#14: Testen, testen, testen

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und meinen heutigen Gast, Lukas von Stockhausen, habe ich auf der Crossing -Konferenz an der TU Darmstadt 2023 kennengelernt. Vielen Dank, Lukas, dass du dir die Zeit nimmst, heute hier mein Gast zu sein. Ich freue mich auf unser Gespräch. Denn Lukas hat auf der Crossing-Konferenz einen ziemlich eindringsamen und spannenden Vortrag gehalten, wie das Thema Geschäftsrisiko für Anwendungssicherheit und Vertrauen in Software miteinander zusammenhängen und auf welche Key-Faktoren es dabei ankommt. Und ich freue mich total, dass du da bist und ja, bevor wir in unser Thema einsteigen, will ich den Hörerinnen und Hörern noch einen kurzen Überblick geben über die Fragen, die uns heute beschäftigen werden. Und zwar, wie eng sind Softwarerisiken mit Geschäftsrisiken verbunden und wie können Unternehmen die Auswirkungen möglicherweise von solchen Risiken minimieren. Und zum anderen, wie geht man mit Risiken von Open-Source-Software, weil das haben wir ja im Vorgespräch schon geklärt. Ganz viel Open Source wird da draußen benutzt und man weiß ja auch nicht so genau, ist der Quellcode jetzt sicher oder nicht? Und dann wollen wir uns einfach noch ein bisschen die Entwicklungen anschauen, was gerade aktuell ist und was vielleicht auch für Chancen und Herausforderungen gerade, was vielleicht künstliche Intelligenz in dem Bereich angeht noch für eine Rolle spielen und dann schauen wir mal, ob wir noch Zeit haben, in einen weiteren Ausblick zu gehen. Aber bevor wir jetzt tiefer in die Themen einsteigen, Lukas, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Lucas: Lucas Danke Lisa und ich musste mir gerade schon ein paar Mal auf die Zunge beißen nicht sofort reinzuspringen. Ich denke es wird ein spannendes Gespräch. Danke, dass ich da sein darf. Ja, ich erinnere mich gut daran, da haben wir auch schon darüber gesprochen, über die längere Unterhaltung, die wir hatten auf der Rückfahrt von der Crossing-Conference. Sehr interessant. Wie du gesagt hast, mein Name ist Lukas von Stockhausen. Ich leite bei der Synopsis den International Presales, das International Presales Team. Also ich bin zuständig für alles außerhalb von Nordamerika da und bin in ziemlich technische Karriere im Prinzip hinter mir. Zu Anfang war Entwickler erst und bin dann 2014, ne nicht 2008, 2008 bin ich zur Applikationssicherheit gekommen. Und mache im Prinzip seitdem in verschiedenen Positionen, in verschiedenen Rollen in dem Bereich rum, was für mich nach wie vor ein wirklich spannendes Thema ist. Weil wenn ich mir das Internet heute angucke, dann sind wir alles andere als sicher unterwegs im Internet. Da kommen wir sicherlich gleich noch zu. Und es ist für mich irgendwie so eine Herausforderung. Wir basieren unser gesamtes Business mittlerweile auf dem Internet.

Lisa Froehlich: Lisa Froehlich Hmm.

Lucas: Lucas Manchmal stelle ich in Diskussionen die Frage, was eigentlich der größte Hack im Internet ist. Jetzt verrate ich meinen absoluten Spoiler, kann er wahrscheinlich in keinem Vortrag mehr verwenden. Man kann keinen mehr fragen. Der größte Hack ist im Endeffekt das Internet selbst. Wie mal irgendjemand so schön zu mir gesagt hat, we are using a stateless protocol for stateful communication. Das heißt, das ist inhärent unsicher. Und...

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Da kümmern sich viele Leute Netzwerksicherheit, Abwehr, diese Bereiche, wo sich nach wie vor, und das seit, was sind das jetzt, 16 Jahren oder so, als wenn ich das richtig rechne, die ich da mich rumtreibe, relativ wenig oder eine Hinterrangige Beachtung findet, ist nach wie vor die Software, die Applikationssicherheit. Und das ist etwas, was mir wahnsinnig am Herzen liegt, weil ich eben auch aus der Ecke komme und Entwickler war ursprünglich.

Lisa Froehlich: Lisa Froehlich Hehehe

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Ja, das kurz zu mir.

Lisa Froehlich: Lisa Froehlich Ja, wie du schon gesagt hast, und ich glaube, das war auch Teil unseres Gesprächs, als wir von der Crossing-Conferenz zusammen zum Flughafen gefahren sind, da hatten wir nämlich auch dieses Gespräch, dass das Internet als solches überhaupt nicht dafür ausgelegt ist, für das, was es heute benutzt wird, und einfach wie das so häufig ist, wenn Dinge so in einer Geschwindigkeit organisch wachsen und Prozesse und Strukturen und darunter liegende Sicherheitsebenen überhaupt nicht mitgedacht, geschweige denn irgendwie mitentwickelt werden, dass das natürlich, es war einfach dafür nicht gedacht, für das, was jetzt sozusagen benutzt wird. Und umso mehr freue ich mich, dass wir da jetzt sozusagen mal einen Blick drauf werfen und einfach uns mal anschauen, ja, wie du es gesagt hast, dass sich die Themen mit der Applikationssicherheit, Software-Sicherheit, das sind einfach Dinge,

Lucas: Lucas Das war nicht vorgesehen.

