen wir mal, relativ guten Ruf hat, das ist Streamer.

Monina: Was du auch nicht vergessen darfst, ist Matrix, was relativ interessant momentan ist.

Monina: Das ist ja auch großteils relativ Open Source Community basiert und da passiert

Monina: jetzt ja auch viel drauf, was gerade im Behördenumfeld an Messengern geschaffen

Monina: wird, was es zu einer sehr interessanten Option macht.

Volker: Ja genau, also Matrix, ich habe mir gerade hier nochmal zwei oder drei Stichfolge

Volker: gemacht, aber Matrix sollten wir durchaus hier auch nochmal intensiver diskutieren,

Volker: weil Matrix ja ein Metaprotokoll ist.

Volker: Also Matrix ist ja im Gegensatz zu allen anderen, nicht der Messenger,

Volker: sondern die haben sich ja auf die Fahne geschrieben, dass sie verschiedene Messenger

Volker: auch über Gateways zueinander zugänglich machen wollen.

Volker: Und nur das Kommunikations, ja, dass das Protokollmedium, also quasi die API,

Volker: die Schnittstelle, das Interface zur Verfügung stellen wollen.

Volker: Ist mal spannend, ob das wirklich sich durchsetzt.

Monina: Also es gibt jetzt einen Haufen große Projekte, die damit laufen.

Monina: Also es gibt den Bundes-Messenger, der jetzt wohl in der ersten,

Monina: ich weiß nicht, ob es eine Probeversion ist, aber in der ersten Version schon

Monina: rauskommt, der basiert auf Matrix.

Monina: Er basiert drauf, er wurde noch abgewandelt und weiterprogrammiert sozusagen.

Monina: Genau wie der Bundeswehr-Messenger auch auf Matrix basiert, den es schon länger gibt.

Monina: Und noch ein paar weitere Projekte von Bund und Ländern.

Monina: Also es gibt ein paar Bundesländer, die das verwenden. Ich glaube,

Monina: es gibt ein Gematik-Kommunikationssystem, was darauf passiert auf Matrix.

Monina: Also das nimmt gerade in der Verwaltungswelt dann doch gut Fahrt auf.

Monina: Wahrscheinlich gerade dadurch, dass es schon ein paar Leute gibt,

Monina: die da als Vorreiter was gemacht haben mit den Bundeswehr.

Monina: Man gesehen hat, dass das funktioniert. Das wird auch beworben.

Monina: Durchaus ist es VSNFD-konform.

Monina: Also für den Dienstgebrauch, für Verschlusssache, nur für den Dienstgebrauch

Monina: kann es, wenn es richtig betrieben wird, verwendet werden.

Monina: Also insofern deswegen ist das da sehr spannend man kann es ja auch privat verwenden,

Monina: ich habe mit Freunden eine private Instanz,

Monina: aufgesetzt und auch in meinem Freundeskreis wollen sich jetzt auch nochmal Leute

Monina: in eine kleine Instanz aufsetzen was mich sehr glücklich macht,

Monina: dass Freunde auf mich zukamen, die nicht aus dem Informatikumfeld kamen und

Monina: gesagt haben, hey das klingt an einem coolen Konzept, wir wollen das auch machen,

Monina: da bin ich sehr gespannt Du hast einen eigenen.

Volker: Server oder was dafür?

Monina: Ja, also es ist an sich nicht so, also es gibt ein paar schöne Anleitungen,

Monina: da kriegt man es glaube ich auch als Nicht-Informatiker gut hin,

Monina: sich sowas mal aufzusetzen, man braucht eine Domain dafür,

Monina: dass man nach außen einen Namen hat, mit dem man erreichbar ist,

Monina: aber sonst ist das nicht so kompliziert.

Volker: Ist das irgendwie so ein Raspberry Pi-Derivat oder brauchst du da schon ein bisschen mehr?

Monina: Ich meine, Pi kannst du auch relativ dick aufbauen. Also es ist nicht super ressourcenintensiv.

Volker: Okay, wenn ich jetzt mal durchgucke, also wir haben jetzt so über Messenger

Volker: mal ganz kurz philosophiert.

Volker: Am sichersten wäre es ja eigentlich für Firmen und auch für eine sichere Kommunikation,

Volker: diese Enden, eine Ende-zu-Ende-Verschlüsselung, weil darum geht es ja eigentlich

Volker: immer bei sicherer Kommunikation, in den eigenen Händen zu halten.

Volker: Denn ich fand es ganz interessant, es gab ja vor einiger Zeit die Nachricht, dass...

Volker: Kriminelle Netzwerke ausgehoben wurden, indem das FBI einfach eine Firma quasi

Volker: übernommen hat, die Enem hieß und Enem Handys rausgegeben hat.

Volker: Und diese Enem Handys waren ja quasi Ende zu Ende verschlüsselt mit dem kleinen

Volker: Problem, dass der Server in der Mitte sie einmal entschlüsseln musste,

Volker: um diese Kommunikation weiterzuleiten.

Volker: Und wenn der Server in der Mitte dem FBI gehört, dann ist das schön,

Volker: wenn die bösen Jungs und Mädels immer Ende zu Ende verschlüsselt reden und das

Volker: FBI die ganze Zeit mithören kann.

Volker: Das gleiche, ich weiß nicht mehr, ob es noch bei WhatsApp auftritt,

Volker: aber war ja auch mal bei WhatsApp, dass die Kommunikation auf dem Server entschlüsselt wurde.

Volker: Und wann immer, sagen wir mal, so eine Multi-Messenger-Kommunikation,

Volker: das heißt, du hast eine Nummer und kannst sie in verschiedenen Instanzen betreiben,

Volker: auf dem Desktop, auf dem Server,

Volker: irgendwie sowas, muss ja theoretisch diese Kommunikation irgendwo zentral gelagert

Volker: werden und dir dann nachher zugestellt werden.

Monina: Aber sie muss ja nicht unverschlüsselt zentral gelagert werden.

Volker: Sie kann verschlüsselt, wenn du nachher mit deinem Passwort das Ganze wieder entschlüsselst.

Monina: Ja, das ist ja, glaube ich, der Punkt, der dann den Unterschied letztendlich

Monina: macht, ob das wirklich mal als Ende-zu-Ende-Verschlüsselung gesehen werden kann oder halt nicht.

Volker: Ja, aber da ist ja dann Matrix dann gut, wenn jeder seine eigene Instanz aufbaut,

Volker: dann weiß man, dass die definitive Ende-zu-Ende-Verschlüsselung gegeben ist.

Monina: Da gibt es einen lustigen Side-Fact dazu.

Monina: Das Matrix-Protokoll oder die Umgebung hatte lange das Problem,

Monina: dass es manchmal passiert ist, dass Nachrichten sich eine Zeit lang nicht entschlüsseln

Monina: lassen konnten, weil es da ein Problem gab beim Synchronisieren der Nachrichten.

Monina: Ich weiß tatsächlich nicht genau technisch, was das Problem war.

Monina: Aber auf jeden Fall auf der Seite von Bundes-Messenger kann man Open-Code auch

Monina: irgendwie abgelegt und schöne Dokumentation dazu, so ein bisschen zumindest.

Monina: Da ist das sehr, sehr oft irgendwo erwähnt, dass es jetzt in der neuen Version

Monina: auch funktioniert, dass die Nachrichten zuverlässig entschlüsselt werden.

Monina: Das ist wohl ein ganzes Problem.

Volker: Aber das ist doch dann wirklich sichere Kommunikation. Also wenn selbst du nicht

Volker: mehr an deinen Nachrichten rankommst oder die Gegenseite sie nicht lesen kann,

Volker: das wäre ja eigentlich so eine Variante, wie Firmen oder auch Privatleute,

Volker: die sagen wir, die etwas anonymere Kommunikation bevorzugen,

Volker: sich solche Dienste aufbauen können, Das heißt,

Volker: idealerweise dann eigene Instanzen aufsetzen, die vielleicht sogar dann noch

Volker: nicht nur verschlüsselt, sondern auch über einen verschlüsselten Kanal,

Volker: also über einen VPN oder zum Beispiel über das Tor-Netzwerk miteinander kommunizieren.

Monina: Wenn du auch noch, du hast von einem Messenger ja selber oder von der Art und

Monina: Weise, wie da zu Ende kommuniziert wird, selber die Verschlüsselung.

Monina: Das heißt, im Optimalfall kann da ja keiner reinschauen. Aber wenn du dann sagst,

Monina: du möchtest auch noch die Anonymität, mit wem du wie kommunizierst,

Monina: dann hast du den Vorteil, wenn du über Tor-Netzwerk dann auch noch beispielsweise

Monina: Nachrichten überhaupt schickst.

Monina: Oder je nachdem, wie das Ganze dann aufgebaut wird, da bin ich mir bei Matrix

Monina: nicht ganz genau sicher,

Monina: wie gut die Nachrichten von den jeweiligen Servern, die aufgesetzt sind,

Monina: wie gut da was nachvollzogen werden kann, nachgefolgt werden kann.

Monina: Den Fokus hatte ich tatsächlich noch nicht, da drauf zu schauen mit Anonymitätsblick.

