Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Bundeswehr, Google Cloud und Air-Gap: Technisch sicher, politisch heikel?
In dieser Folge sprechen Michael Döhmen und Andreas Papadaniil über einen Aufreger mit viel medialer Schlagkraft: Die Bundeswehr entscheidet sich für die Google Cloud. Das hat eine laute Debatte rund um digitale Souveränität, US-Abhängigkeiten und den vielzitierten CLOUD Act ausgelöst. Was viele übersehen: Es handelt sich nicht um irgendeine Public Cloud, sondern um eine physisch abgetrennte Umgebung mit klar definierten Sicherheitsgrenzen. Die Hosts ordnen ein, was technisch dahintersteckt, wie real mögliche Risiken wirklich sind und warum diese Entscheidung durchaus nachvollziehbar, wenn nicht sogar strategisch sinnvoll ist. Es geht um Vertrauen, Transparenz, Kosten, Performance und um die Realität moderner IT-Infrastruktur.
Fazit: Wer ernsthaft über Cloud im sicherheitskritischen Umfeld diskutieren will, muss mehr als nur Schlagzeilen kennen.
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Andreas Papadaniil:Die amerikanischen Hersteller haben ein großes Interesse, die Vertraulichkeit der Daten ihrer Kunden zu bewahren. Die spielen da nicht mit und sagen klar amerikanischer Staat, ihr wollt die hier habt ihr die, sondern die werden alles dagegen tun.
Michael Döhmen:Herzlich willkommen zu einer neuen Ausgabe vom Cybersecurity Basement. Und Leute, ich glaube, wir müssen Bezug nehmen. Bezug zu nehmen zu einem Thema, das gerade recht heiß diskutiert wird. Natü rlich wieder in den sozialen Medien, aber auch in der Medienlandschaft grundsätzlich. Und Anlass ist die neueste Pressemitteilung der Bundeswehr, denn die haben verkündet, auf Google Cloud zu setzen. Und die Medien machen daraus natürlich zum Teil auch recht wertende Headlines, wie zum Beispiel nachzulesen in der Wirtschaftswoche. Die schreiben: Alle reden von digitaler Souveränität. Die Bundeswehr kauft bei Google." Suggeriert schon, weil diese beiden Teile getrennt sind durch drei Pünktchen, dass das nichts mit digitaler Souveränität zu tun haben kann, dass das nichts mit digitaler Souveränität zu tun haben kann. Heise schreibt Bundeswehr setzt auf Google Cloud, auch das etwas zu global gefasst und greift überhaupt nicht das auf, was eigentlich dort passiert ist. Und wir wollen heute mal darüber sprechen.
Michael Döhmen:Wie ist die Sachlage denn wirklich? Es geht eine Air Gapped-Instanz von Google, die dort implementiert werden soll, Laufzeit bis 2027. Wir wollen darüber sprechen. was bedeutet eigentlich Air Gapped? Haben wir hier wirklich ein Sicherheitsproblem? Spricht das alles wirklich gegen digitale Souveränität? Hätte es Alternativen gegeben? Ist das Ganze vielleicht sogar nur ein riesiger PR-Coup von Google, den sie sich erkauft haben? All die Fragen möchte ich heute besprechen mit meinem Co-Host seit dem letzten Podcast.
Andreas Papadaniil:Es ist mir eine Ehre.
Michael Döhmen:Der Gründer und CEO der suresecure GmbH, Andreas Papadaniil, herzlich willkommen.
Andreas Papadaniil:Grüßt euch. Danke, dass du mich so ehrenvoll ankündigst. Das halte ich dir sehr zugute.
Michael Döhmen:Sehr, sehr gerne. Thema Bundeswehr und Google Cloud. Darüber wollen wir heute sprechen. Ich denke, du hast die Diskussionen rund um dieses Thema auch verfolgt. Vielleicht steigen wir recht simpel ein. Ich habe es eben geteasert. Es geht also um eine Air-Gap-Cloud. Das hat man noch nicht so oft gehört. Kannst du vielleicht uns kurz erklären, was genau das bedeutet?
