097: Automatisiertes Threat Modelling mit LLMs – KI-Experte Asan Stefanski im Gespräch!

Speaker1: Hi und herzlich willkommen zu einer weiteren Folge von BlueScreen,

Speaker1: eurem Lieblings-Tech-Podcast.

Speaker1: Heute haben wir wieder mal ein hochspannendes Thema für euch dabei.

Speaker1: Es geht nämlich um künstliche Intelligenz im Bereich Security.

Speaker1: Und dazu habe ich mir einen absoluten Experten eingeladen, den Asan Stefanski von Advisori.

Speaker1: Ich hoffe, ich spreche das nachher dann auch richtig aus. Da wird er mich dann

Speaker1: bestimmt korrigieren, falls nicht.

Speaker1: Und der Asan wird uns erklären, wie Large Language Models, also LLMs,

Speaker1: genutzt werden können, um Sicherheitsprozesse in der Softwareentwicklung zu

Speaker1: automatisieren. Klingt für euch spannend? Dann bleibt dran.

Speaker1: BlueScreen, der Tech-Podcast. Asan, schön, dass du da bist. Stell dich doch

Speaker1: mal unseren Zuhörern vielleicht kurz vor.

Speaker0: Gerne. Also vielen, vielen Dank, dass ich heute da sein darf.

Speaker0: Mein Name ist Asan Stefanski.

Speaker0: Ich bin der Bereichsleiter vom Bereich Digital Transformation bei der Advisori.

Speaker0: Ja, ich bin vom Hintergrund Softwarearchitekt, Software Security Architekt.

Speaker0: Ich habe mal Informatik studiert und dann auch Security.

Speaker0: Ich bin quasi nicht nur ein typischer Entwickler, sondern die Security war immer

Speaker0: mit einer Leidenschaft von mir, das auseinander zu verbinden.

Speaker0: Und ja, also vom beruflichen Hintergrund war ich schon immer im regulierten Umfeld tätig.

Speaker0: Das heißt, auch als kleiner Softwareentwickler, als ich angefangen habe,

Speaker0: war ich schon immer mit konfrontiert mit vielen Sicherheitsrichtlinien und Audits

Speaker0: und alle Dinge, die wir eigentlich Software so nicht mögen. Und das hat mich geprägt.

Speaker1: Ja, das ist gut. Und das ist was, das ich doch tatsächlich des Öfteren halt

Speaker1: jetzt auch schon mitbekommen habe, auch hier im Podcast.

Speaker1: So diese Entwicklung bis zum heutigen Stand ist immer äußerst spannend,

Speaker1: wie das in so einem Berufsleben da so passiert. Und finde ich auf jeden Fall

Speaker1: auch cool, dass du sagst, dass du aus regulierten Umgebungen kommst.

Speaker1: Das ist ja auch was, was wir tatsächlich für sehr viele unserer Kunden tun.

Speaker1: Insofern spricht man dann halt auch auf Augenhöhe mit seinem Kunden.

Speaker1: Das ist natürlich auch immer ganz wichtig.

Speaker0: Ja, genau. Also es ist immer schwierig. Wir Techies neigen manchmal dazu, zu technisch zu sein.

Speaker0: Und wenn man dann halt mit den Stakeholdern spricht, die halt Anforderungen

Speaker0: haben, ob es jetzt regulierte Anforderungen oder allgemeine Unternehmensanforderungen sind.

Speaker0: Und dann, wir wollen unbedingt die neuesten Technologien nutzen,

Speaker0: die fancysten Technologien nutzen.

Speaker0: Und das geht halt nicht, nicht immer. Und dann musst du dann halt Wege finden,

Speaker0: das doch zu nutzen, zu können. Aber man muss Wege finden. Das ist nicht immer einfach.

Speaker1: Ja, mein ehemaliger Geschäftsführer hat immer gesagt, ich soll aufhören,

Speaker1: EDV-Chinesisch zu reden, weil er versteht kein Wort von dem, was ich von ihm will.

Speaker1: Und ja, dadurch entwickelt man natürlich auch gewissermaßen irgendwann den Skill,

Speaker1: dass man auch in der Lage ist, mit Entscheidern und Geschäftsführern über ein

Speaker1: vielleicht sehr komplexes Thema auf eine vereinfachte Art und Weise zu reden,

Speaker1: was sehr hilfreich sein kann auf jeden Fall.

Speaker1: Ja, ein Teil deiner Tätigkeit bei Advisori dreht sich um die Automatisierung

Speaker1: von Thread-Modeling durch den Einsatz von LLMs.

Speaker1: Das hatte ich ja im Intro auch gerade schon gesagt und das finde ich sehr,

Speaker1: sehr, sehr spannend, weil auch da natürlich gerade im Bereich von Entwicklung

Speaker1: und Automatisierung ich da mittlerweile einen ziemlichen,

Speaker1: ja wie sagt man, den Shift-Left einfach erkenne.

Speaker1: Das heißt, du baust nicht erst eine Anwendung und dann hoffst du am Ende,

Speaker1: dass es keine Lücken gibt, wo du dann noch irgendwelche Bug-Bounty-Programme

Speaker1: ausschreiben musst, sondern die Security sollte eigentlich ab der ersten Code-Zeile

Speaker1: eine ganz große Rolle spielen.

Speaker1: Und da hast du auch auf der KI-Navigator letztes Jahr in Nürnberg drüber gesprochen.

Speaker1: Magst du uns vielleicht das Ganze mal ein bisschen tiefer erklären?

Speaker1: Was ist denn Thread-Modeling und warum ist das denn so wichtig?

Speaker0: Gerne. Also wo kommen wir denn her? Ich als jemand, der im regulierten Umfeld

Speaker0: tätig ist, kenne schon immer, dass IT-Security und allgemein Software-Life-Security

Speaker0: ein ganz wichtiges Thema ist.

Speaker0: Aber seit den letzten Jahren ist es immer wichtiger für alle,

Speaker0: gerade durch die Einführung vom CAA, das Cyber Residence Act,

Speaker0: wird verpflichtet für alle sein, sich mit diesen Themen zu beschäftigen.

Speaker0: Und fangen wir mal an, woraus geht es denn ganz genau? wenn man sich das anschaut,

Speaker0: wie Software sicher geschrieben wird, dann hat man viele Dinge zu tun.

Speaker0: Was vielen unbewusst ist, zum Beispiel, dass Sicherheit am Ticket anfängt.

Speaker0: Das heißt, wenn ich jetzt ein Ticket schreibe und sage, hey,

Speaker0: implementiere mir ein Login, das ist ein ganz klassisches Problemlogin,

Speaker0: dann muss ich da schon mir Gedanken machen, hey, welche Risiken habe ich denn dabei?

Speaker0: Und das ist das Threat-Modeling. Das heißt, ich überlege mir.

Speaker0: Welche Security-Risiken habe ich da, Datenschutz-Risiken habe ich da ganz,

Speaker0: ganz neue AI-Risiken, wenn du etwas mit AI implementierst.

Speaker0: Das ist am Ticket, das ist sich vielen bewusst.

Speaker0: Viele glauben, ich mache mal die Anwendung, einmal prüfe ich,

Speaker0: ob die AI-Act konform ist, dann war es das.

Speaker0: Das musst du wirklich an jedem Feature machen.

Speaker0: Und da ist genau diese Bedrohungsanalyse, diese Analysen ganz wichtig,

Speaker0: am Ticket. Und darum fangen wir die Probleme an.

Speaker0: Wer macht das denn? Also macht das der Entwickler? Macht das der Product Owner?

Speaker0: Da fehlen vielen Leuten einfach den Skill dazu.

Speaker1: Ja, absolut, ja.

Speaker0: Genau, und das habe ich am Kain-Avigate auch erklärt. Wir haben früher viel,

Speaker0: viel mehr Aufwand investieren müssen.

Speaker0: So das Beispiel, dass man so eine Zahl hat.

Speaker0: Ich investiere jedes Jahr 10.000 Euro in Weiterbindung meiner Mitarbeiter,

Speaker0: dass ich überhaupt arbeiten kann. Also dass ich überhaupt die Anforderungen

Speaker0: des Kunden überhaupt erfüllen kann.

Speaker0: Und da kommt KI ins Spiel. Wir nutzen KI bei uns, um das zu automatisieren.

Speaker0: Das bedeutet, wir haben Richtlinien, wir haben Security-Standards und das Ticket

Speaker0: wird automatisiert durch den Large-Language-Models

Speaker0: überprüft und dann den Mitarbeitern automatisch gematcht.

Speaker0: Aha, fürs Login muss ich folgende Dinge beachten, der Mitarbeiter revue das

Speaker0: und vorher war das ein Mensch,

Speaker0: ich habe einen physischen Menschen gehabt, der hat jedes Ticket gelesen und

Speaker0: hat das gemacht schriftlich und das entfällt einfach, das ist so eine Erleichterung

Speaker0: und auch Kosten, das kann man sich gar nicht vorstellen.

Speaker1: Ja, du musst halt auch dazu natürlich sagen, das hat auch immer was mit der

Speaker1: Tagesform der Person natürlich zu tun, die jetzt gerade das Ticket bearbeitet.

Speaker1: Wenn der jetzt vielleicht irgendwie am Abend davor auf dem Junggesellenabschied

Speaker1: gewesen ist oder Stress mit seinem Partner, der Partnerin daheim hatte,

Speaker1: dann gehst du da vielleicht ein bisschen anders ran, als wenn du halt ausgeschlafen

Speaker1: bist und ja quasi das Beste an dem Tag leisten kannst, was du nur kannst.

Speaker1: Und dadurch entstehen natürlich menschliche Fehler, absolut ganz klar.