Volker: Da können wir vielleicht gleich noch mal drüber reden, Weil eine Sache wollte

Volker: ich noch so als Möglichkeit ansprechen und wir hatten ja gerade schon diese

Volker: Telefonkommunikation, wo man erstmal sagen kann, naja, übers Netzwerk, also übers,

Volker: wie auch immer, 5G, 4G, GSM oder sowas haben wir ja schon eine verschlüsselte

Volker: Ende-zu-Ende-Kommunikation oder ja doch,

Volker: ich weiß gar nicht mal, ob es Ende-zu-Ende, ne, wahrscheinlich wird es Ende-zu-Infrastruktur

Volker: sein, weil wir sonst ja dieses Mithören von Nachrichtendiensten nicht sicherstellen könnten.

Volker: Aber also das heißt, diese Gespräche sind sicher, denn wir vertrauen natürlich

Volker: unseren staatlichen Stellen nicht,

Volker: dann sind sie vielleicht nicht ganz so sicher, wie wir es gerne hätten,

Volker: aber es gibt ja auch noch die WLAN-Kommunikation, wo der Call,

Volker: glaube ich, über das GSM-Netz aufgebaut wird und dann über das WLAN durchgeroutet.

Volker: Und da gab es letztens auch wieder mehrfach ausgenutzt über mehrere Jahre Sicherheitslücken,

Volker: wo die Kommunikation quasi über WLAN entschlüsselt werden konnte.

Volker: Und das, ja, soviel dann auch zu sicheren Telefonen.

Monina: Das ist ein klassischer Fall von, man möchte eigentlich sein Protokoll,

Monina: auch das, was man sich zieht, Ende zu Ende verschlüsselt haben,

Monina: weil sobald man die Möglichkeit hat, für Stellen reinzuschauen,

Monina: muss man davon ausgehen, dass das nicht nur die legitimen Stellen tun,

Monina: sondern dass es halt ausgenutzt werden kann.

Monina: Das ist ja Teil von dieser schönen, langen und nie endenden Diskussion zum Aufbrechen

Monina: von verschlüsselter Kommunikation durch staatliche Stellen.

Volker: Ja, naja, gerade letztens auch bei einer Veranstaltung, zwar ein völlig anderes

Volker: Thema, aber unsere Hörer und Hörerinnen mögen uns manchmal auch so Seitenausflüge verzeihen,

Volker: ging es um diese Killswitch-Diskussion bei den Kampfjets, die aus den USA bestellt

Volker: werden, wo dann immer befürchtet wurde, dass es dann so den roten Schalter gibt,

Volker: der in den USA umgelegt werden kann,

Volker: um die Kampfjets lahmzulegen.

Volker: Naja, dann hätten ja potenziell die amerikanischen Kampfjets die auch.

Volker: Und wenn es diesen Schalter gibt, boah, ich weiß nicht, ob es da nicht ein paar

Volker: ambitionierte Hacker gibt, die den vielleicht finden wollten und könnten.

Volker: Von daher ist die Wahrscheinlichkeit, dass genau so ein Kill-Switch einzeln

Volker: vorhanden ist, äußerst gering, aber vielleicht im Verbund, dass vielleicht irgendwelche

Volker: Funktionen nicht da sind.

Volker: Aber wieder zurück, genau da ist ja auch der Punkt, wenn staatliche Akteure

Volker: das Ganze, egal wie wir ihnen vertrauen, entschlüsseln können,

Volker: dann können es natürlich nicht staatliche Akteure auch.

Volker: Oder nicht legitime Akteure.

Volker: Und insbesondere, wenn es dann über WLAN geht, die Kommunikation und dann wieder

Volker: das andere Protokoll unsicher ist, dann hilft uns auch die sichere Kommunikation

Volker: nicht, wenn wir sie auf unsicheren Medien machen.

Volker: War im Übrigen letzte, bevor ich sehe schon, du zuckst, Monina.

Volker: Letzter Einwurf von mir, War im Übrigen auch Thema von dieser,

Volker: war das die Tauchus-Diskussion?

Volker: Verteidigungsministerium hat eine Telefonkonferenz gemacht und irgendwelche

Volker: Leute haben sich da, Generäle oder so oder Oberste, haben sich von Remote eingewählt.

Volker: Das war zwar eine sichere Cisco-Konferenz, das heißt alles tatsächlich nach Stand der Technik.

Volker: Dummerweise haben sie Telefonleitung genommen, um sich da einzuwählen und einer

Volker: von denen war im Ausland und damit war die Telefonleitung abhörbar und nicht

Volker: nur abhörbar, sondern eben doch abgehört.

Volker: Weil Cisco weist auch explizit darauf hin, dass die gesicherte Kommunikation

Volker: nur über deren Kanäle möglich ist.

Volker: Das heißt, deren Videokonferenzserver, deren Chat-Systeme und deren Einladungsbenachrichtigung

Volker: über die Cisco-App und alles, was daraus hinausgeht, sofort dann unsicher ist.

Volker: Ja, soviel zu sicheren Medien. Aber du hast gerade schon gezuckt.

Monina: Ja, du hast so viele Anknüpfpunkte hingeworfen. Jetzt finde ich gar nicht mehr

Monina: alle, aber ich nehme mal den neuesten auf.

Monina: Ja, so ein sicherer Messenger ist schön und gut, aber es hängt immer auch davon

Monina: ab, wie es betrieben wird.

Monina: Man kann noch so sichere Protokolle haben, die man verwendet,

Monina: wenn man mit, keine Ahnung, die Hardware beispielsweise einfach oder nicht sicher

Monina: wählt oder zum Beispiel einfach, wenn man draußen auf einem belebten Platz steht

Monina: und da telefoniert, dann kann dann auch jeder hören.

Monina: Also sichere Kommunikation funktioniert auch, wenn man sich ein bisschen darüber

Monina: Gedanken macht, wie man das Ganze verwendet.

Monina: Wenn man wie in manchen Beispielen einfach Leute einlädt in den Chat,

Monina: selbst wenn er sicher wäre, die da nicht reingehören.

Volker: Ich kann nichts ein, was meinst du gerade?

Monina: Genau, dann ist es halt hinfällig. Das war ja, ich glaube, EncroChat oder wie

Monina: die hießen, was du vorhin meintest, diese Ende-zu-Ende-verschlüsselten Spezialtelefone.

Volker: Das war noch eine andere. Anko-Chat war aber dieselbe Sache.

Volker: Die sind ja mittlerweile erlaubt als Gerichtsbeweise.

Volker: Bei den Anim-Chats oder Anim-Handys ist es noch nicht ganz klar,

Volker: weil die halt in den USA und alles sowas und ob die Rechtssysteme und bla bla.

Volker: Aber genau, war dieselbe Nummer.

Monina: Genau, ich finde, das ist ein schönes Beispiel für, da hat jemand theoretisch

Monina: gut durchdacht, dass er sich ein Ende-zu-Ende-verschlüsseltes Gerät besorgt,

Monina: ein Spezial hat während alles und das nur dafür verwendet.

Monina: Also das war sogar soweit gedacht, dass man da eine sichere Verwendung hat und

Monina: dadurch keinen Einfallsvektor hat.

Monina: Aber man hat hier das Schöne, sieht man sehr schön, dass man ein nicht-Open-Source-Projekt

Monina: hatte und dem Hersteller einfach nicht vertrauen konnte. Deswegen finde ich die...

Monina: Protokolle wiederum wie Matrix oder die Richtung, die Matrix da geht mit Open

Monina: Source einfach sehr schön, weil wir da sehr viele Leute draufschauen und man

Monina: dann hoffentlich, wenn da irgendwo eine Hintertür drin wäre oder irgendwas,

Monina: was nicht ordentlich gemacht ist,

Monina: da dann auch feststellen kann, dass es entsprechend für Leute zugänglich ist.

Volker: Ja, da sagst du, ich meine, das ist ja wieder diese Standarddiskussion,

Volker: die ich auch komplett teile als Diskussion, Security by Obscurity oder nicht.

Volker: Also wird ein System dadurch sicherer, dass die Kommunikation oder sämtliche

Volker: Systemeigenschaften komplett geheim gehalten werden?

Volker: Oder wird ein System dadurch sicherer, dass ich nichts geheim halte und es jedem

Volker: öffne und hoffe, dass es gefunden wird?

Volker: Und ich verstehe beide Seiten. Ich hätte dazu vielleicht sogar eine persönliche

Volker: Meinung, aber ich hätte keine akademisch fundierte Meinung dazu.

Volker: Denn es geht ja bei Sicherheit immer um Komplexität.

Volker: Und zwar, dass sie für den Nutzer und Nutzerin weniger komplex wird als nachher für Angreifer.

Volker: Jetzt ist aber die Frage, wenn ich einen Code nicht öffne und ihn komplett geheim halte.

Volker: Natürlich kann man ihn über Reverse Engineering versuchen zu analysieren,

Volker: aber es ist wirklich unendlich kompliziert, einen kompletten Code wieder herzustellen

Volker: als Reverse Engineering.

Volker: Also wären ja Sicherheitskriterien erfüllt.

