067: Alles über Passkeys! Mit Yvonne Aurich.

Shownotes

In dieser Episode von BlueScreen sprechen wir über das Thema Passkeys mit dem Gast Yvonne Aurich. Passkeys sind ein komplexes Thema in der IT-Sicherheit, das verschiedene Meinungen hervorruft. Wir diskutieren die Verwendung von Passkeys für Authentifizierung und zur Verschlüsselung von Daten. Im Vergleich zu herkömmlichen Kennwörtern bieten Passkeys eine verbesserte Sicherheit gegen Phishing-Angriffe und sind einfacher zu handhaben, da biometrische Daten genutzt werden können.

Wir stellen fest, dass Passkeys eine gewisse Existenzberechtigung im Markt haben, jedoch auch Herausforderungen mit sich bringen. Die Vertrauensfrage gegenüber den Herstellern von Smartphones und Geräten wird diskutiert, da die Sicherheit der Passkeys von der Sicherheit dieser Geräte abhängt. Wir erörtern alternative Sicherheitsmethoden wie zertifikatsbasierte Anmeldungen und diskutieren die Vor- und Nachteile verschiedener Sicherheitslösungen.

Es wird betont, dass Passkeys für private Anwender geeignet sein können, jedoch für Unternehmen möglicherweise bedenklich sind, insbesondere im Hinblick auf Datenschutzvorschriften. Wir reflektieren über die Komplexität von Sicherheitslösungen und die Bedeutung von Benutzerfreundlichkeit und Datenschutz. Zum Abschluss empfehlen wir, kritisch über die Verwendung von Passkeys nachzudenken und auch andere Sicherheitslösungen in Betracht zu ziehen.

Der Gast Yvonne Aurich teilt auch ihre aktuellen Interessen an Künstlicher Intelligenz und der DSGVO-konformen Nutzung von KI-Technologien. Wir diskutieren die Entwicklungen und Herausforderungen in diesem Bereich und planen, in Zukunft weitere Episoden zu diesem Thema zu produzieren.

Shownotes:

Transkript anzeigen

00:00:03: Blue Screen, der Tech-Podcast. Hallo und willkommen zu einer weiteren Folge von Blue Screen Wissen.

00:00:11: Ich habe heute ein Special für euch am Start, habt ihr wahrscheinlich im Titel schon gesehen.

00:00:16: Normalerweise ist ja die Wissen-Folge immer mit mir ganz alleine und ich stehe vor der Cam.

00:00:22: Diesmal habe ich mir gedacht, hole ich mir mal ein bisschen Verstärkung dazu,

00:00:26: zu, weil das Thema, was wir heute haben, nämlich Passkeys, das glaube ich,

00:00:31: kann ich alleine gar nicht so richtig erklären und deswegen habe ich mir die

00:00:35: Yvonne Aurich dazu geholt.

00:00:37: Hi Yvonne, ich würde sagen, stell dich doch einfach mal kurz vor und erzähl

00:00:40: uns ein bisschen, was du so machst und wie wir beide zusammengefunden haben.

00:00:45: Ja, ich bin Intrapreneurin bei ITVitra. Das bedeutet, ich bin unter anderem

00:00:50: auch dafür verantwortlich, den Geschäftsprozess und den Geschäftsbereich von

00:00:54: ITVitra mitzuentwickeln. Ja, wo wir uns getroffen haben, auf LinkedIn. Ganz klassisch.

00:01:00: Ganz genau. Danke dir. Ja, ich habe festgestellt, die Yvonne hat so ein ähnliches

00:01:04: Format wie wir, nämlich die IT-Häppchen für zwischendurch. Und ich habe so die

00:01:09: eine oder andere Überschneidung entdeckt bei unseren Themen, die wir so hatten.

00:01:13: Dann habe ich mir gedacht, Mensch, ich frage doch jetzt einfach mal die Yvonne,

00:01:16: ob sie nicht Bock hätte, dass wir hier mal gemeinsam ein Thema an unseren Followerkreis

00:01:21: sozusagen zusammen raustransportieren wollen.