Speaker1: Ich sehe aber noch einen anderen Vorteil dadurch. Ich glaube,

Speaker1: du kannst mit dieser Art und Weise, um ans Problem ranzugehen,

Speaker1: auch vielleicht Jungentwickler in das Thema hineinführen, die halt nicht jetzt

Speaker1: schon 20 Jahre Berufserfahrung mitbringen und möglicherweise schon irgendwo

Speaker1: im DevOps- oder Pentesting- oder Break-Dev-Bereich unterwegs gewesen sind.

Speaker1: Dadurch lernt man, glaube ich, dann auch eine Menge. Kann das sein?

Speaker0: Definitiv, definitiv. Also natürlich ist es so, die KI hier unterstützt nur.

Speaker0: Also der Mensch muss immer noch prüfen, stimmt das?

Speaker0: Wir haben für alles Referenzen. Wenn ich sage jetzt als Beispiel,

Speaker0: ich habe hier ein Login von mir aus, Integration in Azure und dann steht hier

Speaker0: drin, hey, du musst als Beispiel, das ist eine Richtlinie von uns,

Speaker0: wir speichern die Tokens nicht in die Local Storage.

Speaker0: Dann fragt er sich ja, warum denn? Das machen doch alle.

Speaker0: Dann guckt er sich das an und was in der Richtlinie steht. Und da haben wir

Speaker0: auch in so Richtlinien, da haben wir viel Arbeit investiert,

Speaker0: auch erklärt, warum wir das denn tun.

Speaker0: Also was zum Grund hat das denn? Und dann lernt er das auch, das zu verstehen.

Speaker0: Aber, und das ist ganz, ganz wichtig, was ich auch mitgeben möchte,

Speaker0: das ist ein anderer Effekt mittlerweile, wenn wir vielleicht später darüber

Speaker0: noch sprechen, wie sich die KI jetzt weiterentwickelt hat, ist auch,

Speaker0: dass dieses Thema ist auch wichtig für die Zukunft.

Speaker0: Wenn ich es später versuche, mit KI Code zu entwickeln, spielt es auch eine

Speaker0: extrem wichtige Rolle, weil die KI ist zwar super und toll, aber hat auch sehr,

Speaker0: sehr viele Schattenseiten und da braucht man das.

Speaker0: Also dieser Aufwand am Anfang, die Energie dazu investieren,

Speaker0: um das richtig zu analysieren, diese Sicherheits-Thematik.

Speaker1: Ich gehe davon aus, ihr macht das jetzt nicht mit einem öffentlichen Modell

Speaker1: von ChatGPT, diese ganze Geschichte, weil in dem Ticket stehen ja auch schon

Speaker1: Informationen drin, die ich

Speaker1: jetzt vielleicht nicht ins Modell von OpenAI reintrainiert haben möchte.

Speaker1: Auf welcher technologischen Grundlage baut ihr sowas denn?

Speaker0: Also erstens ganz wichtig, wir trainieren keine Modelle. Also das gebe ich allen

Speaker0: ganz, ganz deutlich mit.

Speaker0: Hört auf, Modelle zu trainieren, wenn es nicht sein muss. Das ist sehr teuer.

Speaker0: Wir nutzen den sogenannten RAK-Ansatz oder mittlerweile gibt es einen moderneren,

Speaker0: den wir benutzen. Hört sich komischerweise KAG an.

Speaker0: Da wird mit Graphen auch gearbeitet. Das bedeutet, man lädt die Daten cross-rein,

Speaker0: also über das Context-Window.

Speaker0: Wir arbeiten damit mit Agentensystemen, was ein bisschen moderner und viel effizienter.

Speaker0: Und ja, wir haben sowohl Open-Source-Modelle, also wir benutzen zum Beispiel,

Speaker0: es ist ganz, ganz neu, Gwen benutzen wir dafür,

Speaker0: also wir tauschen ständig die Modelle aus, unsere Systematik basiert darauf,

Speaker0: dass wir immer, wenn was Neues da ist, uns das angucken, aber auch tatsächlich

Speaker0: haben Kunden, die auch Cloud und sogar OpenAI einsetzen, weil wir die Sachen nicht trainieren.

Speaker0: Also das hängt immer vom Vertrag, also von dem Kunden an, wie seine Datenschutzrichtlinien aussehen.

Speaker0: Jeder sieht es anders, weil der Vorteil natürlich von einem Bezahlmodell ist die Kosten.

Speaker0: Das ist momentan sehr attraktiv gegenüber selbstgerüsterten Systemen,

Speaker0: da muss man ein bisschen tiefer in den Geldbeutel greifen.

Speaker1: Ja, ganz klar. Das heißt also, die Daten verlassen auch nicht die sichere Umgebung

Speaker1: des Kunden und das Ganze läuft auf einem lokal implementierten Large Language Model.

Speaker1: Angereichert dann eben durch Informationen, durch Knowledge Bases,

Speaker1: durch Dokumente, durch Best Practices.

Speaker1: Das finde ich interessant, dass ihr das auch so tut, weil das ist auch ein Ansatz,

Speaker1: den ich beziehungsweise wir hier verfolgen, wenn es eben darum geht,

Speaker1: Schwachstellenanalyse zu machen,

Speaker1: weil auch da kann man sich natürlich unglaublich viel Arbeit wegnehmen.

Speaker1: Ich mache das ganz häufig, wenn ich sage, Kunde beauftragt uns mal eine Open

Speaker1: Source Intelligence Analyse seiner Umgebung zu fahren.

Speaker1: Dann hast du halt einen gewissen Tool-Stack, der halt Daten liefert und dann

Speaker1: musst du halt natürlich sagen, okay, wenn ich das jetzt mit einem öffentlichen

Speaker1: Modell machen möchte, wie mit ChatGPT, muss ich erstmal natürlich alles pseudonymisieren,

Speaker1: irgendwelche Tokens drauflegen und nachher dann wieder zurückführen oder aber

Speaker1: man macht es halt einfach auf einer lokalen Plattform und muss dann halt aber

Speaker1: natürlich auch stetig bewerten,

Speaker1: wie gut ist die Qualität der Aussagekraft, wie gut ist das Wissen,

Speaker1: was vermittelt wird, weil auch da geht es natürlich darum, wir kriegen Output von allen möglichen

Speaker1: Open-Source-Tools, die halt sehr technisch sind und wir möchten aber am Ende

Speaker1: irgendeinen Text haben, den auch ein Entscheider versteht oder auch der Admin,

Speaker1: was er jetzt genau denn tun muss, um das Thema zu mitigieren.

Speaker1: Auf der anderen Seite hast du natürlich dann auch die Thematik,

Speaker1: dass du eben bei den Aussagen des Modells halt keine Halluzinationen bekommen

Speaker1: darfst, dass da nicht irgendwelche Empfehlungen ausgesprochen werden,

Speaker1: die halt gar nicht existent sind.

Speaker0: Aber das ist der Vorteil von dieser Technologie, dieser RAG-Technologie,

Speaker0: warum ich sage, dass das der Schlüssel ist.

Speaker0: Wenn man das gut macht, besonders mit Agentensystemen, sind Hallizinationen

Speaker0: ausgeschlossen, weil das große Problem ist, wenn ich darauf vertraue,

Speaker0: dass ich mit dem Wissen des Modells, was trainiert wurde, arbeite,

Speaker0: dann habe ich keine Referenz.

Speaker0: Und ich schließe per Prompt grundsätzlich dieses Wissen aus.

Speaker0: Ich nutze nur die Fähigkeit des Modells, dass es Sprache versteht,

Speaker0: dass er mich versteht, was ich möchte.

Speaker0: Aber das Wissen wird tatsächlich aus diesen Knowledge-Staatenbanken verwendet

Speaker0: und es steht ganz genau sogar auf der Zeilnummer.

Speaker0: Seite 24, also Dokument A, Seite 24, Absatz 2 steht das und das.

Speaker0: Das muss man zitieren quasi. Wir arbeiten mit Zitierungen.

Speaker0: Also ich sage ja hier, du musst das und das machen. Da ist die Source.

Speaker0: Das ist das Zitat aus dem Originaldokument.

Speaker0: Aus diesem Grund sagt die KI A, B, C, D.

Speaker0: Und da hast du die beste Möglichkeit, damit zu arbeiten. Das ist auch so standardisch.

Speaker0: Also auditiere ja auch selbst Software und achte da drauf bei anderen Kunden,

Speaker0: die das entwickeln, dass ich denen sage, hey, mach das bitte.

Speaker0: Weil es hat einfach mit Vertrauen was zu tun. Und ganz wichtig,

Speaker0: dass wir überhaupt den AI-Act einhalten können, weil der AI-Act sagt ja ganz

Speaker0: klar aus Nachvollziehbarkeit und das musst du dementsprechend auch so bauen.

Speaker1: Da kommt natürlich jetzt das Reasoning ins Spiel, was jetzt in den neueren Modellen

Speaker1: halt auch Gott sei Dank doch ganz gut übernommen worden ist.

Speaker1: Ich habe es jetzt gesehen, OpenAI ist DeepSeek da jetzt relativ schnell gefolgt

Speaker1: mit der Erläuterung, warum diese Aussage jetzt so entstanden ist.

Speaker1: Unterstützt dann am Ende des Tages natürlich auch nochmal den Beleg dazu,

Speaker1: warum das so oder so entschieden wurde.

Speaker0: Ja, richtig. Also das ganze Reasoning-Thema macht natürlich nochmal das ganze Thema nochmal stärker.

Speaker0: Also das eröffnet ganz neue Möglichkeiten. Also als wir damit angefangen haben,

Speaker0: da gab es es noch gar nicht.

Speaker0: Und man muss auch sagen, diese Welt wird immer leichter.

Speaker0: Also ich kann mich nur gerade gut daran erinnern, wir haben angefangen,

Speaker0: als das Context-Finder noch 32.000 Token hatte mit diesem RAC-System.

