#Bonusfolge 03: Usability vs. Security

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhliche und ich bin Unternehmenssprecherin bei Link11. Mit meinem heutigen Gast Andreas Falk verbindet mich nicht nur eine chaotische Bahnfahrt zum Kölner Hauptbahnhof, sondern auch unsere Leidenschaft für Cyber-Sicherheit. Andreas ist langjähriger Experte für Cyber -Security, der ganz klassisch über das Programmieren in die Sicherheitsbranche kam. Wir sprechen über ein spannendes Thema, nämlich wie können Security -Maßnahmen so umgesetzt werden, dass sie a. nicht nur funktionieren, sondern b. auch von den Nutzern akzeptiert werden. Denn oft steht die Benutzerfreundlichkeit im Widerspruch zur Sicherheit. Doch bevor wir in das Thema einsteigen, es freut mich, dass ihr alle wieder dabei seid und sozusagen dem weißen Kaninchen gefolgt seid. Und ja, Andreas, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und dann geht's gleich los mit der ersten Frage.

Andreas: Andreas Hallo, mein Name ist Andreas Falk, ich bin Consultant bei Firma Novatec Consulting, glaube seit 13 Jahren jetzt schon dort. Nach Stationen auch bei größeren Companies, Capgemini, T -Systems. Seit ich denken kann in der Beratung tätig. Macht mir viel Spaß, man kriegt sehr viel Abwechslung, sieht immer wieder neue Firmen, neue Einblicke. Es wird nie langweilig deswegen. Ich bin ich jetzt glaube 25 Jahre oder noch länger schon da unterwegs. Genau, hab ich gesehen. Und Security ist so ein Steckenpferd von mir, so eine Leidenschaft auch, die ich jetzt nicht nur zum Geld verdiene, sondern einfach weil es mir Spaß macht und ich da einfach Gutes bewirken will. Genau, und darüber reden wir ja heute auch dann unter anderem.

Lisa Froehlich: Lisa Froehlich Genau. Jetzt habe ich das ja in der kurzen Anmoderation schon so bisschen aufgemacht, dieses Thema Usability versus Security. Ist es ein scheinbarer Widerspruch oder ist es ein tatsächlicher Widerspruch? Dem wollen wir so ein bisschen nachfühlen oder auf den Zahn fühlen. ja, im Grunde geht es dabei ja auch in erster Linie mal dieses Thema der Mensch als Faktor. Oft wird ja der Mensch als das größte Sicherheitsrisiko dargestellt und gleichzeitig ist ja auch jeder Mensch, also jeder Nutzer oder jeder, der IT -Systeme eben im Einsatz hat und auch tagtäglich mit ihnen arbeitet, auch derjenige, der im Grunde der Schlüssel ist für die erfolgreiche Umsetzung von Security -Maßnahmen. Und im Grunde erleben wir und du da sicherlich noch mehr als ich ja häufig auch so so ein Paradoxon, dass die beispielsweise die Nutzer einerseits total genervt sind von irgendwelchen komplizierten Login Prozessen. Auf der anderen Seite brauchen wir ja aber eine sichere Authentifizierung und vor allen Dingen auch gerade im Hinblick auf die IT -Systeme, die ja zum Beispiel in den Clouds mittlerweile verwaltet werden, etc., pp. Also da sind wir ja tatsächlich von wirklich Authentifikation und Authentifizierung abhängig, einfach die nötigen Sicherheitsmaßnahmen zu gewährleisten. Jetzt würde mich interessieren, Wenn wir uns den Faktor Mensch angucken, welche Rolle spielt denn im Grunde auch die Unternehmenskultur, in dem die Menschen als Nutzer von IT arbeiten für die Umsetzung von IT -Security -Maßnahmen? Und was hilft denn deiner Meinung nach auch bei solchen eingefahrenen Prozessen, wenn es heißt, ach, das haben wir schon immer so gemacht, da wollen wir jetzt gar nichts Neues einführen?

Andreas: Andreas Ja, ich würde da gleich mal Prinzipien anfangen bei dem Faktor, dass der Mensch immer so als Unsicherheitsfaktor betrachtet wird. Das ist auch so ein Stück weit unfair, weil eben der Mensch ja nicht von sich aus jetzt irgendwie dahin geht und sagt, ich mache jetzt hier alles falsch und will jetzt hier nur Unsicherheit bringen, wie schon angesprochen ist es wirklich eher ein Unternehmenskulturding. Also der Mensch will ja eigentlich, ist ja gutmütig, hat gute Absichten will ja sein bestmögliches für das Unternehmen machen. Davon gehe ich eigentlich immer aus, dass das Positive im Menschen da auch mit mit jeden Tag eine Rolle spielt. Und da sollten wir eben dann gucken, dass der Mensch, wenn er da positiv gestalten will, auch seine Arbeit einfach machen will, so wenig Hindernisse wie möglich einfach hinweglegt. Also ich war ja dieses Jahr auf einer Konferenz in Berlin, wo es auch Identity Access Management ging und da ist mir so ein Spruch immer im Hinterkopf geblieben.