Lisa Froehlich: Lisa Froehlich die sind ja nicht bei allen, die sich mit IT-Sicherheit beschäftigen, auf der vorderen Rille, weil natürlich geht es ja auch erstmal darum, wie sicher ist mein Netzwerk, wie sicher sind meine Authentifizierungsverfahren, wie können sich Leute, wie kann ich Identitäten feststellen. Also bevor wir sozusagen ja durch diese verschiedenen Schichten, sag ich mal, uns vorarbeiten, dann in den Kern nämlich die Software zu kommen, braucht es ja einfach noch was. Vielleicht kannst du uns mal ein bisschen mitnehmen auf diese Reise, was denn im Grunde die, wieso denn Softwarerisiken auch gleichzeitig mit Geschäftsrisiken verbunden sind und was da für Zusammenhänge gibt.

Lucas: Lucas Ja. Vielleicht steige ich sogar noch einen Tick früher ein. Was bedeutet überhaupt Software-Risiken? Was bedeutet Software heutzutage? Wenn ich mir überlege, 1982, Space Shuttle, einer der ersten Space Shuttle, 400 .000 Lines of Code. Das heißt, ein relativ überschaubares Set an Source Code, was nötig war, Menschen

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas da hoch zu schicken ins Vakuum und jeder Physiker sagt jetzt Nein, das ist noch kein volles Vakuum. Ja, aber ins Vakuum in eine absolut lebensfeindliche Situation und das zu überleben. Windows 3 .1, was jetzt ja später war, aber auch nicht so viel später, hat schon viereinhalb Millionen Windows 7 39 Windows 11 50 Millionen. Da sehen wir schon mal.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Also ungefähr, das sind so die Schätzungen. Modernes Auto? Circa 150 Millionen Lines of Code. Das heißt eigentlich ist es kein Auto mehr, eigentlich ist es ein Supercomputer, der sich zufälligerweise bewegt.

Lisa Froehlich: Lisa Froehlich Also, ja, der sich zufälligerweise bewegt und mit gewissen Risiken verbunden ist, weil er sich bewegt.

Lucas: Lucas Weil er sich bewegt. Genau. Mir wird immer so ein bisschen, ich kriege immer so ein bisschen sein Grummel im Bauch, wenn ich von Tesla Over-the-Air-Update höre. Ich so, fahre ich gerade so, ich habe keinen Tesla, aber überlege ich mir so, ich fahre gerade so schön mit 200 auf der Autobahn und auf einmal kommt ein Update und nichts funktioniert mehr. Und ich stehe. Nicht was ich habe. Ich weiß, dass das so sicherlich nicht, da gibt es Sicherheiten drin. Aber das ist einfach nur mal die Dimension, über die wir reden. Und wir haben es ganz, ganz brutal gesehen.

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Lucas: Lucas Bei den abstützen der 737 MAX 8. Wo ganz klar einen Softwarefehler dazu geführt hat, dass diese Flugzeuge abstützen.

Lisa Froehlich: Lisa Froehlich Okay. Aber da konnte jetzt wahrscheinlich auch keiner sagen, das war jetzt ein Softwarefehler in Code Line 200... 278 oder in Code Line 1,87 Millionen. Also das ist ja das, was ich zumindest immer mit Code in Verbindung bringe, sind schwarze Bildschirme, bunte...bunte Zahlen und Ziffern und Buchstabenreihen und Menschen, die davor sitzen und ich mir denke, okay, was zum Henker sieht man denn da? Denn das ist für jemand, der sich nicht mit Software oder mit Programmierung auseinandersetzt. Und ich habe eine Fortbildung gemacht, da durfte ich HTML und CSS lernen. Also ich bin wirklich, was das angeht, so absolutes Coding-Baby, würde ich mal behaupten. Und ich finde das immer total faszinierend, weil wie hätte denn dieser Softwarefehler gefunden werden können, der die Flugzeuge zum Absturz gebracht hat?

Lucas: Lucas Testen, testen, testen. Ganz simpel. Ganz simpel. Testen, testen, testen. Und sich einzugestehen, nein, wahrscheinlich ist mein Code nicht perfekt. Das zu akzeptieren. Und nicht, aber ich bin der besten Entwickler der Welt. Das wird schon alles funktionieren. Nein. Testen, testen, testen. Das ist keine Garantie. Da brauchen wir überhaupt nicht drüber zu reden. Aber das ist zumindest der Anfang. Eine Garantie werden wir nie kriegen.

Lisa Froehlich: Lisa Froehlich Testen, testen, testen, okay. Okay.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Lisa Froehlich: Lisa Froehlich Das heißt aber, es gibt gar keinen perfekten Code.

Lucas: Lucas Nein. Nein. Nein.

Lisa Froehlich: Lisa Froehlich Nein, weil er von Menschen gemacht ist oder weil einfach Code an sich fehleranfällig ist?

Lucas: Lucas Weil, weil, weil Code an sich fehleranfällig ist, würde ich behaupten und weil ich nie was, was ist perfekt in der Welt? Und jetzt kommen wir, kommen wir auf die Verschränkung von Business Risk und Software Risk. Wir sind quasi mittendrin. Gibt es das perfekte, sichere Atomkraftwerk? Ich muss gerade an Fukushima denken.

Lisa Froehlich: Lisa Froehlich Na ja, okay. Klar.

Lucas: Lucas Ich kann nur die Dinge testen, die ich erwarte. Kein Mensch hat in Fukushima eine 10 Meter Flutwelle erwartet. Also wurde dafür auch nicht getestet. Also wurde darauf auch nicht vorbereitet. Das führt zu dem Ergebnis. Es ist eine ganz andere Geschichte als Tschernobyl, muss man ganz klar sagen, wo bewusst der Meiler an einen kritischen Punkt gefahren wurde.

Lisa Froehlich: Lisa Froehlich Mhm. Ne.