Speaker0: Das war nicht einfach, damit zu arbeiten.

Speaker0: Mittlerweile ist es so viel einfacher geworden und die Einstiegshürde für jeden ist so klein.

Speaker0: Deswegen ist die Technologie auch so interessant und hat so viel Potenzial.

Speaker1: Ja, vielleicht um es für den einen oder anderen Zuhörer oder Zuhörerin mal noch

Speaker1: ein bisschen zu erläutern, RAK-Modell und Dokumente und so weiter.

Speaker1: Also ihr müsst euch das im Grunde genommen einfach so vorstellen,

Speaker1: dass ihr ja schon ein gewisses Wissen in eurem Unternehmen habt.

Speaker1: Das heißt, ihr habt Standards, ihr habt Richtlinien, ihr habt vielleicht Handbücher

Speaker1: und so weiter und so fort.

Speaker1: Also alles das, was man halt aus der Praxis heraus schon kennen sollte oder sich anlesen kann.

Speaker1: Dann gibt es halt auch Entscheidungsbaum beispielsweise im Ticketsystem,

Speaker1: wo man auch Schlüsse draus ziehen kann.

Speaker1: Wenn ein Benutzer sagt, mein Computer macht komische Dinge, ist immer die Ansage,

Speaker1: start den Rechner erstmal neu.

Speaker1: Zum Beispiel. Und diese ganzen Informationen kann man halt relativ unstrukturiert

Speaker1: einfach in so ein Modell hineinpacken und dann überlässt man dem Modell quasi

Speaker1: die Arbeit, da eben Schlussfolgerungen oder passende Frage-Antwort-Matches draus zu generieren.

Speaker1: Und das ist das, was da im Hintergrund passiert. Kann man das so stehen lassen?

Speaker0: Nein, also eine Sache würde ich gerne ergänzen. Der Schlüssel dazu ist einfach,

Speaker0: man muss sich vorstellen, wenn ich einen Chat habe, also das ist ein ganzes

Speaker0: Mal ein Chat-Up, da kann ich ja nicht nur Fragen stellen, sondern ich kann auch

Speaker0: Informationen in ihn zufügen.

Speaker0: Das kennt jeder, dass man einen Text kopiert, schmeißt den rein und sagt,

Speaker0: hey, ich habe jetzt diesen Schnipsel, kannst du folgendes mit diesem Schnipsel machen?

Speaker0: Und so kann man sich das System auch so vorstellen, dass man quasi das Unternehmenswissen

Speaker0: hat, auf der einen Seite,

Speaker0: und kann jetzt das Unternehmenswissen genau über diesen selben Weg in das Modell

Speaker0: laden, das große Problem, wenn man dabei ist, und dass man das auch versteht,

Speaker0: warum es diese ganzen Technologien gibt.

Speaker0: Du kannst leider Gottes noch nicht deine Terabyte an Daten auf einmal nehmen und ins Modell packen.

Speaker0: Deswegen gibt es Vordatenbanken, also Vektordatenbanken zum Beispiel,

Speaker0: oder auch Grafendatenbanken, wo du ein bisschen vorselektieren kannst.

Speaker0: Und jetzt kommt das ganz, ganz wichtige Security.

Speaker0: Sicherheit ist ein ganz großes Thema, Der Vorteil von diesem System ist,

Speaker0: du kannst, egal wer was sagt, ein trainiertes Modell kriegst du nicht abgesichert,

Speaker0: dass es nicht gegen Prompt Injection geschützt ist.

Speaker0: Das Schöne daran ist, wenn du diese RAC-Systeme nutzt, kannst du quasi mit klassischer

Speaker0: Technik, die wir beherrschen, nämlich Berechtigungsmanagement,

Speaker0: Datenbanken, kannst du das Wissen quasi vorher filtern,

Speaker0: das muss ja sowieso, und auf Berechtigung quasi prüfen, bevor du die Daten in das Modell packst.

Speaker0: Also dieses ganze System hat nicht nur Vorteile, dass du dann dein Unternehmenswissen

Speaker0: reinpacken kannst und so weiter, sondern löst auch viele, viele Probleme der Sicherheiten.

Speaker1: So, wenn wir jetzt mal in die Praxis schauen und uns überlegen,

Speaker1: wie läuft das denn ab bei so einem neuen Ticket, wenn das reinkommt?

Speaker1: Jetzt haben wir ja schon gelernt, der Mensch, der das Ticket nimmt,

Speaker1: bekommt entsprechend Hinweise.

Speaker1: Wird denn dann die Implementierung dessen, was die Person tut,

Speaker1: sei es jetzt eine Lösung wie ein Login-Verfahren, gegen Azure zu bauen oder

Speaker1: aber vielleicht auch eine Codezeile zu produzieren, nochmal dann im Nachgang

Speaker1: überprüft und auditiert?

Speaker0: Ja, also ich würde gerne, also, okay, fangen wir uns so an, ja,

Speaker0: wird es überprüft, wir haben quasi ein Dreistufensystem, nenne ich das immer,

Speaker0: also erstmal ein Ticketsystem, also die Planung, ich plane das und darüber haben

Speaker0: wir schon mal gesprochen,

Speaker0: Stufe 2 reden wir gleich ein bisschen intensiver drüber reden,

Speaker0: Stufe 3 ist sehr simpel und einfach,

Speaker0: also technisch ist es ein bisschen komplizierter, aber vom Verstehen her,

Speaker0: beim Pull-Request quasi passiert Folgendes, also Pull-Request bedeutet,

Speaker0: ich habe beim Code generiert, bin fertig und normalerweise gebe ich mir das

Speaker0: im Review einem Kollegen, dass sich das anschaut.

Speaker0: Und bei dem Prozess, schon bevor der Kollege überhaupt das anschaut,

Speaker0: prüfen wir im Detail auf jeder Codezeile, ist das implementiert worden,

Speaker0: was im Ticket steht, also auf fachliche Prüfung.

Speaker0: Wir prüfen, wurden die Sicherheitsrichtlinien erfüllt, die da drin stehen?

Speaker0: Auch wirklich auf Codezeile zu Codezeile wird das überprüft.

Speaker0: Man bekommt quasi in diesem Pull-Request ein Review und steht ganz genau da

Speaker0: drin, was erfüllt wurde, oder schicklisten und was nicht, dass sowohl der Mitarbeiter

Speaker0: selber weiß, was muss er tun.

Speaker0: Der Pull-Request wird auch blockiert bei uns. Also wir sagen,

Speaker0: es geht nicht weiter, bis er entweder kommentiert, warum er es nicht gemacht hat.

Speaker0: Es kann ja manchmal Gründe geben, warum er es nicht tut, gerade bei so Infrastuchsachen,

Speaker0: oder er ist erfüllt und dann geht es weiter.

Speaker0: Das ist so die dritte Stufe von dem System.

Speaker0: Die zweite Stufe ist noch viel interessanter, was man mittlerweile tut.

Speaker1: Okay. Ich kann mir jetzt aber auch vorstellen, dass man neben den normalen Anforderungen

Speaker1: eben aus dem Unternehmenswissen ja auch noch die Standardisierung hat natürlich.

Speaker1: Also wenn man sagt, man ist irgendwo ISO-pflichtig oder DORA,

Speaker1: Bafin, TISAX, was auch immer, das

Speaker1: kann man ja dann auch nochmal zusätzlich wahrscheinlich dagegen halten.

Speaker0: Genau, das machen wir. Sowohl bei uns als auch bei unseren Kunden,

Speaker0: wo wir die Lösung einsetzen.

Speaker0: Das sind so interne Richtlinien zum Beispiel. Auch zum Beispiel gibt es so Sachen,

Speaker0: die ich sage, ich möchte gewisse Technologien nutzen, manche nicht.

Speaker0: Wir haben ein Strukturboard, wo ich Technologien freigeben muss. Das ist typisch ISO.

Speaker0: Man kann nicht sagen, ich nutze, was ich lustig bin. Wenn ich heute Lust der

Speaker0: Bibliothek A zu nutze, dann mache ich das jetzt. Das wird geprüft.

Speaker0: Das Schöne ist ein Verfahren, man kann alles reinladen, was man möchte. Die AI verarbeitet das.

Speaker1: Okay. Ja, das ist schon sehr spannend. Ich kenne das so ein bisschen aus dem Bereich von Azure.

Speaker1: In dem Security-Bereich, Cloud Security, hast du ja auch dieses Dashboard,

Speaker1: was dir sagt, welche Regulatorik erfüllst du mit deiner Umgebung,

Speaker1: die du jetzt gerade schon hast.

Speaker1: Und ja, das ist natürlich äußerst hilfreich, weil man halt eben als Entwickler

Speaker1: auch gar nicht wissen muss, automatisch, was alles in einer Regulatorik gefordert wird.

Speaker1: Andersrum muss derjenige, der nachher das Ganze zu überprüfen hat und am Ende

Speaker1: dann auch absegnet, nicht verstehen, was der Entwickler da getrieben hat.

Speaker1: Und dadurch bringst du natürlich auch zwei Wissenswelten zueinander.

Speaker0: Jetzt ganz so zu diesem Thema Cloud ist auch so wichtig, dass diese Potenziale,

Speaker0: also wir haben einen Kunden zum Beispiel, der fängt jetzt an,

Speaker0: seine ganzen Infrastruktur-Sachen zu harmonisieren.

Speaker0: Und er hat mir das mal gezeigt, die haben über zweieinhalbtausend Findings in

Speaker0: der Cloud, was die ganz typischen Probleme wie Tagging, also wie sind die Sachen getaggt und so weiter.

Speaker0: Und was man nicht vergessen darf, ist, es gibt etwas ganz Tolles,

Speaker0: das nennt sich nämlich Infrastructure as Code.