Volker: Das ist die eine Seite. Die andere Seite, wenn ich ihn komplett offen lege und

Volker: jeder ihn sich angucken könnte, sind wir ehrlich.

Volker: Wer guckt sich eine Million Zeilen Code eines Messengers an?

Volker: Macht doch keiner, wo er das könnte.

Volker: Wodurch wird es sicherer? Ich kann es dir echt nicht sagen.

Monina: Ja, ich kenne die Diskussion und die habe ich auch schon oft mit Leuten darüber diskutiert.

Monina: Beide Seiten haben valide Argumente.

Monina: Das Problem ist ganz oft bei Sachen, die Security by Obscurity machen,

Monina: man zumindest den Eindruck gewinnen kann, dass das auch by Obscurity ist,

Monina: weil es nicht sauber gemacht worden ist. solche.

Monina: Und ich muss definitiv dem Anbieter vertrauen, dass der das ordentlich macht

Monina: und auch Sicherheitslücken patcht.

Monina: Und da gibt es bestimmt Anbieter, die sind da vertrauenswürdig.

Monina: Also den kann man da mit gutem Gewissen sagen, sobald die was merken,

Monina: patchen die, die machen Sicherheitstests, Pentests von ihren eigenen Sachen,

Monina: gucken, ob es da was Schwachstellen gibt und reden mit Sicherheitsforschern,

Monina: die Schwachstellen melden.

Monina: Aber das machen bei weitem nicht alle. Also auch nicht alle von den wirklich

Monina: großen Herstellern auch von Systemen, die man zur Kommunikation benutzen könnte,

Monina: machen das transparent und ordentlich.

Monina: Und dann ist es mir eigentlich fast schon lieber, wenn es Open Source ist, weil ich weiß,

Monina: gut, bei einem kleinen Projekt, werden wahrscheinlich nicht so viele Leute drauf

Monina: schauen, aber bei wirklich großen Projekten, es gibt immer die Leute,

Monina: die unfassbar viel technisches Verständnis haben und sich in diesen Code reinbuddeln,

Monina: weil sie irgendein kleines Detail stört und sich da durchbuddeln und da reinschauen.

Monina: Ich meine, Linux funktioniert letztendlich genau dadurch.

Monina: Klar gibt es dann immer noch Schwachstellen, die da auch lange liegen bleiben

Monina: und übersehen werden können.

Monina: Aber ich gehe mal davon aus, dass die gebündelte Kraft, die da reinfließt in

Monina: größere Open-Source-Projekte, die viel Interesse haben von der großen Community,

Monina: dass ein deutlich besserer Code ist mit weniger Schwachstellen,

Monina: als wenn ich ein großes Projekt habe von irgendeiner Firma.

Monina: Bei der ich in den Code nicht reinschauen kann, aber auch nicht weiß,

Monina: wer vielleicht den Code noch alles hat außerhalb von dieser Firma.

Volker: Aber lass uns ja dann doch mal konkret werden und mal gedanklich so ein sicheres

Volker: Kommunikationssystem für engagierte Privatleute als auch für kleinere und vielleicht

Volker: mittlere Firmennetzwerke.

Volker: Einfach mal ersinnen aus bestehenden Komponenten.

Volker: Also erster Gedanke zum Beispiel Messenger.

Volker: Würdest du Messenger für die Kommunikation von Quick & Dirty Sachen zulassen?

Volker: Oder würdest du sagen, Messenger sind nie unter Kontrolle zu bringen,

Volker: die lassen wir eben mal weg?

Monina: Ich glaube, du kannst Messenger einfach nicht mehr aus dem Alltag der meisten Menschen rausbringen.

Monina: Das heißt, du musst dich damit beschäftigen, wie du ein Messenger ordentlich

Monina: einbinden kannst. Weil Medium E-Mail,

Monina: Bei manchen Leuten schon relativ veraltet. Also es gibt eine ganze Generation,

Monina: die E-Mail auch ein bisschen ablehnt und das nicht mehr zeitgemäß findet.

Monina: Also nicht mal eine Generation, das zieht sich durch alle Generationen durch.

Monina: Und Messenger ist da so eigentlich in irgendeiner Form der neue Standard.

Monina: Selbst für Kommunikation, die ein bisschen seriöser ist.

Volker: Ja, gut. Und wenn wir dann, also erst mal bei Messengern machen sich ja für

Volker: mich jetzt zwei neue Türen auf.

Volker: Das eine ist dieses Bring Your Own Device, was wirklich viele,

Volker: auch sehr, sehr professionelle Firmen, also große Firmen zulassen.

Volker: Oder dann nicht Bring Your Own Device, aber dann ist es Bring Your Own SIM.

Volker: Ja, du kriegst ein Firmenhandy und darfst dann aber gerne in die Dual SIM deine

Volker: eigene reinpacken, was ja nichts anderes ist.

Volker: Das heißt, du installierst dir auch Software, Banking-Software,

Volker: Kommunikationssoftware, die du auch selbst nutzt, weil du es ja gemeinsam nutzen darfst.

Volker: Also sowas wie Bring-Your-Own-Device, das ist die eine Frage,

Volker: die sich damit öffnet mit Messengern.

Volker: Die andere Frage ist dann Threema versus, keine Ahnung, Element mit Matrix-Protokoll.

Monina: Bring Your Own Device bin ich tatsächlich kein Fan, sowohl vom psychologischen

Monina: Aspekt her, dass man Arbeit mit Privatem einfach dann sehr vermischt hat und

Monina: noch weniger abschalten kann, als es Menschen mittlerweile eh schon können.

Monina: Aber selbst wenn man das weglässt, man hat halt potenziell Leute,

Monina: die sich nicht gerne mit Sicherheit auseinandersetzen, die ein Handy haben und

Monina: auf so einem Handy kann sich echt auch viel ansammeln, was man nicht auf einem

Monina: Firmenhandy haben möchte.

Monina: Also es können sich Apps ansammeln, die Trojaner sind.

Monina: Die Leute klicken super gerne auf irgendwelche Werbe-Ads in irgendwelchen Spielen,

Monina: wo komische Sachen bei rumkommen.

Monina: Das möchte ich eigentlich nicht auf einem Handy haben, wo ich Firmengeheimnisse

Monina: rumschicke. Also ich wäre da prinzipiell dagegen.

Monina: Aber wenn man es macht, muss man halt viel Aufwand reinstecken,

Monina: dass man dann, weil sich getrennte Profile hat, gibt es ja, man kann ja irgendwie

Monina: getrennte Arbeitsprofil, ein Privatprofil haben, wo sich auch Daten möglichst

Monina: nicht hin- und herkopieren lassen.

Monina: Man muss halt gucken, dass man das dann möglichst sauber getrennt bekommt und

Monina: auch soweit abgesichert bekommt.

Volker: Was meinst du mit getrennten Profilen? Das kenne ich jetzt tatsächlich nicht.

Volker: Ich wüsste nicht, wie ich bei Android als zwei User mein Android-Handy nutzen könnte.

Monina: Ich glaube, dafür brauchst du dann ein spezielles System. Ich weiß es von Graphene OS.

Monina: Da kannst du ein Arbeits- und Privatprofil haben. Es gibt bestimmt noch andere

Monina: Möglichkeiten. Das ist das gerade, was mir einfällt.

Monina: Da hast du dann quasi getrennte Container für beide Hälften.

Monina: Du hast ein Privatprofil und ein sogenanntes Arbeitsprofil.

Monina: Das eine kannst du auch tatsächlich komplett stumm schalten.

Monina: Da kannst du sagen, okay, das schalte ich jetzt aus. Alle Apps sind jetzt in

Monina: dem Arbeitsprofil ruhig. Das macht jetzt alles nichts mehr.

Monina: Kannst dann getrennt zum Beispiel beim einen Google Play Services laufen lassen,

Monina: beim anderen nicht. Du hast da zwei getrennte Profile letztendlich.

Volker: Ja, ich glaube, das sollten wir in Shownotes mal verlinken mit dem Graphene.

Volker: Ich habe das mal eine Zeit lang beobachtet, aber die sind doch,

Volker: sind die nicht auf bestimmte Handys oder so reduziert, also sehr reduziert?

Monina: Bei Graphene ist es tatsächlich so, dass du ein Handy brauchst,

Monina: das rootbar ist, weil du quasi das OS neu aufspielst, was die meisten Handys nicht mögen.

Monina: Es gibt bestimmt auch, da müsste ich nachschauen, ich denke,

Monina: es gibt sowas auch von Herstellern, wo man das schon so kauft.

Monina: Das bietet einem bestimmt irgendjemand entsprechend an.

Monina: Aber dadurch, dass man bei Graphene OS, wenn man sich das selber installieren

Monina: möchte, ein Handy routen muss, sind zum Beispiel die, ich glaube,

Monina: die Google Pixel können das.

Volker: Ja, und das war nämlich der andere Punkt. Ich habe es gerade nachgeschlagen.

Volker: Ich wollte mich auch mal aufsetzen.

Volker: Google Pixel. Das kann auf jeden Fall funktionieren. Ja, also die offizielle,

Volker: also was heißt offiziell?