Lisa Froehlich: Lisa Froehlich Mmh.

Andreas: Andreas Die Person im Unternehmen interessiert sich nicht für den Login, sondern für das, was danach kommt. Das ist das Hauptsächliche. Deswegen sollten wir es möglichst einfach gestalten, den Login schnell zu überbrücken. Damit der Mensch schnell zu seiner eigentlichen Arbeit kommt. Das ist das eigentlich Wichtige. Da gehören einfache Identifizierungen, Single -Sign -On -Systeme, die es einfach machen.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Andreas: Andreas Vielleicht auch nicht das berühmte Proxy, immer im Weg steht, gerade Entwicklern zum Beispiel. Weil die finden dann Workarounds drum herum, was es dann im Endeffekt noch unsicherer macht. Also das ist Beispiel eben, dass die Leute sich dann eigenen Router ins Büro mitbringen und dann ihr eigenes Internet aufspannen. Hatte ich tatsächlich schon, weil in der Firma waren wirklich dann sämtliche Seiten, die irgendwie nur ganz in fern privater Natur sein könnten, vielleicht auch gesperrt, also so ganz...irgendwelche Newsseiten oder so waren dann schon gesperrt, dass auch ja kein Mitarbeiter zum Beispiel dann auf die Idee kommt, privat irgendwie was zu surfen. Genau, solche Dinge.

Lisa Froehlich: Lisa Froehlich Ja, ist natürlich schwierig. Also ich glaube, das ist ja dann auch nochmal so ein Thema für einen anderen Podcast, der sich mehr oder weniger mit Unternehmenskultur und Mitarbeitermotivation beschäftigt, weil natürlich der Mensch ist natürlich auch an Neuigkeiten interessiert. Und wenn ich jetzt privat mal auf Spiegel Online schauen will, was es irgendwie für Neuigkeiten gibt oder mir mal in meiner Pause vielleicht nochmal auf tageschau .de irgendwas nach nachlesen möchte, was mich vielleicht heute Morgens im Radio schon beschäftigt hat, dann finde ich das naja, das sollte man vielleicht nicht so einschränken, dass natürlich gewisse Seiten möglicherweise von der Geschäftsleitung gesperrt werden, damit die Leute nicht irgendwo verloren gehen.

Andreas: Andreas Nein.

Andreas: Andreas Das ist klar. Ich verstehe so etwas wie Kicker oder Fußballhobbies. Das muss vielleicht nicht sein. Aber Tagesschau oder Spiegel, das sind ja auch IT -Nachrichten drin. Was ja auch nicht unwichtig ist, wenn es einen neuen Angriff gibt, will man auch mal nachlesen. Was hat es denn damit sich? Es sind ja auch wichtige Sachen, da kommen.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Lisa Froehlich: Lisa Froehlich Hmm. Ja, ich finde es natürlich total spannend, wie du sagst, dass die Leute dann so clever sind oder so erfinderisch, dass sie sich ihre eigenen Router mit ins Büro nehmen und sich quasi ihr eigenes WLAN da aufbauen und vielleicht noch mit einem Router, der im Grunde aus einer gemeinschaftlich finanzierten SIM-Karte wie gespeist wird. So 5G lässt grüßen dank Vodafone oder O2.

Andreas: Andreas Ja.

Andreas: Andreas Genau.

Lisa Froehlich: Lisa Froehlich Und du hast es ja gesagt, also ich glaube auch fest daran, dass die Menschen an sich gar nicht böswillig oder aus irgendwelchen schwierigen sozusagen Absichten handeln. Allerdings ist es natürlich so, dass es unheimlich wichtig ist, welchen Herausforderungen und Hürden die Menschen sozusagen im täglichen Doing begegnen. Und da gehört natürlich auch so ein Log-in. Dazu, wie du schon sagst, die interessiert eigentlich nur das, was dahinter ist, weil die wollen ja effizient und effektiv eigentlich ihre Arbeit nachgehen. ich glaube, natürlich der Sicherheitsfaktor Mensch in Anführungsstrichen auf mehreren Ebenen berücksichtigt werden muss. Du hast jetzt auch einfach den Proxy für die Entwickler angesprochen und das finde ich ist auch nochmal so ein ganz anderer Faktor Mensch, der ja für Sicherheit auch nochmal eine ganz große Rolle spielen kann, weil die Entwickler ja im Grunde auch eine große Stellschraube sind, wenn wir von Sicherheit beispielsweise in Software sprechen. Und wie ist da sozusagen deine Erfahrung? Warum könnten wir da vielleicht schon viel früher in bestimmten Prozessen ansetzen, bestimmte Dinge schon sicherer zu machen während der Entwicklung? Also das verwebt sich ja so ein bisschen mit diesem Thema Security by Design, oder?

Andreas: Andreas Da wäre es wünschenswert, am Anfang schon einzusprechen. Security Design ist ja, dass man sich schon bei den ersten Ideen für ein neues Softwareprojekt, von vorne an, selbst wenn man auf der grünen Wiese noch erste Scribbles hat, mal Gedanken macht, was heißt es denn für die Security. Was brauche ich denn überhaupt für ein Level von Security? Was habe ich für eine Art von Anwendung? Was ist angemessen an Sicherheitsmechanismen?

