Magazin Spezial: Hackingopfer Spielebranche

[Jochen Gebauer]

wobei der Grundtenor aber unterschiedlich, bei Jochen hatte ich das Gefühl, das man davon aus geht, das viele zahlen und das nur nicht an die große Glocke hängen und bei Linus heißt es ja eher, nicht zahlen (bzw. runterhandeln) und auch die Arbeitsteilung kommt bei Jochen nur andeutungsweise vor
und das Thema DSVGO habe ich bei Jochen total vermisst und mit einer Meldung nach DVGO ist es ja praktisch öffentlich (und ich denke bei der heutigen internen Vernetzung, ist fast jeder Vorfall meldebedürftig)

Wie ein Vorredner schon schrieb: In unserem Podcast ging es hauptsächlich darum, was warum passiert - nicht unbedingt darum, was man im Detail und im jeweiligen Einzelfall tun sollte. Das ist ein anderer Themenkomplex, in dem es sehr schnell sehr fachspezifisch wird.

Und das Thema DSVGO spreche ich doch sogar ganz explizit an und nenne etwa British Airways als Beispiel? Hast du den Podcast zu Ende gehört?

was mir etwas gefehlt hat, war der Umgang der betroffenen Firmen mit den sekundär Betroffenen, den Spielern, denn die werden in der Regel nicht benachrichtigt oder mit den Folgen eher alleine gelassen oder hat da jemand andere Erfahrungen

Das ist auch ein anderer Themenkomplex, der weniger die IT-Sicherheit berührt als vielmehr Compliance, Kundenservice usw. Da wäre mein Gesprächspartner schlicht der falsche Ansprechpartner gewesen. Dessen Job ist es, Angriffe zu verhindern bzw. abzuwehren, nicht die Kunden zu benachrichtigen/supporten.

[Blaight]

Ich muss unerwartet meine Firma loben. Alle sinnvollen Maßnahmen und Schulungen, die hier adressiert werden, trifft mein Unternehmen. Who would have guessed.

[Nephtis]

Aber dann geht doch "Cloud first" nicht, heute muss doch alles in die Cloud ... die Kunden wollen das doch ... und wie soll die Remote IT aus Übersee denn deine Maschine warten wenn die nicht direkt im Netz hängt

Wobei "die Cloud" (gehen wir mal von Hyperscalern wie Azure, AWS oder GCP aus) nicht per se schlecht ist. Es kommt immer auf den Anwendungsfall an. Ich arbeite viel im Azure Umfeld und Microsoft gibt da schon Unmengen (diverse Milliarden Dollar) nur für Security aus. Aber auch hier passieren mal Hackerangriffe auf Cloud-Ressourcen wie zuletzt auf Exchange Online.
Trotzdem hast du da die Gewissheit das Microsoft Sicherheitslücken schnell schließt und du auch eine bestimmte SLA auf Services vom Hersteller bekommst. (Oft laufen die Cloud-Systeme auch schneller wieder als wenn Admins "im Keller" im on-prem Rechenzentrum selber Sicherheitslücken schließen müssen oder ausgefallene Systeme selber wieder zum laufen bekommen müssen, so zumindest meine Erfahrung)
Auch neue Entwicklungen wie der ganze AI Kram passiert ja quasi nur noch "in der Cloud". Kann man gut oder schlecht finden, aber ich finde das Thema extrem spannend.

Zum Podcast: Der war wirklich extrem interessant und viele Dinge, die genannt wurden, werden bei uns im Unternehmen auch in Sicherheitsschulungen (für jeden Mitarbeiter verpflichtend) erläutert. Ob sich dann auch immer jeder dran hält? Glaube ich nicht.

Noch ein Lacher zum Schluss: Bei einem alten Arbeitgeber von mir hielt man seitens Vorgesetzter nicht viel von Security obwohl ich dies öfters ansprach. Admin Kennwörter wurden z.B. einfach in unverschlüsselten Textdateien auf Rechnern gespeichert. Da fällt einem wirklich nichts mehr zu ein...

[Krokettenkardinal]

Ooooch joo.... Das wird wohl immer schlimmer, da kann ja wirklich keiner was machen. Heuschrecken, Astereoiden, H4x0r, Sinnflut, Aliens... Von Gott gesandte Katastrophen, müßen wir wohl so hinnehmen...