Volker: Ich meine so offiziell wie Graphene ist, ist die offizielle Unterstützung auf

Volker: alle Google Pixel und beim Rest musst du halt selbst rumbasteln.

Volker: Und hier sehe ich zum Beispiel auch ein Ding, also zum Beispiel meine Banking-App

Volker: würde sich darauf nicht installieren, weil die ganz klar darauf,

Volker: weil es rootbar ist, also weil es keinen Sicherheitsstandards unterstützt, die die Bank braucht.

Monina: Da ging es mir jetzt um das Konzept, also zum Beispiel so ein Konzept von getrennten Profilen,

Monina: Das finde ich eine sinnvolle Sache für so ein Bring-Your-Own-Device,

Monina: dass du sagst, okay, das eine, da kann alles mögliche drin laufen,

Monina: das ist aber irgendwie getrennt vom anderen.

Volker: Ja, das muss auch so sein. Also ich stelle mir jetzt nur mal vor,

Volker: der CISO eines Unternehmens und die IT verwenden ganz viel Energie darauf,

Volker: ein System sicher zu machen gegen äußere Angriffe, lassen dann Firmenhandys

Volker: zu, machen meinetwegen einen VPN mit Killswitch und sowas.

Volker: Das heißt, wenn kein VPN auf dem Handy da ist, wird gar kein Netz aufgebaut.

Volker: Also wirklich vorbildliche maximale Sicherheit.

Volker: Und jemand ballert seine eigenen Applikationen jetzt aufs Firmenhandy, das muss auch so sein.

Volker: Und holt sich schön in ein VPN-geschütztes Netzwerk, vielleicht sogar mit reduzierten

Volker: Firewall-Funktionen, weil wir sind ja total abgesichert, holt er sich jetzt

Volker: offene Tür die Malware rein.

Volker: Das ist doch Freund eines jeden IT-Administrators, oder?

Monina: Okay, dann fügen wir hinzu zu den getrennten Profilen. Das eine ist gemanagt.

Monina: Also das heißt, da ist nur eine bestimmte Anzahl an Apps oder Software,

Monina: die erlaubt ist, die man installieren darf und alles andere kommt da nicht drauf.

Volker: Okay, also wir haben jetzt schon mal unser eigenes Handy. Wir haben einen Messenger,

Volker: vielleicht sogar einen eigenen Messenger nach einem Matrix-Protokoll und wenigstens,

Volker: also idealerweise kein Bring-Your-Own-Device oder Shared-Devices,

Volker: aber mindestens gemanagt.

Volker: Wie viele Firmen in unserem Umfeld fallen uns ein, die diesen Ansprüchen,

Volker: okay, nee, lassen wir das, überlegen wir mal, was da noch so mit dazu passt.

Volker: Also wir haben, wie ist es mit E-Mail-Kommunikation?

Volker: Also manche Firmen, Dinosaurier, in Klammer wahrscheinlich alle,

Volker: lassen ja auch noch E-Mail-Kommunikation zu.

Volker: Da ist für mich tatsächlich die Überlegung, boah, sichere und unsichere E-Mail-Protokolle.

Volker: Also erstmal, wenn ich im VPN bin, also man sollte sowieso jegliche Firmenkommunikation

Volker: außerhalb des geschlossenen Netzwerks wahrscheinlich sowieso nur über VPN machen.

Monina: Ja gut, aber du musst bedenken, es gibt ja noch Kommunikation aus Firmen raus

Monina: oder in Firmen rein. Also du hast ja auch Kommunikation, die zwangsweise nicht

Monina: im Firmennetzwerk bleibt.

Monina: Schließen wir die mal mit einem unserer Gedankenmodelle, dann musst du irgendeinen

Monina: Weg auch nach außen haben.

Volker: Okay, aber also erstmal, sagen wir erstmal das physische Firmennetzwerk kann

Volker: ich ja über LAN und sowas, also kann ich ja drahtgebunden und wie auch immer dicht machen.

Volker: Dann habe ich das Firmennetzwerk, das nach außen geht für meine Homeoffices

Volker: und Satellitenstandorte und sowas, da kann ich ein VPN einrichten.

Volker: Damit werden die dann automatisch zum Firmennetzwerk und dann haben wir noch

Volker: die graue Welt und die böse Welt.

Volker: Die graue sind alle nicht geschützten, mit denen wir auch noch reden wollen

Volker: und die bösen sind die ungeschützten, mit denen wir nicht reden wollen.

Volker: Wie halten wir die beiden auseinander, außer durch wobei wir sind jetzt bei Messengern.

Volker: Ich weiß nicht, ob Messenger und Firewall so richtig gut zueinander passen.

Monina: Ja, das kommt ein bisschen von Messenger ab. Aber da ist ein sehr interessanter Punkt.

Monina: In dem Messenger willst du eigentlich gerade, wenn das irgendeine Form von du

Monina: hast einen nach außen offenen Messenger, wo du mit der Außenwelt kommunizieren

Monina: kannst, möchtest du Authentifizierung haben. Ganz klar von deiner Gegenstelle.

Monina: Du musst ja irgendwie, um in Anführungszeichen sicher zu kommunizieren,

Monina: jetzt gehen wir davon aus, dass wir eine Ende-zu-Ende-Verschlüsselung haben,

Monina: bringt es dir nichts, wenn dein Endpunkt nicht der ist, mit dem du reden möchtest,

Monina: sondern sich nur dafür ausgibt.

Volker: Also das heißt, eigentlich brauchen wir nicht nur Zertifikate.

Volker: Ich bin da immer hin- und hergerissen. Also es gibt ja genügend Fälle von Certificate

Volker: Stealing oder Certificate Fraud, dass auch wirklich falsche Zertifikate ausgestellt

Volker: wurden, macht mich eigentlich immer nicht glücklich.

Volker: Und so diese irgendwelche von irgendeiner Root-CA, irgendwelche super komplexen

Volker: Prozesse mit Personalausweis davor halten vor eine Kamera.

Volker: Und ich weiß gar nicht mehr, ob im Rahmen von ChatGPT und OpenAI das auch noch

Volker: so ein richtig guter Weg ist.

Volker: Das heißt, wie kann ich mir eigentlich sicher sein, Monina, das ist immer wieder

Volker: am Anfang vom Thema, dass du eigentlich eine HI und keine KI bist.

Monina: Das finde ich wiederum bei Threema ganz süß.

Monina: Bei Threema kann man, ich glaube, auch mit Telefonnummern einen Kontakt hinzufügen

Monina: oder mit einem Threema-Code.

Monina: Und dann kann man, wenn man sich tatsächlich physisch sieht,

Monina: Und sich zeigt, hey, der Chat mit dir ist das auch wirklich,

Monina: bist das du? Dann kann man da nochmal eine Bestätigung geben.

Monina: Und dann kriegt man auch für die Anzeige so einen grünen Punkt statt nur einen

Monina: gelben Punkt, dass die andere Seite, mit der man kommuniziert,

Monina: verifiziert die andere Seite ist.

Monina: Das ist natürlich ein sehr aufwendiger Weg, dass man sich physisch da mal sehen

Monina: muss und sagen muss, ja, das sind wirklich wir, aber so könnte man das machen.

Monina: Aber ansonsten bist du doch eigentlich der Experte für Authentifizierung von

Monina: Systemen auf nicht mit zertifikatbasierten Methoden.

Monina: Also was hast du denn da für Vorschläge?

Volker: Naja, also der Klassiker, der nicht auf Zertifikaten basiert oder andersrum,

Volker: diese Sicherheit von Identitäten basiert auf einer Historie,

Volker: die idealerweise nicht enttäuscht wurden.

Volker: Also je länger ich irgendwas kenne, das ist so ein bisschen das Prinzip Blockchain zum Beispiel.

Volker: Je länger die Blockchain ist, umso wahrscheinlicher ist es, dass die zurückliegenden

Volker: Knoten nicht infiltriert wurden.

Volker: Je länger ich dich, Monina, kenne, umso sicherer bin ich mir aus deinem Verhalten

Volker: und aus dem, was du so erzählst, von dem, was du auch irgendwie tust oder sowas, dass du es bist.

Volker: Und wenn du plötzlich ganz neue Dinge erzählst und ich dich anders sehe,

Volker: dann bist du es vielleicht nicht mehr.

Volker: Da muss ich quasi meinen Authentifikationsprozess neu starten.

Volker: Also was mir immer hilft, ist irgendwie eine Historie.

Volker: Das hilft mir auch im Unternehmenskontext, dass ich immer auch mal wieder auf

Volker: alte Dinge referenziere, mich sage, ach ja, wie wir es damals schon bei dem

Volker: Kunden gemacht haben, so einen Vertrag aufsetzen.

Monina: Aber genau, darauf basieren ja viele, also gerade viele Spam-E-Mails basieren

Monina: ja darauf, dass irgendwo ein E-Mail-Abfluss passiert auf der einen Seite und

Monina: aus diesen Informationen dann der anderen Seite eine Phishing-Mail runtergeschoben

Monina: wird, weil man sich eben auf Sachen referenzieren kann,

Monina: die dann Glaubwürdigkeit geben.