Speaker0: Und wenn man das verbindet, also wir haben das so beim Kunden eingeführt,

Speaker0: dass er auch Cloud-Richtlinien hat, also nicht nur normale Software-Richtlinien,

Speaker0: sondern auch tatsächlich, wie die Infrastruktur auszusehen.

Speaker0: Und das wird auf demselben Verfahren einfach geprüft, macht quasi ein System

Speaker0: und hat nicht nur den Software-Lifecycle, sondern bis hin in Betrieb quasi die

Speaker0: Sachen dadurch abgesichert.

Speaker1: Ja, das ist absolut spannend und aber auch logisch.

Speaker1: Macht aber bei mir jetzt eine Frage auf, gerade für den kleineren Mittelstand.

Speaker1: Du hattest jetzt natürlich regulierte Unternehmen gesagt, da gibt es natürlich

Speaker1: auch im kleinen Mittelstand welche.

Speaker1: Aber das klingt erstmal nach einer gewissen Hürde bei der Einführung und nach

Speaker1: einem vielleicht doch nicht ganz zu verachtenden Kostenfaktor.

Speaker0: Da würde ich so nicht sagen. Also wir arbeiten jetzt daran, dass wir das sogar

Speaker0: als Software-to-Service einführen wollen. Wir haben natürlich alle großen Kunden.

Speaker0: Das hat sich ein bisschen was ergeben durch die letzten Entwicklungen der AI.

Speaker0: Wir haben am besten gestellt, wie wichtig das jetzt geworden ist in den letzten

Speaker0: Wochen. und wir denken, dass es nicht nur die Großen brauchen werden,

Speaker0: sondern alle brauchen werden diese Lösung wegen dieser Entwicklung und die Hürde ist gar nicht so groß.

Speaker0: Also Richtlinien zu schreiten heutzutage, man kann sich an so viele Standards

Speaker0: orientieren, ACVS zum Beispiel von Oberstop10, also man hat das sehr,

Speaker0: sehr schnell zusammen, weil viele Sachen noch öffentlich sind.

Speaker0: Plus bei uns, wir liefern auch Sachen mit.

Speaker0: Also was sich dann natürlich die Leute sich Gedanken machen sollten,

Speaker0: ist interne Richtlinien.

Speaker0: Wie wollen wir als Team arbeiten? Was ist uns wichtig?

Speaker0: Ja, die Sachen müssen sie natürlich investieren, diese Zeit.

Speaker0: Aber normalerweise machen die Leute das so oder so, dass sie sich Gedanken machen,

Speaker0: wie arbeite ich intern in einem Team.

Speaker1: Sollten sie, ja.

Speaker0: Sollten sie, ja.

Speaker1: Absolut. Und die Implementierung selbst findet dann auf Hardware statt oder

Speaker1: bildet ihr sowas auch dann eben, weil du sagtest gerade Software as a Service,

Speaker1: habt ihr auch die Hardware-Infrastruktur, die man dann da andocken kann?

Speaker0: Die Software-basierte ist ein Docker-Container, also die ganze Logik,

Speaker0: man kann das überall hosten, wie wir es gebaut haben.

Speaker0: Wir haben das in AWS, Azure, wo der Kunde es möchte oder halt auf Kubernetes-Basis

Speaker0: wird das einfach reingehängt und das war es dann.

Speaker0: Also das ist recht einfach, sage ich jetzt mal.

Speaker0: Das Sprachmodell ist quasi separat, also es gibt diese Logik und das Sprachmodell

Speaker0: allgemein gerade jeden AI-Systeme baut es so zu tun, weil diese AI-Entwicklung

Speaker0: ist viel zu schnell, zu sagen, ich baue das jetzt hardcoded auf dieses eine Sprachmodell auf,

Speaker0: weil dann hat man kein Produkt, also es geht zack, ist das Produkt veraltet,

Speaker0: gibt es innerhalb von einer Woche und so ist es halt aufgebaut,

Speaker0: der Kunde kann quasi sagen, hey, ich habe doch ein Sprachmodell,

Speaker0: lassen Sie es da mitmachen oder wir helfen dem Kunden, das Sprachmodell bei sich zu hosten.

Speaker0: Und da geht es, wie gesagt, das ist vergleichbar viel gerade im Mittelstand.

Speaker0: Viele gehen tatsächlich auch über Bedrock zum Beispiel und nutzen die AI,

Speaker0: die Cloud zum Beispiel über Bedrock.

Speaker0: Also das ist momentan das Verbreiteste, was ich so gesehen habe mittlerweile im Mittelstand.

Speaker1: Ja, okay, vielen Dank. Und wenn ich mich jetzt dazu entscheiden würde,

Speaker1: diese Lösung bei mir einzuführen, wie sieht dann so eine konkrete Implementierung aus?

Speaker1: Gibt es irgendwelche Do's und Don'ts oder was sollte der Kunde an Technologie selber mitbringen?

Speaker1: Ich habe vorhin schon mal Pull

Speaker1: Requests gehört, das heißt, wir werden irgendeine Art von Git benötigen.

Speaker1: Ticketsystem muss das wahrscheinlich auch unterstützen, gehe ich von aus,

Speaker1: Jira und Co. kann sowas vermutlich.

Speaker0: Ja, alle Ticketsysteme. Also jedes Ticketsystem, was es gibt, hat die Technologie.

Speaker0: REST API ist das große Ding.

Speaker0: Also wie wir vorgehen, ist, wir arbeiten mit Webhooks, das heißt,

Speaker0: einem Jira kann quasi, wenn ein Ticket erstellt wird, einen einen Call machen

Speaker0: und sagen, hey, ich habe ein Ticket und habe eine Schnittstelle und das war es dann.

Speaker0: Und egal, was, ob es Jira ist, ob es jetzt Azure DevOps ist,

Speaker0: sogar die, es gibt ja GitLab hat ja auch ein Ticket-System, ServiceNow,

Speaker0: also wir haben schon viele verschiedene Systeme angedockt, ja,

Speaker0: alle haben die Funktionalität heutzutage, Software ohne Rest-APIs existieren

Speaker0: fast nicht mehr und das ist so das große Geheimnis, dass man mit diesen Techniken

Speaker0: arbeitet und das war's dann, also ich glaube, das,

Speaker0: Schwierige daran ist, wenn man sowas selber baut, als Unternehmen,

Speaker0: ist das Knowledge, also wie baust du das auf, Wie gehst du mit Richtlinien um?

Speaker0: Das ist so das Prompting, wenn man so schön sagt.

Speaker0: Prompting ist das Geheimnis der AI. Da muss man viel Zeit investieren.

Speaker0: Und das Thema Ergänzungssysteme, vielleicht kommen wir noch dazu,

Speaker0: darüber zu sprechen, weil das ist meiner Meinung nach der Trend 2025,

Speaker0: was die AI mächtig macht, diese Ergänzungssysteme.

Speaker0: Wenn man damit arbeitet, kann man wunderbar, so sind unsere Systeme aufgebaut, diese Sachen lösen.

Speaker1: Okay, wir können direkt darüber sprechen, weil das Thema Agenten ist ja

Speaker1: vor allem jetzt in den letzten Monaten gerade auch rund um das ganze Microsoft-Copilot-Thema

Speaker1: groß geworden, weil alle anderen sprechen halt über irgendein Large Language

Speaker1: Model, aber Microsoft war zumindest, was so die Popularität angeht,

Speaker1: einer der Ersten, der gesagt hat, wir haben hier Agenten.

Speaker1: Copilot gibt es überall in Teams, in Word, in Outlook, wo du halt willst.

Speaker1: Aber es ist nicht das eine Riesenmodell, sondern es ist halt ein für diese Applikation spezifisch

Speaker1: bereitgestellter Agent. Vielleicht kannst du da auch noch mal ein bisschen tiefer drauf eingehen.

Speaker0: Also sowas, wie Microsoft das kommuniziert hat, vermarktet hat und was ergänzt,

Speaker0: sind zwei verschiedene Sachen. Komisch.

Speaker1: Wundert mich jetzt nicht.

Speaker0: Man muss sich das Folgendes vorstellen. Wenn ich früher auch mit den Sprachmodellen

Speaker0: implementiert habe, dann habe ich einen Prozess, einen Algorithmus im Kopf gehabt.

Speaker0: Zum Beispiel, wenn man sowas simplem wie zum Beispiel, ich habe jetzt eine automatische

Speaker0: Verarbeitung eines Postfaches.

Speaker0: Dann habe ich quasi einen Rhythmus geschrieben, dann gehst du zum Postfach,

Speaker0: er holt sich zum Beispiel jetzt die E-Mail und dann nimmt sie die E-Mail,

Speaker0: extrahiert die Inhalte, schickt sie zu meinem Sprachmodell, ich schreibe einen

Speaker0: spezifischen Prompt, ich als Developer,

Speaker0: tippe die Prompt und sage ihm, hey, mach A, B, C, dann kriege ich die Inhalte

Speaker0: zurück und dann zum Beispiel sage ich, hey, damit schicke ich jetzt eine E-Mail

Speaker0: raus an meine Stakeholder.

Speaker0: Oder Beispiel sowas wie Infopostfach-Automatisierung, dass ich da die Sachen automatisiere.

Speaker0: Sowas früher. Heute funktioniert es anders. Man kann sich vorstellen,

Speaker0: man hat einen sogenannten Orchestrator.

Speaker0: Das ist eine AI. Beispiel du wärst das. Ich will das ein bisschen illustrieren.

Speaker0: Und ich sage so, okay, du hast jetzt die Möglichkeit, hast einen Agent,

Speaker0: der ist spezialisiert darauf, auf Outlook zuzugreifen.