Lisa Froehlich: Lisa Froehlich Mmh, mmh.

Andreas: Andreas machen halt zu wenig und es gibt aber auch Leute, machen dann viel zu viel, was überhaupt nicht mehr in Balance steht zu dem, was ich eigentlich jetzt umsetzen will. Da kommt man dann gar nicht mehr zum eigenen Business Value, sondern beschäftigt sich den halben Tag nur noch mit Security. Also beide Richtungen sind nicht gut. Also ich muss immer gucken, was ist denn angemessen? Was ist denn Stand der Technik, was ich machen sollte, dieses Risiko, was ich jetzt da habe in meiner Anwendung angemessen, auch da zu betrachten. Da nützt jetzt nichts, jede Software wie eine militärische Software anzusehen und immer die höchste mögliche Sicherheit da jetzt versuchen reinzubringen. Das kostet halt Unmengen an Geld, Ressourcen, Zeit. Das kann man bestimmt gewinnbringender auch machen. Aber auf der anderen Seite sollte man halt wenigstens so ein Mindestmaß, was mindestens erforderlich ist, auch erfüllen.

Lisa Froehlich: Lisa Froehlich Hmm.

Andreas: Andreas Und da eben auch so Usability -Geschichten auch schon betrachten. Also Design nicht nur jetzt aus Software -Erstellungssicht, sondern wirklich auch UIX -Design auch anschauen. Was für Workflows habe ich, was brauche ich für ein passendes IAM -System, welchen Login kann ich zur Verfügung stellen. Da gibt es ja auch verschiedenartige. Also als Beispiel für so ganz Low -Level -Systeme, die jetzt kein hohes Risiko haben, kann ich ja wirklich auch so einen einmaligen E -Mail Link zum Beispiel verschicken.

Lisa Froehlich: Lisa Froehlich Mmh... Mmh...

Andreas: Andreas Da klickt der User drauf und ist automatisch über den E -Mail -Link eingeloggt und muss sich gar nicht mehr darum kümmern. Solche Dinge sind denkbar. Oder halt gescheites Ding sind uns -Systeme, wo ich dann halt über den Yubi-Key, über Pass-Keys, ist ja so ein tolles neues Feature, wo ich dann ohne Passwort gar mich einloggen kann, sondern nur über einen Hardware -Token, den ich noch einmal bestätige. Und ich bin drin, nutze ich selber bei GitHub, was ja angenehm ist.

Lisa Froehlich: Lisa Froehlich Mhm.

Andreas: Andreas Da muss ich mich nicht mehr darum kümmern, meinem Passwort, was ich auch empfehle, Passwortmanager zu nutzen, da bin ich mit einem Klick eingeloggt, ohne jetzt Username und Passwort manuell einzutippen müssen und überhaupt gar kein Passwort mehr brauche. Also solche Überlegungen sind ganz wichtig.

Lisa Froehlich: Lisa Froehlich Ja, ich hatte ja auch mit Martin Eisenlauer, das ist auch ein Tech -Experte, der lange, jahrelang Redakteur bei der Bild -Zeitung war und mit dem habe ich auch eine Podcast -Folge zu dem Thema Passwordless und Zero Trust gemacht, im Grunde, wie sich einfach diese Passwort - oder diese Authentifizierungsmöglichkeiten auch in Zukunft verändern werden und sei es auch hinsichtlich Biometrie etc. pp. Also mein neuer Laptop hat auch quasi ein Feld für meinen Fingerabdruck und dann muss ich auch nicht mehr groß irgendwelche 28 -zeilige Passwörter eingeben mit 49 Sonderzeichen, sondern das geht dann im Grunde ja auch relativ schnell. Und im Grunde ist es ja tatsächlich so, dass, und das finde ich immer spannend, dass

Andreas: Andreas Nein.

Lisa Froehlich: Lisa Froehlich oftmals, ja, du hast von der grünen Wiese gesprochen, aber wenn wir jetzt von IT reden, dann befinden wir uns ja ganz oft nicht mehr auf einer grünen Wiese, weil in den Unternehmen ja ganz lange gewachsene Strukturen auch herrschen. Und gerade was die IT -Infrastruktur angeht, ist es ja oft so, dass bei Unternehmenswachstum da auch immer wieder irgendwie was neu angeflanscht und neu implementiert oder dazugesetzt wird, dann wird vielleicht ein Unternehmen verkauft, eine Tochtergesellschaft kommt dazu etc. Das bedeutet ja auch für die IT -Infrastruktur eine unheimliche Dynamik und auch eine ganz entscheidende, ja, da passieren ja tagtäglich in Anführungsstrichen Prozesse, wie sich sozusagen diese Dinge auch verändern können. Und jetzt ist es ja so, und da würde ich gerne noch mal zurückkommen auf diesen Aspekt, den ich auch am Anfang schon mal genannte, wenn wir uns sozusagen jetzt mal die Security -Mythen ein bisschen kritischer betrachten und dann wird es mich tatsächlich mal interessieren, warum Unternehmen trotz allem oft noch an alten Gewohnheiten festhalten und wie groß denn tatsächlich der Einfluss von Wir -haben -das -schon -immer -so -gemacht ist und wie du das gerade auch in der Beratung erlebst. Wie können eingefahrene Prozesse einerseits die Umsetzung von neuen Security -Maßnahmen behindern und wie können sozusagen diese Angst vor Veränderungen auch den Unternehmenslenkern und auch den Mitarbeitenden genommen werden und eben die entsprechenden neuen Security -Konzepte, diese Konzepte zu implementieren. Wie ist da deine Erfahrung aus der täglichen Arbeit?