Lucas: Lucas Fukushima ein echter Unfall und den kann ich nicht vorhersehen, weil ich kann natürlich, ich kann viele viele Unfälle vorhersehen, wenn ich darüber nachdenke, dass diese Situationen eintreten können. Aber etwas, was völlig aus dem Kontext ist, wo kein Mensch drüber nachgedacht hat, das kann ich auch nicht im Vorfeld testen, weil es hat ja kein Mensch drüber nachgedacht, dass das passieren könnte. Wie soll ich das dann testen?

Lisa Froehlich: Lisa Froehlich Mhm. Ja, genau. Ja.

Lucas: Lucas Also insofern nein, es gibt keinen perfekten Code. Es gibt Code, der in seiner Umgebung, wie er gedacht ist, hervorragend funktioniert. Das gibt es jede Menge. Ich meine, wir unterhalten uns hier. Wir sind, ich weiß nicht, wie viele hundert Kilometer voneinander entfernt. Es funktioniert hervorragend. Aber dass das in allen Lagen funktionieren wird, nein, da können wir uns nicht drauf verlassen. Also perfekt ist das nicht.

Lisa Froehlich: Lisa Froehlich Mmh. Jetzt hast du das angesprochen, die nicht perfekten Umgebungsbedingungen, die natürlich dazu führen, dass Produkte, die aus diesen Umgebungsbedingungen ja irgendwie entstehen, auch nicht perfekt sind. Jetzt haben wir kurz, und das hatte ich ja sozusagen am Anfang kurz eingeworfen, mittlerweile werden ja Applikationen zu, ich weiß nicht, ich schätze mal 75, 80 Prozent aus Open Source Software gemacht. Also das heißt Code, der sozusagen allen Menschen, auch mir als Code Baby zur Verfügung steht. Und wenn wir uns da jetzt nochmal mit den Risiken beschäftigen von Open Source Software, wenn sozusagen da eine ganze Community dran arbeitet, wie kann ich denn sozusagen A, einmal der Community vertrauen, ist der Schwarm besser als der Einzelne bei der Software-Codierung? Und wie kann ich denn mit den Risiken von Open Source -Software umgehen? Weil die sind ja quasi für mich jetzt als Laie oder von außen betrachtet in einer noch unsicheren Umgebung zu finden, als der Code sowieso schon zu finden ist, oder?

Lucas: Lucas Ja, da muss man auch wieder relativ, das mal im Prinzip ganz zu Anfang zu deiner Frage zurückzukommen. Es gibt zwei große Gruppen von Menschen im Open Source. Es gibt wahrscheinlich drei, die dritte Gruppe interessiert sich überhaupt nicht. Aber zwei Lager, die einen sagen, Open Source ist nicht besser als Closed Source. Ich tendiere so ein bisschen dahin, es ist nicht besser. Es ist aber auch nicht schlechter. Es ganz klar zu sagen. Die andere Gruppe sagt ganz klar, weil so viele Leute auf Open Source gucken können und es in so vielen Fällen getestet werden kann, ist es per se besser. Das lässt mich erinnern an eine meiner ersten Management-Schulen haben wir irgendwann Management Training mitgemacht. Schön. Und da ging es unter anderem darum, in Gruppenarbeit und Einzelarbeit gewisse Ergebnisse zu erzielen. Und die Quintessenz dieser Lehre war die, wenn die Masse sich einigt auf etwas, dann kriege ich in aller Regel ein relativ gutes Ergebnis. Ich kriege aber in den seltensten Fällen ein Spitzenergebnis. Das Spitzenergebnis kriege ich

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Wenn einer, der es wirklich verstanden hat und wirklich durchdrungen hat, es bearbeitet und sich drum kümmert. Das ist also dieser Unterschied. Das heißt, das auf die Open Source. Open Source ist gut, ja, also Himmelswild. Das ist keine schlechte Software. Und das sage ich ganz bewusst trotz dem, was gerade und ich weiß, dass das jetzt nicht aufgezeichnet, dass es jetzt noch aufgezeichnet wird, später gesagt wird. Aber damit können Leute ungefähr sehen, wann wir aufgezeichnet haben. Regression geht gerade riesig durch die Presse. Diese neue Verwundbarkeit in Open SSH, die im Prinzip ein Regressionsfehler ist, ein Issue, der ich glaube 2006 schon mal bestanden hat, der gefixt worden ist und jetzt gerade wieder in der Krise.

Lisa Froehlich: Lisa Froehlich Das heißt, also das, vielleicht kannst du unseren Hörerinnen kurz erklären, was diese Recreation bedeutet, weil ich kann mir vorstellen, das weiß nicht jeder da draußen. Das heißt, da geht es einen Fehler, der in einem Code schon quasi mal existiert hat, der wurde verbessert, aber wie taucht denn so ein Code dann trotzdem wieder auf?

Lucas: Lucas Ja.

Lucas: Lucas Das ist eine verdammt gute Frage. Da habe ich in dem speziellen Fall jetzt keine Antwort drauf, wieso das da passiert ist. Soweit ist diese ganze Analyse noch nicht fortgeschritten. Das ist vor drei oder vier Tagen hochgepoppt, dieser Issue. Beziehungsweise ist es bekannt geworden, es ist auch schon gefixt. Es gibt Patches bereits dafür. Das war absolute responsible disclosure.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Soweit ich weiß, zumindest bisher. Der ursprüngliche Grund, dass dieser Issue da war, ist vermutlich aufgrund, entweder hat irgendjemand einfach eine Fehlersituation nicht bedacht, was wir vorhin besprochen haben, oder es gibt irgendwie eine einfachere Möglichkeit, gewisses Business zu tun, wenn das so geschrieben ist. So, es fiel auf. Es kam, das erzeugte eine Verbundbarkeit. Also wurde es gefixt. So, jetzt.