Speaker0: Und ganz wichtig, allgemein. Also er kann alles, was Outlook kann.

Speaker0: Du kannst lesen, schreiben, löschen, verschieben, du programmierst ihn so, dass er alles kann.

Speaker0: Ohne einen spezifischen Workflow vorne dran.

Speaker0: Und so baust du quasi deine Unteragenten mit Zugriff auf Tools verschiedene Zwecke.

Speaker0: Und du als Orchestrator bist der Chef. Jetzt wird es lustig.

Speaker0: Wenn ich dir jetzt sage, hey, Orchestrator, tu mir einen Gefallen.

Speaker0: Geh bitte hin, überprüfe mir das Postfach auf Folgendes.

Speaker0: Wenn du das und das findest, dann schick bitte die E-Mail an folgende Leute,

Speaker0: weiter abhängig von dem Ding.

Speaker0: Das heißt, ich prompte dir die Aufgabe. Ich sage dir die. Und jetzt geht es los.

Speaker0: Du schreibst jetzt die Prompt für den anderen Agenten, was er zu tun hat.

Speaker0: Und der Agent steuert autonom die API, die er braucht, wie er sie anzusteuern

Speaker0: hat, um die Aufgabe zu erfüllen.

Speaker0: Das ist das Krasse an diesen Agents, dass du programmierst das einzigste Mal, diese Sachen.

Speaker0: Deswegen sind diese Workflow-Editoren gerade zum Thema N8N und so weiter richtig

Speaker0: populär geworden. und wir Entwickler arbeiten ganz anders.

Speaker0: Das heißt, ich kann quasi einen Algorithmus, also ein System schreiben,

Speaker0: kann es für zigtausend Use Cases verwenden, weil der Schlüssel ist vorne.

Speaker0: Das heißt, ich stelle mir vor, du hättest ein Chatbot und du sagst jetzt,

Speaker0: im selben Chatbot könntest du jetzt ihm sagen, hey, such mir nach E-Mail XY

Speaker0: und verteid dich oder ich räume ein Postfach auf.

Speaker0: Mit dem selben Bot, mit dem selben

Speaker0: Systemen kannst du alles Mögliche damit anstellen, was dieser Agent kann.

Speaker0: Das hat Vorteile, aber das hat auch viele, viele, viele Security-Impacts.

Speaker0: Wenn man sich vorstellt, was da passieren kann, und da gibt es auch Ratschläge,

Speaker0: die ich jedem mitgebe, wenn man sowas baut, aber das sind Agentensysteme,

Speaker0: deswegen ist es so gehypt, ne?

Speaker1: Ja, nach der Erklärung kann ich es noch besser verstehen auf jeden Fall.

Speaker1: Und es hört sich auch so an, als ob es wahnsinnig gut skalieren könnte.

Speaker0: Oh ja, oh ja, oh ja. Also ein Use Case zum Beispiel, den wir unseren Kunden

Speaker0: des Öfteren schon gebaut haben.

Speaker0: Jetzt steht dir vor, du hast ein Chatbot, okay, und du hast links eine freie

Speaker0: Fläche erstmal. mal. Und diese freie Fläche sind Widgets.

Speaker0: Und ich kann, also wir haben Systeme geschrieben, ich kann reinschreiben in

Speaker0: den Chatbot, hey Chatbot, wie sind meine Umsätze XYZ und wie hängen die mit

Speaker0: dem anderen Thema Projektmanagement zusammen.

Speaker0: Da geht das System auf zwei verschiedene Infrastrukturen, holt sich die Daten,

Speaker0: verarbeitet sie und jetzt kommt es.

Speaker0: Wir haben einen Agent, der ist nur dafür da, um sich die Datestrukturen anzuschauen

Speaker0: und zu überlegen, wie visualisiere ich das am besten.

Speaker0: Und dann baut er mir on the fly ein Report zusammen. Von alleine und visualisiert das.

Speaker0: Weil ein Agent, er weiß ganz genau welche Möglichkeiten hat das Frontend,

Speaker0: also welche Grafiken, welche Tabellen und er baut das zusammen.

Speaker0: Visualisiert man das. Das heißt, du hast ein generisches Reporting-System,

Speaker0: was du für alles nutzen kannst.

Speaker0: Wenn er morgen den Kunden SAP anschließt, weil er sagt, SAP möchte ich auch,

Speaker0: er muss nicht neu programmieren. Man muss es nicht schnell programmieren,

Speaker0: man kann dasselbe wiederverwenden und die Applikation wird immer mächtiger. Das ist das Coole.

Speaker1: Ja, das ist halt, gerade wenn man mal aus der Vergangenheit guckt,

Speaker1: wie man es früher gemacht hätte, ich habe schon sehr, sehr, sehr viele Business

Speaker1: Intelligence Projekte begleitet.

Speaker1: Dieses Matchmaking ist halt einfach ein absolut nerviges Thema und ja,

Speaker1: meinetwegen Kundennummer, wenn die überall durch sich durchzieht,

Speaker1: ist es ganz nett, wenn man sie denn hat.

Speaker1: Ansonsten fängt man irgendwann an, sich selber Schlüssel zu bauen aus den ersten

Speaker1: vier Buchstaben, Vorname, Nachname, Postleitzahl, was auch immer.

Speaker1: Du musst halt irgendwie möglichst die Sachen zueinander kriegen und am besten

Speaker1: vielleicht daneben noch schreiben, mit welcher Wahrscheinlichkeit ist das jetzt der gleiche Kunde.

Speaker1: Und das ist halt ein Riesenaufwand. Also die Idee, umzusetzen beim Kunden,

Speaker1: ist meistens gar nicht die große Arbeit, sondern wirklich die verschiedenen

Speaker1: Data-Pools miteinander zu verbinden.

Speaker1: Und das ist natürlich schon eine wahnsinnige Erleichterung, wenn du solche Fähigkeiten mitbringst.

Speaker1: Gerade jetzt, auch wenn du sagst, so in Richtung Scorecards zum Beispiel.

Speaker1: Ja, auch ein Entscheider, der ja gar nicht wissen muss, wie das alles da hinten

Speaker1: dran funktioniert, kann halt heute vielleicht die Frage stellen,

Speaker1: wie viele rote Autos habe ich verkauft, in welche Region?

Speaker1: Und morgen ist es halt eine ganz andere Frage und das System ist dann halt so

Speaker1: flexibel, egal was du ihn frägst, aus den verschiedenen Informationsquellen

Speaker1: halt sich die Daten zu besorgen. Und das ist schon äußerst mächtig.

Speaker0: Aber das ganz wichtigste Thema ist, es ist aber auch gefährlich.

Speaker0: Also dieses Agentensystem, habe ich ja gesagt, die machen es ja autonom.

Speaker0: Jetzt haben wir verschiedene Probleme da drin.

Speaker0: Also wir, wenn ich was implementiere, implementieren wir immer ein Securysystem

Speaker0: mit rein, ein sogenanntes Promptüberwachungssystem,

Speaker0: wo quasi die Agentenüberwachungssystem, der quasi überwacht,

Speaker0: was passiert zwischen den Kommunikationslayern

Speaker0: der Agenten. und da müssen verschiedene Sachen geprüft werden.

Speaker0: Fangen wir mal mit dem einfachsten Thema an, das ist wirklich das einfachste

Speaker0: Thema, Security, dass quasi jetzt nicht irgendwie einer versucht,

Speaker0: SQL-Injection, so Attacken darüber einzuschleusen.

Speaker0: Viel schlimmer ist aber, sind Permission-Probleme, dann fangen wir mal mit Datenschutzprobleme,

Speaker0: dann BIAS, also alles, was der AI-Act vorsieht.

Speaker0: Also die Leute denken nicht nach, ich habe mit vielen Leuten Entwickler unterhalten

Speaker0: und die bauen das, nutzen das Und ich sage, hey,

Speaker0: ist euch klar, dass der AI-Act vorschreibt, dass du Transparenz nachweisen musst,

Speaker0: dass dein System nicht gegen A, B, C, D, E, E, F verstößt?

Speaker0: Das kannst du doch gar nicht, wenn du einfach die Agenten systemautonom arbeiten lässt.

Speaker0: Weil der Agent entscheidet doch, was er jetzt braucht. Also nur das Beispiel,

Speaker0: wenn ich mir jetzt sage, hey, wir haben zum Beispiel einen Prototypen geschrieben von Kunden.

Speaker0: Da ging es um so eine Art Verbrechung, Verbrecher, so eine Verbrecherdatenbank sozusagen.

Speaker0: Da haben wir uns so einen Case gezeigt, hey, wie geht das denn technisch? Was wäre möglich?

Speaker0: Wir wissen, dass er nicht von alleine denkt, dass er auf Rassismus ist,

Speaker0: auf Frauenbevorzugung.

Speaker0: Es gibt ja gewisse Probleme, die Sprachmodelle haben, dass er das irgendwie

Speaker0: da einschleust und deswegen musst du das tun eigentlich.

Speaker0: Du brauchst ein Überwachungssystem und das programmieren wir immer mit und natürlich

Speaker0: muss man dem Kunden das mal erklären, zu sagen, lieber Kunde,

Speaker0: du bekommst nicht nur von uns jetzt ein Agent-System mit dem und dem,

Speaker0: wir müssen dir jetzt auch noch das mit einbauen,

Speaker0: dass wenn der Auditor morgen kommt, dass du vorweisen kannst, der hier,

Speaker0: das und ganz wichtig, das ist auch ein ganz wichtiges Thema,

Speaker0: was diese Agent so mächtig macht, ist, die Möglichkeit, ins Internet zu gehen.

Speaker0: Wir wissen, dass die Sprachmodelle ja veraltete Daten haben.

Speaker0: Was machen jetzt alle? Wir haben einen Agent fürs Internet.