Andreas Papadaniil:Also Air-Gapped Umgebungen gibt es im Hochsicherheitsbereich und auch im militärischen Bereich schon seit ziemlich langer Zeit. Das ist nichts Neues. Das sind quasi Umgebungen, die von außen abgekapselt sind. Das hört sich jetzt ganz lustig an, wenn man von einer Cloud spricht, weil es eine allgemeine, ich sag mal, Kenntnis über die Cloud ist, halt eine Umgebung von Ressourcen, die im Internet bereitsteht, und die soll man jetzt von außen abkapseln. Das ist jetzt in dem Fall natürlich nicht ganz so richtig. Also, natürlich hat die Bundeswehr dort Verbindungen rein, aber nach außen hin in andere Bereiche soll es keine Verbindungen geben, und dieser begriff kommt eigentlich auch noch aus einer zeit, in der wir hauptsächlich On-Premise gelebt haben. Kannst du dir dann so vorstellen, dass du halt Hardware lokal in einem Rechenzentrum hast.
Andreas Papadaniil:Du kannst dann natürlich von deinem lokalen Netzwerk eingeschränkt auf diese Umgebung zugreifen. Aber diese Umgebung kann zum Beispiel nicht ins Internet, also kann sich sich keine Updates aus dem Internet ziehen. Und deswegen kommen dann auch solche Workarounds, dass du Updates nicht direkt aus dem Internet beziehen kannst, sondern du gehst an deinen Rechner, der Internet hat, ziehst dann die Updates auf den Rechner, nimmst dir einen USB-Stick oder sonstigen Wechseldatenträger, läufst dann rüber in deine Air Gapped-Umgebung und packst dann dort die Daten rein. Das ist so eine von einigen Herausforderungen, die du dort hast. Auf der positiven Seite hast du natürlich eine massiv erhöhte Sicherheit, weil du von außen dann eigentlich nicht angreifbar bist.
Michael Döhmen:Ok, das hab ich so weit verstanden. Klingt recht altmodisch mit dem USB-Stick, aber ich verstehe den Zweck dahinter. Diese Umgebung oder diese Instanz soll ja dann h auptsächlich dazu da sein, Dienste für die Bundeswehr aus dieser Umgebung heraus zu liefern. SAP spielt da eine große Rolle bei. Also SAP-Applikationen, die dann für die Streitkräfte, für die Bundeswehr bereitgestellt werden sollen. Jetzt Thema digitale Souveränität, Abhängigkeit zu USA. Die Bundeswehr beauftragt einen klassischen Hyperscaler aus den USA. Daran gibt es auch enorme Kritik. Vielleicht aber nochmal diese Hyperscaler. Welche Vorteile bieten die denn der Bundeswehr in Sachen Skalierung, Performance und Innovation? Und im Anschluss sprechen wir mal drüber, ob es denn vielleicht nicht auch Alternativen gegeben hätte. In vielen Artikeln steht halt ist es alternativlos. Wie siehst du das?
Andreas Papadaniil:Also klar, die drei genannten Faktoren spielen bei der Cloud eine große Rolle. Deswegen hat sich die Cloud ja auch so durchgesetzt, weil, wenn du jetzt auf Ressourcen über das Internet zugreifst, das kriegst du alles gar nicht mit. Also, du gehst jetzt auf hier google. com.
Andreas Papadaniil:Ich glaube, jeder Mensch nutzt mindestens einmal am Tag Google, so dann hast du einen DNS-Eintrag, google. com, und dahinter stecken dann Systeme und IP-Adressen, und du wirst dann geroutet durch verschiedene Wege, je nachdem, wo du bist. Die eigentlichen Ressourcen, die du abrufst, sind aber dann Amerika. Die stehen dann da, und du kriegst das jetzt als normaler Bürger vielleicht jetzt nicht so mit. Aber die Applikationen, wenn die untereinander sprechen, die brauchen teilweise sehr kurze Latenzen, also sehr kurze Antwortzeiten, Rückmeldungen, damit sie richtig funktionieren. Wenn du dir jetzt vorstellst, eine Datenbank mit Millionen von Einträgen in der Sekunde. Du bist jetzt bei der Bundeswehr, du bist im Einsatz im Amazonas zum Beispiel, und du schreibst jetzt deine Daten da rein.
Andreas Papadaniil:Zum Beispiel, du hast irgendwie Stellungen vom Feind gesichtet, die trägst du in deine Datenbank ein, und das Ganze wird dann transferiert rüber, und das Ganze passiert vielleicht noch automatisch, weil du irgendwelche Systeme hast mit Sensorik, die sich dann anschauen, wie ist das Terrain. Du lässt eine Drohne drüber fliegen. Ich finde jetzt ganz tolle Beispiele. Keine Ahnung, ob das alles wirklich passiert, aber Ja, und dann haust du das Ganze in eine Datenbank rein, aber dann am Ende der Welt, und da spielt eben in der Performance das eine Rolle. Und das gleiche Spiel ist auch, du hast jetzt einen Einsatz, irgendeinen Remote.
Michael Döhmen:Ich mag es Mittelmeer, keine Ahnung Italien.
Andreas Papadaniil:Italien. Ja, du hast jetzt einen Einsatz in Sardinien zum Beispiel. Du bist jetzt irgendwo in der Pampa von Sardinien und hast jetzt da einen Einsatz, keine Ahnung, eine Übung beispielsweise mit den italienischen Kollegen zusammen und musst da plötzlich einen Standort aus dem Boden stampfen. Das heißt lokale Hardware. Du musst auf Applikationen zugreifen können irgendwo, und du kannst halt eben mit der Cloud relativ schnell Ressourcen hochfahren, weil du sagst, da sind jetzt hier 5000 Soldaten, die sind in Sardinien, die haben irgendeinen Einsatz, die brauchen dafür natürlich IT an der Stelle, und du kannst Ressourcen aus der Cloud per Knopfdruck zur Verfügung stellen. Jetzt stell dir mal vor, 20 Jahre vorher, da musstest du erstmal Hardware, Server, Switche an der Stelle. Das ist eben diese Skalierbarkeit, die du aus der Cloud bekommst, und diese Flexibilität, die du da heute auch brauchst. Was auch Stand der Technik ist, findest du auch nicht anders. Das kannst du nur so umsetzen. Also du musst, wenn du das haben willst.
Andreas Papadaniil:Das sind natürlich spezielle Use Cases. Wenn du jetzt ein Unternehmen bist ich sag mal jetzt aus dem Maschinenbau und du hast 200 Mitarbeiter an einem Standort in Deutschland, und alles ist sehr ähnlich, es verändert sich nicht viel an der Stelle, du hast eine ähnliche Mitarbeiteranzahl, deine Use Cases sind ähnlich dann brauch so eine Bundeswehr mit der Anzahl an Soldaten, strickstrich, mitarbeitern, mit der Anzahl an Standorten und mit den wechselnden Einsatzorten ist eigentlich so eine Cloud alternativlos. Und dann muss man ja auch sagen, muss eine Bundeswehr auch mit dem Budget haushalten. An der Stelle Kann man jetzt drüber streiten.
Michael Döhmen:Okay, also auch ein Kostenpunkt.
Andreas Papadaniil:Ja definitiv, weil das kannst du dir aus dem Privatleben auch so vorstellen. weißt du, wenn du eine Packung Milch kaufst, kostet die dich vielleicht 1,50 Euro, und wenn du aber 50 Packungen Milch kaufst, im Großpaket, dann kriegst du pro Stück wahrscheinlich 1,35 hin. Und so ist das Spiel auch mit der Cloud, weil in der Cloud gibt es Ressourcen ohne Ende Auf die Masse, die Zugriffswege sind einfacher, und das bedeutet eben, die Herstellkosten sind eben viel geringer für den Cloud-Anbieter. Das heißt, je nachdem, was du hast, je nachdem, wie der Use Case ist, kannst du eigentlich immer davon ausgehen, dass ein Hyperscale-Cloud-Anbieter günstiger anbieten kann als ein anderer Cloud-Anbieter, der jetzt vielleicht, sag ich mal, 300 Server im Rechenzentrum hat.
Michael Döhmen:Also, wir haben ja auch in Europa größere Cloud-Anbieter, ja, natürlich nicht so groß wie die Hyperscaler, aber zum Beispiel ein IONOS oder Gridscale oder so, die ja auch beschlossen zur Verfügung stehen können.
Andreas Papadaniil:Oder Stackit zum Beispiel gibt es auch noch.
Michael Döhmen:Genau zur Verfügung stellen können. Die waren in dem konkreten Punkt ja jetzt aus irgendwelchen Gründen haben die einen Zuschlag nicht bekommen. Also der Standort Vorteil hat nicht so schwer gewogen wie die ganzen anderen Themen.
Andreas Papadaniil:Ja, ich gehe mal davon aus ich kenne jetzt den Vergabeprozess nicht aber in der Regel bei den Größenordnungen, über die wir da reden, bist du auch bei einer mindestens europäischen Ausschreibung, die du machen musst. Und eine Ausschreibung besagt halt am Ende, dass es um den Preis geht. Und jetzt kann man natürlich darüber sprechen boah, könnte das nicht ein Faktor sein? Die Souveränität müsste eigentlich auch mit drin sein, und so weiter. Aber es ist, wie es ist, und jeder am Ende muss man auch sagen diese Instanzen haben nichts miteinander zu tun. Und auch Gott sei Dank gibt es dort stell dir mal vor, eben Jonos, sackets etc.
Andreas Papadaniil:Werden mit dem Staat miteinander verbandelt, und die würden halt sagen nee, diese Unternehmen kriegen immer zuerst die Aufträge. Das wäre eine Verzerrung des Wettbewerbs, und auch nicht gut. Wir Und auch nicht gut, wir sind kein Sozialstaat. Hier am Ende muss man sagen Und eine Bundeswehr ist genau wie jedes andere Unternehmen so verpflichtet, einfach das beste Angebot anzunehmen, und in vielen Fällen ist es eben das günstigste. Und da muss man sich halt fragen okay, ist es Summe X mir wert, das Ganze in Deutschland zu machen? Aber auch da muss man sagen, wenn man sich das Wettbewerbsrecht anguckt, kannst du das gar nicht machen. Du wirst am Ende sagen okay, der Preis gewinnt. Dafür sind diese Ausschreibungen da.
Michael Döhmen:Jetzt schreien ja auch immer alle, wenn es um das Thema Cloud und USA geht. Achtung Cloud Act, us Cloud Act, der es US-Behörden ermöglicht, die Herausgabe von Daten zu verlangen, unabhängig davon, ob diese in den USA oder im Ausland gespeichert sind. In diesem ganz speziellen Fall der R-GAPT-Lösung Instanz spielt dieses Thema hier eine Rolle oder nicht? Weil das hätte ja ein Punkt sein müssen, wo man vielleicht nochmal drüber nachdenkt und sagt ja, komm dann lieber doch europäischer Anbieter, wenn es mehr kostet.
Andreas Papadaniil:Es spielt auf jeden Fall eine Rolle, muss ich sagen. Aber das Ganze wird sicherlich im Vergabeprozess auch im Sinne von Risikomanagement betrachtet worden sein. Also hoffe ich jetzt mal, du hast jetzt Risikomanagement, du schaust dir Schadenspotenzial und Eintrittswahrscheinlichkeit an, ich weiß jetzt nicht. Also ich gehe jetzt auch mal davon aus, dass diese Umgebung nicht dafür geplant ist Alarmstufe 27, hochsicherheit, confidential, ansonsten geht das Land zugrunde Informationen zu speichern, weil dafür gibt es sicherlich noch Datenspeicher, die woanders stehen, die auch komplett abgekapselt sind, das heißt, die Daten du hast ja immer eine Klassifizierung von Daten im Endeffekt. Das heißt, die Daten, die dort liegen, sind sicherlich auch nicht unsensibel, aber nicht entsprechend dieser Kategorie, gehe ich jetzt mal von aus. Und dann muss man sagen okay, ja, grundsätzlich kann der amerikanische Staat durch diesen Act auf diese Daten zugreifen oder den Zugriff anfordern, entsprechend. Die Unternehmen sind aber nicht gezwungen, das sofort zu tun. Auch das Ganze kann von Schiedsgericht noch gehen.
Andreas Papadaniil:Der Prozess ist jetzt nicht so einfach. Also ich habe damals auch ich habe ja IT-Forensik studiert, und da war ein Teil auch Kriminalistik, das ist eben gemacht für Polizisten auch die Richtung Cybercrime gehen wollen, und da habe ich mich ein bisschen mit den Gesetzen mal auseinandergesetzt, und ich dachte halt immer, ein Polizist in Deutschland, der kann ja auch total easy mal dein Haus überwachen, und dann stellen die einfach Leute hin oder eine Hausdurchsuchung bei dir anfordern und so weiter. Das war so mal der ja, was man so als Laie dann so oft denkt, weil es gibt diese Maßnahmen, die relativ hart sind, aber was es dazu braucht, du brauchst also erstmal, um so eine Hausdurchsuchung machen zu können oder jemanden abzuhören, brauchst du einen richterlichen Beschluss. Das muss dann erstmal durchs Gericht gehen, was Monate dauert, Und da musst du halt ganz klar darlegen, du kannst nicht sagen, ich vermute, dass diese Person eventuell was Illegales macht, sondern du brauchst da schon deutliche Indizien, oder es muss halt Gefahr im Verzug sein, und selbst ist der Prozess noch ziemlich lange.
Andreas Papadaniil:Und glaub mir mal also ich kenne den Prozess jetzt nicht in Amerika, aber dass du jetzt im Patriot Act jetzt nicht irgendwie einer, der da sitzt und gelangweilt ist, sagen, ich möchte jetzt mal bei Google rein und diese Systeme mir angucken, oder ich will mal bei der Bundeswehr rumschnüffeln, und glaub mir mal, dass Google auch in der Größenordnung, wo die unterwegs sind und mit der Reputation alles dafür tun Du kannst es nie 100% ausschließen dass auch internal ich sag mal, die Leute, die daran arbeiten, von Google eben entsprechend ausgesucht sind, ausgebildet sind, mit solchen Umgebungen umzugehen und dafür Sorge getragen wird, dass die nicht einfach an den Daten sag ich mal sich das angucken.
Michael Döhmen:Aber nochmal zum Verständnis die müssten, um auf diese Daten zuzugreifen, müssten die ja physisch vor Ort sein und an einen Rechner gehen, um dann auf diese Daten zuzugreifen. Also, es gibt nach wie vor keine Möglichkeit, das von außen zu tun.
Andreas Papadaniil:Absolut, und dann ist es ja eben dokumentiert, weil es wird dokumentiert, wer das Rechenzentrum betritt. Es gibt Überwachungskameras. Glauben wir mal, dass diese Sicherheitsstufe weil auch die Rechenzentren von Google sind ja hochzertifiziert an der Stelle, dass du dort Prozesse durchläufst? Du kannst ja nicht einfach reinlaufen und mal mit deinem Stick ein paar Daten runterziehen, also das läuft so nicht. Google hat auch eine Größenordnung, wo sich der amerikanische Staat das Ganze sich auch anhört, und Google steht auch im Dialog miteinander, und Google wird natürlich auch alles dafür tun, um den amerikanischen Staat zu verklickern. Leute, das geht so nicht. Es gibt ja auch schon ein Beispiel in der Vergangenheit, wo der Patriot Act durchgeführt werden sollte. Ich kann mich noch an Apple erinnern no-transcript. Das heißt, die amerikanischen Hersteller haben ja ein großes Interesse, eben die Vertraulichkeit der Daten ihrer Kunden zu bewahren. Die spielen da nicht mit und sagen klar amerikanischer Staat, ihr wollt die Daten, ihr habt die, sondern die werden alles dagegen tun.
Michael Döhmen:Weil natürlich dann auch einen riesen Impact hat auf den Vertrauensfaktor. Also, das kann ein Multiplikator werden für andere Kunden, die sich dann eben für eine andere Lösung entscheiden. Jetzt sind wir bei dem Punkt Vertrauen, und da habe ich mir so gedacht, vielleicht ist das Ganze auch eher so eine strategische Geschichte. Also wir wissen wir haben ja keine Insights wie diese Verhandlungen liefen und die Ausschreibung lief und und und. Aber natürlich haben diese Hyperscaler aus den USA jetzt auch mit Start neuer Regierungszeit Donald Trump wieder ein Problem, dieses Vertrauen im Vorfeld bereitzustellen. Jetzt gewinnt Google, klaut die Bundeswehr als Kunden Maximal sensibler Bereich. Das hat natürlich auch eine vertrauensbildende Wirkung in der medialen Landschaft. Ich möchte niemandem was unterstellen, aber die Wirkung ist da, und da kann man sich natürlich vorstellen, dass sie vielleicht auch wirklich in diesen Verhandlungen bis an eine Grenze gegangen sind, wo auch andere Unternehmen gesagt haben keine Ahnung, für uns ist das gar nicht mehr wirtschaftlich, weil wir wissen natürlich, ein Konzern wie Google, alphabet, die 40 Milliarden Gewinn im Quartal machen, haben andere Möglichkeiten als europäische Cloud-Anbieter Zum Beispiel. Was denkst du dazu?
Andreas Papadaniil:Ja, kannst du mal davon ausgehen, dass Google hier in dem Fall maximale Rabattierung angesetzt hat? Du musst natürlich aufpassen, Was denkst du dazu? wenn dann entsprechend die Wettbewerber Auskunft anfordern für diese Ausbreitung und das irgendwie publik wird an der Stelle, dann hat Google auch ein Problem. Das heißt, du kannst dich in einem gewissen Rahmen bewegen mit deinen Preisen, aber wie ich schon am Anfang mit der Milchpackung skizziert habe Google hat verdammt viele Milchpackungen im Regal, und dementsprechend können die auch diese Preise durchsetzen.
Andreas Papadaniil:Und du kannst dir ja vorstellen, ich kann jetzt entweder eine Marketingkampagne global fahren, die ich dann an Hochsicherheitsbereiche adressiere, wo ich Millionen investiere, wo ich vielleicht auch gar nicht meine Zielgruppe erreiche, weil ich das in einem Kanal ausspiele, auf dem die gar nicht unterwegs sind, und und, und und. Oder ich baue hier eine Rabattierung ein, ein Angebot für die Bundeswehr entsprechend, und genau wie du es sagst gerade ganz Deutschland redet drüber, also Deutschland IT-Welt, und glaube mal, dass es auch außerhalb von Deutschland weitergeht, in Amerika, in Europa. Das ist natürlich eine super PR jetzt gerade für Google, weil für jeden zukünftigen, der zweifelt, aus dem Hochsicherheitsbereich das sehen wir ja nicht nur die Bundeswehr, sondern wir haben ja auch viel Rüstungsindustrie gerade in Deutschland, kann Google dann sagen ja, guck mal hier so noch Fragen, Nein, Okay, weiter.
Michael Döhmen:Das ist schon tatsächlich eine Top-Referenz. Ich möchte nochmal auf diesen Punkt der Abhängigkeit oder des ja, sag ich mal, ganz großen Risikos Diese Cloud-Instanz von Google, die braucht natürlich auch, wie nahezu alles, einen gewissen Support, braucht Updates oder Upgrades, wie auch immer, um auf dem aktuellen Stand zu bleiben. Das heißt, wir haben hier eine Abhängigkeit zum Support, der sehr wahrscheinlich auch von Google selbst dann erbracht wird. Auch hier muss ja jemand dann physisch dorthin und, wie eben schon gesagt, die Updates ziehen und dann installieren. In einem sehr theoretischen Szenario, das Google vorgeschrieben bekommt, diesen Support einzustellen, wäre unsere Bundeswehr in einer Situation, dass die auf eine Cloud-Instanz setzen, die nicht mehr die neuesten Updates erhalten würde und somit gegebenenfalls anfällig wäre für Angriffe. Wie hoch schätzt du dieses Risiko ein?
Andreas Papadaniil:Sehr gering, tatsächlich. Also du meinst quasi, dass der amerikanische Staat sagt Google, ihr müsst jetzt die Updates einstellen, weil wir wollen die Bundeswehr in Deutschland schwächen, zum Beispiel ich meine, anlass für so ein Dekret.
Michael Döhmen:ich meine, donald Trump unterschreibt gerne Dekrete, aber das wäre dann wahrscheinlich nicht speziell auf Google und Deutschland gewünscht, sondern er würde wahrscheinlich dann in einem Fall was auch immer für ein Szenario vorher stand irgendwie grundsätzlich Updates für vielleicht für ganz Europa erstreichen keine Ahnung Und in dem Falle wären wir dann in dieser Situation. Also allein das ist schon ein sehr theoretisches Szenario.
Andreas Papadaniil:Also ist theoretisch möglich, aber im Endeffekt. Ich meine, wer bezahlt denn Donald Trump? Wer hat den Wahlkampf bezahlt? Im Endeffekt? und jetzt gehst du hin und möchtest den Unternehmen vors Bein treten. Bei wem trittst du vors Bein? Da mit Google. Du sagst natürlich Google, ihr müsst jetzt die Updates einstellen.
Andreas Papadaniil:Das wird ein Shitstorm des Jahrtausends geben und dazu führen, dass viele Kunden kündigen werden, weil die Cloud also das ist jetzt ein langfristiger Vertrag, natürlich für die Bundeswehr dann blöd. Es gibt ja aber auch andere Cloud-Modelle, wo du halt sehr flexibel bist, und jeder kannst und du bist ja auch verpflichtet als Cloud-Anbieter, die Daten herauszurücken, zur Verfügung zu stellen, dass du das auf eine andere Plattform übertragen kannst, und mittlerweile gibt es auch eben allgemeingültige Codes dass du halt sagen kannst ich gehe jetzt bei Google weg, und ich benutze alles, was ich da habe, und fahre das bei AWS hoch. So jetzt müsste dann schon Donald Trump hingehen, und dass wir alle Hyperscaler, microsoft, aws, aws und Google sagen, ihr müsst alle eure Updates ausstellen, und das würde halt dazu führen, dass der Markt explodieren würde an der Stelle. Deswegen ja, es ist theoretisch möglich, aber was gewinnst du dadurch? Und das Aufsehen, was du hast? Weil ganz ehrlich, wenn Donald Trump jetzt sagt, ich möchte jetzt Deutschland hacken, ich möchte die Bundeswehr hacken, dann kann er das auch ohne diese Aufmerksamkeitsgeschichte machen, weil dann würde ich es so machen, dass es keiner mitbekommt.
Andreas Papadaniil:Da gibt es ja schon Fälle. Es gibt ja eben schon damals diese Eternal Blue-Sicherheitslücke, die immer noch ganz groß unterwegs ist, weil sie sehr einfach auszunutzen ist und sehr hohen Impact hat, wurde damals eben vom Sicherheitsdienst aus den USA benutzt, lange Zeit benutzt zur Spionage, und ist dann eben durch ein anderes Hackerteam, sage ich mal, gefunden worden, genutzt wurden und wurde dann publik. Ist ja öfters so. Die Schwachstelle wird dann publik, und vorher wurde sie aber schon Monate oder Jahre genutzt, und dann würde er das so machen. Ich kann mir nicht vorstellen, dass er jetzt Unternehmen sagt, ihr müsst alle Updates abstellen, damit die Umgebung schwach sind, damit die gehackt werden können.
Andreas Papadaniil:Das ist ein bisschen weit hergeholt, tatsächlich, weil es schadet sich dem eigenen Land damit mehr, als er der Bundeswehr in Deutschland schaden würde. Und ich halte auch die Bundeswehr entsprechend und das Team, was dahinter ist das ist ja ein Riesenteam an Leuten und auch sehr erfahrene Leute, die da unterwegs sind eben für so gescheit, dass sie diese Risiken auch in der Beschaffung sich angeguckt haben und Wege dafür gefunden haben, dass sie darauf geachtet haben, dass, wenn sowas passieren sollte, selbst wenn die Eintrittswahrscheinlichkeit 3% ist die immer noch in der Lage sind weil du kannst ja auch diese Cloud-Umgebung nochmal replizieren auf einen anderen Hyperscaler, sage ich jetzt mal so runterziehen, woanders hinbringen.
Michael Döhmen:Es gibt ja viele Möglichkeiten, auch wenn es ergabt ist sage ich jetzt mal dafür zu sorgen, dass, wenn du dann dich kurzfristig von Google trennen solltest, warum auch immer, dass du es woanders wieder hochfahren kannst irgendwie mit Blick auf Innovationen und so weiter sich Gedanken gemacht haben, welcher Technologie-Stack hier am besten passt, und deshalb ja alles, was da draußen so geschrieben wird, immer hinterfragen. Oftmals ist es dann eben wie bei der Wirtschaftswoche gerne auch eine Headline, die etwas reißerisch ist, aber ja gar nicht genau abbildet, was dort eigentlich passiert ist. Ja, ich denke, in diesem Sinne können wir die Folge auch rund abschließen.
Andreas Papadaniil:Ich habe gerade noch mal geschaut das BWI, 7700 Mitarbeiter, macht einen Umsatz von zwei Milliarden. Das ist keine Frittenbude, sage ich dir. Da kannst du dir vorstellen, dass, gerade wenn es um diese technische Machbarkeit geht, dass sie ihre Hausaufgaben gemacht haben, und auch nicht nur bei der Beschaffung sind ja eben nicht nur BWI eigene Leute, sondern in so einer Größenordnung holst du dir externe Berater noch dazu, die dich dabei unterstützen, weil so ein Ding in der Größenordnung mit der Aufmerksamkeit möchtest du ungern in den Sand setzen?
Michael Döhmen:Definitiv nicht. Ja, In diesem Sinne, Andreas. Vielen Dank, dass du da warst. Das war unsere Bezugnahme zum Thema Bundeswehr und Google Cloud, Und sollte es dazu noch weitere Infos geben, werden wir vielleicht nochmal ein Update dazu veröffentlichen. Aber ich denke, wir haben all die wichtigen Themen abgearbeitet. Stopp bleibt sicher und gesund. Tschüss, Tschüss.
Annika Gamerad:Das war es aus dem Cybersecurity Basement Check die Shownotes, folge uns auf Social Media und abonniere den Podcast. Stay safe da draußen.