Lisa Froehlich: Lisa Froehlich Mhm. Okay.

Lucas: Lucas Keine Ahnung, wie viele Jahre später, aber definitiv über zehn Jahre später. Guckt sich jemand den Code an und sagt, das kann man doch viel einfacher machen und wagt genau die Scheiße wieder rein.

Lisa Froehlich: Lisa Froehlich okay.

Lucas: Lucas Das wäre eine Erklärung.

Lisa Froehlich: Lisa Froehlich Ja, aber es wäre eine Möglichkeit, dass jemand sich gedacht hat, hey, ich kann es besser und hat es dabei verschlimmbessert. Ja, okay. Ja, ja, ja.

Lucas: Lucas Im Endeffekt, ja, er hat sicherlich auch etwas repariert und das ist das andere. Ich meine, Kurt wird ja ständig repariert in irgendeiner Form. Dabei kommt eben was anderes wieder rein. Was aber auch wieder heißt, testen, testen, testen. Und da sind wir eben genau bei Open Source. Hat die Open Source Community genug Kraft und genug Manpower, zu testen? Ausreichend. Weil...

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Lucas: Lucas Normalerweise müsste dieser Issue, der vor vielen, vielen Jahren das erste Mal aufgetaucht hat, hätte ein Testcase dafür geschrieben werden und der wird automatisch mit durchgetestet. Jedes Mal wieder, jedes Mal wieder. Wenn die Software neu gebaut wird, wird es jedes Mal wieder automatisiert mit durchgetestet. Dann wäre es aufgefallen. Hat Open Source dafür vor allem und da ist das zweite Beispiel, das ist jetzt schon ein paar Monate zurück, xzutils, wo sich jemand ganz bewusst reingeschlichen hat in dieses Open

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas in diese Open Source Community, weil der ursprüngliche Entwickler völlig überlastet war und sich reingeschlichen hat in die Community, eine Backdoor einzubauen. Also das ist nicht eine zufällige Verwundbarkeit, wie wir das aller Wahrscheinlichkeit jetzt bei Open SSH haben, sondern das ist ganz, ganz bewusst eingebaut gewesen bei XZ. Und ist nur ganz zufällig aufgefallen, weil wenn ich so etwas bewusst reinbaue, dann verstecke ich das natürlich auch wirklich nicht.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Ja, natürlich. Von dem Fall habe ich nämlich auch gehört und soweit ich weiß, ist das nur entdeckt worden, weil ein Mitarbeiter eines großen US-amerikanischen Konzerns bei irgendwelchen, sag ich jetzt mal, Rechnerleistungen festgestellt hat, dass der Rechner oder die Leistung ein Mühe weniger schnell...

Lucas: Lucas 100 Millisekunden, glaube ich, oder sowas.

Lisa Froehlich: Lisa Froehlich Ja, 500 Millisekunden, also das weiß ich gar nicht, wie man das irgendwie realistisch in irgendwelche Zahlen bringen könnte, dass Menschen diese Dimension verstehen, wie wenig Zeit das eigentlich ist. Und es war ja großes Glück, dass es jemandem aufgefallen ist, weil ich kann mir vorstellen, wie du schon sagtest, wenn jemand bewusst

Lucas: Lucas Natürlich.

Lisa Froehlich: Lisa Froehlich sich in das Software oder in Source Code oder in was auch immer einschleichen will, eben Backdoors einzurichten, also Hintertüren, durch die dann irgendwelche Hacker eindringen können oder wie beobachtet werden können oder ausspioniert werden können oder was auch immer, dann ist es ja durchaus sehr, sehr kritisch, weil am Ende des Tages, wie du sagst, es war Zufall, dass es im Grunde entdeckt wurde, weil jemand besonders aufmerksam war. Und es ist ja vielleicht auch eine Frage von Geschwindigkeit. Also oft ist es ja auch so, dass wir in den Medien lesen, dass sich Hacker monatelang, manchmal vielleicht sogar auch jahrelang in irgendwelchen Systemen rumtreiben können, ohne entdeckt zu werden. Also ich meine, das ist ja, das zeichnet ja einen guten Hacker aus, dass er unsichtbar ist. Also

Lucas: Lucas Ja, absolut. Ich habe die Daten jetzt leider nicht vorliegen, aber ich weiß, dass wir da viel darüber gesprochen haben, dass der durchschnittliche Angriff, bevor er entdeckt wird, ist irgendwo zwischen 260 und 350 Tage im System. Bevor ich überhaupt entdecke, dass einer das. Danke, Anke. Also das ist aber auf diese zufällige Entdeckung jetzt wiederzukommen, kann ich natürlich sagen, ja, aber es ist entdeckt worden.

Lisa Froehlich: Lisa Froehlich Mhm. Ja. Ja.

Lucas: Lucas weil es Open Source war und weil sich jetzt viele Leute angeguckt haben. Also da sehen wir wieder auch die Ambivalenz. Es ist durchaus, also auf die ursprüngliche Frage zurückzukommen, Wie ist Sicherheit in Open Source? Sie ist wahrscheinlich oder ziemlich sicher nicht schlechter. Sie ist aber im allerwahrscheinlichsten Fall auch nicht besser. Und das sehen wir an diesem ganzen Beispiel. Ich meine, Log4Shell schaut, was auch immer wir da noch Schönes jetzt hochbringen könnten,

Lisa Froehlich: Lisa Froehlich Ja. Mhm.