00:01:23: Weil, wie gesagt, Passkeys, das ist so ein doch etwas komplizierteres Thema.

00:01:29: Und Yvonne, hast du dich denn damit schon mal in deinen Vorbereitungen für deine

00:01:33: eigene Publikation beschäftigt? Ja, tatsächlich.

00:01:37: Also Passkeys ist ja ein Thema, was in der IT-Security immer wieder mal auftaucht, neben 2FA. Und?

00:01:43: Die Meinungen gehen ja von bis. Also in der Vorbereitung, ich habe mit zwei

00:01:47: ITlern gesprochen und die hatten auch komplett verschiedene Meinungen zu dem Thema.

00:01:51: Und deswegen fand ich es super spannend, dass du mich dafür doch eingeladen hast.

00:01:55: Ja, wie gesagt, mir ging es ähnlich. Ich habe auch gesehen, das BSI hat ja in

00:02:00: ihrem eigenen Podcast mittlerweile auch darüber gesprochen.

00:02:04: Der Podcast vom BSI, den könnt ihr auch unten in den Shownotes euch nachher

00:02:07: mal dann im Anschluss anhören. anhören. Update verfügbar heißt dieser Podcast.

00:02:11: Da erzählen die Ute Lange und der Michael Münz auch immer wieder über verschiedene

00:02:17: Themen und in dieser Folge, ich glaube, das war Folge Nummer 40,

00:02:20: erzählt der BSI-Experte Stefan Becker eben auch eben über Passkeys.

00:02:25: Und Yvonne und ich haben danach mal uns zusammengeschrieben,

00:02:29: weil ich auch gesagt habe, das ist zwar ganz nett, wie das BSI das erklärt,

00:02:32: ist mir aber so ein bisschen zu sehr Armin Maywald-artig.

00:02:35: Also das ist so, Also nee, also wenn du eine Webseite hast und die unterstützt

00:02:41: Passkeys, dann nimmst du dein Handy und dann richtest du das ein und dann ist alles cool.

00:02:45: Aber das ist mir persönlich ein bisschen zu salopp und auch zu schwach erklärt.

00:02:50: Aber vielleicht, bevor wir da jetzt richtig in die Tiefe mal einsteigen,

00:02:54: warum sollte man oder warum kann man denn Passkeys benutzen, Yvonne?

00:02:58: Du hast gerade 2FA schon erwähnt. Wie passt denn Passkey in das Ganze rein?

00:03:02: Ja, Passkeys kann man eigentlich für zwei Dinge hauptsächlich benutzen.

00:03:07: Das eine ist Authentizierung.

00:03:08: Das bedeutet halt, dass man sich mit dem Passkey anmeldet irgendwo.

00:03:12: Aber auch Encryption, also sprich Verschlüsselung von Daten,

00:03:16: da kann es auch genutzt werden.

00:03:18: Ja, die Kette der Möglichkeit von Account-Absicherung, die hatten wir ja hier

00:03:23: auch schon bei mir im Podcast ein paar Mal.

00:03:25: Also ich glaube, wir sind uns einig, Kennwörter sind nicht cool.

00:03:28: Kennwörter sind einfach auch zu simpel mittlerweile.

00:03:31: MFA ist irgendwie auch nicht mehr so richtig cool, weil MFA kann,

00:03:35: wie wir ja letztes Jahr gelernt haben, mit Evil Jinx und Evil Proxy auch mittlerweile

00:03:39: abgegriffen werden. Das ist also nicht Phishing-Resistant.

00:03:42: Und ja, mit Passkey wird das Ganze Phishing-Resistant so ähnlich,

00:03:48: sag ich mal, wie mit Hello for Business oder auch Phishing-Resistant so ähnlich

00:03:53: wie mit einem Security-Key,

00:03:54: wie einem Authy oder einem Yubi-Key, aber mit einem großen Unterschied,

00:03:59: weil ich mache mein Telefon zum Sicherheitsdatenträger, zum Schlüsseldatenträger.