Speaker0: Jetzt nur das Beispiel, wenn ich jetzt Folgendes machen will,

Speaker0: das Chatbot. Hey Chatbot, prüfe bitte meine Gehaltsstruktur meines Unternehmens,

Speaker0: ob die noch marktkonform sind.

Speaker0: Nur als Beispiel. Was macht denn der Agent? Da geht jetzt hin und untersucht es.

Speaker0: Du hast keine Kontrolle, wie die Suchergebnisse aussehen.

Speaker0: Tut er dann deine Datenleaken in die Suche.

Speaker0: Hast du ja keine Kontrolle. Deswegen, dieses Agent-System ist toll,

Speaker0: also ich bin ein Riesen-Fan von, wir implementieren die, aber auch hier der

Speaker0: Aufruf an die Hörer, wenn ihr das macht, macht euch wirklich Gedanken darum,

Speaker0: was die Schwächen der Technologie sind und baut Sicherheitsmechanismen ein,

Speaker0: dass das nicht passiert, dass Daten nicht rausgehen aus Versehen,

Speaker0: weil das kann tödlich enden, dass man dann wirklich wichtiges Firmen-Knowledge

Speaker0: aus Versehen der Suchmaschine mit gezeigt hat und du weißt nicht,

Speaker0: was da passiert damit mit den Daten.

Speaker1: Ja, das ist leider ein Thema, was ich auch sehr häufig in Co-Pilot-Projekten

Speaker1: sehe. Man kann sich das Ding einfach klicken und dann hat man es.

Speaker1: Und den Leuten ist überhaupt nicht bewusst, was da für Herausforderungen einfach mit verbunden sind.

Speaker1: Deswegen empfehlen wir grundsätzlich auch immer, bitte erst mal die Silos definieren,

Speaker1: die Sachen aufräumen, die Berechtigungen entziehen, damit eben auf gewissen

Speaker1: Silos der Co-Pilot gar nicht gucken kann.

Speaker1: Weil auch da, das ist jetzt vielleicht wieder eins dieser Märchen wie der goldene

Speaker1: USB-Stick, dass man einfach prompten kann, was der Kollege verdient.

Speaker1: Aber wenn die Daten das hergeben, kann man es. Das ist ein weiterer Sohn. Ja, definitiv.

Speaker0: Also definitiv. Und dadurch, dass, wie gesagt, ich als Developer die Kontrolle

Speaker0: abgebe, muss man so sagen, ich gebe Kontrolle ab, kann es schnell passieren.

Speaker1: Ja, also da ist auch noch eine Menge Aufklärungsarbeit notwendig.

Speaker1: Da hilft auch der AI-Act tatsächlich nur bedingt weiter, weil der legt halt

Speaker1: einfach Regeln fest. Aber das tatsächlich dann auch umzusetzen,

Speaker1: das bedarf noch sehr, sehr, sehr viel Wissenstransfer.

Speaker0: Ja, wie gesagt, das ist ein allgemeines Thema, auch in der Entwicklung.

Speaker0: Hast du dir schon mal angeschaut, wie weit das Thema Code-Generierung und so

Speaker0: weiter ist von der Technologie her?

Speaker0: Hast du die Entwicklung mitbekommen? So Thema Klein, Rohcode zum Beispiel,

Speaker0: dass du V0, es gibt ja verschiedene Plattformen, wo du dir jetzt innerhalb von

Speaker0: Stunden Sachen generieren kannst, wo du vorher Monate gebraucht hast.

Speaker0: Das nutzen wir auch, da bin ich ein riesen Fan von.

Speaker0: Aber auch hier ist das selbe Spiel, die Qualität des Codes ist eine Katastrophe.

Speaker1: Ja, und derjenige, der es ausführt, muss den Code auch noch verstehen.

Speaker1: Das hatte ich jetzt auch schon mehrmals erlebt und das habe ich ja auch im Podcast schon mal gesagt.

Speaker1: Wenn dann irgendjemand sagt, ich habe hier ein Problem mit meiner VMware-Umgebung,

Speaker1: bau mir doch mal, ChatGPT, bau mir mal einen Code auf der VMware CLI für dieses und jenes Ding.

Speaker1: Dann werde ich gefragt, kann ich das so ausführen? Dann sage ich,

Speaker1: keine Ahnung, ich weiß nicht, was du da baust.

Speaker1: Und wenn du es nicht lesen kannst, würde ich es auch nicht ausführen,

Speaker1: weil wenn dein Cluster nachher steht, brauchst du dich nicht wundern.

Speaker0: Ja, aber da, wir haben es ja vorhin ja angeteasert, Stufe 2,

Speaker0: da wird wieder Stufe 1 wichtig, also wie wir das machen,

Speaker0: das ist auch ein Tipp an alle, es gibt das, was ganz toll ist,

Speaker0: nennt sich MCP-Protokoll, das ist von den Herstellern von Cloud entwickelt und diese Systeme,

Speaker0: also diese, zum Beispiel jetzt, ob es das Rolecode ist, Klein,

Speaker0: zum Beispiel jetzt Co-Pilot arbeitet dran von GitHub, habt, ja,

Speaker0: dass sie das auch programmieren, dieses Feature, ja, dass man quasi über den

Speaker0: Chat Code generieren kann und das in der IDE und so weiter,

Speaker0: da kann man diese Protokolle nutzen, um zum Beispiel seine eigenen Prozesse anzuschließen.

Speaker0: Was wir gemacht haben, das heißt, wenn ich zum Beispiel sage,

Speaker0: programmier mir ein Login als Beispiel, dann geht er nicht hin erstmal zur AI

Speaker0: und sagt, ja, programmier mir ein Login, sondern das Ding geht erstmal zu meinem System,

Speaker0: und reicht halt den Prompt mit Security-Anforderungen an,

Speaker0: und Richtlinien, und das ist das Interessante an AI, wenn du der AI sagst,

Speaker0: programmier mir, bei deinem Beispiel,

Speaker0: Thema Konfiguration für einen Server etc., gerade Thema zum Beispiel bei AWS, er mein Cloud.

Speaker0: Und da hast du das Thema, er soll S3-Pucket konfigurieren.

Speaker0: Und dann macht er das, an der Weise, dass du dass die Sachen vielleicht nicht

Speaker0: richtig konfiguriert sind.

Speaker0: Wenn du aber jetzt Richtlinien mit reinnimmst, einfach als Prompt,

Speaker0: achte auf ABC, mach das richtig.

Speaker0: Das heißt, auch hier wird es wieder interessant.

Speaker0: Deswegen wollen wir das als Software Services anzubieten, weil wir gemerkt haben,

Speaker0: hey, das ist kein Problem vom Enterprise, dass die Regulierten das Problem haben,

Speaker0: sondern jeder, der morgen AI

Speaker0: benutzt, auch für, egal was, für ein kleines Skript oder was auch immer.

Speaker0: Du brauchst die Möglichkeit, dass dein Entwickler ohne nachzudenken das nutzen kann.

Speaker0: Du kannst nicht von jedem Entwickler erwarten, dass er die tapetenweise Sicherheitskram

Speaker0: in den Prompt reindonnert, sondern dass du sagst, ich will das tun und es muss

Speaker0: von alleine passieren, dass er quasi guckt, aha, das willst du tun?

Speaker0: Aha, AI, dann achte bitte auf das und das.

Speaker0: Und dann kommt sauberer Code raus. Gerade bei, also auch so als Tipp für die

Speaker0: Hörerschaft, schaut euch mal in YouTube, das ist Open Source,

Speaker0: Klein, Rowcode, es gibt es noch.

Speaker0: Die zwei Sachen reichen schon mal an, man wird erschrocken, weil du lest das

Speaker0: Plugin in deiner IDE, hast einen Chat in deiner IDE, sagst, ich programmiere

Speaker0: mal und er programmiert in deiner Entwicklungsumgebung den ganzen Code.

Speaker0: Startet den, testet den, klickt

Speaker0: den, also sogar Penetration-Tests kann man damit machen mittlerweile,

Speaker0: ja, und wenn man, aber das, wie gesagt, ist wunderbar, aber ohne Sicherheit,

Speaker0: Sicherheitsskripte etc., also Anforderungen, haben wir dann diese Probleme am

Speaker0: Hals, die wir gerade besprochen haben.

Speaker1: Ja, daher kommen dann halt auch solche Entwicklungen wie Evil GPT und solche

Speaker1: Geschichten, weil man es natürlich auch für falsche Dinge benutzen kann.

Speaker1: Ich finde auch das teilweise sehr interessant, wenn man mal die verschiedenen Modelle vergleicht.

Speaker1: Welches Modell sträubt sich am wenigsten dagegen, mir jetzt zu helfen bei einem Angriff?

Speaker1: Da ist bei mir tatsächlich momentan Perplexity ganz vorne dabei,

Speaker1: weil da scheint ein bisschen wenig Ethik drin zu stecken oder weniger als in anderen Modellen.

Speaker1: Also, weil da kann ich tatsächlich sehr einfach auch für Trainings-Content halt

Speaker1: mir eine Phishing-Mail so bauen lassen, dass ich eine echte nehme,

Speaker1: sage, hier, mach die ein bisschen anders, damit sie nicht erkannt wird aufgrund

Speaker1: von Heuristik und von Mustererkennung und dann los geht's.

Speaker1: Dann kann ich die in mein Trainingsmodell reinladen mit GoFish und Feuer frei.

Speaker0: Ja, das liegt aber daran, was ganz wichtig ist, man darf nicht JGPT,

Speaker0: Co-Pilot, Cloud mit den Webversionen vergleichen mit den APIs.

Speaker0: Wenn ich jetzt eine Anwendung programmiere und die API nutze,

Speaker0: sind sehr, sehr viele Sicherungsmechanismen einfach nicht da und abgeschaltet.

