DAT401 Was sagt SEPPmail zu den Sicherheitslücken? (Matthias Leisi)

00:00:01: Sprecher: Willkommen bei den Datenschutz-Plaudereien.

00:00:04: Sprecher: Aktuelles, Bemerkenswertes und Persönliches rund um den Datenschutz und verwandte Themen.

00:00:14: Martin Steiger: Guten Tag, mein Name ist Martin Steiger.

00:00:16: Martin Steiger: In den heutigen Datenschutz-Plaudereien nehmen wir ein Thema nochmals auf,

00:00:19: Martin Steiger: worüber wir gerade gesprochen haben, nämlich über SEPPmail.

00:00:24: Martin Steiger: Dort haben wir über Sicherheitslücken geredet.

00:00:26: Martin Steiger: Ich habe auch von einem Totalschaden geredet im Zusammenhang mit diesen Sicherheitslücken.

00:00:30: Martin Steiger: Umso mehr freut mich, dass ich heute in den Datenschutz-Plaudereien Matthias Leisi begrüssen darf.

00:00:36: Martin Steiger: Er ist Chief Technology Officer, CTO von SEPPmail.

00:00:40: Martin Steiger: Und ich bin sicher, wir erfahren heute noch viele spannende Sachen im Zusammenhang mit diesen Sicherheitslücken, aber vielleicht auch darüber hinaus.

00:00:46: Martin Steiger: Herzlich willkommen, Matthias, schön bist Du dabei.

00:00:49: Martin Steiger: Ich bin wirklich neugierig, was Du uns heute zu erzählen hast.

00:00:52: Matthias Leisi: Danke, dass ich die Chance habe, bei Dir als Gast zu sein, Martin.

00:00:54: Matthias Leisi: Matthias Leisi,

00:00:56: Matthias Leisi: ich bin CTO von SEPPmail, wie Martin

00:00:59: Matthias Leisi: gesagt hat. Ich bin jetzt seit fünf Jahren

00:01:01: Matthias Leisi: in dieser Rolle drin, verantworte

00:01:03: Matthias Leisi: einerseits unser Cloud-Produkt,

00:01:05: Matthias Leisi: was auch SEPPmail-Appliance-

00:01:08: Matthias Leisi: Hosting und so weiter beinhaltet,

00:01:10: Matthias Leisi: und auch die Entwicklung der Appliance

00:01:12: Matthias Leisi: an sich als unserem Kernprodukt.

00:01:14: Matthias Leisi: Ich komme seit vielen Jahren

00:01:17: Matthias Leisi: aus der Security-Branche

00:01:18: Matthias Leisi: und das Wichtige ist, finde ich, dass wir

00:01:22: Matthias Leisi: heute über SEPPmail

00:01:23: Matthias Leisi: so transparent

00:01:25: Matthias Leisi: kommunizieren können, wie wir es mit unseren Kunden und

00:01:26: Matthias Leisi: unseren Partnern machen.

00:01:29: Matthias Leisi: Danke für die Chance,

00:01:30: Matthias Leisi: Martin, dass wir da sein dürfen.

00:01:32: Martin Steiger: Danke Dir, Matthias. Ich weiss, dass ich es sehr

00:01:33: Martin Steiger: schätze, dass Du Dir Zeit nimmst.

00:01:36: Martin Steiger: Vielleicht starten wir mal damit,

00:01:38: Martin Steiger: gar nicht beim Sicherheitsthema

00:01:40: Martin Steiger: per se, sondern ich gehe davon aus,

00:01:42: Martin Steiger: wir haben zwar eben schon in den

00:01:43: Martin Steiger: Datenschutz-Plaudereien über SEPPmail gesprochen,

00:01:45: Martin Steiger: wir haben unsere Shownotes, wo auch vieles verlinkt war,

00:01:47: Martin Steiger: ich vermute jetzt aber, das haben noch nicht alle gelesen.

00:01:49: Martin Steiger: Von daher wäre das doch ein guter

00:01:51: Martin Steiger: Einstieg, wenn Du uns mal aus erster Hand

00:01:53: Martin Steiger: sagen kannst: Was machen die eigentlich?

00:01:55: Martin Steiger: Wer sind Eure Kundinnen und Kunden?

00:01:57: Martin Steiger: Wie viele Leute sind da in Berührung

00:01:59: Martin Steiger: mit SEPPmail so im Alltag?

00:02:01: Martin Steiger: All diese Sachen. Matthias Leisi: Genau,

00:02:03: Matthias Leisi: da könnte ich natürlich jetzt stundenlang darüber erzählen, aber

00:02:05: Matthias Leisi: ich versuche es kurz zu machen. Wie

00:02:07: Matthias Leisi: wir im letzten Podcast gesagt haben, das erste

00:02:09: Matthias Leisi: P in SEPPmail steht für PGP

00:02:11: Matthias Leisi: und da kommen wir tatsächlich ursprünglich her.

00:02:13: Matthias Leisi: Die erste Software

00:02:15: Matthias Leisi: von SEPPmail ist nämlich für Anwälte gebaut

00:02:17: Matthias Leisi: worden und man hat da gemerkt,

00:02:19: Matthias Leisi: dass man im Sekretariat von einer Anwalts-

00:02:21: Matthias Leisi: Kanzlei vielleicht noch jemandem beibringen kann, wie PGP

00:02:23: Matthias Leisi: funktioniert. Aber bei den Anwälten

00:02:25: Matthias Leisi: hat man gemerkt, da wird man scheitern.

00:02:27: Matthias Leisi: Und dann ist der Wunsch gekommen, eine Software

00:02:29: Matthias Leisi: zu haben, eine Lösung, die das Ganze verpackt

00:02:31: Matthias Leisi: und eben nicht auf dem Client macht, sondern

00:02:33: Matthias Leisi: dann als Server

00:02:35: Matthias Leisi: die PGP-Funktionen

00:02:37: Matthias Leisi: abpackt. Aber das ist jetzt

00:02:40: Matthias Leisi: 25 Jahre her und

00:02:41: Matthias Leisi: seither ist einiges gegangen.

00:02:43: Matthias Leisi: PGP ist heute immer noch tatsächlich

00:02:45: Matthias Leisi: etwas, was im Einsatz ist, auch wenn es

00:02:47: Matthias Leisi: vielleicht nicht mehr ganz state of the art ist

00:02:49: Matthias Leisi: im Client, aber es gibt gewisse Branchen

00:02:51: Matthias Leisi: zum Beispiel, wo es weiterhin sehr relevant ist.

00:02:53: Matthias Leisi: Aber heute ist natürlich nicht mehr so sehr

00:02:55: Matthias Leisi: PGP im Vordergrund, sondern mehr

00:02:57: Matthias Leisi: die Verschlüsselung über S/MIME, also mit

00:02:59: Matthias Leisi: Zertifikaten und privaten und

00:03:01: Matthias Leisi: öffentlichen Schlüsseln.

00:03:03: Matthias Leisi: Das mal zu uns selber als Firma. Wir sind

00:03:05: Matthias Leisi: etwa 40 Leute, oder nicht ganz,

00:03:07: Matthias Leisi: aber gegen 40 Leute. Wir haben

00:03:09: Matthias Leisi: zwei Hauptstandorte. Der eine

00:03:11: Matthias Leisi: ist in Leipzig in Deutschland und der andere

00:03:13: Matthias Leisi: in Neuenhof im Kanton Aargau,

00:03:15: Matthias Leisi: mit Sicht auf die Limmat, hinunter durchs Tal.

00:03:17: Matthias Leisi: In beiden Ländern haben wir Entwickler.

00:03:19: Matthias Leisi: In Leipzig ein bisschen mehr

00:03:21: Matthias Leisi: auf der Appliance-Seite, also Kern

00:03:23: Matthias Leisi: der Applikation.

00:03:25: Matthias Leisi: Und in der Schweiz ein bisschen mehr auf der Cloud-Seite,

00:03:27: Matthias Leisi: aber eigentlich überall

00:03:29: Matthias Leisi: sind wir vertreten. Auch Support,

00:03:31: Matthias Leisi: das ist ein bisschen mehr in Deutschland.

00:03:33: Matthias Leisi: Sales-Seitig sind wir in Österreich,

00:03:35: Matthias Leisi: in Deutschland und in der Schweiz vertreten.