Lucas: Lucas brauchen wir überall gar nicht reinzugehen. Wie gehe ich damit als Firma? Und das hier die zweite Frage. Und das ist, ich muss im Prinzip konstant gucken, welche Open Source Software ich bei mir reinnehme und muss das auch konstant monitorn. Und ich habe mal den Credit nämlich nicht auf mich, in einem Vortrag gehört, in einer Konferenz, wie jemand sehr schön gesagt hat, ich muss mit meiner Software

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas alle paar Monate, also zumindest einmal im Jahr, in die Inspektion. Und gucken, was für Open Source Software habe ich drin und was für Verbundbarkeiten und wie kann ich das austauschen. Das mache ich mit meinem Auto, weil ich einfach den Wert erhalten muss. Genauso muss ich das mit meiner Software machen. Ich muss den Wert der Software erhalten. Das heißt, dafür gibt es Software Composition Analysis Systeme, die sagen mir genau, okay, du hast diese Komponenten drin.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Diese Komponente ist bereits drei Jahre alt, hat diese und diese verwundbarkeiten und im übrigen unter Umständen auch wird gar nicht mehr maintained. Also da hat es in den letzten zwei Jahren zwei Check -ins gegeben zu. Ist das überhaupt noch irgendwas, wo was valide ist oder stirbt diese Software gerade?

Lisa Froehlich: Lisa Froehlich Mhm. Mhm. Ja, da fehlen dann ja auch, fehlen Patches, da fehlen Updates. Also wenn sich da niemand mehr drum kümmern wird und die Open Source Community sagt, das Stück Code interessiert uns jetzt hier nicht mehr, dann wird das Stück Code ja total vernachlässigt und dann fehlen die vielen Augen auf dem Stück Code, die den Code eventuell noch besser und sicherer machen können.

Lucas: Lucas eben. Ja.

Lucas: Lucas Ja, es fehlen nicht nur die vielen Augen auf dem Code, die sind vielleicht noch da, aber es fehlen die Leute, die, wenn auf einmal eine kritische Verwundbarkeit getestet wird, das Ganze auch schnell entdeckt wird, das Ganze auch schnell fixen kann, weil das ist natürlich, ich benutze Open Source Software heute, was wir alle, auf das Regression, auf das Open SSH zurückzukommen, tun.

Lisa Froehlich: Lisa Froehlich Mhm, ja.

Lucas: Lucas Rennen wahrscheinlich gerade viele, viele Menschen hektisch durch die Gegend und gucken, welche Open-SSH-Versionen sie nutzen. Das heißt, die nutze ich unter Umständen auch in meiner Software und muss die jetzt ganz schnell abdecken, weil es gibt einen neuen Patch. So, und jetzt kommen wir wieder auf die Maintenance -Geschichte zurück, dass ich in die Inspektion muss. Ich muss die Open -Source -Software auch austauschen, konstant in diesem Zyklus, was immer ich sage, sechs Monate, zwölf Monate, weil ich dann auf dem letzten Release bin, auch wenn die Verbundbarkeiten, die da drin gefunden wurden, unter Umständen gar nicht für mich im Moment gar nicht kritisch sind, weil ich benutze diese Teile vom Code gar nicht. Aber wenn dann so etwas kommt, wie ein Log for Shell oder sowas, dass ich dann ganz schnell zu der neuesten Version springen muss und nicht 20 Patchreleases, nicht

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas nicht eine vier alte Jahre Software upgraden muss, sondern unter Umständen nur noch ein halbes Jahr. Und das funktioniert nämlich dann auf einmal relativ schnell und relativ smooth. Aber das ist natürlich Arbeit. Das heißt auch Open Source Software, selbst wenn ich nicht dafür bezahlen muss, kostet mich Arbeit, weil ich sie konstant up-to-date habe.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, vor allen Dingen ist es ja auch so oder zumindest würde ich das so verstehen, dass sich Unternehmen ja quasi Open Source Code zunutze machen und diesen Open Source Code eben ihre eigenen Produkte weiterentwickeln oder eine Software drumherum schreiben oder die den Source Code entsprechend ergänzen, damit eben genau das dabei rauskommt, was sie haben wollen. Und jetzt ist es ja so, und die Erfahrung machen wir natürlich als IT -Sicherheitsanbieter auch an allen Ecken und Enden. Wir predigen ja auch immer, Leute, schützt euch präventiv. Das fängt ja jetzt nicht nur beim DDoS -Schutz an oder so, sondern das fängt ja damit an, macht bitte regelmäßig Backups und patcht und updated eure Systeme und patcht und updated eure Software. Und wenn ich mir jetzt anschaue, dass kürzlich in Indonesien zig Datencenter gehackt worden sind und jetzt hat die indonesische Regierung unfassbar große Probleme, weil sie einfach nicht ordentlich gebackupt hat. Also das gibt quasi gerade dort keine ausreichend guten Backups, diese Systeme wiederherzustellen und da kann man ja im Grunde nur sagen, es ist doch eigentlich wurscht am Ende des Tages, ob ich da Open-Source-Software nehme oder nicht. Wichtig ist ja, wenn wir uns nochmal auf diese Sicherheitsfragen und auch nochmal auf diese Beziehung zwischen den Softwarerisiken und den Geschäftsrisiken zurückkommen, dann ist es doch eigentlich das Allerwichtigste, das, was du gesagt hast, testen, testen, testen, dass ich immer genügend Augenpaare, Manpower, Womenpower, was auch immer, also Codingpower

Lucas: Lucas Mh.