00:04:06: Und Yvonne, wie geht das jetzt?

00:04:09: Was muss ich dafür mitbringen oder wo kann man es schon benutzen?

00:04:13: Also ich habe es jetzt die Tage bei meinem Android-Telefon mal probiert.

00:04:16: Und zwar kam mein Android-Telefon, das ist ein Samsung, und hat dieses Nox mit drauf.

00:04:21: Was bedeutet, du kannst deine biometrischen Daten halt in den Schlüsselspeicher

00:04:24: stecken und dich damit dann überall authentifizieren.

00:04:29: Mein Sperrbildschirm zum Beispiel geht mit meinem Fingerabdruck auf.

00:04:32: Kann aber alternativ auch noch wischen, also sprich, man muss ja wischen.

00:04:35: Hauptsächlich ist es halt dafür gedacht, weil eben Fingerabdrücke oder auch

00:04:38: Gesicht ist einzigartig.

00:04:40: Das heißt, du bist nur damit wirklich erkennbar und damit ist eine Einzigartigkeit

00:04:44: gegeben, weswegen man das macht.

00:04:47: Ja, jetzt muss man aber leider dann in dem Fall Samsung halt vertrauen.

00:04:52: Da habe ich persönlich so ein bisschen ein Problem mit.

00:04:57: Ähnlich ist es bei Apple. Richtig. Ich müsste auch Apple vertrauen.

00:05:00: Richtig, auch jedem Anbieter dann in dem Moment, der das halt in der B&E Cloud

00:05:04: speichert oder aufs Gerät speichert, muss der dann dem Gerätehersteller in dem Moment vertrauen.

00:05:10: Und mein Mann zum Beispiel, mit dem ich mich darüber unterhalten hatte,

00:05:13: hat gesagt so, boah, schwierig, weil ich weiß ja nicht, was sie da reingemacht haben.

00:05:18: Sprich, er misstraut in dem Moment den Herstellern aufgrund dessen,

00:05:22: weil in der Vergangenheit ja auch schon andere Hersteller dachten,

00:05:27: wo wir dachten, es ist sicher.

00:05:32: Microsoft, Masterkey, Boost. Ja, da den Herstellern zu vertrauen,

00:05:35: fällt mir persönlich ziemlich schwer. Ja, weil es ja halt in der Vergangenheit

00:05:39: schon öfter Inzidenz gegeben hat, wo man sagt so, ja, kann man denen überhaupt

00:05:43: vertrauen? Ist die Frage. Ganz genau.

00:05:46: Das sehe ich ähnlich. Das eine ist das Vertrauen zum jeweiligen Anbieter.

00:05:50: Ich meine, ja, ich habe auch viele Kennwörter in der Keychain von Apple gespeichert.

00:05:55: Das ist für mich soweit auch okay, aber diese Kennwörter sind halt nur die halbe Miete.

00:05:59: Also der Rest der Vertrauenskette liegt dann trotzdem immer noch bei einer Art

00:06:04: MFA, sei es jetzt mit Microsoft Authenticator oder einem anderen Verfahren.

00:06:08: Aber wenn ich meinen Passkey komplett an den Hersteller meiner Mobilfunk-Hardware

00:06:14: übergebe, dann haben die halt im Grunde genommen auch den geheimen Schlüssel.

00:06:18: Also wenn ich jetzt auf einer Website bin beispielsweise und sage,

00:06:21: ich möchte mich jetzt hier in Zukunft mit einem Passkey anmelden,

00:06:24: dann werden halt zwei digitale Schlüssel erzeugt, die miteinander sich unterhalten.

00:06:28: Der eine, der ist bei mir, der andere beim Dienstanbieter, also keine Ahnung,

00:06:32: bei welcher Website, sei es jetzt bei Microsoft oder Steam oder sonst wo.