00:03:37: Matthias Leisi: Ganz, ganz wenig ausserhalb vom DACH-Raum.

00:03:39: Matthias Leisi: Aber wir sind ganz klar, sagen wir,

00:03:41: Matthias Leisi: eine deutsch-schweizerische Firma.

00:03:43: Matthias Leisi: Und ja, darum ist auf der Webseite

00:03:45: Matthias Leisi: für die einen mehr das Deutsche im Vordergrund

00:03:47: Matthias Leisi: und für die Schweiz auch mehr der Schweizer Aspekt.

00:03:49: Matthias Leisi: Aber wir sind auch transparent, das ist

00:03:51: Matthias Leisi: eine Firma mit zwei Standorten, die wir dort haben.

00:03:55: Matthias Leisi: Wer nutzt eigentlich SEPPmail oder was macht eigentlich SEPPmail?

00:03:57: Matthias Leisi: Man kennt SEPPmail eigentlich immer unter dem Titel der E-Mail-Verschlüsselung.

00:04:02: Matthias Leisi: Und ja, das ist ein wichtiges Element.

00:04:04: Matthias Leisi: Aber fast noch wichtiger im Alltag ist eigentlich die digitale Signatur von E-Mails.

00:04:09: Matthias Leisi: Also wir sagen, jedes Mail, das ein Unternehmen verlässt, sollte eigentlich digital signiert sein.

00:04:15: Matthias Leisi: Verschlüsselung ist natürlich auch wichtig, aber anteilsmässig,

00:04:19: Matthias Leisi: wie viele Mails tatsächlich verschlüsselt werden.

00:04:21: Matthias Leisi: Das ist eigentlich so ganz, ganz wenig.

00:04:23: Matthias Leisi: Aber signieren sollte man eigentlich alle Mails, die rausgehen,

00:04:26: Matthias Leisi: um nachher zu wissen, es ist tatsächlich von diesem Absender gekommen.

00:04:30: Matthias Leisi: Und warum machen wir immer noch E-Mail?

00:04:33: Matthias Leisi: Das ist ja auch immer so eine Frage.

00:04:33: Matthias Leisi: Du hast auch gefragt, wie wichtig ist E-Mail eigentlich noch?

00:04:37: Matthias Leisi: E-Mail ist als Träger oder als Transport für Informationen,

00:04:40: Matthias Leisi: wird es tendenziell unwichtiger, weil man hat Messenger hier und Messenger dort

00:04:44: Matthias Leisi: und Plattformen links und rechts.

00:04:46: Matthias Leisi: Aber der Träger von der Identität bei eigentlich fast allen Online-Plattformen,

00:04:51: Matthias Leisi: wo man sich irgendwie registriert, ist immer noch eine E-Mail-Adresse.

00:04:54: Matthias Leisi: Und darum sagen wir, das Absichern von der Identität durch die digitale Signatur

00:04:59: Matthias Leisi: ist ein ganz, ganz wesentliches Element vom Ganzen.

00:05:02: Matthias Leisi: Also man kann so ein bisschen plakativ sagen,

00:05:04: Matthias Leisi: «They come for the encryption, they stay for the digital signature.»

00:05:07: Matthias Leisi: So als Schlagwort, wie wir mit den Kunden tun.

00:05:11: Matthias Leisi: Und das versuchen wir natürlich auch zu positionieren.

00:05:13: Matthias Leisi: Wer sind eigentlich unsere Kunden?

00:05:15: Matthias Leisi: Das war ein guter Punkt, den wir im letzten Podcast aufgebracht haben.

00:05:19: Matthias Leisi: Es gibt bei uns keine Möglichkeit, als End-User sich einfach so registrieren und dann das Ganze zu nutzen.

00:05:25: Matthias Leisi: Also wir sind ganz explizit nur im Business-to-Business-Teil.

00:05:28: Matthias Leisi: Wir sind unterwegs, wir haben keine Endkunden.

00:05:31: Matthias Leisi: Wenn man eine Bluewin- oder eine Gmail- oder eine GMX-Mail-Adresse hat, kann man uns leider nicht nutzen.

00:05:36: Matthias Leisi: Also wenn die Arbeitgeber uns einsetzen würden, natürlich schon, aber das ist natürlich ein bisschen ein anderer Schuh.

00:05:41: Matthias Leisi: Also unsere Kunden sind Firmen, es sind Kleinfirmen, immer noch Anwaltskanzleien mit zwei, drei Nasen, die dort arbeiten.

00:05:49: Matthias Leisi: Es sind Firmen mit über 10'000 Mitarbeitern, die uns einsetzen.

00:05:52: Matthias Leisi: Also wir haben etwa 13'000 Domains, die in der sogenannten SEPPmail Domain Encryption drin sind.

00:05:58: Matthias Leisi: Das sind alle Domains, die sich untereinander kennen und sowieso miteinander verschlüsseln, vor allem im DACH-Raum.

00:06:04: Matthias Leisi: quer durch alle Branchen

00:06:05: Matthias Leisi: durch. Schon ein bisschen mehr

00:06:07: Matthias Leisi: auf recht

00:06:10: Matthias Leisi: finanzregulierte Branchen,

00:06:11: Matthias Leisi: aber auch in einzelnen

00:06:13: Matthias Leisi: Industrien, wo eben Mailverschlüsselung

00:06:15: Matthias Leisi: entweder von den Lieferanten oder von den Kunden

00:06:17: Matthias Leisi: gefordert wird. Also auch die Automobilbranche

00:06:19: Matthias Leisi: setzt zum Beispiel sehr stark Mailverschlüsselung ein.

00:06:21: Matthias Leisi: Und in diesen Branchen sind wir natürlich

00:06:23: Matthias Leisi: sehr aktiv. Martin Steiger: Matthias,

00:06:25: Martin Steiger: Du hast jetzt so wie beide Standorte erwähnt.

00:06:28: Martin Steiger: Führt das auch dazu, dass

00:06:29: Martin Steiger: Ihr einerseits Swiss-Made Software

00:06:31: Martin Steiger: seid mit dem Label auf der Homepage,

00:06:33: Martin Steiger: aber andererseits eben auch zu Recht sagen:

00:06:35: Martin Steiger: IT-Security made in Germany.

00:06:37: Martin Steiger: Also wie so ein Deutsch-Schweizer Zwilling?

00:06:40: Matthias Leisi: Zwilling trifft es eigentlich recht gut.

00:06:42: Matthias Leisi: Natürlich haben wir so ein bisschen unterschiedliche Schwerpunkte,

00:06:44: Matthias Leisi: wer wo ist.

00:06:45: Matthias Leisi: Aber ja, also es ist ganz klar,

00:06:47: Matthias Leisi: wir haben Entwickler an beiden Standorten.

00:06:49: Matthias Leisi: Wir beschäftigen bewusst nicht irgendwo in Fernost

00:06:53: Matthias Leisi: irgendwelche Entwicklungsteams,

00:06:56: Matthias Leisi: sondern uns ist wichtig,

00:06:58: Matthias Leisi: wir brauchen Nähe zu den Kunden

00:07:00: Matthias Leisi: und das zieht sich bis zur Entwicklung durch.

00:07:02: Matthias Leisi: Wenn wir Softwareentwickler haben, die den Kontext nicht verstehen,

00:07:05: Matthias Leisi: der kulturelle, der technische, der Kundenkontext,

00:07:08: Matthias Leisi: dann macht es das wahnsinnig viel schwieriger.

00:07:10: Matthias Leisi: Darum sagen wir ganz bewusst, wir entwickeln lokal.

00:07:13: Matthias Leisi: Und das heisst halt Schweiz, Deutschland.

00:07:16: Matthias Leisi: Wir haben sogar noch den eigenen Sales in Österreich,

00:07:18: Matthias Leisi: die auch die PowerShell-Module macht.

00:07:22: Matthias Leisi: Also wir sind sehr stark lokal verankert.

00:07:25: Martin Steiger: Dann kommen wir doch auf das eigentliche Thema,

00:07:27: Martin Steiger: nämlich die Sicherheitslücken.

00:07:30: Martin Steiger: Ich gehe davon aus, man hat die Episode gehört, wo Andreas Von Gunten und ich über das Thema gesprochen haben.

00:07:36: Martin Steiger: Aus meiner Sicht ist der Hintergrund eigentlich, ein bisschen von aussen angeschaut, auch bei den sogenannten CVEs.

00:07:41: Martin Steiger: Einerseits gibt es einen Masterstudenten an der ETH Zürich im bekannten Team von Kenny Paterson,

00:07:48: Martin Steiger: Matteo Scarlata, die viel in dem Sicherheitsbereich machen.

00:07:51: Martin Steiger: Vielleicht zuletzt sind sie in der Öffentlichkeit bekannt worden, wo sie einen Passwortmanager unter die Lupe genommen haben.

00:07:57: Martin Steiger: Dort waren die Ergebnisse zum Teil relativ spektakulär.

00:08:00: Martin Steiger: Also dort gibt es eine Masterarbeit.

00:08:03: Martin Steiger: Wenn ich es richtig verstehe, ist es ursprünglich darum gegangen,

00:08:05: Martin Steiger: Eure Kryptografie anzuschauen.

00:08:07: Martin Steiger: Und dann hat der Masterstudent dann Sicherheitslücken gefunden.

00:08:11: Martin Steiger: Das ist auch das eine.

00:08:12: Martin Steiger: Und das andere ist Dario Weiss von InfoGuard.

00:08:16: Martin Steiger: Bekanntes Unternehmen, zum Beispiel für mich in der Schweiz im Sicherheitsbereich,

00:08:19: Martin Steiger: wo auch Sicherheitslücken gefunden hat.

00:08:22: Martin Steiger: Und eben, die sind öffentlich als CVEs.

00:08:24: Martin Steiger: Zum Teil sind sie auch in Patch Notes oder Release Notes drin.

00:08:29: Martin Steiger: Also das ist Eure Ausgangslage.

00:08:30: Martin Steiger: Von aussen gesehen,

00:08:31: Martin Steiger: sehen die Lücken zum Teil recht schwerwiegend aus.

00:08:34: Martin Steiger: Nicht nur im standardmässigen Stack,

00:08:36: Martin Steiger: sondern auch wirklich in Eurer eigenen Software.

00:08:39: Martin Steiger: Von aussen gesehen,

00:08:40: Martin Steiger: läuft Ihr auch im Notfallmodus.

00:08:42: Martin Steiger: Also es hat so richtige Patchwellen gegeben.

00:08:45: Martin Steiger: Ja, der Eindruck ist nicht allzu gut.

00:08:47: Martin Steiger: Aber umso mehr interessiert mich jetzt quasi

00:08:50: Martin Steiger: Eure Perspektive, Matthias.

00:08:52: Martin Steiger: Weil ich gehe jetzt einfach mal davon aus,

00:08:53: Martin Steiger: irgendwann ist das bei Euch aufgeschlagen.

00:08:56: Martin Steiger: Ich weiss nicht über die ETH Zürich

00:08:58: Martin Steiger: oder eben auch über das National Cyber Security Centre in der Schweiz.

00:09:01: Martin Steiger: Das ist ja auch involviert.

00:09:02: Martin Steiger: Das vergibt auch die CVE-Nummern.

00:09:05: Martin Steiger: Ja, erzähl doch mal.

00:09:07: Matthias Leisi: Genau, genau.

00:09:08: Matthias Leisi: Der Report von der ETH hat eine Qualität gehabt,

00:09:12: Matthias Leisi: die wir uns nicht gewohnt waren.

00:09:15: Matthias Leisi: Ab und zu kommt mal eine Meldung von einem externen Researcher

00:09:19: Matthias Leisi: und das ist dann so irgendwie

00:09:20: Matthias Leisi: irgendein Typo auf der Webseite.

00:09:22: Matthias Leisi: So in diesem Stil.

00:09:23: Matthias Leisi: Nein, und es war auch wesentlich tiefer und breiter als die Pentestss oder Security Reviews,

00:09:30: Matthias Leisi: die wir sonst eigentlich selber in Auftrag geben.

00:09:32: Matthias Leisi: Also die Qualität von diesen Findings und den Reports insgesamt war erstaunlich.

00:09:37: Matthias Leisi: Wir haben lange und intensiv mit der ETH zusammengearbeitet, um durch die Sachen durchzugehen.

00:09:42: Matthias Leisi: Für uns war es ein bisschen die Frage: Wir können nicht alles auf einmal fixen,

00:09:47: Matthias Leisi: sondern wir haben natürlich gesagt: Okay, mit der höchsten Kritikalität priorisieren wir.

00:09:53: Matthias Leisi: Wir haben Ende 2025 den Report bekommen und haben dann die ersten Fixes Anfang 2026 veröffentlicht.

00:10:02: Matthias Leisi: Im ersten Schritt noch ohne CVE-Nummern, und zwar aus einem bestimmten Grund.

00:10:06: Matthias Leisi: Wir müssen natürlich unseren Partnern, also wir arbeiten immer mit Partnern zusammen, InfoGuard ist auch ein Partner,

00:10:10: Matthias Leisi: die Kunden betreuen, die Chance geben, dass sie das auch auf ihrer Seite testen können

00:10:16: Matthias Leisi: und dann bei den Kunden natürlich aktualisieren.

00:10:19: Matthias Leisi: Darum war der erste Schritt, wir geben das raus, wir versuchen den Partnern die Wichtigkeit des Updates,

00:10:25: Matthias Leisi: und versuchen klarzumachen, wir sind noch nicht ganz dort, wo wir gerne möchten,

00:10:29: Matthias Leisi: und haben dann im Prozess mit dem NCSC zusammen die Publikationen der CVEs in die Wege geleitet.

00:10:37: Matthias Leisi: Und das war noch ein erstaunlicher Effekt.

00:10:39: Matthias Leisi: Sobald die CVEs veröffentlicht wurden, sind bei ganz vielen, die Tools einsetzen,

00:10:44: Matthias Leisi: in roten Lampen angegangen und dann haben wir gesehen, es wird wesentlich schneller updatet.

00:10:49: Matthias Leisi: Die Transparenz, die wir jetzt über die CVEs hatten und auch in der Kommunikation mit den Partnern, hat sich sehr positiv herausgestellt.

00:10:58: Matthias Leisi: Das ist etwas, was uns wichtig ist, dass die Situation bei den Kunden und den Partnern sich positiv entwickelt.

00:11:04: Matthias Leisi: Das hat dazu geführt, dass sie wesentlich schneller updaten.

00:11:08: Matthias Leisi: Jetzt haben wir die ersten paar, die wichtigsten Remote-Code-Execution-Vulnerabilities, dort gefixt.

00:11:16: Matthias Leisi: Es gibt aber natürlich noch andere und es gibt so unterschiedliche Kategorien, wie man jetzt mit dem umgehen kann.

00:11:23: Matthias Leisi: Eine Menge von Vulnerabilities waren es nicht spezifisch bei unserem Code drin,

00:11:29: Matthias Leisi: sondern die beruhen zum Beispiel darauf, wie das S/MIME 4.0 als aktueller Standard für Mailverschlüsselung gewisse Sachen gerne sehen möchte.

00:11:37: Matthias Leisi: Dort können wir nicht einfach einen Schalter umlegen, sonst würde niemand mehr unsere verschlüsselten Mails lesen können.

00:11:42: Matthias Leisi: Das heisst, da braucht es jetzt einen gewissen Prozess in der Branche auch, dass man hingeht und sagt, man muss eigentlich an diesem Standard schrauben.

00:11:50: Matthias Leisi: Jetzt, wenn man auf einen Standardisierungsprozess wartet, können wir noch lange warten.

00:11:54: Matthias Leisi: Das versuchen wir natürlich ein bisschen schneller zu machen, dass man gewisse Workarounds, gewisse Dokumentationen den Partnern gibt, damit sie die Situation verbessern können.

00:12:04: Matthias Leisi: Eine Kategorie

00:12:05: Matthias Leisi: der Findings, die wir gehabt haben,

00:12:07: Matthias Leisi: und das ist, sagen wir,

00:12:08: Matthias Leisi: der, wo wir am wenigsten gut

00:12:11: Matthias Leisi: dastehen. Wir haben die sogenannte

00:12:13: Matthias Leisi: GINA-Verschlüsselung. Also wenn jemand keine PGP-

00:12:15: Matthias Leisi: oder S/MIME-Verschlüsselung hat, kommt das sichere

00:12:17: Matthias Leisi: Webmail zum Einsatz, das GINA.

00:12:19: Matthias Leisi: Das ist nicht eine Abkürzung, die für irgendetwas steht.

00:12:20: Matthias Leisi: Das ist einfach ein Name. Und dort haben wir

00:12:22: Matthias Leisi: eine neue Version, die wir am entwickeln sind.

00:12:24: Matthias Leisi: Die haben wir bereits den Partnern zur Verfügung gestellt.

00:12:27: Matthias Leisi: Unseres Wissens nutzt die noch niemand

00:12:28: Matthias Leisi: produktiv, weil die wirklich explizit als Pre-Release

00:12:31: Matthias Leisi: markiert. Und

00:12:33: Matthias Leisi: sind ein paar von den übleren Sicherheitslücken gefunden worden.

00:12:36: Matthias Leisi: Sagen wir mal: Zum Glück sind sie jetzt schon gefunden worden.

00:12:39: Matthias Leisi: Kaum jemand setzt schon produktiv ein oder sollte es eigentlich noch nicht produktiv einsetzen.

00:12:43: Matthias Leisi: Aber klar, das ist nicht etwas, was wir intern den Prozess jetzt geschärft haben,

00:12:48: Matthias Leisi: um die Eigengoals, das sind wirklich Eigengoals, zu verhindern.

00:12:53: Martin Steiger: Wieso hat es für das Ganze denn eigentlich einen Masterstudent von der ETH Zürich gebraucht?

00:12:58: Martin Steiger: Du hast eigentlich Pentests erwähnt,

00:13:00: Martin Steiger: Wenn man die eine oder andere Sicherheitslücke

00:13:02: Martin Steiger: anschaut, dann ist letztlich für mich

00:13:04: Martin Steiger: die Frage, wieso habt Ihr das nicht

00:13:06: Martin Steiger: selber gemerkt? Das ist eine

00:13:08: Matthias Leisi: gute Frage.

00:13:10: Matthias Leisi: Es gibt eigentlich nur die Antwort, dass

00:13:12: Matthias Leisi: niemand in diesem Bereich genug

00:13:14: Matthias Leisi: gut hingeschaut hat.

00:13:16: Matthias Leisi: Wir haben unseren internen Secure-Coding-Prozess

00:13:18: Matthias Leisi: und so weiter, aber Teil davon ist natürlich,

00:13:20: Matthias Leisi: dass wir uns extern anschauen, weil wenn man selber

00:13:22: Matthias Leisi: etwas entwickelt hat, sieht man so und so viele

00:13:24: Matthias Leisi: Sachen nicht. Wir arbeiten mit unterschiedlichen

00:13:26: Matthias Leisi: Firmen zusammen, wir wechseln die regelmässig

00:13:28: Matthias Leisi: auch wieder ab, wir arbeiten nicht immer mit den gleichen,

00:13:30: Matthias Leisi: schauen, dass wir den Scope immer ein bisschen

00:13:32: Matthias Leisi: verändern und sagen, jetzt schauen wir mal

00:13:34: Matthias Leisi: mehr auf das und das nächste Mal mehr auf jenes.

00:13:36: Matthias Leisi: Dort, wo ein paar von den

00:13:38: Matthias Leisi: Lücken drin waren, das sind eigentlich sehr

00:13:40: Matthias Leisi: alte Funktionen, die wir

00:13:42: Matthias Leisi: gar nicht mehr so auf dem Radar hatten.

00:13:44: Matthias Leisi: Dass jemand sich Zeit nimmt und das

00:13:46: Matthias Leisi: anschaut, ist extrem wertvoll,

00:13:48: Matthias Leisi: wofür ich auch dankbar bin,

00:13:50: Matthias Leisi: dass sie das gemacht haben.

00:13:51: Matthias Leisi: Natürlich schauen wir heute genau

00:13:53: Matthias Leisi: auf die älteren Funktionen, die wir

00:13:55: Matthias Leisi: uns noch genauer an. Wir haben dann auch nicht

00:13:57: Matthias Leisi: nur die konkreten Findings,

00:14:00: Matthias Leisi: angeschaut, sondern haben geguckt, wo haben wir

00:14:02: Matthias Leisi: im Code eigentlich noch ähnliche

00:14:04: Matthias Leisi: oder analoge Situationen, wo es zu einer

00:14:05: Matthias Leisi: Sicherheitslücke werden könnten oder

00:14:07: Matthias Leisi: vielleicht auch schon sind und haben dort

00:14:10: Matthias Leisi: natürlich generell noch mehr

00:14:12: Matthias Leisi: Fixes ausgespielt im Ganzen.

00:14:14: Martin Steiger: Mich interessiert noch

00:14:15: Martin Steiger: der ganze Prozess.

00:14:17: Martin Steiger: Wenn ich Dich richtig verstanden habe, sind

00:14:19: Martin Steiger: Ende 2025 bei der ETH

00:14:22: Martin Steiger: Zürich direkt informiert worden.

00:14:24: Martin Steiger: Das läuft für mich letztlich auch unter dem Stichwort

00:14:25: Martin Steiger: Responsible Disclosure.

00:14:27: Martin Steiger: Also wenn man so etwas findet und man korrekt unterwegs ist, dann informiert man zuerst mal den Hersteller.

00:14:33: Martin Steiger: Und dann geht der Prozess los.

00:14:35: Martin Steiger: Wie ist es dann auch weitergegangen?

00:14:37: Martin Steiger: Eben auch dann mit dem Bundesamt für Cybersicherheit, mit dem BACS.

00:14:42: Martin Steiger: Und ich meine, als die ersten CVEs herausgekommen sind, haben dann andere gesehen, dass etwas rumliegt.

00:14:48: Martin Steiger: Und schliesslich auch noch der Prozess, ich nehme an, der läuft ja immer noch.

00:14:51: Martin Steiger: Du hast gesagt, wir priorisieren.

00:14:53: Martin Steiger: Wenn man sagt, die Findings, da muss man jetzt reden, da liegt noch mehr herum.

00:14:56: Martin Steiger: Das ist einerseits trivial bei Software, aber andererseits mit diesen Lücken.

00:15:02: Martin Steiger: Ich glaube, wenn man ehrlich ist, das eine oder andere, kann man sagen, man hat es nicht gesehen, logisch, oder?

00:15:07: Martin Steiger: Aber zum Teil geht es ja schon recht weit, es sind nicht nur kosmetisch.

00:15:10: Martin Steiger: Kannst Du da noch etwas dazu sagen, Matthias?

00:15:12: Martin Steiger: Also einerseits, wie hat das angefangen und wo stehen wir quasi heute?

00:15:15: Martin Steiger: Also ich habe es salopp gesagt: Können wir noch die nächsten 30er sehen wie in diesem Jahr?

00:15:20: Matthias Leisi: 30er werden sie wahrscheinlich nicht werden.

00:15:23: Matthias Leisi: Der Prozess: Wir haben auch

00:15:24: Matthias Leisi: Responsible-Disclosure-Prozesse, also dass wir

00:15:27: Matthias Leisi: sicher kontaktiert werden können von Security-

00:15:29: Matthias Leisi: Researchern. Wir sind auch bereit,

00:15:31: Matthias Leisi: eine Bug Bounty auszuzahlen, wenn jemand etwas

00:15:33: Matthias Leisi: wirklich Relevantes findet und

00:15:35: Matthias Leisi: Zeit aufgewendet hat, um diese Research

00:15:37: Matthias Leisi: zu machen. Wir haben natürlich schon gemerkt, dass

00:15:39: Matthias Leisi: wir für die Menge von dem Report,

00:15:41: Matthias Leisi: wo der herkommt, ein bisschen überfordert

00:15:43: Matthias Leisi: waren. Wir haben priorisieren müssen,

00:15:45: Matthias Leisi: wir müssen das über verschiedene

00:15:48: Matthias Leisi: Releases, also quasi

00:15:50: Matthias Leisi: gestaffelt, händeln.

00:15:51: Matthias Leisi: Wir haben die Sachen, die eben

00:15:53: Matthias Leisi: kritischer gesehen sind, logischerweise

00:15:55: Matthias Leisi: voran genommen.

00:15:56: Matthias Leisi: Das NCSC ist dann ins Spiel gekommen,

00:15:59: Matthias Leisi: weil wir jetzt nicht als

00:16:01: Matthias Leisi: Softwarehersteller, sondern als

00:16:03: Matthias Leisi: Betreiber von der Cloud-Lösung,

00:16:04: Matthias Leisi: die effektiv bei uns läuft, das andere läuft

00:16:07: Matthias Leisi: bei den Kunden, wo wir eigentlich keine Betriebsverantwortung

00:16:09: Matthias Leisi: haben. Bei der Cloud-Lösung

00:16:10: Matthias Leisi: werden wir vom NCSC als Betreiber

00:16:13: Matthias Leisi: von kritischer Infrastruktur eingestuft,

00:16:15: Matthias Leisi: also ähnlich wie die Elektrizitätswerke

00:16:17: Matthias Leisi: oder Wasserwerke oder

00:16:19: Matthias Leisi: ich habe dann geschaut, was da sonst noch betroffen ist,

00:16:21: Matthias Leisi: Abfallentsorgung gehört auch zu kritischer Infrastruktur.

00:16:24: Matthias Leisi: Darum ist das NCSC

00:16:24: Matthias Leisi: da an das Spiel gekommen. Was für uns

00:16:26: Matthias Leisi: aber auch sehr gut gewesen ist,

00:16:28: Matthias Leisi: sie haben uns eine gewisse Guidance auch gegeben.

00:16:31: Matthias Leisi: Eben den Prozess der

00:16:32: Matthias Leisi: CVE-Publikation, das

00:16:34: Matthias Leisi: haben wir bisher nicht so

00:16:36: Matthias Leisi: gehabt. Wir waren nicht so weit, wir waren nicht in the lead.

00:16:38: Matthias Leisi: Darum veröffentlichen wir die heute auch über das NCSC.

00:16:40: Matthias Leisi: veröffentlichen. Wir sind dran, dass wir sie

00:16:42: Matthias Leisi: auch selber veröffentlichen können.

00:16:45: Matthias Leisi: Wir sind jetzt dran,

00:16:46: Matthias Leisi: die verbleibenden Findings noch

00:16:48: Matthias Leisi: zu beheben. Was jetzt noch verbleibt,

00:16:50: Matthias Leisi: sind Sachen, wo entweder

00:16:53: Matthias Leisi: kryptografische Standards

00:16:55: Matthias Leisi: betroffen sind. Es gibt

00:16:56: Matthias Leisi: gewisse Sachen, wo

00:16:58: Matthias Leisi: man grundsätzlich nicht ändern kann.

00:17:00: Matthias Leisi: Zum Beispiel Einschränkungen von

00:17:02: Matthias Leisi: E-Mail. Eigentlich hat man nur ein Subject,

00:17:05: Matthias Leisi: wo man etwas hin und

00:17:06: Matthias Leisi: herumschicken kann, mehr im

00:17:08: Matthias Leisi: Mailflow. Das heisst, wir sind

00:17:10: Matthias Leisi: auf Betreffzeilen von E-Mails

00:17:12: Matthias Leisi: beschränkt, um die Tags

00:17:16: Matthias Leisi: anzubringen.

00:17:17: Matthias Leisi: Das können wir grundsätzlich

00:17:18: Matthias Leisi: nicht ändern, solange man nicht SMTP

00:17:21: Matthias Leisi: renoviert. Da hat es schon ein paar Anläufe

00:17:23: Matthias Leisi: gegeben, das wird nicht kommen.

00:17:24: Matthias Leisi: Da werden wir es bei den Partnern, bei den Kunden

00:17:26: Matthias Leisi: schärfen und sagen: Wir machen, was möglich ist.

00:17:29: Matthias Leisi: Aber selber können wir leider noch nicht.

00:17:31: Matthias Leisi: Wir versuchen es und

00:17:32: Matthias Leisi: werden dort noch daran arbeiten müssen.

00:17:34: Matthias Leisi: Dann hat es eine Serie von Findings

00:17:36: Matthias Leisi: gegeben, zum Beispiel rund um PGP,

00:17:39: Matthias Leisi: wo klar war,

00:17:41: Matthias Leisi: dass GnuPG

00:17:42: Matthias Leisi: gewisse Standards, gewisse RFCs

00:17:44: Matthias Leisi: noch nicht unterstützt. Das hat

00:17:46: Matthias Leisi: ein bisschen länger gedauert, weil man dort

00:17:48: Matthias Leisi: jetzt von GnuPG auf Sequoia-PGP

00:17:50: Matthias Leisi: umgestellt haben. Das hat einfach

00:17:52: Matthias Leisi: einen entsprechenden höheren Entwicklungsaufwand

00:17:54: Matthias Leisi: natürlich gegeben, aber da sind wir jetzt auf den

00:17:56: Matthias Leisi: neuen RFCs

00:17:58: Matthias Leisi: unterwegs, wo ein paar

00:18:00: Matthias Leisi: von den Findings, die die ETH

00:18:02: Matthias Leisi: hatte, dann behoben werden.

00:18:04: Martin Steiger: Matthias, Du hast jetzt eine Klasse von

00:18:06: Martin Steiger: diesen Sicherheitslücken erwähnt, nämlich

00:18:08: Martin Steiger: die Security-Tags im Betreff.

00:18:11: Martin Steiger: Da finde ich auch spannend, auch für

00:18:12: Martin Steiger: das Publikum, was das genau bedeutet.

00:18:14: Martin Steiger: Wenn man die CVEs einliest und auch

00:18:16: Martin Steiger: halbwegs versteht, wie Euer Produkt

00:18:18: Martin Steiger: funktioniert, dann ist es eigentlich klar.

00:18:19: Martin Steiger: Aber eben, Du hast es jetzt eigentlich schön angedeutet,

00:18:21: Martin Steiger: Ihr seid eigentlich gezwungen, gewisse Informationen

00:18:24: Martin Steiger: über den Betreff von E-Mails

00:18:26: Martin Steiger: zu übertragen. Matthias Leisi: Genau.

00:18:28: Matthias Leisi: Wenn ein Mail von einem

00:18:30: Matthias Leisi: Kunden von uns rauskommt,

00:18:31: Matthias Leisi: gibt es ein Outlook-Plugin usw.,

00:18:33: Matthias Leisi: wo man mehr machen kann, da kann man über

00:18:35: Matthias Leisi: Header-Zeilen arbeiten usw., da sind wir

00:18:37: Matthias Leisi: eigentlich fein raus. Wenn aber ein Mail

00:18:40: Matthias Leisi: ins wilde Internet hinausgeht oder

00:18:41: Matthias Leisi: von dort hereinkommt, kann man nicht davon ausgehen,

00:18:44: Matthias Leisi: dass irgendwelche Header-Zeilen

00:18:45: Matthias Leisi: z.B. noch vorhanden sind. Wir möchten

00:18:48: Matthias Leisi: den Text des Mails nicht verändern,

00:18:50: Matthias Leisi: weil das würde die digitale Signatur ungültig machen.

00:18:52: Matthias Leisi: Also bleibt eigentlich nur noch

00:18:54: Matthias Leisi: der Betreff, wo man

00:18:56: Matthias Leisi: irgendeine Information

00:18:58: Matthias Leisi: transportieren kann.

00:18:59: Matthias Leisi: Und das ist jetzt nicht

00:19:00: Matthias Leisi: SEPPmail-spezifisch, das ist eigentlich bei allen,

00:19:02: Matthias Leisi: die mit digitaler Signatur

00:19:04: Matthias Leisi: oder Mail-Verschlüsselung zu tun haben.

00:19:06: Matthias Leisi: Und jetzt ist es so, wenn man dort

00:19:08: Matthias Leisi: im Subject etwas reinschreibt,

00:19:10: Matthias Leisi: sagt, okay, oder

00:19:12: Matthias Leisi: «secure», weil das verschlüsselt daherkommen ist,

00:19:15: Matthias Leisi: könnte ein Angreifern von aussen

00:19:17: Matthias Leisi: mit lustigen Unicode-Zeichen

00:19:19: Matthias Leisi: anfangen, versuchen

00:19:21: Matthias Leisi: eine gewisse Sicherheit vorzugaukeln,

00:19:23: Matthias Leisi: die einfach nicht da ist.

00:19:25: Matthias Leisi: Da gibt es gewisse Massnahmen,

00:19:27: Matthias Leisi: das kann man schon in einem gewissen

00:19:29: Matthias Leisi: Ausmass verhindern, aber wenn

00:19:30: Matthias Leisi: jetzt jemand anfängt, mit Emojis das Ganze

00:19:33: Matthias Leisi: zu versehen, gibt es

00:19:35: Matthias Leisi: irgendwo Grenzen dessen, was man tatsächlich

00:19:37: Matthias Leisi: machen kann. Und das ist

00:19:39: Matthias Leisi: eine Einschränkung, die man halt mit

00:19:40: Matthias Leisi: E-Mail, mit SMTP hat.

00:19:43: Matthias Leisi: Dort gibt es nicht einen 100-%-

00:19:45: Matthias Leisi: Fix und es gibt einfach eine Verbesserung

00:19:47: Matthias Leisi: von der Situation.

00:19:49: Matthias Leisi: Und das ist etwas, was man an vielen Stellen hat,

00:19:51: Matthias Leisi: dass Security nicht ein Zustand ist, sondern es ist

00:19:52: Matthias Leisi: ein Prozess. Wir haben einen Responsible-Disclosure-

00:19:55: Matthias Leisi: Prozess, wir haben auch unsere eigenen Reviews.

00:19:57: Matthias Leisi: Wir lernen auch, jetzt aufgrund

00:19:59: Matthias Leisi: der Menge von den ETH Findings

00:20:00: Matthias Leisi: haben wir unseren Prozess natürlich ein bisschen

00:20:03: Matthias Leisi: verbessern, sodass wir

00:20:05: Matthias Leisi: dranbleiben und vielleicht auch

00:20:06: Matthias Leisi: ahead of the curve sind bei gewissen

00:20:09: Matthias Leisi: Formen von Angriffen.

00:20:11: Matthias Leisi: Und dass wir dort noch

00:20:13: Matthias Leisi: lernen können, dass wir

00:20:15: Matthias Leisi: lernen können, dessen sind wir uns bewusst.

00:20:18: Martin Steiger: Wie läuft es jetzt eigentlich mit Euren Kundinnen und Kunden,

00:20:21: Martin Steiger: die Euer Produkt nutzen?

00:20:23: Martin Steiger: Ich meine, wenn man auf Eure Website oder Websites geht,

00:20:26: Martin Steiger: dann habt Ihr das Gefühl, Ihr habt die E-Mail-Sicherheit erfunden.

00:20:29: Martin Steiger: Ihr betont auch, Ihr seid äusserst selten

00:20:31: Martin Steiger: von Sicherheitslücken betroffen.

00:20:33: Martin Steiger: 100 % Sicherheit wird versprochen.

00:20:35: Martin Steiger: Ja, irgendwie ist es schon ein bisschen ein Kontrast

00:20:38: Martin Steiger: zu dem, was man jetzt von aussen sieht.

00:20:40: Matthias Leisi: Also das 100-%-Sicherheitsversprechen,

00:20:42: Matthias Leisi: das ist ganz spezifisch formuliert,

00:20:44: Matthias Leisi: nämlich, dass wenn eine Nachricht als vertraulich markiert ist, dass sie dann garantiert verschlüsselt rausgeschickt wird.

00:20:52: Matthias Leisi: Das ist ganz bewusst dort eigentlich auf das eingeschränkt.

00:20:56: Matthias Leisi: Wir sind sehr transparent mit der Kommunikation zu unseren Kunden.

00:21:01: Matthias Leisi: Wir haben ein Channel-Modell, das heisst, wir verkaufen nicht direkt an die Endkunden,

00:21:06: Matthias Leisi: sondern wir haben Distributoren und Partner.

00:21:09: Matthias Leisi: Wir haben seit Anfang Jahr intensiv mit den Partnern kommuniziert.

00:21:13: Matthias Leisi: Wir haben Partner-Newsletter, Webinare, natürlich in den Release Notes.

00:21:18: Matthias Leisi: Wir haben auch noch separat einen Release-Push-Mechanismus.

00:21:23: Matthias Leisi: Auch in der Applikation, also wenn man im Admin-Interface ist,

00:21:25: Matthias Leisi: sieht man, dass Updates hängig sind.

00:21:29: Matthias Leisi: Also wir sind jetzt sehr transparent.

00:21:31: Matthias Leisi: Wir haben auch die ETH-Findings erwähnt und kategorisiert.

00:21:35: Matthias Leisi: Wir haben auch gesagt, es wird noch mehr kommen.

00:21:37: Matthias Leisi: Aber wir haben jetzt mal die mit der höchsten Kritikalität zuerst gefixt.

00:21:41: Matthias Leisi: Also da sind wir sehr, sehr transparent mit unseren Kunden,

00:21:44: Matthias Leisi: weil alles andere wäre sowieso nicht das, was wir eigentlich möchten.

00:21:48: Matthias Leisi: Und ja, diese Sicherheitslücken gibt es oder hat es gegeben, die hat ETH gefunden.

00:21:54: Matthias Leisi: Aber ich denke eigentlich, wir haben schnell reagiert, wir haben vollständig reagiert,

00:22:00: Matthias Leisi: wir haben auch den Prozess jetzt verbessert.

00:22:03: Matthias Leisi: Und wie Du erwähnt hast, von David Weiss von InfoGuard,

00:22:06: Matthias Leisi: es hat auch weitere Findings gegeben, die sind auch im Responsible-Disclosure-Prozess

00:22:10: Matthias Leisi: gemeldet worden. Es ist auch von einem Kunden

00:22:12: Matthias Leisi: noch etwas gekommen. Also wir haben auch Kunden, die

00:22:14: Matthias Leisi: unsere Lösung testen. Und das

00:22:16: Matthias Leisi: fliesst natürlich dann laufend

00:22:18: Matthias Leisi: in die Releases ein. Also wir haben

00:22:20: Matthias Leisi: einen Release-Zyklus, dass wir monatlich

00:22:22: Matthias Leisi: einen Patch-Release haben, jährlich

00:22:24: Matthias Leisi: Major-Releases und dazwischen noch

00:22:26: Matthias Leisi: die anderen Stufen. Und ja,

00:22:28: Matthias Leisi: traditionellerweise sind unsere Partner

00:22:30: Matthias Leisi: ein bisschen langsam gewesen mit dem Aktualisieren

00:22:32: Matthias Leisi: und neuen Versionen. Und da sind wir dran,

00:22:34: Matthias Leisi: dass wir das ein bisschen

00:22:36: Matthias Leisi: das Tempo ein bisschen erhöhen.

00:22:38: Martin Steiger: Also Matthias, das mit den 100 %

00:22:40: Martin Steiger: sichere Kommunikation.

00:22:41: Martin Steiger: Da musst Du vielleicht nochmals auf die Website schauen.

00:22:43: Martin Steiger: Weil auf der Homepage, ich habe jetzt da vor mir,

00:22:45: Martin Steiger: da steht in Grossbuchstaben:

00:22:47: Martin Steiger: «Vertrauenswürdige E-Mail-Sicherheit»,

00:22:49: Martin Steiger: «100 % sichere Kommunikation»,

00:22:50: Martin Steiger: über 20 Jahre Erfahrung.

00:22:52: Martin Steiger: Dann auch die Labels, die Ihr habt.

00:22:54: Martin Steiger: «Security made in Germany», «Security made in EU».

00:22:57: Martin Steiger: Dann noch

00:22:59: Martin Steiger: sonstige Zertifikate.

00:23:00: Martin Steiger: Ihr werbt auch damit, dass Ihr in der Hall of Fame

00:23:02: Martin Steiger: steht, vom Deutschen Bundesamt für

00:23:04: Martin Steiger: Sicherheit in der Informationstechnik.

00:23:06: Martin Steiger: Ich glaube, da könnte es sich lohnen,

00:23:07: Martin Steiger: einen Blick auf die Homepage und so zu werfen.

00:23:10: Martin Steiger: Das ist auch ein Hintergrund, eine Darstellung in der Kommunikation und wie man das jetzt vielleicht erlebt.

00:23:17: Martin Steiger: Gleichzeitig hast Du natürlich recht, IT-Sicherheit ist ein Prozess.

00:23:22: Martin Steiger: Zu diesem Prozess gehört natürlich auch, wie man reagiert.