Lisa Froehlich: Lisa Froehlich mit dieser Software beschäftigen, damit ich einfach sozusagen immer auf dem neuesten Stand bin, damit sozusagen, wenn irgendetwas passiert, ich nicht einen sozusagen, ich will jetzt nicht sagen, Renovierungsstau, aber so stelle ich mir das ein bisschen vor, dass ich nicht irgendwie so einen Renovierungsstau an meiner Software habe, der mich dann so viel Zeit und vor allen Dingen ja Ressourcen, sprich auch

Lucas: Lucas ja!

Lisa Froehlich: Lisa Froehlich Geld kostet, dass ich das kaum noch aufheben kann. Und sträflicher Weise gibt es ja immer noch wahrscheinlich zu viele, die einfach sagen, hey, solange meine Software und mein Produkt funktionieren, muss ich mich da ja nicht drum kümmern. Also, gibt's denn da und da würde ich gerne jetzt sozusagen zum Schluss unserer Folge noch mal ein bisschen drauf schauen. Wie, wie... Wie siehst du das denn? Kann denn beispielsweise künstliche Intelligenz da unterstützend wirken? Also gibt es denn schon Produkte, sag ich mal, die mit künstlicher Intelligenz arbeiten, die automatisch bestimmte quasi Open Source Codes kennen und sozusagen merken, wenn da was verändert wurde oder gepatcht wurde, dass sie quasi den Unternehmen eine Nachricht schicken oder irgendwie sagen, hey, Achtung Leute hier. Ihr nutzt den Code doch auch, der wurde gerade aktualisiert, dafür gibt es einen neuen Patch. Also gibt es solche Systeme oder wird das vielleicht, ja, wird die Softwareentwicklung sicherer, wenn wir da künstliche Intelligenz mit einfließen lassen und die KI vielleicht auch Code generieren lassen? Also wie sind da sozusagen deine persönlichen Zukunftsaussichten?

Lucas: Lucas die, einer Firma zu sagen, hey, da gibt es einen neuen Software-Release und da ist gerade die Verwundbarkeit X, Y, Z im Open Source. Brauche ich keine künstliche Intelligenz, ganz klar zu sein. Die Software gibt es, Software Composition Analysis, wir haben die Software Black Duck da im Portfolio, ist da. Also das ist ganz klar, das kann ich heute schon machen und ich muss auch nicht dafür ständig neu scannen. Nein, ich habe einfach meine

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Meine Software da, mein Inventory, mein Softwar-Inventory und das sagt mir, ups, da ist eine neue Version rausgekommen oder ups, da ist eine Verwundbarkeit rausgekommen. Und das gibt es. Deswegen ist ja auch diese riesen S-Bomb Initiative, die wir haben, also die Software Bill of Materials. Ich meine, ich habe jetzt gerade hier keine Wasserflasche oder was, aber selbst wenn ich eine Wasserflasche heute angucke, dann steht da schön drauf, was da Inhaltsstoffe drin sind. Nur für Software müssen wir das bisher nicht angeben. Also bis vor kurzem.

Lisa Froehlich: Lisa Froehlich okay. Mhm. Okay.

Lucas: Lucas Das kommt jetzt gerade. Ich meine, da gibt es in den USA die Executive Order. Alle Welt redet im Moment über S-Bomb, das ist die Software Bill of Materials. Das ich ganz klar sage, was habe ich eigentlich an der Open Source Software in meiner Software verbaut.

Lisa Froehlich: Lisa Froehlich Also ein Inhaltsverzeichnis, Code-Inhaltsverzeichnis. Wow. okay, aber...

Lucas: Lucas Ja, genau, von der Open-Source-Software. Nicht von meinem eigenen Code, aber von der Open-Source-Software Ja, das ist das eine. Was kann KI jetzt im weiteren Sinne dazu tun? Ich meine, wir sehen mittlerweile eine, und da gibt es Studien für plus minus eine Produktivitätssteigerung von Firmen, die KI zulassen während der Entwicklung von circa 50 Prozent. Also der Output an Coach erhöht sich. Wenn ich mir angucke,

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Wie kann ich diese LLMs, wie kann ich einen Chat -GPT, das kann ich hier benennen, weil ich meine, das ist die Mutter aller dieser Systeme sozusagen. Wie wird das trainiert? Naja, an was für Source Code komme ich dran? Open Source. Das heißt, dass da ganz viel Open-Source-Software drin ist, ist, denke ich, mal zu erwarten. Das heißt, ich habe jetzt zwei Probleme. Zum einen...ziehe ich mir unter Umständen die Verbundbarkeiten damit rein. Das heißt, ich muss nach wie vor scannen, genau das, was ich vorher gesagt habe, testen, testen, testen, test early, test often. Das ist das eine. Und das andere ist, ich ziehe mir jetzt unter Umständen auch Lizenzprobleme mit rein. Und das ist das andere große Thema bei Open Source. Nur weil etwas Open Source ist, heißt es nicht, dass ich es einfach frei nutzen darf, so wie ich will. Das ist das Riesenproblem nämlich. Da gibt es Lizenzbedingungen.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Und es gibt durchaus Fälle, wo jemand das gemacht hat, Open-Source-Software benutzen. Aber die Open-Source-Software schreibt vor, wenn du das Ding kommerziell nutzt oder du darfst es nicht kommerziell nutzen, es sei denn, du legst deinen gesamten Source-Code, in dem das benutzt wird, offen. Und die sind gerichtlich verurteilt worden, ihren Source-Code offen zu legen. Also das passiert. Das heißt, ich habe zusätzlich zu dem Sicherheitsrisiko

Lisa Froehlich: Lisa Froehlich okay. ja, ja.