Speaker0: OpenWR überlegt sogar, eine FSK-18-Version für APIs rauszubringen zum Beispiel.

Speaker0: Tatsächlich, ja. Das habe ich gerade letztens gelesen.

Speaker0: Das bedeutet, Beispiel, also über Cloud, das ist ein gutes Beispiel,

Speaker0: da kann ich es bestätigen, weil wir nutzen tatsächlich mittlerweile Role-Code

Speaker0: zum automatisierten Pentesten, Feature-based, automatisiert.

Speaker0: Das heißt, programmiere ich ein Feature, lasse ich ihn gleich danach tatsächlich,

Speaker0: also ich rede nicht von Security-Scans, ich rede wirklich von dynamischen Pentests,

Speaker0: er greift an, er startet einen Server,

Speaker0: er schreibt sich Skripte, er greift die wirklich an mit Kali-Linux und fixt

Speaker0: dann die Findings von alleine.

Speaker0: Und da wird nichts blockiert.

Speaker0: Also da wird null blockiert von dem LLM. Ob es jetzt DeepSig ist,

Speaker0: ob es jetzt Gwen, es ist mit allen ausprobiert.

Speaker0: Es funktioniert wunderbar.

Speaker0: Und das liegt einfach daran, dass die Hersteller, wie gesagt,

Speaker0: A, das nicht richtig blockieren.

Speaker0: Und zweitens, mal ganz ehrlich, das lässt sich über einen Prompt Injection einfach leicht umgehen.

Speaker0: Also wenn ich jetzt sage, mach A, B, C, sagt er, hey, das ist nicht erlaubt,

Speaker0: Und dann sage ich ihm, hey, das ist für Testzwecke.

Speaker0: Und dann war es das, dann macht er das am Ende des Tages.

Speaker1: Ja, das Resetting für den Promptor ist da immer noch nicht gut genug dafür bei

Speaker1: den öffentlichen Modellen. Man muss es ihm nur entsprechend verkaufen, dann macht er es schon.

Speaker0: Ja, klar. Also es muss klar sein, dass im Darknet gibt es mittlerweile Sprachmodelle, die offen sind.

Speaker0: Für alle möglichen Fragen, ob es jetzt Angriffe sind oder, oder, oder.

Speaker0: Also die andere Welt, die dunkle Welt, die Bösen, nennen es jetzt mal,

Speaker0: nutzen das stärker, sehr, sehr stark.

Speaker0: Und was ich halt feststelle, wir, die Blackheads und die Whiteheads,

Speaker0: diese typischen zwei Fronten,

Speaker0: die allgemeine Security nutzt leider Gottes AI noch nicht genug,

Speaker0: um sich dagegen zu wappnen.

Speaker0: Da müssen wir noch viel, viel mehr tun.

Speaker1: Naja, du musst halt aber auch so sagen, das Problem haben wir ja als Verteidiger die ganze Zeit.

Speaker1: Wir müssen uns halt an Standards und Regeln halten und die machen halt, was sie möchten.

Speaker1: Und das Geld, was sie damit verdienen, ist auch noch steuerfrei.

Speaker1: Also ich kann zu einem Stück weit auch jeden verstehen, der sich mal geistig

Speaker1: auf die andere Seite begibt.

Speaker1: Also es ist schon einfach ein Katz-und-Maus-Spiel, aber die Katze ist wesentlich

Speaker1: größer. Das ist das große Problem.

Speaker0: Ja, das ist halt richtig, aber wir müssen was tun. Also wir müssen auch darüber

Speaker0: sprechen, diese Bösen, die haben sich verändert.

Speaker0: Also wir reden jetzt nicht von Privatmenschen, wo der Nerd im Keller bei der

Speaker0: Mama sitzt und sich irgendwo einheckt.

Speaker0: Wir reden hier von Regierungen, wir reden hier von anderen Unternehmen.

Speaker0: Also wenn man sich anschaut, wie die Angriffe auf Deutschland,

Speaker0: also auf die EU, hochgegangen sind in den letzten Jahren, also statistisch.

Speaker0: Wie gesagt, wir müssen deutlich was tun. Das hat nicht damit zu tun,

Speaker0: auch natürlich, dass wir in die Cloud gegangen sind und die Agnese-Fektoren sich verändert haben.

Speaker0: Klar, dass es vielleicht einfacher geworden ist, auf der einen Seite anzugreifen,

Speaker0: aber wir müssen uns diesem Trend entgegenstellen und sagen, hey,

Speaker0: ich muss es passivieren.

Speaker0: Das ist auch der Grund, warum die EU diese ganze Richtlinie rausbringt.

Speaker0: Wir machen das ja nicht aus Juxendollerei, sondern weil einfach ein Trend sich

Speaker0: abzeichnet, dass die Software unsecure ist, die ausgeliefert wird.

Speaker1: Ja klar, das ist ja mit NIST 2 und so auch nicht anders. Das predige ich auch

Speaker1: in einer Tour bei den Kunden, die sich darüber beschweren.

Speaker1: Es gäbe keine Notwendigkeit, wenn es denn besser wäre, als es ist.

Speaker1: Und daher kommt es halt einfach. Das ist nun mal einfach so.

Speaker1: Ja, diese ganzen Themen, was du da so jetzt gerade beschrieben hast,

Speaker1: sollte natürlich irgendwann auch in die Köpfe der Unternehmer und auch der Admins

Speaker1: und der Entwickler natürlich. um

Speaker1: Ich weiß, dass ihr als Advisorier mit dem Unternehmen Q-Skills aus Nürnberg

Speaker1: auch zusammenarbeitet.

Speaker1: Das heißt, ihr habt dort auch verschiedene Lernpfade, zum Beispiel den AI and

Speaker1: Data Science Practitioner und Data Science Expert und dann gibt es auch noch

Speaker1: KI-gestützte Risikominimierung.

Speaker1: Das heißt, wenn jemand jetzt während unseres Gespräches sich gedacht hat,

Speaker1: wie kann ich das denn eigentlich alles lernen, dem empfehle ich mal einen Blick

Speaker1: auf die Website der Q-Skills.

Speaker1: Da hältst sowohl du als auch deine Kollegen Trainings zu, oder?

Speaker0: Genau, genau. Also man muss sagen, unser Partner Kuskils, das muss sich auszeichnen,

Speaker0: ist, sie haben keine, also nicht reine Trainer.

Speaker0: Ja, als Trainer, das ist immer so eine Sache, wenn man sagt,

Speaker0: hey, ich bin reiner Trainer, dann hat man wenig Erfahrung aus der Praxis.

Speaker0: Also wir sind, die Leute, die das machen, sind alle Berater,

Speaker0: Entwickler, Ingenieure,

Speaker0: die quasi nebenbei für CoolSkills Trainings halten gemeinsam,

Speaker0: um einfach unser Wissen zu transformieren, also weiterzugeben an andere Kollegen,

Speaker0: wie geht man in den Technologien um.

Speaker0: Ja, also ich kann es jedem empfehlen, einfach mal reinzustuppern,

Speaker0: sich so ein Training anzuschauen, weil das ist die Zukunft.

Speaker0: Also das werden alle ganz, ganz lange, ganz, ganz schnell alle machen müssen,

Speaker0: um webbibbersfähig zu bleiben.

Speaker1: Ja, das sehe ich auf jeden Fall ganz genauso. Also ich werde auf jeden Fall

Speaker1: unten in die Shownotes für euch den Link zu den KI-Trainings bei der Q-Skills mit reinschmeißen.

Speaker1: Wenn man so ein Produkt oder so eine Lösung haben möchte, habt ihr jetzt auch

Speaker1: gehört schon, dann wendet ihr euch an den Asan bzw.

Speaker1: An Advisori. Auch dessen Kontaktdaten findet ihr nachher definitiv auch unten

Speaker1: wie immer in den Shownotes. Da könnt ihr dann auch entsprechend Kontakt aufnehmen.

Speaker1: Wenn Leute jetzt aber noch mehr über dich oder deine Arbeit erfahren möchten,

Speaker1: hast du noch irgendwelche anderen Kanäle oder trifft man dich regelmäßig auf

Speaker1: irgendwelchen Veranstaltungen?

Speaker0: Also natürlich auf diverse KI-Veranstaltungen, aber gerne auch per LinkedIn,

Speaker0: schreibt mich einfach gerne an.

Speaker0: Wir machen auch regelmäßig mit unserem Partner CoSkills Podcasts.

Speaker0: Ich habe jetzt demnächst Podcasts bzw. Webinar, wenn wir es jetzt mal kostenlos bei der Hessen-AI.

Speaker0: Mit Verletz kann man das dann auch sehen. Kann ich auch nur euch empfehlen.

Speaker0: Dann zeige ich mal live, was man alles mit den Agents machen kann.

Speaker0: Also Schattenseiten, wie was negativ, dass man das auch mal live mal gesehen

Speaker0: hat und die Potenziale mal selbst analysiert.

Speaker0: Wie kann ich das für mich einsetzen in meiner Arbeit?

Speaker0: Und was ich euch da mitgebe, das ist nicht nur für Taggys, das ganze Thema Agents,

Speaker0: weil sowohl wir als Advisori haben Plattformen, wo wirklich per Dreck und Drop,

Speaker0: also wirklich so clicky-bunty, kann man sich die Sachen zusammenklicken und

Speaker0: andere Hersteller, wie gesagt, die ganze Welt wird so ticken,

Speaker0: dass man das überall einsetzt.

Speaker0: Nicht nur für uns Developer sind diese Agents interessant, sondern auch für

Speaker0: jede Firma, sich sowas aufzubauen, weil die Zeiten sind vorbei.

Speaker0: Das ist schade für uns Entwickler, sag ich jetzt mal, dass man für jeden kleinen

Speaker0: Use Case lange teuer programmieren muss.