Andreas: Andreas In der täglichen Arbeit begegnen einem tatsächlich viele Security -Mythen. ist schon ganz offensichtlich. Man kriegt dann schon oft zu hören, ja Security sieht doch niemand. Da hat kein Kunde ein Business Value, ob ich das jetzt mache oder nicht mache. Das bringt mir jetzt kein extra Geld. Im Gegensatz zu Performance oder den Features merkt das da draußen niemand. Da sage ich mir, ja es merkt jetzt niemand, aber wenn es wirklich was dann an Mangel da ist.

Lisa Froehlich: Lisa Froehlich Mmh.

Andreas: Andreas Dann merkt es ganz schnell jemand und dann ist eben das Kind einen Brunnen gefallen, dann ist es zu spät, dann kann ich nicht mehr zurückrudern, dann ist die Rufschädigung oder Schlimmeres dann schon eingetreten. Das ist so ein Mythos oder wir kaufen uns halt lauter tolle Tools, dann wird es auch alles richtig sicher oder es gibt manchmal auch die Begründung, ja man kann es eh nicht 100 Prozent sicher machen, warum dann überhaupt anfangen, das sind so die Argumente mit denen man sich dann wirklich rumschlagen muss. Also man läuft schon oft gegen Windmühlen. Aber dazu Gute zu halten, es wird besser. Die Leute merken immer mehr, dass die Einschläge näherkommen, dass keine Firma mehr inzwischen sich in Sicherheit wähnen kann. Man erlebt es hat täglich in den Nachrichten. Deswegen ist es auch meine Hoffnung und es zeigt sich auch, dass auch die Entwickler, auch die Unternehmensleitung

Lisa Froehlich: Lisa Froehlich Hmm.

Andreas: Andreas immer mehr Awareness auch hat, dass man da was tun muss. Auch gerade durch die neuen Regulierungen wie NIS II, DORA müssen sie jetzt auch laufen. Sie müssen da was tun, weil die Geschäftsleitung ist die erste Stelle, die dann in die Verantwortung kommt, wenn was schief geht. Und da wird es jetzt auch teuer. Also wenn die Dollar -Zeichen oder Euro -Zeichen im Management dann geht plötzlich ganz viel, was vorher unmöglich war. Und was wir da immer auch machen jetzt

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Lisa Froehlich: Lisa Froehlich Hm. Ja.

Lisa Froehlich: Lisa Froehlich Ja, das ist ein großes Thema.

Andreas: Andreas Wir haben ja ganz viel auch Migration jetzt von On-premise in die Cloud und da nutzen wir halt die Gelegenheit dann da auch möglichst die Sicherheit auch richtig zu machen. Also da hat man dann eben Gelegenheit, wenn eh Geld da ist, jetzt den Shift zu machen Richtung Cloud, das dann auch richtig aufzustellen. Also auch die ganzen Services der Cloud gibt es ja, die ganzen Sicherheitsservices auch wie ein Sequence Management, Key Manager. Es gibt IAM -Systeme, die ich dann nutzbringend einfach direkt auch verwenden kann.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm, genau.

Andreas: Andreas die Sicherheit maßgeblich auch richtig zu machen von Anfang an. Also die Chance nutzen wir auch immer, das bei Unternehmen gleich mitzumachen. Und man muss ganz klar sagen, die Welt wird nicht in einem Tag aus den Angeln gehoben. Also die Systeme sind ja über lange Zeiträume entstanden. Da kann ich nicht erwarten, dass ich die jetzt in zwei Wochen alle jetzt auf den neuesten Security -Standard gehoben habe. Also auch da gehen wir mit einzelnen Systemen erst mal rein und machen vielleicht prototypisch ein Pilotprojekt, mal ein System

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja ich... Ja.

Andreas: Andreas so in die Sicherheit mit Best Practices zu hieven und dann schauen sich das andere Projekt dann zum Beispiel auch ab als Vorlage.