Lucas: Lucas habe ich auch einen Dienstheinsrisiko, was ich mit reinnehmen muss. Also diese beiden Sachen sind da mit drin. Und das macht diese ganze KI-Geschichte noch viel spannender und viel wichtiger zu testen. Also das spielt da alles mit rein. Und dann habe ich natürlich auch Verwundbarkeiten, die ich mit rein. Das heißt, ich muss eben auch nicht nur auf Open-Source-Risiken testen, sondern auch auf Verwundbarkeiten, auf normale Verwundbarkeiten testen.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lucas: Lucas ich sage jetzt einfach mal SQL-Injection Cross-Site Scripting als zwei Beispiele, gibt es natürlich jede Menge davon und man geht im Moment davon aus, dass KI auf dem Stand eines Junior Developers ist.

Lisa Froehlich: Lisa Froehlich Ja gut, ich meine KI ist ja eine wahnsinnige Entwicklung. Also ich glaube, das ist unfassbar. Dieses Thema ist ja quasi so allgegenwärtig in unserem Business, dass ich will jetzt nicht sagen, kommt uns allen schon aus den Ohren raus. Aber ich glaube, ich hatte kürzlich eine Diskussion, was KI auch für beispielsweise die Medizin leisten kann, weil es gibt einfach schon Fälle. Ich glaube, Eckhard von Hirschhausen hat sich mal die Mühe gemacht und hat echte Fälle oder echte Patienten sozusagen Krankheitsbilder der KI gegeben und die hat innerhalb von 15 Minuten, hat die gesagt, was dieser Patient hat oder hatte. Und dafür gab es sozusagen Ärzte, die da Jahre für gebraucht haben, weil sie einfach den Wald vor lauter Bäumen nicht gesehen haben. Und das ist halt natürlich ein großer Vorteil von KI in diesem klar medizinischen Bereich, aber was eben, wie du sagtest, die Softwareentwicklung angeht und KI -generierter Code ist natürlich, was sind die Trainingsdaten dieser KI, weil ja nur jede KI so gut ist wie ihre Trainingsdaten. Und wie du schon sagtest, da schließt sich ja am Ende unserer Folge im Grunde auch wieder der Kreis hin zu den Geschäftsrisiken, weil natürlich habe ich einmal die Softwarerisiken, die ich mir mit KI generierten Code reinhole im Sinne von, hey, da könnten irgendwelche Schwachstellen, Vulnerabilitäten oder irgendwelche nicht gepatchten Fehler drin sein. Und auf der anderen Seite habe ich diese Lizenzfrage, die ja natürlich auch ein Riesengeschäftsrisiko mit sich bringt, weil sind wir ehrlich, es gibt sicherlich findige Menschen da draußen, die sich vermeintlich vielleicht nur damit beschäftigen, bei irgendwelchen großen Konzernen in der Software rumzuschnüffeln und rauszufinden, ob diese Konzerne beispielsweise nicht lizenzierte Software benutzen, weil damit kann ich ja den Konzernen und Unternehmen jedweder Größe auch üblen Schaden zufügen, wenn ich das irgendwie publik mache und sage, hier, ihr benutzt hier nicht lizenzierten Code und das ja vermutlich, ich weiß es nicht, weil ich nicht in diesem Bereich aktiv bin, aber ich vermute, das bringt natürlich entsprechende Kosten mit sich, wenn dann irgendwelche Lizenzvertragsgeschichten vor Gerichten verhandelt werden. Also das ist ja im Grunde, ist ja im Grunde wahnsinnig, wie sehr das doch miteinander verwoben ist und eigentlich im Grunde gar nicht mehr voneinander zu trennen ist, weil das hattest du auch in deinem Vortrag gesagt, du hast gesagt, „jedes, also every business is a software business“, weil natürlich quasi nahezu in allen Dingen, die wir anwenden, ist ja irgendwie Software drin. Also es gibt ja kaum noch Dinge, die jetzt nicht softwaregesteuert sind und das zieht sich ja durch produzierendes Gewerbe, das zieht sich durch, klar, unser Business, IT -Sicherheit sowieso, aber da gibt es ja unfassbar viele, viele Herausforderungen. Wenn du jetzt zum Abschluss nennen könntest, die so für dich die größten sind. Was werden aus deiner Perspektive, was sind die wichtigsten Herausforderungen, die es in diesem Bereich in Zukunft noch zu bewältigen gibt?

Lucas: Lucas Das ist eine spannende Frage. Also ich glaube, die allerwichtigste, ich weiß nicht, ob ich auf drei komme oder ob ich viel mehr bringe auf einmal dann. Ich glaube, die allerwichtigste ist erst mal die Akzeptanz, dass wir ein Riesenproblem damit haben. Also wenn ich mir überlege, wir haben im Internet, Web haben wir mittlerweile begriffen, dass wir da ein Problem haben und arbeiten auch drauf. Also das wird besser. Das wird ganz klar besser. Mobile ist etwas, wo ich sagen würde, ja, haben wir auch begriffen. Es wird wird es wirklich schon besser. Ich weiß es nicht. Dafür gibt es einfach auch zu viele Mobile App Entwickler. Das ganze Internet-of-Things. Also da muss ich aus Security Perspektive manchmal sagen Internet of what?