Volker: Und deswegen hilft das auch nicht allein. Also Punkt 1 zur Identifikation,

Volker: zur Identität hilft erstmal eine Historie aufbauen oder ist es zwingend erforderlich,

Volker: eine Historie aufbauen.

Volker: Und jetzt gilt es immer Verhaltensmuster abzuprüfen. Und eine Historie darf

Volker: halt nicht eindimensional sein, dass du sagst, ja wir beziehen uns mal nur auf

Volker: Mails und wie Mail von gestern und Mail von vorgestern und sowas,

Volker: sondern muss ja mehrdimensional sein.

Volker: Man muss ja auch Kontext abfragen.

Volker: Keine Ahnung, wir haben uns jetzt schon mal live gesehen und um zu wissen,

Volker: ob ich derjenige bin, könntest du dir sagen, komm, steh mal auf,

Volker: ich will mal sehen, wie groß du bist.

Volker: Und wenn ich gerade sage, oh, ich stehe schon, aber du siehst noch die Schreibtischkante

Volker: unter meiner Nase, dann würdest du dich wundern, wieso ich plötzlich so klein geworden bin.

Monina: Oder was du für einen großen Schreibtisch hast.

Volker: Genau, sorry, ich habe gerade meinen Schreibtisch nach oben ausgefahren.

Volker: Ich fahre den jetzt mal wieder runter.

Volker: Also das heißt, du würdest von mir erstmal verlangen,

Volker: Dass wir eine Historie aufbauen, wir haben uns schon mal gesehen und dann würdest

Volker: du von mir verlangen, dass du ein Eigenschaft, also ein Merkmal abfragst und

Volker: wenn dir das alles nicht reichst, dann wird es immer komplexer und du wirst von mir ein Verhalten,

Volker: also dass ich darauf reagiere, dass du sagst, ich bin zu klein und ich fahre

Volker: meinen Schreibtisch runter.

Volker: Das ist ja dann schon Verhalten. Und das Ganze kann man natürlich in Endgeräte

Volker: implementieren. Ich glaube, dazu sollten wir mal eine extra Folge machen.

Volker: Das wird hier gerade… Finde ich spannend. Ja, genau.

Volker: Oh, guck mal, wir haben hier gerade eine kleine Nachricht von unserem guten

Volker: Geist im Hintergrund bekommen, wie genau das aussagt. Vielen Dank, lieber Geist.

Volker: Nee, nee, genau diese… Wir sind dabei, solche Verfahren, solche Zero-Trust-

Volker: und verhaltensbasierten Identitätsverfahren zu etablieren.

Volker: Die sind aber nicht state of the art.

Volker: Da achten vielleicht Firewalls und Intrusion-Detection-Systeme drauf,

Volker: ob da irgendein anomales Verhalten drin ist.

Volker: Das Blöde ist aber, ich muss diese anomalen Verhalten in die Systeme quasi rein definieren.

Volker: Also ich muss denen sagen, was ich erwarte. Die kommen nicht auf die Idee,

Volker: wenn sozusagen ein Trust-Level unterschritten wird von einem Gerät,

Volker: von einem Verhalten, keine Ahnung, der ruft mich jetzt nachts um drei siebenmal

Volker: an und sendet mir 500 E-Mails.

Volker: Das ist ja vielleicht nicht normal. Dann kämen die Systeme nicht auf die Idee,

Volker: mal nachzufragen, bist du es denn überhaupt noch, wenn ich das den Systemen

Volker: nicht vorher erzählt hätte, dass sie das dann tun müssen.

Volker: Und das ist im Moment unsere größte Schwäche, die wir in diesen Authentifikationsverfahren

Volker: haben, dass die Systeme nur das tun, was ich ihnen erzählt habe und damit hochkaltig angreifbar sind.

Volker: Das ist bei Messengern halt genau das gleiche oder bei sicherer Unternehmenskommunikation,

Volker: na, da sind wir leider noch nicht.

Monina: Okay, aber dann, das heißt, wir sagen jetzt mal, wir haben als Authentifizierung,

Monina: das ist schwierig, aber wir gehen davon aus, wenn jetzt jemand angestellt wird in der Firma,

Monina: dann hat er ja da irgendwie Unterlagenausweis vorgezeigt, ist als diese Person

Monina: registriert und hat den Firmentag bekommen.

Monina: Mit dem Firmentag erreiche ich die Person und die ist zumindest per Definition

Monina: in dieser Firma, ist das die Person, mit der ich reden möchte.

Monina: Selbst wenn sich da jetzt jemand anders als Person A ausgibt,

Monina: dann ist das trotzdem noch die Person, mit der ich reden möchte,

Monina: weil ich will ja von der Information und die ist halt als Person A eingestellt worden.

Monina: Okay, das heißt, das Problem umgehen wir jetzt mal elegant dadurch,

Monina: dass wir sagen, okay, das ist von einer Firma über Personalmanagement abgegolten.

Monina: Gut, wenn man nach außerhalb redet, dann ist es hoffentlich in dem persönlichen

Monina: Treffen mit einer anderen Firma, vielleicht über E-Mail-Zertifikate, über E-Mail mit einem,

Monina: Mit einer Unterschrift wurde der Tag, mit dem ich reden möchte,

Monina: mit übertragen und mit dem rede ich jetzt. Also gehe ich davon aus, dass es der richtige.

Volker: Ich fasse nochmal kurz für die Zuhörer zusammen. Wenn wir auf E-Mail gehen,

Volker: sagen wir, wir haben erstmal die E-Mail-Adresse, der wir zunächst einmal trauen,

Volker: insbesondere wenn sie im Protokoll mit nachweisbar ist.

Volker: Also nicht nur in der E-Mail-Nachricht, sondern wenn ich wirklich in das E-Mail-Protokoll,

Volker: in den Header reingehe und sage, welcher Server hat es gesandt und welche Uhrzeit,

Volker: dann sagen wir mal erstmal, wir haben ein gutes Gefühl, dass das passt.

Volker: Dann haben wir vielleicht noch eine Signatur unten drunter.

Volker: Kann sich jeder drunter malen.

Monina: Ich meine tatsächlich eine Signatur im Sinne von E-Mail-Zertifikat.

Volker: Ja genau. Und wir haben noch ein Zertifikat.

Volker: Also wir haben erstmal die E-Mail-Futter-Signatur, wo wir sagen,

Volker: okay, die rechtliche Schwelle, bleiben wir mal weg von den bösen Jungs,

Volker: aber die rechtliche Schwelle, sich da eine falsche Signatur drunter setzen,

Volker: ist ja jetzt auch nicht ganz ohne.

Volker: Und dann haben wir noch die Zertifikate und bei den Zertifikaten,

Volker: da habe ich jetzt eine ganz, ganz tolle wieder Erfahrung gemacht.

Volker: Ich meine, es ist ja ein Unterschied, ob ein Nerd sich irgendwie ein Zertifikat

Volker: irgendwie holt und da mal kurz in sein System rein operiert oder ob man mal

Volker: jemanden über die Schulter guckt,

Volker: der oder die vom Rechenzentrum als normaler Nutzer oder Nutzerin,

Volker: eine Zertifikats-E-Mail,

Volker: bitteschön, hier ist Ihr Zertifikat, hier ist die folgende dreiseitige Anleitung

Volker: auf Basis der vorherliegenden oder der vorvorhergehenden Outlook-Version,

Volker: wie sie jetzt ihr Zertifikat in ihren Browser implementieren und implantieren können.

Volker: Und ich musste echt, irgendwann habe ich die Person dann zur Seite geschoben

Volker: und habe gesagt, komm, ich mache dir das mal.

Volker: Und jetzt kommt leider die Anekdote. Und bei 90 Prozent habe ich aufgegeben,

Volker: weil ich gesagt habe, Also in dieser Outlook-Version kriege ich das Zertifikat

Volker: auch nicht einoperiert. Da waren wir aber schon eine Stunde am Machen.

Monina: Und das ist das Problem, wenn nicht mal technisch basierte Leute das dann hinbekommen,

Monina: kann ich das nicht von jedem Benutzer erwarten, dass das funktioniert.

Monina: Das muss einfach mit wenigen Handgriffen idiotensicher machbar sein,

Monina: sonst wird es halt nicht gemacht.

Volker: Also es war insofern idiotensicher und machbar und da muss ich echt über mich

Volker: selbst lachen. Ich habe es ja geschafft.

Volker: Ich konnte es nur nicht aktivieren, weil immer wenn ich auf den Button bitte

Volker: jetzt mit Zertifikat versenden gedrückt habe, ist nicht das Passwortfeld aufgegangen,

Volker: um das Zertifikat zu legitimieren. Nein, da ist eine Fehlermeldung aufgegangen.

Volker: Falsches Zertifikatsformat implementiert, kann die E-Mail nicht versenden.

Volker: Also die haben mir genau gesagt, was schiefgelaufen ist.

Volker: Naja, okay.

Monina: Das ist schön. Ja gut, aber da hast du auch einen nächsten Punkt,

Monina: seitdem wir wieder zurückkommen können.

Monina: Outlook ist ja auch mittlerweile so dieses, es möchte mit einem Programm alles erschlagen.

Monina: Da ist ja auch Kalender mit drinnen und man kann darüber auch alle anderen,

Monina: alle Funktionen, die man jemals braucht im Unternehmenskontext irgendwie über

Monina: diese Microsoft 365 Sachen erschlagen.

Monina: Also wir haben jetzt irgendwie uns um eine Authentifizierung bemüht.

Monina: Wir haben ein Endgerät, mit dem wir ins Firmennetzwerk kommunizieren.

Monina: Jetzt haben wir noch andere Bedürfnisse. Wir wollen kommunizieren,

Monina: das Ganze irgendwie mit einem Kalender abgleichen, telefonieren darüber am besten und chatten.

Monina: Das heißt, wir brauchen entweder ein System, was das alles abdeckt,

Monina: oder mehrere Systeme, die irgendwie miteinander kompatibel sind.

Monina: Und da ist dann das nächste, sag ich mal, was unschön ist, da entweder man kauft

Monina: alles aus einer Hand oder man braucht halt Standards, die entsprechend offen sind.

Monina: Man ist das meistens aber immer noch ganz schön viel rumgefummelt,

Monina: dass das da miteinander tatsächlich so, wie es in Standards beschrieben ist,

Monina: dann wirklich gut kommuniziert.

Monina: Und dasselbe ist ja mit Messengern. Nicht jeder Messenger kann mit jedem Messenger reden.

Monina: Und da fängt es dann halt an, dass Leute dazu tendieren, faul zu sein und sich

Monina: Lösungen einzukaufen, die möglichst verbreitet sind und viele auf einmal erschlagen,

Monina: statt sich die Mühe zu machen, mehr Sachen aufzusetzen.

Monina: Und das ist, finde ich, ein großes Problem eigentlich.

Volker: Oder sie machen sich einen eigenen Messenger. Also jetzt nicht nur Matrix.

Volker: Man kann ja, ich weiß nicht, über Synology oder sowas, da gibt es dann ja auch

Volker: die Messenger-Apps in dem Office und so weiter.

Volker: Die könnte man sich ja auch selbst aufbauen, wobei ich nicht weiß,

Volker: wie sicher die dann nachher auf der App ist.

Monina: Aber das ist ja Aufwand. Und das wollen sich ja ganz viele nicht machen.

Monina: Also auch Firmen tendieren oft dazu, entweder eine wirklich billige kleine Lösung

Monina: zu nehmen, die halt möglichst billig ist, oder eine, wo man zwar mehr zahlt,

Monina: aber die einem einfach alles abnimmt, damit man nichts mehr machen muss.

Volker: Mhm. Ich habe hier im Übrigen gerade noch eine interessante Sache,

Volker: die mir durch den Kopf gegangen ist und dazu gerade im Hintergrund noch eine Webseite aufgemacht.

Volker: Und zwar haben wir ein Bundesministerium des Inneren und für Heimat.

Volker: Und auf einer Unter, Unter, Unter, Unter, Unterseite gibt es die DE-Mail,

Volker: sichere und verschlüsselte Kommunikation.

Volker: Super spannend, weil die sollte ja erst irgendwann mal per Gesetz von jedem

Volker: irgendwie für jeden verfügbar sein und sowas.

Volker: Und ich habe mittlerweile irgendwo auch schon wieder einen Bericht gelesen,

Volker: dass mit dem Inkraftsetzen des OZG-Änderungsgesetzes ist diese Verpflichtung

Volker: allerdings wieder entfallen.

Volker: Also das heißt, man hat sich quasi am 24.07.2024 nicht von der DE-Mail verabschiedet,

Volker: das wäre ja politisch ungeschickt.

Volker: Man hat nur gesagt, die Verpflichtung, die man mal eingeführt hat, machen wir doch nicht.

Monina: Aber an sich, sage ich mal, ist das eigentlich kein dummer Grundgedanke,

Monina: weil dann hast du auch dieses Problem mit Verschlüsselung und Zertifikaten weniger,

Monina: weil du sagst, okay, für den Ausweis muss man eh irgendwie die Identität von

Monina: dem Menschen feststellen.

Monina: Und wir wollen, dass Leute zumindest mit Behörden sicher kommunizieren können,

Monina: dann geben wir doch einfach jedem mit seinem Ausweis eine E-Mail-Adresse, die er benutzen kann.

Monina: Die E-Mails werden sicher, weil Bund hat viel Geld und kann das da reinstecken,

Monina: kann das eine ordentliche Plattform aufbauen.

Monina: Die ist anbieterunabhängig, irgendwo beim Bund gehostet.

Monina: Und da kann jeder, wenn er offiziell E-Mails irgendwie versenden muss,

Monina: kann das dafür verwenden.

Monina: Hat halt keinen kleinen Speicher für ein E-Mail-Postfach, braucht ja auch keinen

Monina: großen. Man muss ja nicht viele Anhänge verschicken und hat ein Zertifikat dazu.

Monina: Das wäre ja eigentlich eine gute Idee, eine gute Grundidee, die da mal dahinter

Monina: steckt, dass dann jeder vielleicht an seinem Ausweis auch, ist ja digitaler

Monina: Ausweis mittlerweile, da irgendwie sein Zertifikat gespeichert hat und damit

Monina: seine E-Mails signieren kann.

Volker: Und vielleicht ist ja unter unserer knapp fünfstelligen Hörerzahl auch irgendein

Volker: Politiker oder eine Politikerin, die uns per E-Mail, also vielleicht auch per

Volker: gesicherter Kommunikation mitteilen könnte,

Volker: warum wurde das wieder aufgegeben?

Volker: Also abgesehen davon, dass es aufwendig ist und vielleicht nicht ganz so leicht

Volker: zu implementieren, aber ich stimme Monina voll zu, das ist doch endlich mal

Volker: so dieser erste Schritt.

Volker: Für die, die gerne sicher kommunizieren wollen, wäre das ja schon mal eine Möglichkeit, das zu tun.

Monina: Ich sage mal, wenn man jetzt wieder den Satz und vorhin aufgreift,

Monina: E-Mail ist eigentlich teilweise zumindest ein veraltet gedachtes Medium.

Monina: Es ist ja eigentlich nicht mal ein Echtzeitmedium, das betrachten zwar viele

Monina: so und regen sich auf, Auch wenn eine E-Mail nicht sofort kommt,

Monina: aber eigentlich definiert E-Mail nicht, dass eine Nachricht sofort ankommen

Monina: muss. Eine Nachricht kann sich da Zeit lassen, theoretisch.

Monina: So, gehen wir also von dem Punkt E-Mail weiter zu dem Punkt Messenger,

Monina: die ja mit leider zumindest viel vereinen, Nachrichten, Telefonie,

Monina: man kann Dateien hin und her schicken.

Monina: Und da haben wir ja dann was Ähnliches mit dem Bundes-Messenger-Projekt.

Monina: Das ist, glaube ich, auch, zumindest auf der BMI-Seite kann man sich das,

Monina: glaube ich, irgendwie gab es da auch einen Bericht dazu.

Monina: Wie gesagt, es gibt da verschiedenste Behörden, die sowas mitmachen und es gibt

Monina: den Bundes-Messenger, der dafür da ist,

Monina: dass man zumindest mit der Behördenwelt in Deutschland sicher kommunizieren kann.

Monina: Und zwar auch Ende zu Ende, die Daten werden verschlüsselt abgelegt,

Monina: wenn sie irgendwo abgelegt sind.

Monina: Also eigentlich auch wieder ein guter Grundgedanke. Und das sieht tatsächlich

Monina: so aus, als könnte das mal noch funktionieren.

Monina: Das ist jetzt wie gesagt gerade glaube ich in der ersten Version irgendwie verfügbar.

Monina: Da weiß ich tatsächlich noch nicht, wie weit das dann irgendwann auch für normale

Monina: Bürger in welcher Form verwendbar sein wird.

Monina: Aber da auch prinzipiell gute Grundidee umgesetzt.

Volker: Steht hier sogar. Freie Messenger für die, also BWI, Wirtschaftsministerium.

Volker: Und es ist eine schicke Seite für öffentliche Verwaltung.

Volker: Erste Release für Behörden in Deutschland verfügbar.

Volker: Und dann steht da sogar, dass es irgendwann dann auch mal für normale Bürger

Volker: für die Behördenkommunikation zugänglich sein sollte.

Monina: Das ist halt sozusagen die E-Mail ein bisschen weiter oder anders gedacht, würde ich sagen.

Volker: Ja, wobei nach wie vor, ich würde echt von der E-Mail gar nicht mal unbedingt

Volker: so weggehen, weil sie hat natürlich auch ihre Vorteile,

Volker: einfach, dass ich damit meistens größere Nachrichten wegkriege,

Volker: weil weniger Traffic erzeugt wird und ich sag mal, mehr am Stück kommuniziert werden kann und sowas.

Volker: Aber generell fände ich, ja, so dieser Bundes-Messenger wäre schon gar nicht

Volker: mal schlecht, auch für die Privatleute.