Im Ernst, war nett anzuhören. Geschichten der letzten Jahre schön aufbereitet zusammengetragen.

[Raptor 2101]

Wobei "die Cloud" (gehen wir mal von Hyperscalern wie Azure, AWS oder GCP aus) nicht per se schlecht ist. Es kommt immer auf den Anwendungsfall an. Ich arbeite viel im Azure Umfeld und Microsoft gibt da schon Unmengen (diverse Milliarden Dollar) nur für Security aus. Aber auch hier passieren mal Hackerangriffe auf Cloud-Ressourcen wie zuletzt auf Exchange Online.
Trotzdem hast du da die Gewissheit das Microsoft Sicherheitslücken schnell schließt und du auch eine bestimmte SLA auf Services vom Hersteller bekommst. (Oft laufen die Cloud-Systeme auch schneller wieder als wenn Admins "im Keller" im on-prem Rechenzentrum selber Sicherheitslücken schließen müssen oder ausgefallene Systeme selber wieder zum laufen bekommen müssen, so zumindest meine Erfahrung)
Auch neue Entwicklungen wie der ganze AI Kram passiert ja quasi nur noch "in der Cloud". Kann man gut oder schlecht finden, aber ich finde das Thema extrem spannend.

Also da bin ich definitiv anderer Meinung. Azure haben sie letztes Jahr komplett aufgemacht. So root mäßig, einmal Zugriff auf alle Tenants. Es gibt keinen Cloud Anbieter der keinen Datenverlust, (sowohl Rausgetragen als auch durch Disaster verloren) hatte. Alleine azure hatte dieses Jahr (!) schon mehrfach operative Schwierigkeiten...

Von der grundsätzlichen Problematik, das du deine Primäres Security Asset (den ID Provider) an einen dritten heraus gibst, mal ganz abgesehen... du brauchst keine SessionTokens mehr klauen, wenn du dir selbst welche Ausstellen kannst und einmal alles raustragen kannst.

Und was die Sicherheitszusagen von MS betrifft die haben ihre Cloud über Monate offen gehabt und kunden nicht (!) informiert: https://www.heise.de/meinung/Kommentar- ... 58697.html https://securityintelligence.com/articl ... d-breach/l

PS: Ja ich weiß, ich bin ein alter weißer Mann der die Wolken anschreit (literally) aber was den Kontroll- und Sicherheitsverlust durch diese Dienste geleistet wird ist mit nichts schön zureden

[ragdel]

Ja gerade Microsoft ist ein super schlechtes Beispiel. Vergeht ja kaum Zeit ohne irgendein Exchange Problem.. vom Master Key debakel nicht zu sprechen.

Cloud ist so ein Unding geworden, aber jeder Managementyp fuehlt sich ganz wichtig, wenn er mal Cloud sagen darf.
Ist der gleiche Unsinn wie momentan mit AI. Alles nur noch mit AI. Hier ein Chatbot, da eine GenAI. Hier koennen wir doch sicher auch noch AI einbauen, oder?

[Voigt]

Mal ne Frage an die Pod IT. Wo liegen eigentlich Passwörter für die Forenaccounts rum?

[Wudan]

Mal ne Frage an die Pod IT. Wo liegen eigentlich Passwörter für die Forenaccounts rum?

Comon, das ist bisschen zu obvious Social Engineering

[SirGaiwan&TheGreenT]

Die Folge hat mir sehr gefallen, für mich als Laien auch alles gut erklärt von Jochen. Wäre schön, wenn es zu der angedeuteten Themenerweiterung kommen würde.

Kann zumindest nachvollziehen, das es in Unternehmen und Verwaltungen tatsächlich schwer werden kann, Änderungen in der IT-Sicherheit und zusätzliche Maßnahmen durchzusetzen.