00:06:35: Und dadurch, dass aber ja in dem Moment bei dir jetzt bei Samsung und bei mir

00:06:40: bei Apple dieser geheime Schlüssel ja nicht bei mir nur auf meinem Gerät liegt,

00:06:45: sondern eben auch wiederum in der Keychain bei Apple oder Samsung.

00:06:48: Könnte natürlich theoretisch jemand jetzt hergehen und hintenrum mir diesen

00:06:52: Schlüssel wegnehmen oder wegkopieren und sich eben an den Diensten anmelden.

00:06:57: Und da, finde ich, ist es schon ein ziemliches Risiko, was man definitiv auch

00:07:02: auf dem Schirm haben sollte,

00:07:03: vor allem jetzt auch mal aus Sicht des Datenschutzes, weil ich übertrage Informationen

00:07:07: mit dem Schutzziel der Vertraulichkeit und der Integrität an einen US- oder

00:07:13: asiatischen Hersteller.

00:07:15: Und da, glaube ich, ist gerade jetzt für deutsche Unternehmen an der Stelle

00:07:19: der Ofen schon aus, oder? Wie siehst du das?

00:07:22: Schwierig. Auf jeden Fall schwierig. Wenn man gerade in den Datenschutz geht.

00:07:25: Es gibt aktuell, ich weiß nicht, wie es beim Fairphone ist, das in Frankreich

00:07:30: hergestellt ist. Da bin ich mir gerade nicht ganz sicher.

00:07:32: Aber dadurch, dass Apple eben USA ist und Samsung halt aus Korea kommt,

00:07:36: schwierig, finde ich persönlich.

00:07:39: Ja, es macht halt die Hürde natürlich größer.

00:07:42: Wenn wir jetzt mal nicht davon ausgehen, dass die Hersteller es böse meinen

00:07:46: oder dass da was passieren könnte, schon natürlich für den Anwender praktikabler.

00:07:51: Das heißt, vorher musste ich mir Kennwörter ausdenken.

00:07:54: Ich habe vielleicht einen Passwortmanager benutzt.

00:07:57: Passwortmanager sind ja auch wieder nicht sicher. Ein Passwortmanager ist auch

00:08:00: nur so gut wie der Anbieter, der die Daten da drin speichert,

00:08:02: gerade auf dem Smartphone.

00:08:04: Das heißt, der User hat schon natürlich einen gewissen Schutz,

00:08:07: gerade für private Konten, dass ich eben mir nicht mehr irgendein Larifari-Kennwort

00:08:12: ausdenke und dieses Kennwort vielleicht auch noch bei allen möglichen Diensten benutze.

00:08:16: Insofern hat das BSI da natürlich schon recht mit der Darstellung.

00:08:21: Die ist halt in erster Linie eher so Richtung Privatanwender,

00:08:24: glaube ich, damals auch gedacht gewesen, als sie das Ganze aufgenommen haben.

00:08:28: Für Unternehmen bin ich aber schon der Meinung, dass diese Simplizität,

00:08:34: die einem da suggeriert wird, durchaus ergänzt werden muss, um die Faktoren

00:08:38: oder auch die Bedenken, die wir beide gerade jetzt eben gesagt haben.

00:08:42: Weil ansonsten ist natürlich das Risiko schon da, dass mir jemand hintenrum meine Daten abzieht.

00:08:47: Eine bessere Variante aus meiner Sicht ist nach wie vor dennoch eine zertifikatsbasierte

00:08:53: Anmeldung, wie zum Beispiel Hello for Business das macht von Microsoft,

00:08:56: weil da ist mein Laptop oder mein PC in dem Moment Zertifikatsträger oder halt

00:09:01: dann wirklich ein physikalisches Gerät wie ein YubiKey, ein Authy,

00:09:05: ein was auch immer Fido Alliance zertifiziertes Gerät, weil dann habe ich halt

00:09:10: wirklich die Information,

00:09:11: ich brauche was, was ich kenne, was ich habe.

00:09:14: Ich brauche vielleicht noch eine PIN obendrauf und das kann mir halt auch nicht

00:09:19: einfach irgendjemand wegnehmen.

00:09:20: Also da müssen schon sehr, sehr viele Faktoren einfach kaputt gehen auf dem Weg dazwischen.

00:09:25: Und auch die Zertifizierungskette zu brechen ist an der Stelle eigentlich nicht

00:09:30: möglich, weil ohne die Hardware gibt es halt einfach keinen gültigen Session-Token.

00:09:34: Ja, nichtsdestotrotz, Passkeys haben, glaube ich, schon eine gewisse Existenzberechtigung im Markt.

00:09:42: Wo siehst du denn ansonsten noch Vorteile für das ganze Verfahren?

00:09:46: Ja, letzten Endes halt in der Simplizität als zweiten Faktor beispielsweise.

00:09:50: Einfach, weil man mit einem Fingerabdruck beispielsweise das Handy entsperren

00:09:54: und dann den zweiten Faktor nehmen kann, finde ich persönlich okay. Das kann man machen.

00:09:58: Ich habe zum Beispiel bei mir so gelöst, ich habe einen Passwortmanager bei

00:10:02: mir auf dem Laptop und für 2FA, also für OTP, nehme ich halt mein Handy.

00:10:07: Sprich, schon der Gedanke, dass ich dann sage, okay, ich nehme getrennte Geräte,

00:10:10: war schon von vornherein, als ich es aufgebaut habe, schon mit drin.

00:10:14: Und dann die zweite Datenbank mit biometrischen Daten aufzuschließen,

00:10:18: halte ich für eine sehr gute Idee. Ja.

00:10:21: Lokal, der Passwortmanager, ist der dann auch mit Kennwort nur gesichert oder

00:10:25: hat der dann auch nochmal zusätzlich einen zweiten Faktor? Der hat nur einen,

00:10:29: Moment, es müssten 40, 50 Zeichen sein.

00:10:33: Es ist wirklich ein sehr, sehr, sehr langes Passwort, was ich da habe.

00:10:36: Mit Sonderzeichen, mit allem drum und dran.

00:10:39: Ja gut, könnte man natürlich dann auch wiederum mit 2FA absichern.

00:10:42: Aber ja, es muss natürlich alles auch noch am Ende des Tages bedienbar bleiben.

00:10:46: Das ist das, was ich in vielen Post-Audits natürlich auch mit Kunden dann eben

00:10:49: sage. Klar, die Sicherheitstechnik wäre schon verfügbar, aber am Ende des Tages

00:10:55: müssen es die Anwender halt auch mitmachen.

00:10:57: Nur eben zu einfach ist dann auch wieder nicht der richtige Weg.

00:11:00: Zumal, wenn man mal noch ein bisschen weiter denkt und auch die Frage hat das

00:11:05: BSI in ihrem eigenen Podcast tatsächlich gestellt, was ist denn,

00:11:09: wenn mein Handy jetzt kaputt geht? Wie komme ich denn dann noch an meine Anwendungen ran?

00:11:13: Und da wird es natürlich dann unter Umständen schon interessant,

00:11:16: denn wenn ich nur dieses eine Handy habe oder mein Account kompromittiert wurde,

00:11:21: dann habe ich ja im Grunde genommen alles verloren.

00:11:23: Dann komme ich ja gar nicht an meinen Account ran.

00:11:27: Ja, im Fall vom YubiKey zum Beispiel wird ja immer empfohlen,

00:11:30: den zweiten Key mitzumachen, um eben diesen Fall auszuschließen.

00:11:34: Richtig. Ja, das ist auch immer ganz, ganz witzig, wenn dann Kunden danach fragen

00:11:37: und sagen, ja, und was mache ich, wenn ich den YubiKey vergesse?

00:11:40: Ja, dann arbeitest du halt nicht. Oder du hast einen zweiten YubiKey.

00:11:43: So, okay, wir verdoppeln gerade die Kosten für die Sicherheitstechnik.

00:11:47: Okay, gut. Nee, aber der YubiKey ist halt auch einfach ein robustes Stück an der Stelle.

00:11:51: Also ich habe meinen jetzt schon ein paar Mal mitgewaschen aus Versehen und

00:11:54: Kollege ist mit dem Auto drüber gefahren, da geht halt auch nichts kaputt im

00:11:57: Vergleich zum Smartphone an der Stelle.

00:12:00: Also gut, ansonsten, was gäbe

00:12:03: es denn alternativ noch oder siehst du überhaupt noch eine Alternative?

00:12:06: Also ich glaube, Passkeys sind für privat okay, für Firmen eher nicht okay,

00:12:13: außer man schafft es mit dem Datenschutzbeauftragten einen Weg zu finden,

00:12:17: welche Sachen über ein Passkey gesichert werden.

00:12:19: Was könntest du denn ansonsten noch mit in die Entscheidungsmatrix für Interessierte aufnehmen?

00:12:26: Da habe ich tatsächlich auch drüber nachgedacht, weil wir sind ja auf der Leiter

00:12:29: Passwörter, dann 2FA und dann eben Passkeys.

00:12:34: Und aktuell sehe ich tatsächlich also keine anderen Wege, die jetzt irgendwie

00:12:40: zielführend werden auch für Firmen, weil Firmen machen es ja letzten Endes auch

00:12:45: kaum anders wie mit NFC-Karten oder halt mit YubiKeys,

00:12:48: selbst im Finanzsektor, wenn ich es richtig weiß.

00:12:51: Ja, im Finanzsektor klar. Alles, was irgendwie zertifizierungspflichtig ist.

00:12:56: Jetzt sprichst du gerade BaFin-Zertifizierungen an, aber das Ähnliche ist es

00:12:59: auch mit Mill-Zertifizierungen.

00:13:01: Das haben wir auch zum Teil, die Anforderungen, wo dann auch eben die Frage

00:13:05: danach kommt, wie kann ich denn hier allumfassend sowas machen und vor allem für alle Systeme.

00:13:12: Dann käme vielleicht relativ schnell die Antwort noch, ja, dann mach es mit

00:13:16: Duo, aber Duo braucht schon wieder Cloud und Cloud ist wiederum verboten vielleicht bei Mill und Co.

00:13:21: Und dann hast du natürlich schon am Ende des Tages vielleicht mehrere Inseln,

00:13:25: die du irgendwie separat betanken musst, weil auch der YubiKey ist standardmäßig

00:13:29: als Smartcard ganz cool, aber der Prozess, um es auszubringen,

00:13:33: ist halt schon auch ein bisschen steinig.

00:13:34: Also da ist natürlich dann der Admin gefragt oder der Dienstleister,

00:13:38: der das Ganze im Unternehmen dann entsprechend einbringen soll.

00:13:41: Neben dem Aufbau von der Zertifizierungsstelle muss natürlich dann auch noch

00:13:45: an allen x-beliebigen Stellen Treiber installiert werden und es muss getestet

00:13:49: werden und, und, und, und.

00:13:50: Insofern, um den Bogen wieder zurück zur Eingangsfrage zu bringen,

00:13:55: Passkeys sind schon cool, weil das halt einfach an der Stelle entfällt.

00:13:59: Also, aber solange es halt keine hausinterne Passkey-Lösung gibt,

00:14:04: ist es halt trotzdem einfach ein Problem. Ich meine, auch Microsoft versucht

00:14:08: sich da dran gerade, also das ist jetzt in der Public Preview,

00:14:11: dass in Entra das Ganze reinkommen soll mit Passkeys.

00:14:14: Aber auch da ist halt immer wieder die Vertrauensfrage.

00:14:17: Und ich kenne gerade im Moment keinen deutschen Hersteller, der Passkey-Unterstützung

00:14:21: anbieten kann, um genau das eben zu bewerkstelligen.

00:14:26: Ja, da wird sich ja, ich sag mal, seitens Unternehmen draufgestößt,

00:14:30: von wegen, ja, Microsoft hat ja einen Serverstandpunkt hier in Europa,

00:14:34: das wird schon DSG-konform sein, ja.

00:14:36: Ja, das mögen die Datenschutzbeauftragten teilweise so sehen.

00:14:42: Der Herr Schrems sieht es spätestens dann anders.

00:14:44: Und da wird es natürlich dann schon wieder interessant an der Stelle.

00:14:48: Und ja, gut. Also ich glaube, wir können bis hierhin festhalten,

00:14:53: das ist auf jeden Fall ein schwieriges

00:14:56: Thema, was leider sehr einfach zu erreichen ist für den Anwender.

00:15:00: Mein persönlicher Tipp ist, ich würde es nicht machen. und da kannst du dich

00:15:04: auch anschließen, so was ich so raushöre bei dir.

00:15:08: Ja, es ist halt das Problem, dass man halt den Herstellern vertrauen muss und

00:15:12: solange ich keine White Papers gesehen habe, wie das Ganze funktioniert,

00:15:15: selbst wenn es Fido 2 ist und selbst wenn es soweit ein offener Standard ist,

00:15:20: solange ich keine White Papers dazu gesehen habe,

00:15:23: Das ist schwierig. Dazu ergänzend, ich meine, schön, dass wir das alles mit

00:15:27: Passkeys halt dementsprechend absichern können und wollen und so weiter.

00:15:31: Aber ich habe mich nochmal die letzten Tage mit Session-Tokens beschäftigt.

00:15:35: Und da kannst du noch so schön deinen Account absichern. Wenn deine Session-Tokens

00:15:40: weg sind, sind sie weg. Punkt.

00:15:41: Und dann kann der Session-Token durchaus dazu genutzt werden,

00:15:44: um sich für dich auszugeben. Da hilft dir dann auch kein Passkey mehr. Ja, richtig.

00:15:49: Das ist eben das große Problem. Deswegen immer noch, glaube ich,

00:15:53: die Empfehlung eher wirklich zu Phishing-Resistant MFA zu gehen,

00:15:57: weil da habe ich das Problem halt nun mal nicht, weil das Token immer nur in

00:16:00: Verbindung mit dem Sicherheitsdatenträger sozusagen in Verbindung funktioniert

00:16:04: und da ist halt Session Stealing an der Stelle nicht drin.

00:16:07: Und ja, gebe ich dir komplett recht, ja, bei einem Passkey ist es trotzdem nochmal

00:16:11: eine andere Hausnummer. Ja, gut.

00:16:14: Heißt, Fazit für euch, für euch Zuhörer da draußen. Überlegt euch das gut,

00:16:20: bevor ihr euch mit sowas beschäftigt.

00:16:23: Und mal so in Richtung Yvonne gefragt, was ist denn dann deine nächste Baustelle?

00:16:28: Jetzt haben wir ja im Prinzip Passkey soweit mal abgeklopft.

00:16:31: Wie geht es bei dir weiter?

00:16:33: Ich beschäftige mich aktuell sehr, sehr viel mit KI, auch mit der Möglichkeit,

00:16:37: KI DSGVO-konform nutzen zu können.

00:16:40: Da gab es jetzt ein spannendes Ding, was ich vor ein paar Tagen auf LinkedIn

00:16:44: gesehen habe, dass eine Firma in Deutschland, in Berlin, es anscheinend möglich gemacht hat.

00:16:49: Und mit den Herrschaften möchte ich mich mit demnächst auch mal unterhalten.

00:16:53: Okay, das ist sehr interessant, weil ich hatte mich zuletzt mit Mistral mal

00:16:57: beschäftigt als europäische Lösung. Das ist auch so aus meiner oder unserer

00:17:01: gemeinsamen LinkedIn-Bubble ein bisschen hervorgegangen.

00:17:05: CyberWild hatte sich ja da ausgiebig mit beschäftigt. Und ja,

00:17:08: ich bin mal gespannt. Also da werden wir definitiv auch noch mal eine eigene Folge dazu machen.

00:17:13: Hatte ich ja auch schon auf unserem YouTube-Kanal. Falls ihr jetzt immer noch

00:17:16: nicht wisst, was ihr nach dem BSI-Podcast, den ihr nach unserer Folge bitte

00:17:20: erst anhört, euch anhören möchtet, schaut mal bei uns auf dem YouTube-Kanal vorbei.

00:17:23: Da hatte ich ja auch schon letztes Jahr ein paar Videos zu KI gemacht.

00:17:27: Und ja, bleibt auf jeden Fall sehr spannend und ich bin mal gespannt,

00:17:31: was da noch so alles hochkommt.

00:17:33: Aber Stand heute muss ich sagen, Chat-GPT wird mit jedem Update schlechter.

00:17:36: Ja, definitiv. Das ist so schlimm geworden in letzter Zeit, als wenn das Ding

00:17:40: wirklich faul geworden wäre. Keine Ahnung.

00:17:44: Ja, das stimmt. Es nervt so langsam und vor allem trotz bezahlten Account wird

00:17:51: es, was den Output angeht, zuletzt hat es gar nicht mehr reagiert eine Zeit lang und das ist schon,

00:17:57: ja, weiß ich nicht, in welche Richtung sich das noch entwickeln wird.

00:18:02: Gut, dann in diesem Sinne würde ich sagen, Yvonne, ich danke dir ganz herzlich,

00:18:05: dass du dir auch einen Kopf gemacht hast dazu und dass du jetzt meine Meinung

00:18:08: teilst. Das hätte gar nicht sein müssen.

00:18:10: Vielleicht hättest du ja eine andere Idee noch gehabt dazu. Aber insofern,

00:18:14: es freut mich auch, wenn wir beide im Grunde genommen die gleiche Erkenntnis

00:18:17: hatten, dass Parski cool ist und fancy, aber halt mit einem großen Aber betrachtet

00:18:22: zu sein scheint oder sein muss.

00:18:25: In diesem Sinne, vielen Dank für deine Zeit. und ich würde mich freuen,

00:18:28: wenn ich dich hier bei mir im Podcast vielleicht auch mal für ein ganz reguläres

00:18:32: Interview gewinnen könnte, wo wir uns dann auch ein bisschen mehr Zeit nehmen. Gerne doch.

00:18:37: Alles klar. Dann auch euch vielen Dank, dass ihr zugehört habt und ich hoffe,

00:18:41: ihr hattet Spaß daran, dass wir heute mal eine etwas andere Wissenfolge hatten.

00:18:46: Wenn ihr mir eine Meinung oder einen Kommentar mitteilen wollt,

00:18:49: wie ihr die Folge gefunden habt, schaut einfach unten in die Shownotes.

00:18:52: Da habt ihr seit nicht allzu langer Zeit die Möglichkeit, über Speakpipe mir

00:18:55: auch direkt eine Sprachnachricht zu hinterlassen.

00:18:57: Ansonsten bewertet das Ganze, wo ihr uns bewerten könnt.

00:19:01: Lasst mir auf Spotify auch gerne in den FAQs direkt eine Nachricht zukommen

00:19:05: und dann werde ich die vielleicht auch in einer der nächsten Folgen direkt wieder aufgreifen.

00:19:10: Macht's gut und ja, noch einen schönen Tag oder einen schönen Abend,

00:19:14: wann immer ihr uns hört. Bis bald. Ciao Yvonne.

00:19:19: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.