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Das ist ja, also das ist, wenn ich mir überlege, ich habe in meinem Haus und ich habe keinen, keinen, keinen, keinen Smart Home. Also alles andere. Ich habe, ich habe eine Multi -Room -Player -Anlage hier im Haus, aber das ist alles. Ich habe, wir sind eine sechsköpfige Familie. Ich habe konstant zwischen 50 und 60 IP-Adressen verteilt. Konstant. Daran sieht man schon mal. Bumm. Hoppla. Und ich habe keinen Smart Kühlschrank. Ich habe keinen Smart Toaster. Und das werden wir alles bekommen. Das heißt, ich werde meinen Toaster überhaupt nicht mehr in Betrieb setzen können, wenn ich ihn nicht ins WLAN einbinde, es sei denn, er hat sowieso schon eine Smart Card drin, weil der Hersteller wissen will, wie ich meinen Toaster nutze. Daten, Daten, Daten. Das heißt, diese ganze, ich glaube, diese ganze Welt ist komplett, da haben wir ein Riesenproblem. Also das ist die Akzeptanz, dass wir hier ein massives Problem haben. Dann natürlich wird KI das komplett auf links drehen nochmal. Und das können wir uns noch gar nicht vorstellen. Ich glaube, dass, ich meine, wenn wir uns so die IT -Revolution angucken, das waren die Computer, dann kam das Internet, dann kam die Cloud und jetzt kommt die KI, wenn man es in ganz groben Schritten, ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Also KI ist auf jeden Fall auf dem Level von Internet. Disrupted. Da ist Cloud ein ganz kleines Ding dagegen. Das wird uns über Jahre beschäftigen. Nein, we are not getting that jack back in the box. Das ist sicher. Das läuft. Das wird uns komplett verändern. Und wenn ich mir das überlege, nach 30 Jahren oder sowas, die wir jetzt das Internet haben, plus minus.

Lisa Froehlich: Lisa Froehlich Ja.

Lucas: Lucas sieht man schon mal die Geschwindigkeit, wie das Ganze läuft. Also das ist... Da kann sich auch keiner gegen stemmen. Wenn ich mich dagegenstemme, dann werde ich untergehen. Das ist genauso, wie wenn ich heute nicht online bin in meinem Business, dann bin ich über kurz oder lang nicht mehr existent. Sind wir mal ganz ehrlich. Und ich meine, das hat Marc Andresen, hat es so schön, das ist vielleicht ein Abschlusssatz, ich weiß es nicht, 2011 so schön gesagt, Software is eating the world.

Lisa Froehlich: Lisa Froehlich Mhm.

Lucas: Lucas Mittlerweile müssen wir uns wahrscheinlich darauf einstellen, Software has eight in the world. Nein, wir sind rein Software, solange ich nicht so eine schöne Tasse in der Hand habe oder was, wie ich hier ziemlich sicher sein kann, dass da keine Software drin verbaut ist, hat, wie du richtig sagst, alles Software. Ich habe neulich, ist auch schon wieder ein bisschen her, mit einem Eisenbahnkunden gesprochen, keinem Deutschen. Die haben da Data Center in ihren Lokomotiven. Und wenn sie länger als fünf Minuten keinen Kontakt zu einer Lokomotive bekommen, dann halten die das ganze Netz an. Das Ganze. Nicht irgendwie gucken, dass sie... Nein, sie halten das ganze Netz an. Es stehen alle Züge. Weil sie einfach sagen, wir können es nicht mehr sicher betreiben. Und da brauchen wir sind wir wieder bei Business Risk. Also, was das kostet, möchte ich nicht wissen.

Lisa Froehlich: Lisa Froehlich Wahnsinn.

Lisa Froehlich: Lisa Froehlich Ja, ja, ja, ja, ja, ja, ja, Lukas, das ist auf jeden Fall, ja, das könnte ich, will jetzt nicht sagen, dass das fast in allen meinen Podcast-Folgen sicherlich gehört, KI zu einem der großen zu einer der großen Zukunftsherausforderungen, auch wie wir damit umgehen und was sich alles verändern wird. Also ich glaube, dass KI auch die Softwareentwicklung in den nächsten Jahren grundlegend verändern wird und es neue Möglichkeiten geben wird zum Guten. Nein, Gottes Willen, ich habe das ganz wertfrei gesagt. Ich glaube nicht, dass es...

Lucas: Lucas Zum Guten, zum Guten. Sorry, wenn ich da nochmal reingehe. Ich weiß, dass wir weit über die Zeit sind. Nein, nein. Aber das coole ist ja, ich muss mich als Software-Entwickler, ich muss nicht mehr wissen, wo mein Semikolon hingehört jetzt. Wer braucht das? Ich muss im Endeffekt unter Umständen die Sprache. Ich kann mich als Software -Entwickler wieder darauf konzentrieren, was wirklich wichtig ist, auf die Businesslogik, auf die Prozesse, das, was wirklich wertschöpfend ist. Es ist nicht wertschöpfend, ob ich weiß, dass Open SSH mit 1 oder 2 SS, 2 S geschrieben wird. Das ist…Das ist im Endeffekt uninteressant. Da wird die KI als erstes massiv helfen.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm. Ja, das glaube ich auch. Also vielen, vielen Dank. Ich habe wieder wahnsinnig viel mitgenommen hier aus unserem Gespräch. Ich hoffe, unseren Hörerinnen und Hörern geht es genauso. Mir bleibt an dieser Stelle nur einfach mal ein herzliches Danke an dich zu richten und ich, ja, ich kann für euch da draußen nur sagen, testen, testen, testen, patchen, patchen, patchen und backup, backup, backup, also...

Lucas: Lucas Und danke dir, dass ich hier sein durfte.

Lucas: Lucas Best early test often.

Lisa Froehlich: Lisa Froehlich Das ist ganz wichtig, wie wir heute gelernt haben. Und ja, wenn euch die Folge gefallen hat, dann lasst gerne ein Abo da oder empfehlt die Folge weiter. Ich freue mich auf jeden Fall auf alle. Und ja, ihr dürft beim nächsten Mal wieder dabei sein, wenn ich meinen nächsten Gast oder meine nächste Gästin begrüßen darf. Und bis dahin bleibt mir nur zu sagen, keep calm and get protected.