Konnte vor 10 Jahren aus dem Amtsinnenleben miterleben, wie eine größere kommunale Verwaltung vom Microsoft Office Paket auf Open/Libreoffice umgestellt hat.
Da gab es nicht nur Unmengen an offiziellen, aber freiwilligen Umschulungen in den Grundlagen der Writer-Benutzung die sich letztendlich nicht von Word unterscheidet. Sondern auch noch Jahre nach der Umstellung ein Wehklagen, wie Scheiße und Unnütz das alles doch ist, und dass die Stadtverwaltung doch bitte lieber öffentliche Gelder für Lizenzkosten ausgeben sollte, als dass man sich mal auf neue Symbole und vielleicht eine etwas andere Aufteilung der Funktionen auf die Menüs einstellen wollte.

Größere Änderungen die auch noch einen tatsächlichen Mehraufwand und Komfortverlust bedeuten sind in so einem Umfeld eigentlich zum Scheitern verurteilt.

[Raptor 2101]

Ja gerade Microsoft ist ein super schlechtes Beispiel. Vergeht ja kaum Zeit ohne irgendein Exchange Problem.. vom Master Key debakel nicht zu sprechen.

Cloud ist so ein Unding geworden, aber jeder Managementyp fuehlt sich ganz wichtig, wenn er mal Cloud sagen darf.
Ist der gleiche Unsinn wie momentan mit AI. Alles nur noch mit AI. Hier ein Chatbot, da eine GenAI. Hier koennen wir doch sicher auch noch AI einbauen, oder?

Du hast noch Blockchain und ganz viel Crypto vergessen ... komm Bruder im Geiste, setzt dich zu mir an Lagerfeuer, wir bejammer beide die Clouds

Die Folge hat mir sehr gefallen, für mich als Laien auch alles gut erklärt von Jochen. Wäre schön, wenn es zu der angedeuteten Themenerweiterung kommen würde.

Kann zumindest nachvollziehen, das es in Unternehmen und Verwaltungen tatsächlich schwer werden kann, Änderungen in der IT-Sicherheit und zusätzliche Maßnahmen durchzusetzen.

Konnte vor 10 Jahren aus dem Amtsinnenleben miterleben, wie eine größere kommunale Verwaltung vom Microsoft Office Paket auf Open/Libreoffice umgestellt hat.
Da gab es nicht nur Unmengen an offiziellen, aber freiwilligen Umschulungen in den Grundlagen der Writer-Benutzung die sich letztendlich nicht von Word unterscheidet. Sondern auch noch Jahre nach der Umstellung ein Wehklagen, wie Scheiße und Unnütz das alles doch ist, und dass die Stadtverwaltung doch bitte lieber öffentliche Gelder für Lizenzkosten ausgeben sollte, als dass man sich mal auf neue Symbole und vielleicht eine etwas andere Aufteilung der Funktionen auf die Menüs einstellen wollte.

Größere Änderungen die auch noch einen tatsächlichen Mehraufwand und Komfortverlust bedeuten sind in so einem Umfeld eigentlich zum Scheitern verurteilt.

Da kann ich Mithalten. Noch 2017 wohnte ich Diskussionen bei, welches nun das bessere Versionierungsystem sei: CVS oder SVN. Ich selbst hab gegen die Einführung von GIT argumentiert: "mit der Mannschaft nicht zu machen" obwohl ich privat zu der zeit schon seit Jahren alles auf GIT umgestellt hatte...

[Zak]

There is no glory in prevention.
Das hat sich in der CoViD-Pandemie gezeigt und zeigt sich ständig in der IT-Sicherheit. Das Jaulen und Klagen ist groß, wenn was passiert ist. Aber solange nichts passiert, wird sich beschwert.

Kann das Nutzen von Passwortmanagern nur bekräftigen. Nutze seit vielen Jahren KeePass und bin sehr zufrieden damit. Hatte neulich auch ein Gespräch mit meinem Vater (Altersklasse 60+) über das Thema Passwortsicherheit. Ja, er nutze an mehreren Stellen die gleichen Passwörter. Ja, er wisse, dass das nicht sicher sei. Und er würde das gern ändern, was hätte ich da für Empfehlungen. Am Ende scheitert's wieder am Aufwand, sich das Ding zu installieren und einzurichten.

Der Mensch ist ein Gewohnheitstier und nichts ist für ihn so schmerzhaft, wie lieb gewonnene Gewohnheiten abzulegen oder umzustellen. Das merkt man nicht nur im Sicherheitsbereich, (s.a. Ernährung, Genussmittel, Medienkonsum, etc.) aber vor allem dort.