Lisa Froehlich: Lisa Froehlich Ja, ich finde es unheimlich spannend, weil ich glaube, das ist ja auch gerade sozusagen, ich weiß jetzt nicht, ob man davon sprechen kann, dass sozusagen IT und IT -Security an einem Scheideweg stehen, weil natürlich, ich habe da auch kürzlich mit jemandem gesprochen und wir haben darüber diskutiert, ob sich diese beiden eigentlich zusammengehörenden Einheiten voneinander immer weiter entfernen oder inwieweit das auch in Unternehmen teilweise getrennt wird, weil ja, und du kannst das ja bestätigen, du warst ja selber, kommst ja selber eigentlich auch ursprünglich aus der Entwicklung und hast dich sozusagen da in die Beratung, Sicherheitsschiene weiter rein entwickelt. Und wie würdest du das denn betrachten? Weil ich glaube, es ist ja unheimlich wichtig, dass halt eben auch für bestimmte Veränderungsprozesse in Unternehmen auf allen Ebenen entsprechende, nicht nur die Awareness geschaffen wird, dass das notwendig und wichtig ist, sondern einfach auch sozusagen die Offenheit da auch gestaltet wird, dass diese kleinen Schritte auch eine große Wirkung haben können und warum es einfach auch mal besser ist, in kleinen Schritten vorzugehen, als eben gleich alles auf einmal zu ändern, weil bei diesen ganzen gewachsenen IT -Infrastrukturen können wir auch nicht davon sprechen und auch nicht davon ausgehen, dass das alles auf einmal mit einem, sag ich mal, super genie-weenie Augenzwinkern sozusagen wieder sicherer gemacht wird. du hast die Regulierung angesprochen, da wird sich für viele Unternehmen jetzt im Oktober einiges verändern und natürlich hast du auch angesprochen, dass viele Unternehmen noch immer nicht daran glauben, dass sie von Cyberangriffen betroffen sind oder sein werden. Ich glaube, diese Mythen halten sich einfach hartnäckig, weil, wie du schon gesagt hast, Sicherheit funktioniert ja eigentlich am besten da, wo man sie nicht sieht. Und wenn man Dinge aber auch nicht sieht, dann kann man dafür ein gutes Bewusstsein entwickeln, weil alles, was so unsichtbar unter dem Verborgenen liegt, da ranken sich halt auch schnell die Geheimnisse drum rum, finde ich, oder das nicht ganz gänzliche Verstehen. Wenn du jetzt so aus deiner Arbeit dir Veränderungsprozesse anschaust und auch immer noch im Hinterkopf dieses Thema, worüber wir eigentlich hier sprechen, nämlich dieses Thema Usability versus Security. Also was ist so das Kernelement, wie kann man Mitarbeitende, nachdem die Unternehmensführung offensichtlich schon für die neuen Maßnahmen begeistert werden konnte, wie kann man denn Mitarbeitende jetzt in den Mittelpunkt rücken und sagen, der Mensch, der diese Systeme nutzt, den wollen wir hier fördern und den wollen wir unterstützen, wie kann man Mitarbeiter für neue Security-Maßnahmen begeistern?

Andreas: Andreas Wie du schon gesagt hast, es gilt den Menschen im Mittelpunkt zu stellen. Viele verstehen das ganze falsch. Wir auch über die kleinen Schritte gesprochen. Den Menschen kann man auch viel besser mitnehmen, wenn man kleine Schritte macht. Wenn man dann einen großen Big Bang macht, dann bleiben einfach viele Leute auf der Strecke, die das nicht nachvollziehen können, die die Geschwindigkeit einfach nicht mitkommen. Das muss man ganz klar sehen. Deswegen machen viele Unternehmen eben auch bis heute den Fehler. So ein gutes Stichwort ist auch DevOps. DevOps verstehen auch viele falsch. stellen, wie bei Security, dann eben hin. Wir machen ein paar Dokumente, ein paar Vorschriften, stellen ein paar Tools zur Verfügung und dann wird es schon funktionieren irgendwie, dass wir jetzt DevOps machen oder DevSecOps, wie es oft heißt, und die Security von allein kommt. Das wird nicht funktionieren. Also das wäre ein großes Wunder, wenn das plötzlich so

Lisa Froehlich: Lisa Froehlich Was meinst du mit DevOps oder DevSecOps für die, sozusagen nicht wie wir Herr dieser ganzen Abkürzungen sind?

Andreas: Andreas Bei DevOps sagt man ja auch, dass Entwicklung und Betrieb möglichst eng zusammenarbeiten damit man nicht das übliche Pattern wie früher hat. Entwicklung macht was, wirft es über den Zaun, so viel Spaß damit, macht es jetzt produktiv. Die sprechen dann nicht groß, sondern Ticket, Ping Pong, kennen wir alles von früher. Da gibt es Konfigurationsfehler und gibt es Blaming etc.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Andreas: Andreas Da ist eben auch der kulturelle Aspekt ganz wichtig, dass die Seiten sich verstehen sollen, wie die andere arbeitet und auch die Ziele der anderen zu verstehen. Operations hat ja ganz andere Ziele als jetzt die Entwicklung. Entwicklung will ganz schnell mehr Dinge in Produktion bringen, Operations will für Stabilität sorgen, hat ihren Konflikt möglichst wenig zu ändern und wenig Deployments zu haben. Und das Gleiche aber mit Security, die sagen dann Prinzip erstmal an

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Andreas: Andreas möglichst auch wenig deployen, damit es eben sicher bleibt oder wir müssen alles zwei Wochen lang prüfen. Und da ist es kulturell ganz wichtig, dass eben die alle zusammenrücken. Also optimalerweise hat man alle Rollen sogar mit Entwicklungsteam vereint, dass ich da von Operations jemanden habe, der Infrastructure as Code macht, irgendwelche Skripte schreibt, es in Produktion zu helfen oder sogar das Team selber das Monitoring, Überwachung auch übernimmt von Production.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Andreas: Andreas Nebenentwicklung. Also alles in einem Team, Erfolg von Microservice zum Beispiel. Das ist so das Optimum, dass man sich Security-Betrieb und Entwicklung in einem Team für so einen abgeschlossenen Service kümmert. Das wäre so der Wunschtraum eigentlich. Und da ist eben der Mensch im Mittelpunkt dann einfach, weil die Leute direkt interagieren, statt irgendwie über bürokratische Hürden zu suchen, mit wem muss ich denn jetzt irgendwas besprechen, sondern sie können alles...möglichst autark lösen.

Lisa Froehlich: Lisa Froehlich Hast du denn so einen Wunschtraum in der Realität auch schon mal erlebt oder ist dir sowas in Ansätzen auch schon mal begegnet in deinen 25 Jahren Erfahrungsreichtum?

Andreas: Andreas Ja, lustigerweise haben wir Ansätze immer mehr jetzt. Also in meinem aktuellen Projekt fahren wir auch so dieses Prinzip. Also in meinem Team bin ich jetzt auch, was ich dort jetzt Team Security Specialist nenne als Rolle. Das heißt, ich gucke da immer ein bisschen mehr auf die Security drauf. Wir haben auch Architekturrollen drin. Wir haben natürlich Front-Backend-Rollen, auch Leute, die eben dann Infrastrukturcode sich darum kümmern. da haben wir tatsächlich schon so ein groß funktionales Team, wie ich es auch oft nenne.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Andreas: Andreas Also oder auch Fullstack-Team. Fullstack ist das nächste Passwort. Ich spreche nicht von Fullstack-Entwicklern, sondern von Fullstack-Team, sie im Team alle Fähigkeiten vereint haben. Es kann unmöglich eine Person alle Fähigkeiten haben. ist so ein Wunschraum des Managements meistens. Die Eier legende Wollmilch saugt quasi.

Lisa Froehlich: Lisa Froehlich Mhm. Ja klar, die Ressourcen sind ja zugegebenermaßen da draußen auch sehr begrenzt, was gerade Fähigkeiten rund die IT angeht. Und ich glaube, natürlich die meisten Unternehmen gerne eierlegende Wollmilchsäue zu Hause hätten, die sozusagen alles in einem vereinen. Aber ich kann mir nicht vorstellen, dass es diese Menschen oder Mitarbeiter da draußen gibt. Und ich bin da ganz auf deiner Seite, wenn du sagst, hey, es ist einfach wichtig, ein Team zu haben, in dem eben auch alle notwendigen Rollen auch für alle sozusagen Perspektiven, die es sich in der IT und in der IT -Security handelt, dass die auch alle abgedeckt sind. Und ganz wichtig, hast du ja auch schon gesagt, ist eben die Kommunikation miteinander, dass man im gleichen Boot sitzt, die gleichen Ziele verfolgt, in die gleiche Richtung geht. Im Grunde auch erst mal so selbst wenn man nicht dieselbe Sprache spricht, weil wie gesagt meine Entwicklerkollegen, wenn ich bei denen über die Schulter auf die Bildschirme gucke, dann denke ich mir immer so, okay, ich spreche definitiv nicht eure Sprache, weil das was ihr da auf diesen schwarzen Screens immer veranstaltet, das ist für mich ein absolut böhmisches Dorf. Gleichzeitig denke ich mir aber auch, hey, wie spannend, dass die in ihren, ich weiß nicht wie vielen Kotzeilen sich da wohlfühlen und auch immer wieder die Muße finden, da zurückzugehen und zu gucken, da steckt noch vielleicht irgendein Back drin oder wie finde ich den oder mit welchen Maßnahmen kann ich das ganze Produkt eben sicherer machen. ich glaube tatsächlich, der sozusagen, dass die Akzeptanz für Sicherheit ja auch erhöht werden kann, wenn alle Beteiligten an einem und demselben Tisch sitzen, weil sie vielleicht dann auch verstehen, warum der eine größere Sorge hat und der andere vielleicht eher daran interessiert ist, dass die Dinge entwickelt werden oder dass die Dinge eben operativ zum Laufen gebracht werden. Also ich glaube, dass hier auch Kommunikation ein Schlüssel ist, wie solche Dinge und Veränderungsprozesse eben erfolgreich gestaltet werden können in Unternehmen. Gleichwohl ist es eben, und das haben wir ja auch schon besprochen, sehr, sehr wichtig, dass alle Mitarbeitenden und alle, die sozusagen an diesen Projekten beteiligt sind, eben auch abgeholt werden und zwar dort, wo sie sich selbst befinden und nicht da, dass nicht davon ausgegangen werden kann, dass sie schon mal zwei, drei Meter sozusagen vorausspringen und an einem Punkt sind, den sie vielleicht noch gar nicht sehen oder den sie gar nicht erfassen können und ich denke, das ist halt einfach wichtig, da in der Praxis einfach entsprechend die Dinge auch umzusetzen. Und jetzt würde mich das einfach nochmal interessieren, weil ich das so spannend finde. Wenn du auf deine 25 Jahre sozusagen Beratungstätigkeit zurückblickst, was waren denn sozusagen die größten Zum einen die größten Mythen, die dir begegnet sind, die haben wir ja zum Teil schon anklingen lassen, aber was waren denn noch Widersprüche, denen du so begegnet bist, mal abgesehen von diesem Widerspruch, wie sicher kann etwas sein, wenn es auch eine hohe Nutzerfreundlichkeit hat oder wie nutzerfreundlich kann etwas sein, wenn es eine hohe Sicherheit hat?

Andreas: Andreas Ja, ist schon gute Frage. Ich habe über die Jahre gelernt, dass neue Dinge oft gar nicht so neu sind, die uns als neu verkauft werden. Wir hatten ja gerade über DevOps gesprochen. ich zurückdenke an meine ersten Jahre, habe ich auch damals Fortran auf dem Host programmiert. Da haben wir eigentlich schon DevOps gemacht. Weil da war ich alles in einer Rolle. Da gab es auch keine Testsysteme. Da hat man auf Production getestet. war der Betriebsleiter quasi auch auf dem System, hat entwickelt.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Andreas: Andreas zu alles in einer Person mehr oder weniger. Also das war damals schon DevOps, wie wir es heute nennen, Grundprinzipien. Deswegen, sagen wir mal, es wiederholt sich auch vieles. Was der Unterschied zu damals ist jetzt Richtung Security, die Welt ist halt viel komplexer geworden heutzutage. Früher war es viel einfacher, den einen Host jetzt abzusichern. hat halt nur einen Einfallstroh, den Host, den hat man dicht gemacht. Gab ja auch kein Internet damals, das vergessen ja auch viele.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Andreas: Andreas Da kam man auch nicht so einfach von außen dran. Das war ein internes Unternehmensnetzwerk. Da gab es einfach keinen Internetzugang. Da war die Angriffsfläche viel kleiner. Heute hat man ja ZIG -Server. verteilt sich alles über ZIG Cloud -Services. Deswegen ist es auch so ein Mythos, dass es die eine große Firewall gibt, die mich vor allem schützt. Davon müssen wir uns auch komplett verabschieden. Deswegen auch der Civil -Trust -Ansatz. Der heißt, überall muss irgendwie Sicherheit sein.

Lisa Froehlich: Lisa Froehlich Mmh. Hmm.

Andreas: Andreas können niemandem vertrauen, weil wir so viele verschiedene Systeme im Einsatz haben. ist ja an der Breite jetzt so eine große Angriffsfläche letztlich durch die Cloud gekommen. hat nicht mehr das eine Rechenzentrum, wo man dann irgendwie eine eigene Firewall davor schaltet. Das funktioniert heute eben überhaupt nicht mehr. Das sind so die Dinge, die ich gelernt habe da über die Jahre.

Lisa Froehlich: Lisa Froehlich Ja, Komplexität wird, glaube ich, nicht weniger werden in Zukunft. Das fürchte ich, wird eher noch mal ein bisschen mehr. Das habe ich ja auch ein bisschen zum Anlass genommen, sozusagen im Podcast einfach über diese vielen verschiedenen komplexen Themen mal zu sprechen. Und ja, ich freue mich auf jeden Fall, dass du heute mein Gast warst. Ich würde jetzt gerne nur noch

Andreas: Andreas Ja.

Lisa Froehlich: Lisa Froehlich Eine ganz kleine Frage sozusagen zum Abschluss dieser spannenden Folge. Wie schafft man das auch für diejenigen, die vielleicht selbst ein Unternehmen haben oder ein Unternehmen gründen wollen und hier zuhören? Wie schafft man das, eine Balance zu finden zwischen den notwendigen Sicherheitsmaßnahmen und der IT-Sicherheit im Allgemeinen und dem Geschäftsbetrieb, der für alle Unternehmensentscheider extrem wichtig ist?

Andreas: Andreas Zum einen ist es ganz wichtig, wenn ich sicher sein will, muss ich auch das Komitmen von der Geschäftsleitung haben. Es muss auch das Standing sein, dass wirklich das auch als wichtig erachtet wird. Wenn die Geschäftsleitung das auch egal ist, dann wird auch drunter niemand sich groß darum kümmern. Dann habe ich gar keine Ballause. Wie gesagt, ich, was wir immer machen, wir machen immer eine Risikobewertung für jede Applikation in verschiedenen Stufen und dann kann man selber im Unternehmen so best practices etablieren? Für Stufe 1 brauche ich diesen jenen Mechanismen normalerweise, für Stufe 2 diese. Das sind auch so Dinge, die sich entwickeln über die Zeitserfahrungswerte. Dass man eben dann immer das richtige Maß findet. Was auch ganz wichtig ist, damit man nicht nur noch Security macht, auch viel automatisieren. Wir hatten ja auch schon über Secure-by-Design, Secure-by-Default, das sind so Stichpunkte.

Lisa Froehlich: Lisa Froehlich Hmm.

Andreas: Andreas Auch da die Auswahl der Frameworks der Bibliotheken gehört von mir dazu. Also es gibt ganz prominente Beispiele wie Spring oder Angular als Frameworks, die selber diese Secure by Default sich auf die Fahnen geschrieben haben von Anfang an, die in Framework zur Verfügung stellen, was schon Out of the Box so sicher mit Default Einstellungen konzipiert ist, dass ich als Programmierer sehr mutwillig drumherum programmieren muss, dass ich noch in Security Probleme reinlaufe.

Lisa Froehlich: Lisa Froehlich Mmh. Mmh.

Andreas: Andreas Also Angular ist es fast unmöglich, Cross-Side Scripting, noch Angriffe irgendwie zu fahren. Wird deswegen nicht auch umsonst als Alptraum der Pentester oft benannt, das Framework. Also manche laufen da schon schreiend davon, Angular, da weiß ich schon, da ist es, wenn es jetzt nach dem dokumentierten Schema vorgeht, relativ schwierig als Pentester was zu finden.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Andreas: Andreas Das würde ich mitgeben und automatisieren, was geht. Möglichst viele Security -Prüfungen in die CI -CD -Pipelines, also in meine Build-Pipelines, Deployment-Prozesse reinmachen, sodass die Entwicklerinnen möglichst wenig gestört werden durch Security. Und möglichst viele automatisierte Reports kriegen. Ata. Zum Beispiel GitHub -Security ist ein gutes Tool, was wir selber gerade im Projekt einsetzen. Da wird bei jedem Pull -Request, bei jedem Bild wird mir direkt zurückgespiegelt, da ist eine neue Security-Aufwendigkeit reingekommen. Da sehe ich direkt in meinem GitHub -Depository, wird mir das gemeldet oder eine Dependency, die eine Schachstelle hat. Dann sehe ich das ganz schnell als Feedback, gibt ein kurzes Feedback, kann das fixen, ein Pull -Request gleich reparieren oder auch, auf Master sowas auftaucht, dann kann ich schnell ein Pull -Request machen, dann die Dinge schnell zu beheben. Also was ich nicht weiß, kann ich halt auch schlecht fixen. Deswegen ist Automatisierung sehr wichtig, dass man eben die Tools für sich arbeiten lässt, da wo es Sinn macht. Dann eben, wenn ich so ein Finding habe, dann geht es nachher in die menschliche Seite wieder, da muss ich diskutieren, ist es wirklich ein Finding, was machen wir damit, ist es hohe Prior, mittlere Prior oder können wir es erstmal vernachlässigen. Da müssen natürlich wieder Menschen miteinander interagieren. Wie gehen wir jetzt damit oder auch lessons learned, wie vermeiden wir zukünftig vielleicht so ein Security Problem. Das ist ja auch ganz wichtig. Genau, das wären so Ratschläge.

Lisa Froehlich: Lisa Froehlich Ja, wie vermeiden wir in Zukunft Security-Probleme? Naja, das ist doch ein gutes Schlusswort oder eine gute Frage, die wir hier an dieser Stelle offenlassen können, wie wir Security-Probleme vermeiden. Ich denke, dass Usability versus Security uns noch eine Weile begleiten wird. Es wird immer Widersprüche diesbezüglich geben, weil ja, entweder, wie gesagt, ist etwas sehr sicher und vielleicht weniger nutzerfreundlich oder es ist sehr nutzerfreundlich und weniger sicher. Also ich glaube, dass man da tatsächlich noch in Zukunft ein bisschen nachbessern kann. Wir haben einen sozusagen einen kleinen Ausflug durch Security -Mythen und eingefahrene Prozesse und eben Veränderungsmanagement in Unternehmen gemacht. ja, ich hoffe, ihr da draußen hattet genauso viel Spaß zuzuhören. Und Andreas, vielen Dank, dass du hier warst. Wenn euch die Folge gefallen hat, dann liked gerne unseren Podcast, empfehlt ihn euren Freunden und Familienmitgliedern weiter oder euren Kolleginnen und Kollegen. Und natürlich abonniert gerne das Weiße Kaninchen und steigt mit mir das nächste Mal in die Tiefen des Kaninchenbaus, wenn es wieder heißt, follow the white rabbit. Also an dieser Stelle, wie immer von mir, ein Keep calm and get protected. Und Andreas, ich wünsche dir einen schönen Tag.

Andreas: Andreas Ja, nichts zu denken.

Lisa Froehlich: Lisa Froehlich Lass‘ es dir gut gehen und bis bald. Danke! Tschüss!

Andreas: Andreas Ja, ebenfalls. Tschüss!