Monina: Genau, jetzt, wir versuchen das ja ganz immer noch zu denken,

Monina: was braucht ein Unternehmen alles, damit sowas funktioniert.

Monina: Das war ja vorhin mal unser Gedankenspiel.

Monina: Was da noch ein Punkt ist, dieser Punkt von Messenger müssen irgendwie untereinander

Monina: kompatibel sein, weil sonst bräuchte jeder den gleichen, dass man reden kann.

Monina: Da hat Matrix auch ganz interessant die Möglichkeit, für manche anderen Messenger-Bridges

Monina: verfügbar zu haben, dass man beispielsweise ein Signal-Messenger auch über ein Element,

Monina: dass man in seiner Matrix-Umgebung auch Signal-Chatroom zum Beispiel mit einbinden

Monina: kann, wodurch man dann so ein bisschen es abgemildert hat, dass unterschiedliche

Monina: Messenger verwendet werden und man das trotzdem verwenden kann.

Monina: In einer Nicht sowieso.

Volker: Im Rahmen dieses Digital Markets Act ist eigentlich sowieso die angedachte Lösung,

Volker: weil da sollen ja gerade diese Einstiegsbarrieren und diese Silos eigentlich

Volker: sogar verboten sein durch die EU und da wäre doch Matrix eigentlich genau das

Volker: Ding, da müssen doch alle Hersteller nachschreien,

Volker: die jetzt gerade wieder Millionen Strafen bekommen haben, weil sie zu silomäßig

Volker: die Marktmärkte abschotten.

Volker: Die müssten doch nach Matrix einfach so schreien und sagen, baut unsere Bridges, bittet.

Monina: Ich glaube, es lohnt sich tatsächlich für manche Anbieter wahrscheinlich mehr

Monina: diese Strafen zu zahlen, als offen zu sein. Das ist zumindest der Eindruck,

Monina: den man hat, wenn man sich das anschaut.

Monina: Ob das jetzt wirklich so ist, kann ich nicht sagen. Aber, also wie gesagt,

Monina: man kommt zu meiner Meinung nach so vor.

Monina: Und es muss ja nicht mal, wir haben jetzt oft Matrix erwähnt,

Monina: weil das sich da einfach gut anbietet.

Monina: Es müsste ja nicht mal das sein, aber einfach, die könnten ja auch so untereinander

Monina: irgendwie interoperabel werden, Schnittstellen rausgeben und kommunizieren.

Monina: Aber ich weiß tatsächlich nicht, bei wie vielen das tatsächlich gut funktioniert.

Volker: Ja, ich würde auch gerne mal in diese Unternehmensgedankenwelten mir eindenken können.

Volker: Also lieber 500 Millionen Euro Strafe zahlen, als 100 Millionen Euro in eine

Volker: Community reinzuwerfen und sich eine kompatible Bridge, naja.

Monina: Naja, mit dem einen bindest du mehr Leute an dich. Wahrscheinlich.

Volker: Ja, naja, wie gesagt, ist nicht so ganz meine Gedankenwelt.

Volker: Also wir hatten jetzt so die Themen fürs Unternehmen.

Volker: Wir versuchen keinen Bring-Your-Own-Device, das sollte eine Arbeitshygiene,

Volker: wenn, dann Handys mit gehosteten, gemanagten Profilen.

Volker: Wir machen Kommunikation nach außen nur über gesicherte Netzwerke,

Volker: idealerweise mit Verschlüsselung und Zertifikaten, wenn ich sie dann installiert kriege.

Volker: Und die Messenger setzen wir auf allgemeine Messenger, auf möglichst sichere,

Volker: aber kompatible Messenger-Dienste um.

Volker: Tja, gibt es da noch irgendwas, was wir beachten sollten?

Monina: Das kommt auf die Fallen granulare reingehen wollen.

Monina: Bei den Messengern generell die Ende-zu-Ende-Verschlüsselung.

Monina: Man sagt das auch, wenn Dateien auf einem Server abgelegt sind und Nachrichten

Monina: auf einem Server abgelegt sind, dass sie dort halt verschlüsselt sind.

Monina: Dann muss ich dem Anbieter von einem Server, wo die drauf liegen,

Monina: nicht vertrauen, sondern die Ende-zu-Ende-verschlüsselt sind.

Volker: Ja, das ist auch der Punkt. Ich muss ja dann auch, wenn ich zum Beispiel nicht

Volker: traue, dann lege ich halt die Datei nicht ab, sondern dann lege ich die Datei

Volker: auf einem gesicherten Laufwerk ab und verschicke den Link zur Datei.

Volker: Der Link wird ja wieder verschlüsselt, kommuniziert.

Monina: Wenn man die Option hat, dazu brauchst du halt einen Gegenstand oder ein System

Monina: mehr, das du bereithältst.

Volker: Ja, genau. Dann brauche ich wieder ein verschlüsseltes Laufwerkssystem.

Volker: Ja, hier auch wieder so ein interessanter Punkt. Und wir gehen ja immer davon

Volker: aus, dass wenn wir Systeme in Europa hosten, dass die nach europäischem Recht gehostet werden.

Volker: Deswegen haben wir ja hin und wieder mal diese Diskussion, bestimmte Sachen

Volker: in Europa aufzubauen, zum Beispiel in Microsoft Cloud.

Volker: Letztens hatte ich allerdings in einem Artikel gelesen, dass ja die amerikanischen

Volker: Unternehmen durch amerikanischen Gerichtsbeschluss zur Datenoffenlegung gezwungen werden können.

Volker: Und zwar insoweit sie zu dem Unternehmen gehören.

Volker: Und da ist nicht gefragt, wo sie physisch liegen, auf welchem Server,

Volker: sondern ob diese Server zu dem Unternehmen gehören.

Volker: Das wäre jetzt mal interessant, auch vielleicht nochmal von Juristen dann erläutert zu bekommen.

Volker: Heißt das, dass ein in Europa gehosteter Server, den wir wegen Datenschutz in

Volker: Europa verlangen, auf amerikanischen Gerichtsbeschluss, wenn er zum Beispiel

Volker: zu Microsoft gehört, in den USA komplett offengelegt werden kann,

Volker: ohne auf europäisches Datenschutzrecht und die Location des Servers hier zu achten?

Volker: Fühlt sich ja fast so an, dass das so was heißt.

Monina: Das würde ich auch gerne mal von einem Rechtsexperten hören.

Monina: Rechtsexpertin, wie auch immer.

Volker: Ja, wie auch immer, weil das hieße ja, dass unser gesamtes, also wenn wir Unternehmenssicherheit

Volker: zum Beispiel darauf legen oder Wert legen, dass die Sachen wenigstens Amazon

Volker: Cloud, wenigstens ein deutscher Server ist,

Volker: einer Amazon Cloud, dass das uns gar nichts bringt.

Volker: Weil im Zweifel vielleicht nicht von jedem dann das offengelegt werden kann,

Volker: aber mindestens von im Moment nicht mehr ganz so partnerschaftlich gesonnenen

Volker: amerikanischen Kollegen könnte das geöffnet werden, scheinbar.

Monina: Das hieße dann ja aber im Gegenzug wieder, dass man einfach Unternehmen,

Monina: eigentlich nur noch Unternehmen benutzen dürfte für Kommunikation,

Monina: von der man möchte, dass sie nicht jetzt den Raum verlässt quasi,

Monina: dass es europäische Unternehmen sein müssten mindestens.

Volker: Mindestens europäische und jetzt käme halt wirklich die Rechtsdiskussion,

Volker: die interessante ins Spiel.

Volker: Wie ist das denn, wenn ein deutsches Unternehmen in den USA tätig ist und die

Volker: dann von amerikanischem Gericht dazu gezwungen werden,

Volker: den E-Mail oder den Server in den USA offen zu legen, aber das gar nicht regional

Volker: so richtig aufgrenzen können, hieß das dann auch umgekehrt, dass ein deutsches

Volker: Unternehmen, nur weil es auch in den USA hostet, plötzlich auch unsere Daten offenlegen müsste.

Volker: Also vielleicht können wir mal dazu einen Juristen oder Juristin befragen.

Monina: Ja, ich denke auch, das wäre bestimmt mal noch eine spannende Diskussion.

Monina: Vielleicht finden wir da ja jemanden.

Volker: Also zumindest sagen wir mal, wenn irgendwas sicher sein soll,

Volker: würden wir nicht auf Fremdhosting setzen, sondern mindestens am besten Eigenhosting.

Volker: Das ist aber immer aufwendig, aber wenigstens deutsches oder europäisches Hosting.

Monina: Okay, aber das heißt, wir haben jetzt unsere gedachte Firma mit Benutzern,

Monina: die außerhalb sind, die sich über VPN über ein Handy einwählen.

Monina: Wir haben einen kompatiblen Messenger, der sowohl Nachrichten als auch Videokonferenzen

Monina: zulässt, als auch Dateien ablegen lässt, in kleine Maßstab, also Bilder beispielsweise,

Monina: die ausgetauscht werden.

Monina: Haben wir noch was vergessen?

Volker: Ja, Videokonferenzen. Gibt es da nicht sogar vom BSI ein Dokument für sichere

Volker: Videokonferenzen zwischen Behörden?

Monina: Oh ja, da gibt es generell. Es gibt ein VOS-Anforderungsprofil,

Monina: sichere Messenger und Videokonferenzsysteme vom BSI.

Monina: VOS ist hier die Verschlusssachenanweisung, die VSA, die für die Definition

Monina: hat, wie Kommunikation, die nur für

Monina: den Dienstgebrauch ist oder höhere Sicherheitseinstufungen auszusehen hat.

Monina: Das können wir gerne auch noch verlinken.

Volker: Ja, das machen wir wohl. Und jetzt wieder, ja gut, wenn wir nicht dem VSNFD

Volker: unterliegen, sondern vielleicht jetzt auch die Technologie dahinter nicht hätten,

Volker: sondern wieder auf marktübliche Technologien zurückgreifen.

Volker: Was nehmen wir zur Videokommunikation?

Volker: Jitsi über ein VPN oder BigBlueButton, die zumindest ein bisschen offener sind

Volker: oder nehmen wir lieber gleich Cisco und Zoom?

Monina: Das kommt darauf an, ob du es wirklich trennen möchtest. Mittlerweile haben

Monina: ja die meisten Messenger auch die Möglichkeit, einen Videocall zu machen,

Monina: damit man eben nicht diese Trennung hat, dass man für alles ein eigenes Tool braucht.

Monina: Also ich glaube Signal, WhatsApp, alles kann mittlerweile auch Videocall.

Monina: Und ich glaube auch mit mehreren Leuten, da bin ich mir nicht sicher.

Monina: Habe ich noch nicht probiert, aber auf jeden Fall für Einzelpersonen.

Volker: Ja, okay, also Videocall per Messenger. Jetzt sind wir fast wieder am Anfang unserer Diskussion.

Volker: Jetzt fast auch so eine Stunde, was sehr gut passen würde.

Volker: Wir können natürlich auch Messenger über ein Videotool machen.

Volker: Oder wir können auch wieder die vollintegrierten Plattformen machen,

Volker: die E-Mail, Messenger, Videocall, also sowas wie Teams oder sowas alles zusammen können.

Volker: Wenn wir jetzt einem Unternehmen was empfehlen, also ich persönlich,

Volker: Ich würde immer dazu neigen,

Volker: Silos, also nicht Silos, aber eine Siluisierung quasi zu betreiben,

Volker: weil eine Plattform hat meistens noch so viel interne Kommunikation und so viel

Volker: Software zur Harmonisierung von irgendwas,

Volker: dass ich mir nicht sicher wäre, ob die so sicher sind, wie wenn ich mir fünf

Volker: verschiedene Applikationen baue und aufsetze, die vielleicht nicht so voll kompatibel

Volker: zueinander sind, aber dafür einzeln managbar.

Volker: Das wäre so meine Tendenz. Aber ich sehe gerade, du kriegst gerade so einen Geschrei-Anfall.

Monina: Ich bin persönlich, bin ich da ein Fan von. Ich mag das auch,

Monina: dass man Big Button beispielsweise hat, hier für das eine, dann,

Monina: keine Ahnung, Metamount für den nächsten Anwendungsfall.

Monina: Aber aus der Erfahrung weiß ich, dass das, sobald man in einem Arbeitskontext

Monina: ist, einfach nicht mehr akzeptiert, also sehr schnell nicht mehr akzeptiert

Monina: wird. sowohl von der Administration, die das Ganze betreuen und aktuell halten

Monina: muss, als auch von den Leuten, die das verwenden.

Monina: Die Leute wollen nicht für alles eine neue Plattform verwenden.

Monina: Die wollen, wenn sie beispielsweise einen Videocall haben, darüber dann vielleicht

Monina: auch gleich noch ein Bild verschicken, weil sie sagen, hey, ach ja,

Monina: das wollte ich dir noch schnell zeigen.

Monina: Die Leute wollen möglichst wenig Plattformen benutzen müssen.

Monina: Zumindest ist das so meine Erfahrung aus dem Arbeitsumfeld, dass es umso mehr

Monina: Lösungen das werden, umso anstrengender wird es und umso fehleranfälliger wird es.

Monina: Ich würde sagen, man muss da einen Sweetspot finden. Du willst nicht nur eine

Monina: Anwendung für alles haben,

Monina: Auch vielleicht einfach gerade wegen Ausfallsicherheit, wenn mal ein Videotool

Monina: abschmiert, dann hast du vielleicht noch ein anderes, was funktioniert.

Monina: Aber du möchtest keine sieben Lösungen haben. Vielleicht drei,

Monina: mit denen du das erschlägst.

Volker: Ja, irgendwie hast du recht. Da gehen wir ja auch wieder so in die letzte Sendung,

Volker: die wir hatten mit Human-Centered Design und Human-Centered Security.

Volker: Das eine ist dann die rein technische, vielleicht höhere Sicherheit, die ich angehen würde.

Volker: Aber dann würden sich mindestens Nutzerinnen und Nutzer vielleicht ein Workaround

Volker: bauen, um das wieder einfacher, also unsicherer zu machen.

Volker: Oder vielleicht sogar die armen Administrationsmenschen, die mit der ganzen

Volker: Vielfalt dieser Sachen überhaupt nicht mehr klarkommen, wodurch dann theoretisch

Volker: sichere Technologie wieder unsicher wird, weil sie nicht vernünftig administriert wird.

Monina: Da ist es wie immer in der Sicherheit, man muss so einen Mittelweg finden,

Monina: der möglichst sicher, aber noch benutzbar genug ist, dass es nicht verleitet,

Monina: Schatten-IT zu betreiben.

Volker: Ja, genau. Ja, Mensch, damit sind wir eigentlich schon zeitlich so ein bisschen am Ende.

Volker: Monina, du hast doch bestimmt noch irgendwie eine Endzusammenfassung,

Volker: die du loswerden willst.

Monina: Ja, also auch für Privatpersonen, der komfortabelste Messenger ist vielleicht

Monina: dann doch nicht immer der beste.

Monina: Es lohnt sich da auch mal ein paar Minuten Zeit rein zu investieren und vielleicht

Monina: auch mal das eine oder andere Tutorial anzuschauen oder mal Freunde,

Monina: die technikaffin sind, zu fragen, um vielleicht sich nicht auf Sachen verlassen

Monina: zu müssen, die absolut nicht empfehlenswert sind.

Monina: Wenn sich jemand zum Beispiel Matrix installieren möchte, gibt es mittlerweile

Monina: viele schöne Anleitungen.

Monina: Aber es muss natürlich auch nicht jeder machen. Da gibt es auch öffentliche

Monina: Server beispielsweise, die man mitbenutzen kann.

Monina: Und auch im Firmenumfeld, die großen eingekauften Lösungen sind auch nicht immer

Monina: die besten und auch nicht die komfortabelsten und nicht die bestzubetreibendsten.

Monina: Insofern hoffe ich, dass da mehr Leute auf Open Source und coole Projekte setzen,

Monina: damit wir auch die Projekte in Zukunft noch haben.

Monina: Das wäre so mein Fazit und Schlusswort dazu.

Volker: Das ist doch ein schönes Schlusswort. Den Rest können die Hörerinnen und Hörer

Volker: aus den Folgen, aus unserer Folge hier ablesen und aus den Shownotes.

Volker: Ja, damit sind wir eigentlich soweit, dass wir wieder uns bedanken können bei

Volker: allen, die uns gefolgt haben.

Volker: Schreibt uns auch gerne, wenn ihr insbesondere hier zu offenen Punkten,

Volker: wir haben ja ganz viel auch über Recht und über Implementierung von Zertifikaten

Volker: und die Bitte an Politiker, gebt uns doch mal einen Grund, warum ihr dieses

Volker: Projekt.de-Mail eigentlich doch wieder aufgegeben habt.

Volker: Schreibt uns einfach, wir geben uns auch Mühe, sehr zeitnah euch zu antworten.

Volker: Ja, und dann ist doch eigentlich die Bühne offen für Monina,

Volker: dich und ein Schlusswort, oder?

Monina: Genau. Das war unsere heutige Sicherheitslücke-Folge zu sicherer Kommunikation

Monina: oder sicheren Messengern.

Monina: Wie immer könnt ihr die Sicherheitslücke überall da finden, wo ihr Podcasts

Monina: hören möchtet. Ihr findet uns auf unserer Webseite.

Monina: Vielen, vielen Dank an Christian, hier unsere Stimme aus dem Off,

Monina: der uns die Produktion übernimmt und Anne Vogt für die Kapitelbilder.

Monina: Und Hamburg Open Online University für die Organisation des Podcasts, was dahinter steckt.

Monina: Den Link zur Webseite mit den weiterführenden Infos in den ganzen Shownotes

Monina: findet ihr, wie immer, auf der Sicherheitslücke-Seite.

Monina: Und ansonsten wünschen wir euch eine schöne Woche und wir verabschieden uns. Bis zur nächsten Folge.

Volker: Monina Schwarz, Volker Skwarek und leider heute ohne Ingo Timm. Schönen Abend noch.