Das Thema DSGVO wurde m.M.n etwas verkürzt dargestellt. Mir ist klar, dass es nicht Schwerpunkt der ansonsten sehr guten Folge war, aber das was dazu gesagt wurde, erzählt nur die halbe Wahrheit. Prinzipiell verbessert die DSGVO (bzw. die entsprechenden Regelungen in der EU) die Datensicherheit, weil es die Unternehmen unter Androhung hoher Bußgelder quasi zwingt, die Daten ihrer Kunden und Partner zu sichern und zu schützen. Damit wird ein Soll an Sicherungsmaßnahmen definiert, das früher nur freiwillig war oder abgeschwächt galt.
Fakt ist: Ein Datenleck führt nicht automatisch zu einem Bußgeld. Dafür müssen andere Voraussetzungen gegeben sein. Eine verspätete oder unterlassene Meldung führt beispielsweise dazu, oder – und das ist der Kern des neuen EU-Datenschutzes – wenn die getroffenen Maßnahmen nachweislich unzureichend im Sinne des Datenschutzes und der Datensicherheit waren.
So war das auch im Fall der British Airways: "That's why the law is clear - when you are entrusted with personal data, you must look after it. Those that don't will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights." (Quelle).

Sondern auch noch Jahre nach der Umstellung ein Wehklagen, wie Scheiße und Unnütz das alles doch ist, und dass die Stadtverwaltung doch bitte lieber öffentliche Gelder für Lizenzkosten ausgeben sollte, als dass man sich mal auf neue Symbole und vielleicht eine etwas andere Aufteilung der Funktionen auf die Menüs einstellen wollte.

Größere Änderungen die auch noch einen tatsächlichen Mehraufwand und Komfortverlust bedeuten sind in so einem Umfeld eigentlich zum Scheitern verurteilt.

Ist in meinen Augen ein klassischer Fall von "nicht das Herz getroffen". Klar, rational betrachtet wissen wir alle, dass das die richtige Maßnahme war. Aber das nützt nichts, wenn man die Leute nicht emotional mitnimmt. Der Kopf weiß, was gut ist, aber wenn das Herz anders fühlt, wird sich kein Verhalten ändern lassen. In deinem Beispiel wurde nicht darauf geachtet, die Leute wirklich mitzunehmen.
Das ist eine kommunikative und langwierige Aufgabe. Vieles fängt schon beim Framing an. Wenn richtig gemacht, kann das schon wichtige Anknüpfungspunkte geben. In meinem Unternehmen hatten wir neulich erst eine Projektwoche, bei der es auch um die bereichsübergreifende Kommunikation ging. Weil wir dort so intensiv und offen geredet haben, hat es Aha-Momente geradezu geregnet. Das war aber nur möglich, weil der Rahmen dafür gegeben war. Aber ich schweife ab...
Letztlich haben solche Umstellungen nur mit einer gesunden Mischung aus Kommunikation, Schulungen, Anreizen und vor allem der emotionalen Teilhabe Aussicht auf Erfolg.

Den Leuten beizubringen, das der Nutzer oder Kommunikationspartner dein Feind ist und dir böses will ... kostet Geld viel Geld und "Time to market"

Gilt auch für die eigenen Kollegen im Backend. Deshalb sollte auch dort eine gute Verteilung von Rollen und Berechtigungen implementiert sein. Schließlich könnte der Account vom Nachbarn gehackt sein. Zum Beispiel muss nicht jeder Entwickler mit Klarnamen von Kunden arbeiten. Und ein Redakteur muss keine Vertriebsdatensätze bearbeiten.

Noch 2017 wohnte ich Diskussionen bei, welches nun das bessere Versionierungsystem sei: CVS oder SVN. Ich selbst hab gegen die Einführung von GIT argumentiert: "mit der Mannschaft nicht zu machen" obwohl ich privat zu der zeit schon seit Jahren alles auf GIT umgestellt hatte...

2017 noch. Das ist heftig. Da sind einige irgendwann entwicklungstechnisch stehen geblieben. Wir können nur hoffen, dass uns das nicht passiert.

[Raptor 2101]

Den Leuten beizubringen, das der Nutzer oder Kommunikationspartner dein Feind ist und dir böses will ... kostet Geld viel Geld und "Time to market"

Gilt auch für die eigenen Kollegen im Backend. Deshalb sollte auch dort eine gute Verteilung von Rollen und Berechtigungen implementiert sein. Schließlich könnte der Account vom Nachbarn gehackt sein. Zum Beispiel muss nicht jeder Entwickler mit Klarnamen von Kunden arbeiten. Und ein Redakteur muss keine Vertriebsdatensätze bearbeiten.

Diese Isolation kostet aber Geld. Dann ist man ja nicht mehr "totally integrated", keine tranzparenz mehr ... ok ich höre schon auf. Alles was du sagst stimmt, ich würd sogar sagen, die Defense beginnt im Backend. Das kostet aber alles Geld und ist dem Management schwer zu vermitteln. Wann haben "sie" angefangen bei den 3rd Party Libs "zu tracken" was man da so eigentlich ausliefert: als die ersten dicken Strafen wegen GPL Verletzung eingetrudelt sind.

Seit wann fangen sie an sich über IT Sicherheit Gedanken zu machen ... in diesem sinne: der Schmerz (Kosten) kann nicht groß genug sein. Erst wenn ein paar größere Firmen daran zu Grunde gehen, werden sie es lernen. Und wenn das eine Firma wie Ubi, Take2 oder EA ist ... das Opfer bring ich gerne

Noch 2017 wohnte ich Diskussionen bei, welches nun das bessere Versionierungsystem sei: CVS oder SVN. Ich selbst hab gegen die Einführung von GIT argumentiert: "mit der Mannschaft nicht zu machen" obwohl ich privat zu der zeit schon seit Jahren alles auf GIT umgestellt hatte...

2017 noch. Das ist heftig. Da sind einige irgendwann entwicklungstechnisch stehen geblieben. Wir können nur hoffen, dass uns das nicht passiert.

Geht bei mir schon los: ich lehne BitCoin, Cloud und diese "Modernen" JS-Frameworks ab. Ich bilde mir ein gute Gründe dafür zu haben aber das haben die alten Kollegen sicher auch Gedacht ... das kommt wohl mit dem Alter

[Jochen Gebauer]

Das Thema DSGVO wurde m.M.n etwas verkürzt dargestellt. Mir ist klar, dass es nicht Schwerpunkt der ansonsten sehr guten Folge war, aber das was dazu gesagt wurde, erzählt nur die halbe Wahrheit. Prinzipiell verbessert die DSGVO (bzw. die entsprechenden Regelungen in der EU) die Datensicherheit, weil es die Unternehmen unter Androhung hoher Bußgelder quasi zwingt, die Daten ihrer Kunden und Partner zu sichern und zu schützen. Damit wird ein Soll an Sicherungsmaßnahmen definiert, das früher nur freiwillig war oder abgeschwächt galt.
Fakt ist: Ein Datenleck führt nicht automatisch zu einem Bußgeld. Dafür müssen andere Voraussetzungen gegeben sein. Eine verspätete oder unterlassene Meldung führt beispielsweise dazu, oder – und das ist der Kern des neuen EU-Datenschutzes – wenn die getroffenen Maßnahmen nachweislich unzureichend im Sinne des Datenschutzes und der Datensicherheit waren.
So war das auch im Fall der British Airways: "That's why the law is clear - when you are entrusted with personal data, you must look after it. Those that don't will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights." (Quelle).

Das ist korrekt. Meine Absicht (und auch die des Experten) war es nicht, die DSGVO ursächlich zum Problem zu erklären im Sinne von "ach, die armen Unternehmen, jetzt müssen sie DAS auch noch machen". Sondern rein im sachlichen Sinne von: "es spielt natürlich den Hackern in die Karten, wenn sich das Unternehmen nicht an die DSGVO hält und auch noch Strafzahlungen zu befürchten hat, wenn der Hack öffentlich wird". Meine Intention war, die Sachlage so zu präsentieren, wie sie ist bzw. mir erklärt wurde. Wenn dadurch der Eindruck entstand, die DSGVO an sich sei diesbezüglich ein Problem, war das unbeabsichtigt und doof. Danke fürs Feedback.

[tj91]

Sehr schöne Folge, die die wesentlichen Probleme gut verständlich dargestellt hat.

Leider ist das, was viele Firmen dagegen machen nur "Compliance", also man hält sich an irgendwelche Minimalstandards und kann dann sagen "Wir haben es ja versucht" und sieht so einen Angriff eher als Naturkatastrophe der man schutzlos ausgeliefert ist. Und manche Firmen lernen leider nicht nach dem ersten Vorfall, denn wie wahrscheinlich wird man gleich zwei mal von einer Naturkatastrophe überrollt?

[Desotho]

Passt ev. ganz gut dazu, auch weil ein paar Einblicke dabei sind: https://www.heise.de/news/Ransomware-Lo ... 33327.html

[Stew_TM]

Ich fand den Podcast auch sehr gewinnbringend, danke! Finde die Themenvielfalt bei The Pod aktuell richtig gut. Ich hätte mal zwei Fragen an die Experten, einerseits aus eigenem Interesse, andererseits weil es angeregt durch diesen Podcast zu einer Diskussion kam, für die ich gerne ein bisschen mehr Futter hätte. Nehme gerne auch einfach nur Links zu empfehlenswerten Quellen zum Further Reading.

Zum einen eine Frage mit konkretem Anwendungsbezug: Wie verhalten sich KeePass und co. insbesondere in Bezug auf Sicherheit (aber natürlich auch Komfort) zu den inzwischen ja in allen Browsern implementierten Passwortmanagern? Bei Chrome und Edge lohnt sich Skepsis natürlich, da dort eben Google und Microsoft hinterstecken. Aber wie sieht es z.B. mit Firefox aus? [Edit: Ah, mir war nicht klar, dass es sich bei Kee Pass um ein kostenloses Open Source Projekt handelt. Ist also erstmal nicht auf einer Stufe mit kommerziellen Anbietern wie Dashline, da hatte ich das zunächst eingeordnet.]

Und zum anderen eine generelle Frage: Wie verhält sich Open Source Software in Bezug auf Cybersicherheit zu proprietären Programmen (also ganz doof - Libre Office vs. Microsoft Office)?

[philipp_neu]

...
Zum einen eine Frage mit konkretem Anwendungsbezug: Wie verhalten sich KeePass und co. insbesondere in Bezug auf Sicherheit (aber natürlich auch Komfort) zu den inzwischen ja in allen Browsern implementierten Passwortmanagern? Bei Chrome und Edge lohnt sich Skepsis natürlich, da dort eben Google und Microsoft hinterstecken. Aber wie sieht es z.B. mit Firefox aus? [Edit: Ah, mir war nicht klar, dass es sich bei Kee Pass um ein kostenloses Open Source Projekt handelt. Ist also erstmal nicht auf einer Stufe mit kommerziellen Anbietern wie Dashline, da hatte ich das zunächst eingeordnet.]

Und zum anderen eine generelle Frage: Wie verhält sich Open Source Software in Bezug auf Cybersicherheit zu proprietären Programmen (also ganz doof - Libre Office vs. Microsoft Office)?

Zu A)
KeePass ist in seiner Urausführung eine lokale Datenbank, die Benutzernamen, Passwörter und Metadaten speichert und lokal verschlüsselt. Der große Vorteil ist hier, es ist OpenSource. Der Nachteil ist hier, dass man sich z.B. um weitere Funktionen wie Syncronisierung mit anderen Endgeräten o.Ä einzurichten, etwas mit dem Programm auseinandersetzen muss, um es nach seinen Wünschen anpassen zu können - hier gibt es aber zahlreiche PlugIns. Auch ist hier die Datensicherung etwas das man beachten muss: Man ist selbst für das Backup zuständig.
Firefox funktioniert ganz ähnlich, auch hier werden die Passwörter, die du im Browser speicherst lokal in deinem Userprofil verschlüsselt und lokal gespeichert (Denke mal bei Edge und Chrome ist es auch so). Interessant wird Firefox mit seiner Sync-Funktion. Hier kann man im Grunde sein Userprofil (oder große Teile davon) über mehrere Endgeräte hinweg syncronisieren und hat immer alles zur Hand.
Wie Mozilla das macht wird hier erklärt:
https://support.mozilla.org/en-US/kb/ho ... -passwords
https://hacks.mozilla.org/2018/11/firefox-sync-privacy/

Chrome, Edge und andere Browser haben ähnliche Funktionen.

Kommerzielle Anbieter wie z.B. 1Password speichern hingegen die Passwörter auf Ihren eigenen Servern im Web, um einfachen Zugriff von mehreren Endgeräten und Datensicherheit (Backup) zu garantieren. Ich bin kein großer Fan davon, meine gesamten Passwörter einem Unternehmen anzuvertrauen, aber das muss jeder für sich wissen.

Zu B)
Grundsätzlich kann jede Software Sicherheitslücken haben, egal ob OpenSource oder Properitär. Der große Vorteil im OpenSource Umfeld ist, dass viele Sicherheitslücken schneller gepatcht werden können. Unternehmen tun sich oft schwer Sicherheitslücken zu patchen, das geht los bei der Problemerkennung, Reaktionszeit bis hin zur Zeit bis zum Roll-Out.

[Krokettenkardinal]

Libreoffice hat den Sicherheitsvorteil, dass MS Office Macros damit nicht funktionieren. Sonst ist LO auch ein Haufen gramselcode. Ist zu kaputt um wirklich was weiterentwickeln zu können.

> After twelve years and five release cycles – code cleaning, code refactoring, polishing the user interface, extending to new hardware and software platforms, and optimizing interoperability with OOXML to support users – it is increasingly difficult to develop entirely new features, so most of them are refinements or improvements of existing ones.

https://blog.documentfoundation.org/blo ... community/

[Raptor 2101]

Ich fand den Podcast auch sehr gewinnbringend, danke! Finde die Themenvielfalt bei The Pod aktuell richtig gut. Ich hätte mal zwei Fragen an die Experten, einerseits aus eigenem Interesse, andererseits weil es angeregt durch diesen Podcast zu einer Diskussion kam, für die ich gerne ein bisschen mehr Futter hätte. Nehme gerne auch einfach nur Links zu empfehlenswerten Quellen zum Further Reading.

Zum einen eine Frage mit konkretem Anwendungsbezug: Wie verhalten sich KeePass und co. insbesondere in Bezug auf Sicherheit (aber natürlich auch Komfort) zu den inzwischen ja in allen Browsern implementierten Passwortmanagern? Bei Chrome und Edge lohnt sich Skepsis natürlich, da dort eben Google und Microsoft hinterstecken. Aber wie sieht es z.B. mit Firefox aus? [Edit: Ah, mir war nicht klar, dass es sich bei Kee Pass um ein kostenloses Open Source Projekt handelt. Ist also erstmal nicht auf einer Stufe mit kommerziellen Anbietern wie Dashline, da hatte ich das zunächst eingeordnet.]

Und zum anderen eine generelle Frage: Wie verhält sich Open Source Software in Bezug auf Cybersicherheit zu proprietären Programmen (also ganz doof - Libre Office vs. Microsoft Office)?

OpenSource bringt für dich als Endnutzer (Anwendung nur nutzen) im ersten Moment nichts. OpenSource bringt dir langfristig was. Für sicherheit ist bringt es dir nur was, wenn jemand (fähiges) die sourcen auch reviewed.
Keepass hat den letzten audit 2016 (der zu-mindestens veröffentlicht wurde). Ich selbst bin seit ein paar Jahren bei Bitwarden und nötige meine Familie samt Kids dazu Das letzte audit dieser Software ist von 2021, man kann das Backend selbst hosten und die Integration in Browser, Smartphones und co funktioniert reibungslos.

BTW: Bei office suites gelten generell als Security-Problem. Die Formate (pdf, docx, odf) gelten als zu flexibel...

[tj91]

@Stew_TM: Deine erste Frage wurde denke ich schon zufriedenstellend beantwortet.

Die kurze Antwort auf deine zweite Frage ist: Es hängt weniger von Open Source vs Closed Source ab als von anderen Faktoren. Es gibt da draußen Beispiele und Gegenbeispiele für fast jedes Argument in jede Richtung. Prinzipiell ist Open Source natürlich nett, aber man darf es für sich genommen nicht als ein Qualitätssiegel sehen.