00:23:26: Martin Steiger: In diesem Zusammenhang möchte man noch einen Kritikpunkt aufwerfen,

00:23:29: Martin Steiger: und zwar, wie wir die Issues zum Teil klassifiziert haben, nämlich als «Maintenance».

00:23:35: Martin Steiger: Dann eine ganze Liste von CVEs, wo einfach der Issue-Type «Maintenance» ist.

00:23:39: Martin Steiger: Wie funktioniert das bei Euch, dass so etwas einfach «Maintenance» ist und nicht, ich weiss nicht, Alarmstufe rot?

00:23:46: Matthias Leisi: Eigentlich haben wir nur zwei Unterscheidungen: «Feature» und «Maintenance».

00:23:49: Matthias Leisi: Es sind nicht «Features», offensichtlich, sondern es ist «Maintenance».

00:23:53: Matthias Leisi: Nach aussen, die CVEs sind natürlich das Wichtige, dort haben wir die Kritikalität drin.

00:23:58: Matthias Leisi: Die haben wir mehr oder weniger unverändert von der Einstufung des ETH-Reports übernommen.

00:24:04: Matthias Leisi: Ein paar kleine Anpassungen, aber nichts Grosses.

00:24:07: Matthias Leisi: Aber ja, im Release-Prozess unterscheiden wir eigentlich nur,

00:24:10: Matthias Leisi: ist es «Maintenance», ist es «Feature».

00:24:11: Matthias Leisi: Das ist eigentlich für Partner wichtig,

00:24:14: Matthias Leisi: weil wenn es «Feature» ist,

00:24:15: Matthias Leisi: dann heisst das, sie müssen sich Konversionsgedanken machen

00:24:19: Matthias Leisi: oder es gibt vielleicht Breaking Changes drin,

00:24:21: Matthias Leisi: wo eben nicht einfach nur «Maintenance» ist,

00:24:23: Matthias Leisi: sondern müssen sich das entsprechend

00:24:25: Matthias Leisi: aus dem applikatorischen Gesichtswinkel entsprechend anschauen.

00:24:29: Martin Steiger: Matthias, Du hast mir schon sehr viel Zeit geschenkt,

00:24:31: Martin Steiger: ich habe sehr viel Spannendes erfahren.

00:24:33: Martin Steiger: Ich habe noch ein paar von zwei Themen.

00:24:36: Martin Steiger: Und einerseits würde mich interessieren,

00:24:38: Martin Steiger: oder jetzt hört jemand zu,

00:24:39: Martin Steiger: wird vielleicht auch ein Blick auf Eure Software,

00:24:40: Martin Steiger: findet vielleicht trotzdem nochmal etwas.

00:24:42: Martin Steiger: Du hast auch gesagt, ja, allenfalls eine Bug Bounty.

00:24:46: Martin Steiger: Wenn man jetzt irgendein Gefühl hat,

00:24:47: Martin Steiger: man hätte bei Euch etwas gefunden,

00:24:49: Martin Steiger: wie deponiert man das am besten bei Euch,

00:24:52: Martin Steiger: damit es auch Gehör findet.

00:24:54: Martin Steiger: Einerseits über welchen Kommunikationskanal

00:24:56: Martin Steiger: und was ist auch eine gute Form vielleicht.

00:24:59: Martin Steiger: Und das andere Thema ist damit verwandt,

00:25:01: Martin Steiger: nämlich in diesem Bereich kommt jetzt immer mehr KI zum Einsatz.

00:25:04: Martin Steiger: Shopify hat da ja angeblich mit dem Mythos neue Modelle, das findet so viele Sicherheitslücken, dass man es gar nicht veröffentlichen kann.

00:25:10: Martin Steiger: Und deswegen weiss man, da ist viel Marketing. Was irgendwie GPT-5.5 ist, gleich gut oder besser.

00:25:17: Martin Steiger: Auch sogar Open-Source-Modelle sind gleich gut oder besser.

00:25:19: Martin Steiger: Das hängt ein bisschen damit zusammen.

00:25:21: Martin Steiger: Aber fangen wir doch beim Ersten an: Wenn ich Euch die Sicherheitslücken melde,

00:25:25: Martin Steiger: vielleicht habe ich sogar keine eingesetzt, aber wie erreicht es Euch?

00:25:28: Martin Steiger: Wie könnt Ihr das am besten brauchen?

00:25:30: Matthias Leisi: Das war ein Learning aus dem ETH-Report,

00:25:33: Matthias Leisi: dass wir das noch nicht so sauber dargelegt haben.

00:25:36: Matthias Leisi: Tatsächlich hat mich Kenny Paterson über LinkedIn angeschrieben.

00:25:40: Matthias Leisi: Auf diesem Weg hat den Kontakt geklappt.

00:25:44: Matthias Leisi: Wir haben die Standard-URLs,

00:25:47: Matthias Leisi: die die Security-Researcher sonst finden,

00:25:49: Matthias Leisi: unter anderem security.txt,

00:25:51: Matthias Leisi: und ein paar Sachen drin sind,

00:25:53: Matthias Leisi: wo wir Kontaktinformationen

00:25:55: Matthias Leisi: enthalten, E-Mail-Adressen mit PGP-Keys

00:25:58: Matthias Leisi: und mit S/MIME-Zertifikat,

00:26:00: Matthias Leisi: falls jemand das verschlüsselt schicken will,

00:26:02: Matthias Leisi: was wir sehr empfehlen.

00:26:04: Matthias Leisi: Aber notfalls auch

00:26:06: Matthias Leisi: über die Info-Adresse

00:26:08: Matthias Leisi: Security-Adresse sind wir natürlich auch

00:26:10: Matthias Leisi: erreichbar. Das kommt am Schluss

00:26:12: Matthias Leisi: alles in die gleichen Kanäle, in die gleichen Töpfe.

00:26:15: Matthias Leisi: Es kommt

00:26:16: Matthias Leisi: zu einem ausgewählten Team von Entwicklern,

00:26:18: Matthias Leisi: die das entsprechend kategorisieren.

00:26:20: Matthias Leisi: Ja, KI wird

00:26:22: Matthias Leisi: uns sicher beschäftigt, also beschäftigt uns auch

00:26:24: Matthias Leisi: jetzt schon. Nicht erst seit

00:26:25: Matthias Leisi: Claude Mythos da angeblich so wahnsinnig

00:26:28: Matthias Leisi: viel findet. Einerseits setzen wir

00:26:30: Matthias Leisi: das auch selber ein, dass wir sagen,

00:26:32: Matthias Leisi: okay, wir tun unsere Sachen auch mit

00:26:34: Matthias Leisi: KI auf Sicherheitslücken

00:26:36: Matthias Leisi: prüfen und da gibt es durchaus immer wieder

00:26:39: Matthias Leisi: gute Hinweise, und sei es nur,

00:26:40: Matthias Leisi: dass man Sachen vielleicht ein bisschen,

00:26:41: Matthias Leisi: die Softwarehygiene ein bisschen verbessern

00:26:44: Matthias Leisi: damit. Wir rechnen damit,

00:26:46: Matthias Leisi: dass das Volumen stark

00:26:48: Matthias Leisi: wird zunehmen. Qualität

00:26:50: Matthias Leisi: nicht in jedem Fall.

00:26:51: Matthias Leisi: Es wird sicher auch qualitativ

00:26:54: Matthias Leisi: interessante Findings geben, da gehe ich schon

00:26:56: Matthias Leisi: davon aus. Aber man sieht es ja so,

00:26:58: Matthias Leisi: wenn man dann so Bug-Bounty-Geschichten

00:27:00: Matthias Leisi: anfängt, dann kommen dann irgendwelche

00:27:02: Matthias Leisi: Typos auf der Webseite.

00:27:04: Matthias Leisi: Schön, okay, danke, fixen wir.

00:27:06: Matthias Leisi: Und irgendwo dazwischen, zwischen

00:27:08: Matthias Leisi: Typos auf der Webseite und

00:27:10: Matthias Leisi: dem Volumen des ETH-Reports werden wir

00:27:12: Matthias Leisi: sicher irgendwo dann finden.

00:27:14: Matthias Leisi: Uns ist es wichtig, dass wir transparent

00:27:16: Matthias Leisi: damit umgehen, dass wir ehrlich sowohl

00:27:18: Matthias Leisi: mit den Researchern umgehen, wie auch mit

00:27:20: Matthias Leisi: unseren Kunden, mit unseren Partnern.

00:27:22: Matthias Leisi: Weil wir sind natürlich sehr wohl bewusst, was für

00:27:24: Matthias Leisi: eine Verantwortung für Kunden haben.

00:27:26: Matthias Leisi: Einerseits im On-Premise-Geschäft,

00:27:28: Matthias Leisi: also dort, wo wir die Software verkaufen,

00:27:30: Matthias Leisi: aber auch im

00:27:32: Matthias Leisi: Cloud-Angebot, wo wir natürlich selber

00:27:33: Matthias Leisi: die Betreiber sind, wo wir noch mehr Verantwortung haben,

00:27:36: Matthias Leisi: im operativen und im

00:27:38: Matthias Leisi: täglichen Doing. Dass es uns

00:27:39: Matthias Leisi: 20 Jahre gibt oder 25 Jahre,

00:27:42: Matthias Leisi: deutet darauf hin, dass wir wahrscheinlich ein paar Sachen

00:27:43: Matthias Leisi: in dieser Beziehung richtig machen.

00:27:45: Matthias Leisi: Wir sehen auch, dass unsere Partner,

00:27:47: Matthias Leisi: das sind eigentlich unsere Sales Force

00:27:49: Matthias Leisi: im Feld aussen,

00:27:51: Matthias Leisi: die scheinen uns zu schätzen,

00:27:53: Matthias Leisi: die halten zu uns, das sind unsere Botschafter

00:27:56: Matthias Leisi: und die sind auch sehr wichtig

00:27:57: Matthias Leisi: für uns im Feedback, auch

00:28:00: Matthias Leisi: bei unsicheren Konfigurationen,

00:28:01: Matthias Leisi: also die setzen sich intensiv mit

00:28:04: Matthias Leisi: Konfigurationen auseinandersetzen und

00:28:05: Matthias Leisi: wie jede Software, man kann jede Software irgendwie

00:28:07: Matthias Leisi: unsicher konfigurieren und das

00:28:09: Matthias Leisi: kann durchaus auch sein, dass man dort aus dem Feedback

00:28:11: Matthias Leisi: von den Partnern her sagt, hey, das ist eine

00:28:13: Matthias Leisi: gefährliche Konfiguration, das

00:28:16: Matthias Leisi: können wir entweder verhindern oder

00:28:18: Matthias Leisi: mit entsprechender Schulung und

00:28:20: Matthias Leisi: Dokumentation begleiten.

00:28:21: Matthias Leisi: Es ist immer eine Kombination, es ist nicht, dass man

00:28:23: Matthias Leisi: okay, wir haben jetzt heute und für alle Zeiten die 100 % sicheree Software,

00:28:28: Matthias Leisi: sondern es ist immer eine Kombination des ganzen Ökosystems,

00:28:30: Matthias Leisi: die wir rundherum haben, von Firmen, von Integrationen,

00:28:33: Matthias Leisi: die wir entsprechend sauber auch handeln können.

00:28:37: Martin Steiger: Bei KI ist aus meiner Sicht jetzt die grosse Diskussion,

00:28:40: Martin Steiger: hilft es eher den Angreifern oder den Verteidigern?

00:28:43: Martin Steiger: Auf welcher Seite stehst Du da?

00:28:45: Matthias Leisi: Wenn man dem Marketingversprechen folgen möchte,

00:28:48: Matthias Leisi: dann hilft es natürlich nur den Angreifernn.

00:28:51: Matthias Leisi: Und da gibt es sicher ein paar teure Tools, die man kaufen könnte, um dagegenzugehen.

00:28:56: Matthias Leisi: Wir sagen, wir sind selber unsere besten Angreifern.

00:28:59: Matthias Leisi: Wir kennen uns eigentlich am besten.

00:29:01: Matthias Leisi: Darum versuchen wir mit dem Einsatz von KI zumindest mal die Eigengoals zu verhindern.

00:29:07: Matthias Leisi: Also wir hatten gerade diese Woche unseren AI Scan Day,

00:29:10: Matthias Leisi: wo wir gesagt haben, wir durchsuchen mal wirklich alle unsere Repositories entsprechend.

00:29:14: Matthias Leisi: Und da hat es ein paar Sachen gegeben, wo wir sagen, ja, das werden wir ändern,

00:29:18: Matthias Leisi: sodass wir die Sachen finden, bevor sie die Angreifer finden.

00:29:20: Matthias Leisi: Aber da muss man dranbleiben.

00:29:22: Matthias Leisi: Da muss man sich dessen bewusst sein.

00:29:24: Matthias Leisi: wenn man einfach naiv

00:29:26: Matthias Leisi: dahergeht und sagt,

00:29:27: Matthias Leisi: blödes KI-Zeug, das interessiert uns nicht,

00:29:30: Matthias Leisi: dann hat man wahrscheinlich

00:29:32: Matthias Leisi: schlechtere Karten.

00:29:33: Martin Steiger: Matthias, wie geht es jetzt

00:29:36: Martin Steiger: weiter für Euch?

00:29:37: Matthias Leisi: Also wir haben noch

00:29:39: Matthias Leisi: den Rundown der ETH-Findings,

00:29:41: Matthias Leisi: die InfoGuard-Findings,

00:29:43: Matthias Leisi: die noch zukommen.

00:29:45: Matthias Leisi: Wir haben unseren Prozess verbessert,

00:29:47: Matthias Leisi: um sie zu handeln.

00:29:49: Matthias Leisi: Wir suchen auch weitere Zusammenarbeit mit der ETH und mit dem NCSC.

00:29:53: Matthias Leisi: Da sind wir daran auszuloten, was wir dort machen können.

00:29:56: Matthias Leisi: Wir sind uns der Verantwortung sehr wohl bewusst,

00:29:59: Matthias Leisi: die wir bei den Kunden haben.

00:30:00: Matthias Leisi: Darum wurden wir durch das NCSC auch als kritische Infrastruktur eingestuft.

00:30:04: Matthias Leisi: Da müssen wir sicher vom Lernprozess her dranbleiben.

00:30:08: Matthias Leisi: Wir haben jetzt keine schöne Zertifizierung,

00:30:10: Matthias Leisi: die wir vorne raushängen können.

00:30:12: Matthias Leisi: Aber es ist klar, dass wir auch in diese Richtung müssen.

00:30:14: Matthias Leisi: Wir müssen besser einfach nach aussen zeigen:

00:30:18: Matthias Leisi: Wir machen nicht nur diese guten Sachen,

00:30:19: Matthias Leisi: sondern wir reden auch darüber und können es auch

00:30:21: Matthias Leisi: in jedem Fall nachweisen.

00:30:23: Matthias Leisi: Da sind wir sicher noch auf dem Weg,

00:30:25: Matthias Leisi: um besser zu werden.

00:30:27: Matthias Leisi: Ich hoffe, dass wir

00:30:30: Matthias Leisi: in einer viel besseren Situation sind,

00:30:32: Matthias Leisi: als wir es vielleicht Ende 2025 waren.

00:30:34: Martin Steiger: Matthias, ich finde das ein wunderbares Schlusswort.

00:30:37: Martin Steiger: Vielen Dank, dass Du in die

00:30:38: Martin Steiger: Datenschutz-Plaudereien gekommen bist.

00:30:40: Martin Steiger: Vielen Dank auch, dass von SEPPmail

00:30:42: Martin Steiger: jemand gekommen ist, der aus erster Hand berichten kann.

00:30:44: Martin Steiger: Nicht zum Beispiel

00:30:46: Martin Steiger: Mediensprecherin oder jemand von einer

00:30:48: Martin Steiger: Kommunikationsagentur oder so.

00:30:49: Martin Steiger: Ich konnte auch das eine oder andere Neue erfahren.

00:30:52: Martin Steiger: Vielen Dank, Matthias.

00:30:54: Matthias Leisi: Vielen Dank, Martin.

00:30:59: Sprecher: Haben Dir die Datenschutz-Plaudereien gefallen?

00:31:03: Sprecher: Wir freuen uns über Deine Bewertung,

00:31:05: Sprecher: Deinen Kommentar oder Deine Rückmeldung.