Speaker0: Das heißt, man kann mittlerweile diese Digitalisierung in seinem Unternehmen

Speaker0: superschnell voranbringen für sehr wenig Geld. Das ist das Tolle daran. Vielen Dank.

Speaker1: Ja, wie du sagst, schade für die Entwickler, aber auf der anderen Seite halt

Speaker1: auch einfach eine Notwendigkeit aus Blickwinkel von Fachkräftemangel und teilweise

Speaker1: auch für den kleinen Mittelstand unbezahlbaren Fachkräften.

Speaker0: Definitiv. Gerade wir in Deutschland brauchen das jetzt. Wertschöpfung arbeiten,

Speaker0: wir wollen unsere Wirtschaft voranbringen.

Speaker0: Wir reden sehr viel mit dem Mittelstand.

Speaker0: Ich bin immer wieder erschrocken, wenn ich mir anschaue, wie viele Potenziale da drin sind.

Speaker0: Was man da, also ich rede ja von Millionen, was man sparen kann an Geldern und

Speaker0: effizient und ganz wichtig, es geht hier nicht um Leute abzubauen das ist auch nochmal, das sind,

Speaker0: Potenziale, die Leute brauchen, brauchen Ressourcen also ich rede immer wieder

Speaker0: Leuten, die sagen zu mir Herr Stefanski,

Speaker0: das ist ganz ehrlich, also das geht gar nicht mehr jetzt ums Budget ich hab

Speaker0: die Leute gar nicht dafür ich kann das gar nicht machen, wie soll ich denn das bitte tun.

Speaker0: Ob es jetzt die Regulierung ist oder irgendwelche neue Produktideen,

Speaker0: sage ich, okay, dann rate ich Ihnen, schauen Sie sich das an,

Speaker0: Sie können damit sehr, sehr viel automatisieren und wertschöpfende arbeiten.

Speaker0: Also ich könnte Storys erzählen.

Speaker0: Also ich gehe immer, wenn ich nach Hause komme, erzähle ich meiner Frau so,

Speaker0: hey, ich falle immer von den Wolken.

Speaker0: Ich bin ja auch Fachfremd bei vielen Branchen. Da hätte ich nie gedacht, dass die arbeiten.

Speaker0: Das ist immer für mich so eine neue Welt, die da aufgeht. und dann sage ich,

Speaker0: boah, wir könnten so viel effizienter sein in Deutschland.

Speaker0: Das, was mir Angst macht, sage ich ehrlich, wenn ich mir anschaue,

Speaker0: das Ausland, gerade USA, China, die sind weiter wie wir technologisch, die machen das.

Speaker0: Die machen das. Und was bedeutet das für uns? Das macht mir so ein bisschen Angst, muss ich sagen.

Speaker1: Ja, bleibt auf jeden Fall spannend und wir werden mal sehen,

Speaker1: wie das unter der neuen Regierung jetzt dann sich möglicherweise in die richtige Richtung entwickelt.

Speaker0: Immer positiv, positiv vorhandenken, ja.

Speaker1: Genau, das wäre die Frage. Hättest du denn abschließend noch eine Nachricht

Speaker1: oder Botschaft, die du unseren Hörerinnen und Hörern mitgeben magst?

Speaker1: Da hättest du es ja eigentlich schon gesagt gerade.

Speaker0: Es sind zwei Sachen. Also Nummer eins, beschäftigt euch mit dieser Technologie. Das ist das eine.

Speaker0: Ich stecke wirklich mit ganz wenig unten voreingenommen, weil leider Gottes

Speaker0: gibt es auch viel Misinformation da draußen, auch von vielen Beratern,

Speaker0: die zu viel versprechen manchmal, manche zu wenig.

Speaker0: Das heißt, ihr könnt euch wirklich aufgeschlossen informieren.

Speaker0: Und auf der anderen Seite, seid nicht zu blauäugig.

Speaker0: Wenn ihr Technologie einführt, schaut euch immer an Vor- und Nachteile.

Speaker0: Was bedeutet das für mich? Und vergesst die IT-Sicherheit nicht.

Speaker0: Die ist extrem wichtig. Die tollste Technologie, die man einführt,

Speaker0: kann helfen. Aber wenn dein IT-Sicherheitsvorfall ist, tut da weh. Richtig weh.

Speaker1: Ja, ich ergänze noch Teil 3 dazu. Haltet nicht an Dingen fest,

Speaker1: die nicht für euch funktionieren. Das wäre auch noch sowas.

Speaker1: Das ist leider auch oft so, dass man sagt, jetzt habe ich hier 100.000 Euro

Speaker1: in was investiert. Das muss jetzt die nächsten 10 Jahre funktionieren.

Speaker1: Wenn es halt nicht funktioniert, dann ist es halt einfach als Lesson learned,

Speaker1: bitte abzuhaken und dann weiter.

Speaker0: Ich würde gerne eine vierte sagen, ganz kurz. weil du es gerade gesagt hast.

Speaker0: Wir müssen uns davon verabschieden, gerade in dieser AI-Welt,

Speaker0: dass ich sage, ich habe mir das heute angeschaut, heute hat das nicht geklappt,

Speaker0: das verwerfe ich erst mal für mich. Ich habe ein kleines Beispiel.

Speaker0: Wir haben viele Kunden, die haben vor eineinhalb Jahren ein Chatbot eingeführt

Speaker0: und das hat nicht funktioniert. In ganzer Weise.

Speaker0: Seitdem ist AI verbrannt. Das Thema AI kommt total verbrannt.

Speaker0: Das Schlimme ist, und das Gute und das Schlimme ist, wirklich,

Speaker0: ich übertreibe da nicht Ich rede von wirklich Wochenzyklen.

Speaker0: Jede Woche passiert momentan eine Innovation. Wir machen Sprünge,

Speaker0: wirklich Riesensprünge, jede Woche.

Speaker0: Und Sachen, die heute nicht funktioniert haben, kann sein, dass sie wirklich

Speaker0: morgen, ich rede wirklich von morgen, funktionieren.

Speaker0: Das heißt, man sollte das Unternehmen so aufbauen, nicht auf jeden Hype draufzuspringen,

Speaker0: um Gottes Willen. Das ist auch nicht das Richtige.

Speaker0: Aber immer die Augen offen zu halten, was passiert da? Was passiert da draußen?

Speaker0: Und wenn ich heute evaluiert habe, was für mich funktioniert nicht,

Speaker0: machen wir nicht. Immer wieder gucken, was ist da passiert.

Speaker0: Weil wenn man das abwirft, wie gesagt, so viele Diskussionen dann geführt mit

Speaker0: Kollegen, soll es erklären, Herr Stefanski, warum soll ich jetzt AI machen?

Speaker0: Ich habe eine halbe Million investiert.

Speaker0: Das war für nichts, also funktioniert überhaupt nicht.

Speaker0: Warum sollte jetzt das funktionieren? Und das ist schwierig,

Speaker0: den Kunden dann zu erklären, weil die AI von einem Kind war und heute eine erwachsene Person.

Speaker0: Das ist schwierig den Kunden zu erklären.

Speaker1: Der Lifecycle ist so kurz geworden, aber man muss mitwachsen mit dieser ganzen Geschichte.

Speaker1: Es geht nicht mehr, dass man sich so langfristig auch an Dinge geistig festnagelt.

Speaker1: Deswegen meine ich ja, wenn es nicht funktioniert oder wenn es das Falsche war,

Speaker1: dann muss man es halt einfach akzeptieren und nicht versuchen,

Speaker1: krampfhaft daran festzuhalten. Absolut.

Speaker1: Ja, das heißt, mein persönlicher Schlusssatz tatsächlich, bleibt sicher und

Speaker1: bleibt neugierig und bleibt vor allem am Ball.

Speaker1: Und ganz wichtig, KI ist immer nur so gut wie die Leute, die mit dem Ding auch umgehen.

Speaker1: Ohne untrainierte Leute und schlecht implementierte Dinge führen halt unter

Speaker1: Umständen dann zu Problemen oder zum BSI-Vorfall.

Speaker1: Dann dürft ihr euch natürlich auch gerne bei uns melden.

Speaker1: Ansonsten, falls ihr Fragen habt oder Anregungen zu dem Thema,

Speaker1: lasst uns das gerne wissen Ihr habt immer die Möglichkeit,

Speaker1: Kommentare zu hinterlassen in dem Podcatcher eurer Wahl oder wenn ihr die Folge

Speaker1: auf YouTube hört, dann natürlich auch dort Folgt uns, wo man uns folgen kann

Speaker1: Bewertet gerne auch den Podcast,

Speaker1: am besten positiv aber wenn es euch nicht gefällt, dann auch negativ und wie

Speaker1: immer, ihr könnt mir eine Sprachnachricht schicken Ihr kennt den Link unten

Speaker1: über Speakpipe Nutzt die Möglichkeit,

Speaker1: das machen mittlerweile doch immer häufiger Leute Das werdet ihr dann in der

Speaker1: Geburtstagsfolge demnächst auch hören

Speaker1: Und ansonsten, Asan muss ich sagen, vielen lieben Dank für eine sehr informative

Speaker1: und spannende Stunde mit dir.

Speaker1: Hat mir eine Menge Spaß gemacht und ich denke, wir sehen uns dann auf der einen

Speaker1: oder anderen Veranstaltung auf jeden Fall demnächst.

Speaker0: Dankeschön ebenfalls. Vielen, vielen Dank und vielen Dank für die Einladung.

Speaker0: Hat mir auch sehr viel Spaß gemacht und ja, sieht sich bestimmt.

Speaker1: Dann bis zum nächsten Mal. Macht's gut. Tschüss.

Speaker0: Ciao.

Music: