Deep Dive 193 –

Security in Games mit Philip Klostermeyer

14.10.2025

// Podcast
// Deep Dive 193

Shownotes

Mit einem geschätzten Gesamtumsatz von 250 Milliarden Dollar ist die Spielebranche mittlerweile doppelt so groß wie die Branchen Film und Musik – kombiniert! Schätzungen gehen von bis zu 3 Milliarden Spieler:innen weltweit aus. Kein Wunder also, dass auch Videospiele längst in den Fokus von Hacker:innen und Sicherheitsforschenden gerückt sind.

In dieser Folge sprechen Dennis und Jan mit dem Sicherheitsforscher Philip Klostermeyer über verschiedene Aspekte von Security in Videospielen. Philip forscht am CISPA Helmholtz Center for Information Security und hat für seine letzte Studie mit vielen Entwickler:innen und Verantwortlichen bei großen und kleinen Studios und Publishern gesprochen.

Philip erläutert, welchen Einfluss aktuelle Trends wie Multiplayer-Spiele, Live-Service-Titel und E-Sports auf die Sicherheitsarchitektur von Videospielen haben. Außerdem beleuchtet er Gemeinsamkeiten und Unterschiede zwischen der Entwicklung von Videospielen und „klassischer“ Software.

Anhand aktueller und unterhaltsamer Beispiele zeigt Philip auf, wie auch moderne Spiele, etwa Counter Strike 2, unter den gleichen Sicherheitslücken wie reguläre Software leiden – von Cross-Site-Scripting-Angriffen, über Supply-Chain-Attacken und Code Injections.

Download

/transkript/programmierbar/deep-dive-193-security-in-games-mit-philip-klostermeyer

Jan: Hallo und herzlich willkommen zu einem neuen Deep Dive hier in der programmier.bar. Endlich mal wieder mit mir gemeinsam im Studio ist in meiner rechten Ecke der
Dennis: Dennis, hi.
Jan: Hi Dennis, schön, dass Du wieder da bist. Und wir haben natürlich auch einen Gast heute für euch am Start. Wir wollen nämlich über Security sprechen, und zwar nicht nur Security im Allgemeinen, sondern Security in der Spieleentwicklung. Und dafür haben wir den Philipp eingeladen. Hallo Philipp.
Philip: Hallo. Freu mich, heute hier zu sein.
Jan: Schön, dass Du da bist und den weiten Weg extra auf dich genommen hast, nicht nur bei uns im Podcast zu sein, sondern auch im Meet-up für die Leute, die es quasi exklusiv heute Abend schon bei uns vor Ort mitbekommen werden.
Dennis: Bei Snacks und Drinks, ist noch 'n weiterer Vorteil vor Ort zu kommen.
Jan: Nicht nur Snacks und Drinks, Barbecue und Drinks.
Philip: Gibt's ja halt auch.
Dennis: Barbecue und Drinks, oh ho, doppelt gut.
Jan: Das das, ich hab auf Spotify einen Kommentar dazu gelesen, das berühmte Programmier Barbecue. Sehr gut. Sehr angetan, vorsichtig.
Dennis: Weiß das Wetter,
Jan: weiß das nicht, aber wir haben ja 'n Unterstand.
Dennis: Okay.
Jan: Also wir grillen da hinten im Ja. Im Überdachten Okay. Und essen dann drin. Leider nicht ganz so angenehm wie's letzte Mal, aber es wird schon wird schon funktionieren. Aber wir wollen nicht übers Wetter reden. Das ist auch spannend, aber wir haben noch spannendere Themen dabei. Wir wollen reden über Security. Philipp, vielleicht erklärst Du uns mal, was Du eigentlich den ganzen Tag so machst und warum Du dich so für Security interessierst.
Philip: Ja, also ich bin vom Helmut Zentrum für Informationssicherheit und ich bin da PhD tatsächlich. Also ich bin Promotionsstudent und wir sind 1 Forschungsgruppe in Hannover, ist son kleine Splittergruppe, sag ich mal.
Jan: Was klingt nach Terrorismus oder so was?
Philip: Ja, wir machen, wir wir sind im Prinzip son bisschen mehr auf der menschlichen Seite unterwegs. Das setzt uns immer auch son bisschen von den klassischen, ich sag mal so Tech IT Security Themen son bisschen ab. Wir machen nämlich oder behandeln vornehmlich Usable Security, was im Prinzip bedeutet, dass wir uns eben ja, wie gesagt son bisschen die die menschliche Seite hinter der IT Sicherheit anschauen. Es gab mal sone, ich fang einfach direkt mit der coolen Anekdote an. Es gibt sone Studie von IBM, die mal gesagt hat, 95 Prozent aller IT Sicherheitsvorfälle haben irgendwas mit Menschen zu tun und ja, dem gehen wir son bisschen mehr auf der Spur bei dem, was wir so bei Forschungsarbeiten in unserer Forschungsgruppe machen.
Jan: Da da muss ich ganz ketzerisch nachfragen, welche Sicherheitsprobleme haben denn nicht mit Menschen zu tun?
Philip: Oh, das ist eine sehr gute Frage ehrlich gesagt. Also das ist natürlich vor allen Dingen, ja, alles was natürlich im Hintergrund irgendwie crunch, wenn Du Technik hast, die mal irgendwie ausfällt oder sowas in der Richtung, ne? Also solche solche Sachen sind da im Hintergrund dabei, wenn der Server mal irgendwie, ja, 'n Stromschlag bekommt, sowas in der Richtung. Aber ja, darüber hinaus, ja klar, irgendwie haben wir alle unsere Finger dann mit im Spiel.
Dennis: Kannst Du noch mal 'n bisschen mehr erzählen über, Du hast gesagt, das Helmholz, Center da draußen T-Shirt an, da steht, wie wie sprecht ihr's aus? Zisper, ja, genau.
Jan: Genau, nicht
Dennis: buchstabiert, sondern Zisper. Zisper drauf, von wem kommt das? Wie viele Leute sind da so? Also was was ist son bisschen das Setting, das euch erlaubt, daran zu forschen? Mhm.
Philip: Das Zisper gibt es jetzt seit 20 11. Ich naggle mich nicht ganz drauf fest. Ich hoffe, mein Chef hört nicht zu. Ich weiß nicht ganz genau, seit wann das Cisper jetzt im Helmholtzverbund drin ist. Aber der Helmholtzverbund insgesamt ist 'n Forschungsverbund in ganz Deutschland, die auch verschiedenste Forschungseinrichtungen eben betreiben, sag ich mal, eben auch verschiedenste Themen abdecken. Das Zisper wiederum ist eben für IT Sicherheit da, wurde dann eben eingegliedert in den Helmholtzverbund und ja, ist eine öffentliche Großforschungseinrichtung. Gehört sowohl dem Bund als auch dem Land Saarland, weil da auch unser Hauptsitz drin ist in Saarbrücken. Und ja, genau. Im Prinzip IT Sicherheit aus öffentlicher Hand, wenn Du's so sagen möchtest. Mhm.
Dennis: Okay.
Jan: Und bald habt
Dennis: ihr da 'n riesen tolles Büro, ne?
Jan: Ja, also
Philip: es gibt da auf jeden Fall son relativ großen Neubau in Sankt Ingbert, soll der wohl passieren. Ich kann, ich muss eben dazu sagen, wie gesagt, wir sind halt aus der Gruppe in Hannover, deswegen wir sind organisatorisch einfach, was so den vor allen Dingen der Neu bei uns, was anbelangt, immer son bisschen abgetrennt von dem, was immer im Hauptquartier passiert.
Dennis: Okay. Das heißt aber, ihr bleibt auch in Hannover, das wird nicht irgendwie alles zusammengelegt, so Ja,
Philip: ja, das glaube ich auch tatsächlich auch. Also es ist tatsächlich aktuell auch so, dass das Tispan nicht nur in Hannover eben eine, also ja, es wär jetzt nicht im kaufmännischen Sinne Ausgliederung, aber eben son Satelliten hat, genau das ist mehr oder weniger das Wort, was glaub ich auch öffentlich verwendet wird. 1 der Satelliten ist wie gesagt in Hannover und andererseits auch in Dortmund beispielsweise. In Hamburg ist, glaub ich, auch was geplant. Also es ist mittlerweile son bisschen, dass es sich auch son bisschen über Deutschland verteilt, weil's eben auch wie gesagt son der Bund eben auch 'n Träger von der ganzen Geschichte ist. Und ja, wir sind, glaub ich, insgesamt haben wir mittlerweile über 600 Mitarbeiter. Mhm. Schon eine ganze Menge, ich glaub 40 Forschungsgruppenleiter das letzte Mal, als ich nachgeschaut hatte und teilt sich dann eben auf in 6 verschiedene Forschungsbereiche und deckt eben ja, wie gesagt, alles ab von IT Sicherheit, was man sich so vorstellen kann, ne. Also jetzt Du startest bei Kryptografie, Algorithmen, sowas in der Richtung sehr viel Mathe, sehr viele Mathe Paper, die da aus der Forschungsgruppe oder aus den Forschungsgruppen kommen Und deckt natürlich alles, was so Software und IT Sicherheit, klassische Systeme natürlich irgendwie beinhaltet und dann bis hin zu dem, was wir dann eben machen mit der Usability vor allen Dingen.
Jan: Jetzt muss ich mal ganz doof nachfragen an der Stelle. Also ich versteh, warum die öffentliche Hand 'n Interesse an Security hat und das entsprechend unterstützt. Aber was ist der Hintergedanke zu Forschung, zu Sicherheit in Videospielen im Speziellen?
Philip: In Videospielen im Speziellen, okay. Ich sag mal so, Videospiele sind natürlich am erst in erster Linie auch irgendwo erst mal Software. Das bedeutet so in gewisser Weise auch irgend irgendwie von IT Sicherheit betroffen. Das Schöne am Cispr ist, muss ich ehrlich oder kann ich ehrlich gesagt auch frei heraus so sagen, ist auch die Möglichkeit, dass wir uns auch tatsächlich, na ja, einfach Themen annehmen können und die dann vor allen Dingen auch bei unseren Forschungsgruppenleitern eben einfach vorbringen können, ehrlich gesagt. Und ich kann dir jetzt auch noch weitere Themen zum Beispiel aus unserer Forschungsgruppe nennen und dann wird man eben sehen, dass es sehr viele verschiedene einfach irgendwo sind, ne. Son Kollege zum Beispiel, der kümmert sich sehr viel Open Source und so was in der Richtung, ne, Open Source Repositories, machen wir Data Mining und so was in der Richtung, versuchen da eben Dinge herauszufinden. Oder ein anderer Kollege von mir, der kümmert sich zum Beispiel oder hatte jetzt neulich Paper veröffentlicht zu dem Thema Code Security, na wie heißt das denn jetzt noch mal? Code Secrets, genau Code Secrets in Repositories und wie Entwickler*innen damit umgehen, dort eben Code Secrets abzulegen. Also Du siehst ne, es sind eben relativ viele verschiedene Themen und wir legen uns in dem Sinne nicht so richtig auf ein Thema fest, sondern sagen eher mehr, ich sag mal, der der Approach ist eigentlich das, was zählt, sag ich mal. Wo Du jetzt grade irgendwie Softwareentwicklung hast und dann da dann vielleicht irgendwie Fehler hast und die dann eben untersuchen kannst auf sone, vielleicht auf eine empirische statistische Weise oder die Software auseinander baust, da Probleme siehst und die dann eben irgendwie zu fixen oder so was, versuchen wir das von der Security beispielsweise eben eben über die menschliche Herangehensweise. Und das ist eher son bisschen das, was uns, sag ich mal, alle verbindet in gewisser Weise, weniger die Themen so.
Dennis: Mhm. Okay.
Jan: Und ich hab mal, ich glaub hier auch im Podcast schon mal sone These rausgehauen. Ich glaube, alle Menschen, so in unserer Generation, sag ich mal, die sich so sehr für Computer interessieren, interessieren sich, glaub ich, dafür, weil sie irgendwann mal mit Videospielen Kontakt hatten, so als Kinder. Und dann hast Du eben so, boah, ist ja voll cool, wenn man dem Computer sagen kann, was er irgendwie machen soll und dann sind sie irgendwie darauf hängen geblieben. Aber in den seltensten Fällen natürlich in der Spieleentwicklung gelandet, sondern machen danach wahrscheinlich ganz viele andere Jobs. Wie bist Du zu 'nem Spielethema gekommen, Philipp?
Philip: Na ja, also ich meine, ich ich denke, es ist irgendwie nachvollziehbar. Ich hab auch mal Videospiele gespielt, sehr häufig sehr gerne, sehr viele. Und für mich war's halt tatsächlich einfach so, ich bin damals zu meinem Forschungsgruppenleiter gekommen und hab na ja, die Idee einfach gepitcht ehrlich gesagt. Was mich vor allen Dingen aus soner Spielersicht immer wieder getrieben hat, ist, dass na ja sone, also aus Spielersicht gibt es einfach IT Sicherheitsprobleme, die mich als Spieler immer betreffen. Und das früher war ich in 1 Position als Spieler, da konnte ich vielleicht noch nicht so viel dagegen machen. Heutzutage kann ich's untersuchen und das war 'n bisschen mehr mehr oder weniger so die Idee, mit der ich dann zu meinem Forschungsgruppenleiter gekommen bin und dann eben vorgeschlagen habe, hey, das ist 'n großes Softwareentwicklungsthema eigentlich. Es gibt tatsächlich nicht so viel Forschung dazu. Wir wir betreiben natürlich dann eben auch erst mal Recherche darüber, was ist in dem Feld schon passiert und was wird da in dem Feld so gemacht? Was ist so der heiße Kram, der grade irgendwie berichtet wird? Aber gleichzeitig hab ich dann dabei eben nicht sehr viel gefunden, ehrlich gesagt. Und vor allen Dingen eben auch besonders nicht aus dieser Userive Security Sicht einfach, wo und so, wo wir ja, wie gesagt, zitiert sind. Und ja, ich bin einfach mit dem mit dem Vorwissen als Spieler in die ganze Sache reingegangen, hab gesagt, hey, das ist 'n cooles Thema eigentlich, gehört zur gehört zur Softwaresicherheit dazu. Hat, ich glaube, kann man vielleicht sagen, schon offensichtlich 'n paar Probleme ab und zu. Und wollen wir da nicht mal was machen? Jetzt ist ja
Jan: Videospiele als Branche insgesamt schon deutlich größer als Hollywoodmusik, viele andere Entertainmentformen, die wir so haben oder wahrscheinlich alle anderen Entertainmentformen, die wir so haben, Sport vielleicht nicht, weiß nicht.
Philip: Ich glaube sogar summiert tatsächlich, ja.
Jan: Ja, das kann ich auch
Philip: auch Ich hätte ich hätte irgendwas von Statista neulich mal gesehen zufällig. Das war, glaub ich, sogar summiert alle Entertainment Produkte mit Video und so weiter.
Jan: Und das würde ja den Verdacht nahelegen, dass da schon genug große Player auch irgendwie unterwegs sind, die son Interesse haben, was Sicherheit angeht, ja. Und jetzt hast Du grade aber gesagt, da gab's eigentlich gar nicht so viel. Liegt das daran, dass in dieser Branche viel passiert, aber viel hinter verschlossener Tür und nicht viel geteilt wird oder wird Security doch immer noch sehr stiefmütterlich behandelt in diesem ganzen Gaming Bereich?
Philip: Sowohl als auch, also aber aus verschiedenen Perspektiven betrachtet. Erst mal, wir hatten ja eine Studie gemacht tatsächlich, wo wir schon mit auch mit Leuten aus der Industrie gesprochen haben, mit allen möglichen Experten, mit ganz normalen Entwicklern, mit Leuten aus dem Management und so weiter. Und was wir da vor allen Dingen immer gehört haben, ist einerseits, vor allen Dingen, wenn wir mit den Security Experts gesprochen haben, so NDAs und so was sind halt irgendwie eine Sache, ne. Also klar, ist ja auch irgendwo verständlich. Wir haben 'n kreatives Produkt, sone Videospielindustrie oder son Publisher, son Studio möchte vielleicht auch einfach ihre Ideen nicht irgendwie verlieren oder gestohlen sehen oder so was in der Richtung. Vor allen Dingen, wenn's dann eben IT Sicherheit geht, das ist dann ja noch mal son zusätzliches Thema, da erhöhen dann die meisten, oh, Sicherheit, da sag ich lieber nichts zu. Und da haben wir eben von vielen Experts bei uns auch immer gehört, dass es eigentlich auch sehr schade ist, ehrlich gesagt. Vor allen Dingen, weil Sicherheit etwas ist, was am Ende des Tages auch irgendwo eine Softwarefrage ist, bei der gar nicht so viel Kreativität jetzt eigentlich geklaut werden kann, ehrlich gesagt, sondern tatsächlich einfach etablierte Methoden man anwenden könnte, dann eben Sicherheit herzustellen, über die man sich dann vielleicht auch mal austauschen könnte. Und in dem Zuge dessen oder im Zuge dessen haben wir dann eben von den Experten tatsächlich öfters auch einfach mitbekommen, dass es superwenig Austausch gibt insgesamt. 1 beispielsweise, der hat sich dann oder der ist auch durch verschiedene Unternehmen gegangen und musste eben auch einfach jedes Mal von 0 auf anfangen tatsächlich, da war dann irgendwie nicht viel mit IT Sicherheit am Start insgesamt.
Dennis: Kannst Du mal, also wahrscheinlich kommen wir später noch noch mal 'n bisschen ins Detail darauf zurück, aber einfach für für mich und die Hörer*innen vielleicht so irgendwas, bisschen konkreter eine Sache, die irgendwie wie spielen sein kann. Weil ich glaube, ein Grund ist ja vermutlich auch, vielleicht ein bisschen primitiv gedacht, aber dass die Fallhöhe natürlich auch in der Branche 'n bisschen geringer ist als in andere, ne. Also jetzt denkt man an Banken beispielsweise, ist einem sehr offensichtlich, okay, was kann passieren, wenn da irgendwelche, ne, Sicherheitsthemen sind, wo man irgendwie beim Gaming denkt, okay, ist halt 'n Spiel, ne, What can go Rong so. Aber genau, vielleicht auf die die beiden Sachen. Warum ist es trotzdem irgendwie relevant für Games und dass man so ein vielleicht Beispiel schon mal hasst, was schiefgehen kann.
Jan: Mhm.
Philip: Das hängt ja vor allen Dingen son bisschen mit den Themen zusammen, in denen sich IT Sicherheit in der Videospieletwicklung wiederfindet, denke ich mal. Wir haben bei unserem Paper damals so, sag ich mal, so 5 Schlüsselbereiche mehr oder weniger auch identifizieren können oder wenn Du eben auch andere Paperleys, sind das immer son bisschen so die so die Dinge, die da eben schiefgehen können und wenn die man das son bisschen ein eingruppieren kann. Das ist natürlich einerseits irgendwie erst mal, dass Du die Company selber ganz klassisch angreifen kannst, sag ich mal. Also das ist wirklich einfach IT Sicherheit in 1 in im Rahmen 1 Company.
Dennis: Mhm.
Philip: Ich kann da einbrechen, ich kann versuchen irgendwie Userdaten vielleicht zu stehlen, ne. Falls ich welche Vorhalte in der in dem Unternehmen betrifft, vor allem Dingen Publisher tatsächlich natürlich. Andererseits ist das dann eben auch ja, ich sag mal, irgendwie so das Endkundenproblem in gewisser Weise, was Du auch relativ viel hast. Also es ist eben son bisschen auch die Diskussion, mit der man tatsächlich auch son bisschen, ja, kämpfen muss, sag ich mal. Warum ist das eigentlich relevant tatsächlich? Also aus meiner aus meiner Sicht persönlich ehrlich gesagt, ist es schon relevant, weil ich einfach, sagen wir mal, nehmen wir mal irgend 'n großes Spiel beispielsweise. Zum Beispiel, genau, vielleicht 'n das das von Dark Souls beispielsweise, können wir mal nehmen. Bei Dark Souls gab's eine remote Good Execution 22, glaube ich. Und
Jan: da gab's Also 20 22, nicht 22 remote Code Execution.
Philip: 20 22, ja, Entschuldigung. Genau, 20 22. Und da war halt das Problem, dass tatsächlich einfach jeder Client verwundbar war, der einen der Dark Souls Teile von 1 bis 3 oder remastered halt gestartet hat in gewisser Weise. Das war 'n Client Exploit, das bedeutet, ich konnte eben eine remote Code Execution auf den Clients ausführen. Und egal wer das Spiel gestartet hat, solang's im Internet war, das telefoniert immer automatisch nach Hause, deswegen gab's auch immer Ja. Automatischen 'n kleinen Weg, egal ob ich jetzt Multipleier gemacht hab oder nicht. War son bisschen die die Sherry on top tatsächlich. Alle waren verwundbar. Und das betrifft natürlich in erster Linie dann wiederum den Client. Das betrifft dann in erster Linie wiederum halt die Person. Jetzt kann man eben gucken, ne. Also ist es dir, empfindest Du es als wichtig, dass Millionen von Spieler, die Dark Souls 1 bis 3 grade irgendwie gespielt haben, schon jahrelang verwundbar sind auf ihren Clients oder nicht? Ich würde argumentieren ja.
Dennis: Ja, absolut. Das ist perfektes Beispiel, also macht das schon sehr klar, ja. Also das ist natürlich,
Philip: wie gesagt, aus kleinen Sicht halt, aber aus Company Sicht ist natürlich auch einfach genug Thematiken insgesamt. Ich kann dort einbrechen, ich kann versuchen, das sieht man ja vor allen Dingen eben bei so was wie Sony. Da gab's ja damals den großen PSN Hack, so was in der Richtung, wo dann eben einfach Millionen von Spielerdaten eben kopiert wurden, gestohlen wurden, wie auch immer man's nennen möchte. Ja, das hat dann vor allen Dingen für Companies natürlich irgendwo immer Compliance Probleme in gewisser Weise. Also am Ende des Tages wachst Du das halt einfach Geld, wenn man's so sagen möchte, dann eben diese ganzen Probleme irgendwie wieder aufzuarbeiten, zu meditieren und irgendwie wieder gut zu machen in gewisser Weise, würde man sagen. Und ja, also Compliance ist halt wahrscheinlich auch fürn für eine Company eben ein schwerer Treiber.
Jan: Ist da Reputation auch 'n Punkt, weil also Du hast jetzt auch den den PSN Hack angesprochen zum Beispiel, ja, aber ich kenn ehrlicherweise zumindest in meiner Bubble jetzt niemanden, der sagt so, ich bespielt kein Playstation mehr, weil die halt einmal gehackt worden sind. Da haben wir schon, gerade diese großen haben ja schon sone Semimonopolstellung da schon fast, ja, und dann gibt's irgendwie plattform exklusive Titel oder so. Wie wie kritisch wird das da gesehen?
Philip: Ja, das ist sone gewisse Krux in gewisser Weise, ne. Also man könnte natürlich jetzt irgendwie meinen, hey, das wär natürlich jetzt irgendwie voll doof, wenn mein wenn mein Spiel voll die remote Code Execution hätte, keiner spielt's mehr. Leute spielen's aber trotzdem. Das hängt halt Wissentlich
Jan: oder unwissentlich?
Philip: Also manchmal mit Wissen, manchmal ohne. Das Problem ist nämlich, das hängt halt davon ab, dass Du vor allen Dingen im Spielebereich als Spieler tatsächlich manchmal ja gar nicht so die richtige Wahl hast in gewisser Weise. Also wir haben von 'nem von 'nem jemandem ausm Publishing war das, glaube ich, der bei uns in der Studie meinte, mal gehört, so große Unternehmen wie jetzt beispielsweise Sony oder so, denen ist das wahrscheinlich egal. Die schicken am Ende des Tages halt eine Entschuldigungsmail raus und dann werden sie das beheben selbstverständlich, natürlich wahrscheinlich auch gewissenhaft, denk ich schon. Nur am Ende des Tages wissen sie einfach die eigene Marktmacht, könnte man sagen, ihrer Spiele. Weil na ja, wenn ich 'n Battlefield spielen möchte, dann will ich halt auch 'n Battlefield spielen. Ich will jetzt keinen Call of Duty spielen oder so was in der Richtung, ne. Und das ist halt immer wieder tatsächlich auch son bisschen diese, das also ne, so dieses Problem vielleicht könnte man sagen oder diese diese besondere Stellung. So, wenn ich jetzt irgendwie, ich sag mal, vielleicht son Excel habe oder so was in der Richtung. Ich hab eine Remote Code Execution in meinem Word, so was in der Richtung. Hey dann gut, wenn mich das wenn mich das richtig stört, dann kann ich am Ende des Tages irgendwie auf Homeoffice umschalten oder so was in der Richtung. Ist vielleicht irgendwie eine kleine Umgewöhnung, aber im Prinzip habe ich 'n Tool, mit dem ich schreiben kann und es dann speichern kann. Bei Videospielen ist das halt nicht so leicht tatsächlich.
Jan: Mhm. Und Du hast jetzt auch schon, ja, 'n paar Beispiele genannt. Das klang jetzt aber schon nach Problemen oder zumindest Symptomen, die wir auch von Cluster Software her kennen, ja. Gibt es da Aspekte oder oder eine Kategorie von Sicherheitslücken, die in Spielen grundsätzlich anders sind oder nur da auftreten oder da gar nicht auftreten? Was unterscheidet diese ganze Security Betrachtung auf Spiele versus Standardsoftware? Mhm.
Philip: Also vor allen Dingen, da gab's mal 'n nettes Paper von 20 14, glaube ich, diesmal. Auch was, was sich tatsächlich mal sehr explizit damit befasst hat und mal untersucht hat, was die die Unterschiede zwischen normaler, also normaler Software, herkömmlicher Softwareentwicklung und Videospielen sind. Also immer mit 'n bisschen R-Codes zu genießen. Und in erster Linie kann man 'n Bottom Line tatsächlich schon mal vorwegnehmen, es ist alles 'n bisschen drastischer, so grundlegend. Man, Du bewegst dich ja zuerst mal von so so strukturell bei 'nem Videospiel in soner relativ vagen Architektur. Du versuchst irgendwie erst mal in der Software irgendwo 'n Spiel zu entwickeln und dann mehr anders Du vielleicht 'n bisschen hin und her, was sind eigentlich so meine Features, was möcht ich reinbauen, was macht halt eigentlich Spaß? Das ist halt eigentlich größtenteils son bisschen der Unterschied. Also ich denk mal, man kann natürlich sicherlich auch mit Word Spaß haben, vielleicht der ein oder andere, aber der Fokus von Videospielen liegt eben nicht darauf, einfach nur zu funktionieren in gewisser Weise. Und das ist tatsächlich dieses Spaß Finden ist eben damit verbunden, dass ich zum Beispiel softwaremäßig viel ausprobiere, vielleicht so was wie Rapid Prototyping mache oder so was in der Richtung, was eben, sag ich mal, Softwaremuster sind, die recht herkömmlich sind in dem, oder die man bei Videospielentwicklungen immer wieder sieht. Und einerseits das natürlich irgendwo und andererseits wird's dann halt, einerseits das natürlich irgendwo und andererseits wird's dann halt vor allen Dingen schwierig, wenn man so in Richtung Zeitdruck geht und so was. Also selbstverständlich haben wir auch in in der regulären Softwareentwicklung irgendwo immer wieder Deadlines, die wir irgendwo am Ende des Tages treffen müssen. Aber grade bei Videospielen, auch so diese Crunch Diskussion und so was in der Richtung, das hört man natürlich auch irgendwo immer wieder, dass Videospiele einfach unter und immensem Druck gebaut werden stellenweise. Wenn man natürlich irgendwie son riesiges Produkt hat, mit dem ziemlich, ziemlich viel Dinge irgendwie zusammenlaufen müssen und am Ende des Tages irgendwo eine Deadline da auf uns wartet. Wir haben 'n Publisher vielleicht im Nacken, der uns das auch irgendwie bezahlt, dass wir das hier machen. Am Ende des Tages müssen wir irgendwann den Absprung schaffen mit 'nem Spiel und das dann eben auch mal auf den Markt bringen und verkaufen am besten. Und ja, ne, das, das mal son bisschen darzustellen, ist bisschen diese diese Drastik vor allen Dingen tatsächlich ist es.
Jan: Und gleichzeitig hat man ja aber auch bei Spielen oftmals die Situation, dass man das Rad ja gar nicht neu erfinden muss, ja. Man arbeitet in 'ner Engine, man arbeitet in in 'nem Framework, es ist ja viel mehr Software in Anführungszeichen schon da, als wenn ich jetzt in 'nem Betriebssystem oder auf 'nem oder so was irgendwie arbeiten muss, ja, sodass ich als Laie da irgendwie draufgucken würde und sagen würde, na ja, in dem Moment, wo ich mich auf mehr Standardzeug verlass und irgendwie viel mehr schon da ist, dann ist das ja alles auch son bisschen mehr battleproven, 'n bisschen sicherer vielleicht schon, dann ist ja auch meine die Oberfläche, an der ich überhaupt Fehler machen kann, ja viel geringer, oder Fragezeichen?
Philip: Na ja gut, also da machst Du auch 'n nettes Thema auf. Also prinzipiell ist das auch eine Empfehlung, die wir auch immer gerne rausgeben, so dieses, wie wir's immer nennen, ist schon mal gar keine schlechte Idee und kein schlechter Ansatz. Wir können mehr oder weniger schon mal zumindest darauf hoffen, dass zum Beispiel Firmen wie Unity oder eben auch Epic mit ihrer Unreal Engine beispielsweise hoffentlich schon Dinge richtig machen. Wir haben son paar, wir haben eine eine ganz interessante Bachelorarbeit tatsächlich bei uns mal gehabt. Da ging's darum, dass wir allerdings so mal son bisschen gucken wollten, vor allen Dingen in puncto Sicherheit, wie hilft uns eigentlich sone Engine am Ende des Tages als Entwickler dann auch wirklich sicher zu sein? Und die Antwort darauf war tatsächlich relativ ernüchternd. Wir können sone Engine halt machen, was wir wollen in gewisser Weise, aber solche Programmiermuster, die am Ende des Tages vielleicht dann wieder zu Security Fehlern führen wie Buffore Overflow, die ganz klassischen Sachen, solche Sachen, die kann ich in der Unreal Engine und in der Unity Engine genauso nachbauen, wie wenn ich das irgendwie mit Stift und Zettel mache. Sone Engine hat in gewisser Weise son gewissen Unterbau, ne, der mir natürlich irgendwie relativ viel davon abnimmt. Bei dem muss ich halt vertrauen, das ist dann auch die zweite Sache. Also ich muss eben auch darauf vertrauen können in gewisser Weise, dass dieses mir am Ende des Tages auch nicht noch mehr Fehler einbringt, als als ich, wenn ich selber machen würde. Aber andererseits hört sone Engine eben zum Beispiel auch relativ früh dann einfach damit auf, dir in gewisser Weise irgendwelche Hinweise zu geben, wenn Du jetzt zum Beispiel nicht gut programmierst oder so was.
Jan: Vielleicht eine abstrakte Frage noch, bevor wir dann so uns mal der der richtigen Technik in Anführungszeichen widmen. Risiko ist ja immer son Produkt aus 2 Faktoren. Das eine ist, wie wahrscheinlich ist es, dass überhaupt was passiert und das andere ist, wie groß ist der potenzielle Schaden oder wie attraktiv ist das Ziel irgendwie, ne? Und jetzt jetzt forscht ihr da und und schaut euch diese ganzen Sachen an und und findet da vielleicht auch Fehler oder vielleicht auch grundlegende Probleme mit mit Encines oder eben auch nicht. Aber wie real ist denn da die Gefahr am Ende des Tages, ja? Wenn ich mir jetzt überlege, ich hab hier einen Exploit gefunden auf, weiß ich nicht, das neueste Counter Strike oder so. Ich weiß aber auch, das wird halt gespielt von Menschen zwischen, ich sag mal, 12 und 20 Jahren oder so übertrieben, 12 wahrscheinlich nicht, Jugendfreigabe und soll wahrscheinlich realistischerweise schon. Sind überhaupt 'n relevantes Ziel? Gibt's da was zu holen? Also wer interessiert sich für diese Art von Lücken am Ende des Tages wirklich? Oder ist das eine rein eine rein theoretische Diskussion an der Stelle? Mhm,
Philip: ja. Also vor allen Dingen, was natürlich irgendwie den Client anbelangt, gut, ich mein, wenn ich sone remote Code Execution aufm Client habe, kann ich mich da natürlich irgendwo auf dem Client austoben, wie ich möchte. Am Ende des Tages kann ich da auch Cookies klauen und so was in der Richtung und dann eben versuchen, mit irgendwelchen Cookies mich wieder bei deinen Bankdaten einzuloggen und dann irgendwie deinen Bank und Ja, aber
Jan: die meisten Zwölfjährigen benutzen ja keinen Onlineback, also deswegen war so die Frage nach
Philip: der Zielgruppe. Also das das ist tatsächlich eine gute Frage insgesamt. Ich denke mal, der größte Fokus fliegt halt irgendwie für son Unternehmen eher so auf der Unternehmensseite und für die kleinen Seite ist es tatsächlich einfach größtenteils auch ärgerlich. Okay. Muss man so sagen,
Jan: ja. Dennis hat gerade noch so geschaut, als
Philip: hätte er eine Frage gehabt.
Dennis: Ja, ich ich frag, also ist eigentlich ganz interessant, weil man könnt ihr meinen, wir kommen auch 'n bisschen aus der Gaming Richtung, wobei wir gleichzeitig auch immer, also na ja, gewisse Unterschiede haben zu klassischen Gamingstudios zu dem, was wir machen, weil wir jedoch eher in 'nem klassischen Software Stack sind. Wir entwickeln zwar mittlerweile auch ein Projekt mit Unit, aber sonst sind wir auch mit anderen Technologien unterwegs. Und trotzdem war es für mich bis jetzt so nichts, was ich aufm Schirm hatte, obwohl ich eine Informatikhintergrund hab. Also das ist irgendwie lustig, dass man halt nicht darüber nachdenkt, okay klar, wenn Du irgendwie ein Spiel hast und das hat Onlineanwendung und es läuft auch auf deinem Computer, dass das irgendwie auch was ist. Ist das generell so eine Wahrnehmung, die Du siehst? Also ist es einfach bei viel überhaupt nicht aufm Schirm, dass es da diesen Aspekt von Sicherheit gibt?
Philip: Also es ist teilweise auch 'n bisschen die Ecke gedacht, ehrlich zu sein, klar. Was was ich immer gerne als Beispiel an der Stelle bringe, ist vor allem Dingen so für Entwickler jetzt mal gesprochen, so dieser Stabilitätsgedanke tatsächlich. Wir haben in unserer Studie mit den Entwicklern darüber gesprochen, dass zum Beispiel Stabilität von dem Videospiel 'n sehr wichtiges wichtiges Thema ist. Klar, wenn's jetzt irgendwie nicht läuft, dann ist das irgendwie doof, dann können wir's nicht verkaufen und so weiter. Andererseits ist aber Stabilität tatsächlich auch, 'n bisschen die Ecke gedacht, 1 der Grundziele von IT Sicherheit am Ende des Tages. Es gibt so diese 3 Grundschutzziele, wie sie so schön auf Deutsch heißen, unter anderem halt die Verfügbarkeit. Und die Verfügbarkeit beschreibt eben die den konsistenten Zugriff zu einem System oder 1 Software am Ende. Und das bewusst natürlich irgendwie abstrakt gehalten, aber darunter kannst Du eben auch zum Beispiel Softwarestabilität subsumieren, ne, weil Du halt eben konsistenten Zugriff darauf haben möchtest. Und der der Zirkusschluss, der dein oder der da jetzt bei manchen vielleicht einfach fehlt, ist vor allen Dingen, dass wenn Stabilität schon ein Grundgedanke der IT Sicherheit ist und wir uns Stabilität kümmern möchten, warum benutzen wir dann nicht vielleicht auch die Tools und die Expertise, die uns die IT Sicherheit genau für Stabilität gibt, dann eben vielleicht auch Stabilität zu schaffen? Weil am Ende des Tages sind eben Fehler, die vielleicht auch sehr hart eben einfach IT Sicherheit betreffen, ne. Also wenn Du jetzt irgendwie sonen Buffer Overflow in deinem Server hast oder so was in der Richtung, wär das eben schon eher sehr schlimm. Am Ende des Tages sind das halt auch die Fehler, die wir dann in im Client finden und am Ende des Tages sind das vielleicht die Fehler, die wir mit IT Sicherheitstools relativ gut fixen könnten. Mhm. Und da ist son bisschen der der der der Hook insgesamt mehr oder weniger situiert, denke ich. Oder 1 1 der wichtigsten Hooks insgesamt. Du hast 'n, wenn Du 'n Multiplayer Spiel hast, hast Du natürlich auch noch ganz andere ganz andere Aspekte, die Du irgendwie verfolgen könntest, möchtest, solltest vielleicht auch. Vor allen Dingen, diese Stabilität ist son bisschen, glaub ich, auch son son Ding, was in beide Richtungen halt irgendwie funktioniert. IT Sicherheit hat manchmal immer son bisschen das Problem, man kann dann immer hingehen und sagen, na ja, da war jetzt halt deine IT Sicherheit doof, da hast Du halt irgendwie nicht drüber nachgedacht. Aber das Problem ist ja vor allen Dingen auch, dass IT Sicherheit praktisch gesehen manchmal einfach nur zusätzlicher Ballast ist, muss man so sagen. Also es ist einfach eine 'n Zusatzgedanke, den ich mir zusätzlich machen muss, der vielleicht am Ende des Tages kein Feature ist, der vielleicht irgendwie meine Software oder meinen ganzen Entwicklungsprozess einfach nur verlängert und irgendwie einfach nur Kosten verursacht und so was von für einen Hack, der vielleicht nie kommt, wie's so schön heißt manchmal. Aber grade so was wie Stabilität ist 'n interessantes Beispiel für, wo wir tatsächlich auch sehr praktisch Bugs beheben können, die mein Spiel zum Abstürzen bringen und damit kann ich ja auch die Stabilität von deinem Spiel verbessern eigentlich. Und ich glaube, das ist vor allen Dingen son Gedanke diese Ecke, den hab ich bis jetzt auch noch nicht so häufig gesehen. Und das ist auch son Gedanke, den wir jetzt vor allen Dingen auch mit unserer Forschung und mit unseren Projekten son bisschen vorantreiben möchten und immer untersuchen möchten. Diese Zusammenhänge einfach Stabilität, IT Sicherheit, Videospiele, aber wie können wir da insgesamt gegenseitig voneinander lernen vielleicht?
Jan: Ja. Ich find voneinander lernen ist vielleicht 'n 'n guter Stichpunkt. Dennis, was hast Du studiert? Medieninformatik. Medieninformatik. Okay. Wie viel Rolle hat da so Sicherheit insgesamt gespielt in dem Studiengang?
Dennis: Nicht viel, würde ich sagen. Weiß ich nicht. Ich glaub so Basics irgendwie, dass man nicht alles in 'nem Formular erlaubt oder so. Das war so vielleicht noch Sachen, die man noch gelernt hat in so ein, 2 Kursen, Aber dedizierte Kurse dazu, würde ich sagen, hatten wir nicht.
Jan: Philipp, was ist dein Eindruck, die Menschen, die jetzt so wirklich tief in der klassischen Spieleentwicklung stecken? Wie viel Kontakt zur Security haben die so in ihrer Ausbildung? Egal, was fürn Hintergrund die jetzt haben, ne, irgendwie 'n Fachinformatiker, diverse Studiengänge, keine Ahnung, so. Wie wie relevant ist Security für die am Ende?
Philip: Mhm. Gibt's tatsächlich auch einige Statistiken und Studien zu. Der, ich frag mich jetzt nicht, wie er heißt, ich glaube Tiger und also der der Gameverband für UK, ich weiß grad nicht genau, wie er heißt, Entschuldigung. Der hatte jedenfalls mal eine Statistik rausgebracht, wo sie einfach mal son bisschen über die Demografie von Spieleentwicklern gesprochen haben. Also wer entwickelt eigentlich so Spiele? Was sind so deren Hintergründe insgesamt? Und da hast Du halt auch schon mal sehr deutlich einfach drin gesehen, dass Videospieleentwicklung ein bestimmter Bereich von Softwareentwicklung ist, in dem unterdurchschnittlich wenig Informatiker sind, einfach. Also Leute, die tatsächlich irgendwie hart am Ende des Tages programmieren, viel gelernt haben und eben sehr informativ denken, sag ich mal. Was natürlich, wie gesagt, auch in der Rente einfach 'n bisschen mit mit Spielen zu tun hat. Man muss, ist 'n kreativ schaffender Prozess am Ende des Tages, aber relativ viele kommen eben auch gar nicht aus diesem klassischen IT- oder Informatikbereich irgendwo. Und ja, das ist durchaus von der IT Sicherheit her und von so was wie jetzt, ne, wenn ich jetzt über so was wie Code Security beispielsweise spreche, wie code ich eigentlich sicher und so was in der Richtung, ist halt halt meistens irgendwie die Frage, na ja, aber ich klick das doch jetzt grad hier nur irgendwie mit meinem Blueprint in Unreal zusammen. Wie hängt das jetzt eigentlich zusammen? Und da geht's dann halt so los. Da kommen die beiden Welten son bisschen aufeinander manchmal.
Jan: Ich glaube, das war das, was Dennis auch vorhin son bisschen meinte. Wir machen uns zwar nicht explizit Gedanken Security hier vielleicht, aber die allermeisten hier bei uns in den Teams haben ja eigentlich 'n Hintergrund so in Webentwicklung und das ist ja auch der Stack, den wir nutzen und in Webentwicklung ist Security ja, ich lebe mich mal 'n bisschen weit ausm Fenster, aber immerhin schon 'n bisschen präsenter, weil wir ja immer so dieses Problem haben, Du kannst dem Client halt eigentlich nicht trauen. So, der der Client ist per se der Feind, der führt zwar so deine Software aus im Browser und so, aber und deswegen ist das für uns vielleicht immer schon son bisschen Unterbewusster halt auch einfach da und was Best Practices und so was halt auch angeht, weil wir auch quasi in sonen herein geboren wurden beruflich, wo halt immer schon netzwerkrelevant ist, ne, wo 'n Server und 'n Client irgendwie schon immer da ist. Und vielleicht, wenn man sich dann so die Spieleentwicklung im Vergleich dazu anschaut, wo vieles vielleicht auch erst mal nur lokal passiert, ja, und so der Trend zu mehr Multiplayer und mehr Live Service und so was ja eine relativ junge Erscheinung irgendwie auch noch ist Auf 100
Philip: Punkt, ja klar.
Jan: Dass es dann da einfach in der Ausbildung noch nicht so so präsent ist. Wer ist da am Ende des Tages, aber in der in der Bringschuld? Ist das son 'n akademisches Problem? Ist das was, wo die Firmen, die Publisher, die Studios nachziehen müssen? Wer wer ist da eigentlich dran? Mhm.
Philip: Ja, das ist eine gute Frage, ehrlich gesagt. Du kannst das natürlich versuchen, in gewisser Weise in der in der Ausbildung irgendwo mit dranzunehmen. Ich will jetzt niemanden aufs Korn nehmen, ehrlich gesagt. Nur so als kleine als kleinen Hinweis vielleicht, wenn Du jetzt in Deutschland vor allen Dingen dich wirklich zu 'nem Spieldesigner oder Videospieldesigner beispielsweise eben oder anderen Berufen aus der Videospielindustrie ausbilden lässt an, na ja, ich sag mal einfach, Hochschulen wieder so was anbieten, dann ist Programmierung natürlich irgendwo auch schon öfter mal 'n Begriff. Aber wir haben mal so sporadisch teilweise auch son bisschen fürn, was denn da mal, sone andere Studie son bisschen im Blick, mal son bisschen durchgeschaut, was halt einfach in diesem Curriculum drin ist. Und Sicherheit ist dabei halt auch sehr, sehr weit weg, ehrlich gesagt. Und ich hatte tatsächlich auch teilweise mit mit Dozenten auch schon öfter mal gesprochen. Wir dozieren ja selber tatsächlich auch zu dem Thema. So vor allen Dingen Secure Programming und so was für Videospieleentwicklung ist halt einfach nicht so nicht so das Ding vorhanden insgesamt. Und das ist natürlich die Frage jetzt, ne, also wäre das eine Möglichkeit halt an der Stelle natürlich irgendwie zu machen? Klar, ne, ist 'n zentraler Punkt so in gewisser Weise und vielleicht läuft auch immer noch 'n relativ großer Teil an Videospielentwicklern irgendwie durch ein eine Stelle, an der irgendwas ausgebildet wird in dieser Richtung und dann könnte man das natürlich machen. Aber ist halt ja son bisschen die Frage. Die andere Seite, die Du auch eben noch mal kurz genannt hattest, Publisher ist auch 'n guter 'n guter Begriff tatsächlich, weil wir auch immer wieder gehört haben, dass vor allem Dingen dann Publisher die sind, die am Ende des Tages auch noch mal nachlegen, wenn es IT Sicherheit überhaupt geht.
Jan: Mhm. Überraschend, okay.
Philip: Vor allem ja, also das Ding ist, das sind am Ende des Tages ja irgendwie deine Geldgeber, ne. Also am Ende des Tages möchtest Du halt irgendwie 'n Spiel haben. Die einen bauen das, die anderen sollen das publizieren. Das soll vielleicht über die Server von dem Publisher laufen. Und was wir auch öfter mal von ja, von Produzenten beispielsweise aus dem Bereich gehört hatten, war eben genau, dass da Spieleentwickler und Studios auf Publisher hinzugekommen sind. Und Publisher haben beispielsweise dann eben son, ja, son so SD Case dann eben zur Verfügung gestellt, einfach für, über die Publisher Server und solche Geschichten halt, ne, so so was in der Richtung. Und dann können Studios das teilweise halt einfach nicht integrieren, weil deren Stack halt einfach das gar nicht zulässt. Da hat nie jemand drüber nachgedacht, wie man da irgendwie sone Security Authentication oder irgendwie so was in der Richtung mal macht. Macht. Und das halt auch 'n ganz interessanter Punkt, was wir immer wieder gehört haben, dass Publisher vor allen Dingen auch sone Möglichkeit sind und wären, mehr Sicherheit tatsächlich auch ins Spiele hineinzubringen.
Jan: Und ist das son Henne- oder Ei Problem? Also wenn ich jetzt jemand bin, der sich sehr stark für Security interessiert und ich würde gerne in der Gamingbranche arbeiten, weil ich auch schon immer gerne Videospiele gespielt hab und auch gerne gerne machen würde und ich will mich da jetzt bewerben, hab ich eher besonders schlechte Chancen, weil dieses Security Thema nicht sonderlich präsent ist und niemand sagt, dafür schaffen wir eigene Stellen oder heuern halt Leute, die da 'n Fokus irgendwie drauf haben oder hab ich besonders gute Chancen, weil es so wenig Leute gibt in der Branche, die damit auseinandersetzen und ich mir quasi aussuchen kann, wo ich arbeite, weil alle dringend so Leute brauchen.
Philip: Meinst Du, also meinst Du jetzt jemanden, der IT Sicherheit gelernt hat und dann in die Videospielbranche möchte oder jemand, der okay.
Jan: Oder jemand, der eine klassische Game Development Ausbildung hat, aber halt 'n expliziten Schwerpunkt oder da viel Know how schon mitbringt oder sowas, ne, aber genau, so son Kandidat.
Philip: Ja, also ich würd ich würd das vielleicht als 2 tatsächlich betrachten, ehrlich gesagt. Also wenn Du jetzt halt 'n Videospieleentwickler hast, hast, würde ich jetzt schon argumentieren, Du kannst schon auch davon profitieren einfach, dass Du mehr IT Sicherheitswissen insgesamt an den Tag legst, weil Du halt wahrscheinlich hoffentlich bei der Programmierung dann vielleicht bei manchen Programmiermustern aufmerksam wirst und das dann eben anders machst oder eben vorschlägst vielleicht auch Gott sei Dank, das anders zu machen. Ist immer son bisschen das Problem oder die das Thema mit Security Champions nennen wir das immer so. Das sind so die Leute im Unternehmen, die vielleicht son bisschen Ahnung oder bisschen Interesse an IT Sicherheit haben und das versuchen son bisschen von unten nach oben zu bringen insgesamt. Andererseits, wenn Du selber Security Expert bist und dann in die Industrie möchtest, ist auf jeden Fall sehr, sehr viel Potenzial da. Also ich kann nur aus der Perspektive sprechen über die Leute, die wir vor allen Dingen interviewt haben, die so in dem Bereich unterwegs sind, die uns dann immer wieder reflektiert haben. Also es ist nicht sehr viel da, vor allen Dingen, wenn Du so diesen spiele technischen Studio, Publisher Mittelbau betrachtest, sag ich mal. Nach unten hin sowieso 'n bisschen weniger. Also ich red jetzt so über Größe und Volumen insgesamt von der Company und so. Da ist wenig los insgesamt. Nach oben hin wird's 'n bisschen besser. Aber was uns auch immer wieder gespiegelt wurde, war, dass tatsächlich am Ende des Tages, wenn son Studio jemanden wie die Person eben eingestellt hat, die wurden nie gefeuert, ne. Die sind schon irgendwann gegangen, wenn sie jetzt mal irgendwie, ich glaube, der eine hat immer irgendwann gesagt, ja, ja, der war 'n besseres Angebot bekommen am Ende. Aber alle waren glücklich. Und es hat tatsächlich auch in den sich dann am Ende des Tages halt in den Zahlen für Stabilität, für Angriffe, für auch so Anticheat und solche Geschichten ne. Es ist halt einfach sehr, sehr gut einfach, wenn Du eine eine Person hast, die dediziert am Ende des Tages sich damit auskennt und damit beschäftigen würde.
Jan: Und wenn ich an diese ganzen Standard Security Themen denke und wie gesagt, ich komme auch so aus der Webentwicklung, ne, da gibt's so Crosssides Scripting und keine Ahnung, aber da gibt's ja auch für alles eigentlich schon Standardlibraries, ja, wie Content, Input abfragen et cetera. Sind das in der Spieleentwicklung auch gelöste Probleme in der Entwicklung und dem Testing oder leiden da viele einfach darunter, dass sie sich vielleicht des Problemsbewusst sind, aber jetzt vielleicht kein Tool haben, dem Herr zu werden?
Philip: Ja, also ich sag mal, also so so so praktische Webenentwicklungs Security Fehler kriegst Du halt auch in der Videospielentwicklung ab und zu mal gesehen. Was mir da einfällt, wäre zum Beispiel eine Crossside Skripting Lücke von Counter Strike tatsächlich. Da sollte man ja eigentlich meinen, dass Counter Strike vor allen Dingen jetzt in der 2 Versionen, ich weiß gar nicht, oh Gott, oh Gott, die Zeit vergeht so gestern irgendwie für mich gestern irgendwie Geht 'n
Jan: neueres Counter Strike als 1 6.
Philip: So. Ja, genau, also ne, das wurde ja von Counter Strike Go dann in CS 2 dann gerebranet und auch, also zumindest optisch gesehen, relativ gut überholt. Da gab's eine Cross syndrom syndrom scripting Lücke vor gar nicht so langer Zeit tatsächlich, wo man eben auch meint, ne, gelöstes Problem sollte es eigentlich sein. Das Interessante war da aber tatsächlich der Angriffsvektor, über den man vielleicht auch manchmal gar nicht so richtig nachdenkt. Ich sag mal, wenn Du irgendwie 'n eigenes Softwareprodukt hast, was eben so mit der Zeit reift und so weiter, wie möchtest Du 'n eine Crosssizedigen Lücke in einem Videospiel ausnutzen? Na ja, Du brauchst halt irgendwie 'n Input oder so was in der Richtung, vielleicht 'n Chat oder so Und den musst, da kannst Du halt irgendwie 'n Skript reintun und wenn das UI irgendwie über HTML gerendert wird oder was, dann hast Du halt am Ende des Tages die Möglichkeit, dass das vielleicht funktioniert. Könnte klappen. So weit sind Spieleentwickler meistens schon. Also Studios und Publisher, vor allen Dingen, was so Chat Sanitisation und so was anbelangt, da da ist man schon relativ weit. Interessant wird's wie bei Counter Strike jetzt, wenn Du ein anderes System zum Beispiel noch integrieren möchtest. Bei Steam oder bei bei Counter Strike war's so, dass ja eben hängt hart mit Steam, natürlich im zusammen, Valve und so weiter. Wenn ich bei Counter Strike mein oder Quatsch bei Steam meinen Namen in ein Tag ändere und ich kann bei Steam tatsächlich meinen Namen ja frei ändern, wie ich möchte, kann da einfach 'n Tag, kann mich wie ein Tag nennen und dann bei Counter Strike mich einlogge, starte irgendwie aufn Server gehe, dann konntest Du, wenn Du Tab drückst, hat's noch nicht geklappt, aber wenn Du jemanden kicken wolltest tatsächlich, wenn Du jemanden vom Server kicken wolltest, ging zusätzliches Fenster auf, was über HTML gegründet wurde und da war's nicht sendet, Interessant. Denn im Spiel wird halt der Name von den Spielern natürlich angezeigt und wenn das ein Scriptic ist, wird's als Scriptic interpretiert in dem Fall, ne. Im Chat oder so weiter halt nicht, aber in diesem Fall halt quasi diese diese, ne, wahrscheinlich irgendwie am Ende des Tages vielleicht 'n Integration Testing oder so was, was da nicht ausreichend war oder so. Quasi, ne, Du hast Daten von einem von 1 von einem externen Pool in gewisser Weise von einem von einem User und der wurde halt nicht validiert.
Jan: Da vielleicht eine Lanze für die Spieleentwickler und insbesondere die Counter Strike Entwickler zu brechen, ich glaube gern, ne, wieder kommt von der Webentwicklung, da ist es natürlich sehr einfach, an jeder Stelle zu wissen, so sind das Daten von mir oder sind das Daten vom User, wem kann ich trauen und wem nicht? Wenn ich natürlich son großes, insbesondere son gewachsenes Produkt hab, ist es wahrscheinlich sehr schwierig, irgendwann zu unterscheiden, ne, wo wo kommt das hierher und kann ich dem trauen oder nicht? Kann ich das plain Text rausrennen? Muss ich das escapen? Muss ich hier sonst irgendwie was damit tun? Und da kann ich mir schon vorstellen, dass große Spiele und insbesondere die Leute, die dann halt, weiß nicht, nur im das Menü UI bauen, ja, und son Spielername dann anzeigen, dass das wahrscheinlich nicht bei denen so top of Mind ist, ob sie jetzt dem Spielernamen trauen können oder durchaus. Ja. Interessant. Okay, jetzt hast Du ja doch son paar Beispiele immer mal wieder genannt, was alles schon schon schief gegangen ist. Und es gibt ja dieses klassische Präventionsparadox, ne, also wenn wenn Security supergut läuft, dann klopft dir keiner auf die Schulter und alle fragen, warum wir diesen ganzen Aufwand betreiben und wenn's nicht läuft, fragen sich, warum wir nicht mehr gemacht haben. Wie ist denn da so, wie würdest Du's einschätzen, das Sentiment in der in der Branche allgemein so? Fühlt man sich eigentlich sehr sicher, weil im Großen und Ganzen doch relativ wenig passiert oder weiß man eigentlich schon die vielleicht doch etwas prekäre Lage, in der man da steckt und ist eigentlich nur sehr froh, dass es nicht noch viel schlimmer ist, als es eigentlich sein könnte?
Philip: Ja, also wenn Du da in direktem Gespräch bist mit, also so wie wir's jetzt halt auch in den Studien gemacht hatten, dann muss man schon sagen, ich sag mal, wenn Du an der Basis fragst, dann wissen die die Probleme und sie haben halt einfach keine Zeit und kein Geld, sich damit zu beschäftigen und das eventuell zu lösen. Manchmal sind sie halt irgendwie sogar präsent, manchmal wissen die Leute tatsächlich einfach, dass es da Probleme gibt. Wenn Du son bisschen höher gehst, ist das leider auch so. Also was da drüber steht, hast Du dann ja irgendwie Managementproduzenten so was in der Richtung. Das ist denen tatsächlich auch schon klar, aber auch son Produzent hat am Ende des Tages halt irgendwie die Aufgabe, 'n Spiel zu entwickeln oder mit zu produzieren, eben auf Features zu gehen, die für das Produkt am Ende eben Mehrwert bieten am Ende, ne. Und dabei natürlich auf den Zeitplan zu achten und so weiter. Und da wird halt einfach Triage betrieben tatsächlich, oft genug. Also so wurd's uns zumindest immer wieder gespiegelt, muss ich sagen. Und ja, die größten Probleme, vor allen Dingen eben alles, was so Userfacing ist, Abstürze, auch wieder Stabilität, das Thema, das wird eben schon natürlich fokussiert, aber eben nicht auf Security und eben ja, auch nicht nicht weiter in dem Sinne, wenn's halt dem Produkt am Ende nichts hinzufügt.
Jan: Dennis, wie wie glaubst Du, ist das bei uns? Wie schaffen wir das oder wie haben wir das schon geschafft, dass die Leute da son grundlegendes Verständnis für mitbringen?
Dennis: Also, was wir ja auch schon hatten, ich meine, es kommt ein bisschen auf die Technologie an, in der Du unterwegs bist und es gibt einige Technologien, wo es einfach irgendwie etablierter ist, dass man so die wichtigsten Dinge kennt und sich auch an die hält und dadurch, dass dort so viel passiert, auch eine gewisse Aufmerksamkeit darauf hat. Ne, ich glaube, das das bedingt sich son bisschen. Also einfach, weil im Web immer wieder von Sicherheitslücken zu lesen ist, informiert man sich dementsprechend danach auch darüber. Und ich glaube, dann hast Du auch den Vorteil, wenn Du im Unternehmen welche hast, die grundsätzlich irgendwie 'n gewisses Interesse dran haben und vielleicht hier und da mal 'n bisschen mehr gucken und 'n Auge drauf haben. Aber zugegebenermaßen haben wir jetzt auch keinen dedizierten Security, jemand, der dediziert dafür angestellt ist oder sich dediziert darum kümmert. Genau und von daher hält es sich bei uns, glaube ich, ganz gut die Waage zwischen dem Aufwand, den wir reinstecken und und dem, was dort ist. Aber
Philip: ja. Macht ihr denn, wenn ich mal einfach mal so fragen kann, macht ihr denn sonst extern vielleicht irgendwas? Also sowas wie beispielsweise, also oder Consultantmäßig oder so was in der Richtung, Bugbounties vielleicht, ne. Das sind alles so Mechaniken und Tools, die man halt technisch gesehen auch machen könnte, bei denen man selbst in dem Das ist son, na ja, wenn wir wenn wir kein Wissen haben, dann schmeißen wir vielleicht wenigstens 'n bisschen Geld drauf, damit man so was in der Richtung mal machen können. Das ist richtig.
Dennis: Ja, sind sind gute Themen. Also ist tatsächlich einen To do, was irgendwo in 1 meiner Listen hängt, wo wir mal drüber sprechen wollten, ob das ob das was sein könnte. Und ja, wir haben auch schon mal externe Leute bisschen auf unsere Sache gucken lassen, gerade natürlich irgendwie Cloud Infrastruktur, was die Server angeht. Was da son bisschen ist, ja auch da einfach sicherzustellen, dass dass die Basics und alles, dass sowas bekannt ist und die Best Practices, dass wir die schon machen. Und ich glaube dann, sehr darüber hinaus dann noch die Frage, wo ich dann auch persönlich denke, dass es dann vielleicht auch schon wieder 'n bisschen branchenabhängig oder ne, letztendlich auch irgendwie 'n bisschen Fallhöhe abhängig, wie viel kritische ne Daten liegen dahinter. Wir zum Beispiel haben keine Nutzerdaten in dem Sinne, also wir haben natürlich viele Daten der Spieler, was sie spielen, aber nichts, was irgendwie wirklich personalisiert ist oder auf auf die Spieler zurückgeht. Wenn Du das hast, ist das natürlich noch mal einen weiterer Schritt da absolut sicherzustellen, ne, dass dass dass das nicht geleakt werden kann.
Philip: Aus Compliance Gründen am Ende. Genau. Ja.
Dennis: Ah ja. Absolut. Und von daher ist es glaube ich immer son bisschen da eine Abwägung, ne, was hat man an potenziellen Risiken, an potenziellen Daten und was man kann man machen? Und wäre, glaube ich, falsch sich hinzustellen und zu sagen, wir sind absolut sicher und es gäbe nie irgendeine Lücke. Kann glaube ich keiner von sich behaupten.
Philip: Also ne, da kannst Du ja auch mal das Credo aus der IT Sicherheit, man kann, also eine hundertprozentige IT Sicherheit ist halt auch
Dennis: Ja.
Philip: Schwierig herzustellen. Ja.
Dennis: Ja. Genau und ja, da versuchen wir einfach einen einen guten Weg, es nicht zu ignorieren, als aktives Thema zu haben. Genau.
Philip: Eine unserer unserer Teilnehmer hat das tatsächlich irgendwann mal den Schweizer Käse Approach genannt oder den SWISS Cheese Approach damals. Aber das
Jan: ist doch ein gängiges Wording oder?
Philip: Ja, also ja also in dem Sinne schon klar.
Jan: So dieses Multilayer Käse
Philip: Genau genau genau. Also in dem Sinne, also guck mal, entscheide sich. Ich erzähl ja gar nichts Neues hier. Ich dachte, ich hab
Jan: das irgendwann schon mal gehört, aber vielleicht ist es was ganz anderes, erzähl's ruhig.
Philip: Nee, aber es ist tatsächlich im Endeffekt genau das. Also der halt halt der Gedanke, dass IT Sicherheit vor allen Dingen in dem Kontext jetzt IT Sicherheit eben von vielen Faktoren abhängt einfach, ne, und dass wir eben viele verschiedene Möglichkeiten und Methoden mehr oder weniger heranziehen können, dann eben möglichst viele Löcher abzudecken.
Jan: Dennis hat ja auch eben gerade angesprochen, es kommt vielleicht auch son bisschen auf die Fallhöhe an, auf jeden Fall und aber vielleicht auch auf die Branche war so deine Vermutung noch. Ist das was, Philipp, was Du bestätigen kannst, sodass, also wir jetzt aus dem Mobile Casual Gaming kommend, ja, gibt es da Unterschiede zu großen Triple-a-Titeln, zu Live Servicespielen, zu Genres? Ich weiß es nicht, sind Sport, kompetitive Sportspiele mehr gefährdet als irgendwelche Cosi Livesims, die Leute zusammenspielen. Ich weiß es nicht so, ja. Gibt gibt es da was oder ist das eigentlich Free for All und alle sind gleichermaßen gefährdet?
Philip: Na ja, also das kommt natürlich halt einfach auf die Features an, die Du am Ende des Tages drin hast und vor allen Dingen eben auch auf so, ja, einfach auf wie zum Beispiel, was für 'n Genre hat dein Spiel? Auf was für 'ner Plattform ist dein Spiel am Ende des Tages? Weil ist natürlich auch einfach sone Sache, klar, wenn ich jetzt irgendwie 'n Multiplayer Ego Shooter aufm PC habe, dann hat der natürlich auch ganz andere Anforderungen. Und wenn ich jetzt halt einfach Mobile Game mache am Ende und das halt vielleicht auch einfach, also ne, in Anführungsstrichen jetzt nur 'n Highscore hat, sag ich mal, der irgendwie synchronisiert wird und das war's, ne. Das macht natürlich einfach großen Unterschied. Klar.
Jan: Mhm. Mhm. Und seht ihr da Unterschiede in der in der Architektur? Also PC Spiele auf der einen Seite sind, glaube ich, so das das maximal Offenste, was es so gibt, weil einfach viel auf der Plattform parallel noch passiert. Da sind irgendwelche Apps von dem Benutzer installiert, der kann sich sonst schon vorher was eingefangen haben et cetera et cetera. Dann haben wir irgendwie mobile Geräte, ja, wo irgendwie App Stores schon mal 'n bisschen restriktiver sind, wo Apps nur gesandbox laufen und so weiter. Und dann vielleicht noch am anderen Ende sowas wie Konsolen, die noch mal geschlossener sind, weil ich als Benutzer viel weniger Zugriff darauf hab und in meine Nintendo Switch stecke ich nur sone Cartridge rein und ansonsten kommt da ja gar nichts an Software rein oder raus so, ja. Macht das 'n Unterschied oder nicht? Kann ich
Philip: die einfach mit 'nem Ja beantworten. Ja, ist
Jan: ja gut zu wissen so, ja?
Philip: Ja, ja sicher, also absolut, ne. Also ich mein, wenn wir 'n bisschen technischer werden wollen, klar, vor allen Dingen halt sowas wie Mobile, bei Android geht ja mehr oder weniger auch gar nichts über das Emissionslayer so was in der Richtung herum, ne, dass Du halt auch den Nutzer wirklich anfragen musst, was er halt ja, was er was Du als App anfragst, was der Nutzer dir dann halt freigeben soll. Auf 'nem PC ist es natürlich halt einfach 'n bisschen, keine Ahnung, ne, am Ende des Tages kann ich C plus Plus Code schreiben, der in meinem Spiel halt am Ende irgendwie auf deiner Festplatte noch irgendwas herumfuhrwerkt. Ist jetzt tatsächlich übrigens, oh Gott, das war jetzt auch wieder vom letztes Jahr? Ich weiß auch. Da weiß ich gerade das Datum nicht. Ist auch 'n Spiel tatsächlich erschienen auf Steam, was nichts anderes war als Malware. Also Free to play Spiel, was sich einfach komplett getarnt hat als echtes Spiel, aber ja am Ende des Tages war's halt Malware. Also klar, also der also kann man so sehen, ne. Also PC ist auf jeden Fall mehr wilder Westen als wenn ich das jetzt auf Mobile betrachte und auf Konsolen noch mal ganz ganz was anderes tatsächlich. Wenn ich das bewerten müsste auch von so mit dem, was wir mit den Leuten, wie wir so gesprochen haben, ist, glaube ich, Konsole vor allen Dingen auch relativ wenig passiert insgesamt. Also wir haben immer sehr, sehr wenig verhältnismäßig von Konsole gehört. Also vor allem, ne, Mobile und PC immer son bisschen so die Unterschiede, aber Konsole war auch unter anderem das, ja, Ungängigste, wenn's große Security Probleme ging.
Jan: Ist ja gut zu wissen, dass der Trade auf dem man da eingeht, zumindest auch was bringt am Ende des Tages, ja.
Philip: Also ihr seid auf jeden Fall zumindest mit eurer Mobile Entwicklung auf 'ner etwas sichereren Plattform.
Jan: Der ist ja auch aus Benutzersicht gut, ja, weil natürlich kommen wir ja mit soner Plattform auch für die Benutzereinschränkungen und dann irgendwie zu hören, dass es doch am Ende 'n spürbaren, 'n quantifizierbaren Effekt hat, ist ja auch irgendwie beruhigend, so. Gut. Dennis, hast Du noch Fragen?
Dennis: Gibt's eine Lieblingssicherheitslücke aus dem Gamingbereich
Philip: oder hast
Dennis: Du die schon genannt, Vali unter den Beispielen?
Philip: Ja, also ich auch ich hab da so mein, nachher da haben wir ja noch 'n kleinen Talk heute. Da gibt's dann auch noch mal son kleinen Roundup. 'N paar waren ja schon dabei. Ich finde vor allen Dingen immer sehr interessant, dass dass es so viele verschiedene gibt insgesamt, das vielleicht noch mal kurz vorweg und dass es am Ende des Tages immer relativ, wenn man's runterbricht auf das eigentliche Problem sehr simple Dinge eigentlich sind, ne? Ich hab irgendwie eine Crosssideskripting hier, ich hab irgendwie 'n Buffer Overflow bei Dark Souls in 'nem Server so in der Richtung. Was natürlich noch son anderes Thema ist, was wir noch nicht so richtig angeschnitten haben, grade sogar, ist vor allen Dingen sowas wie Anti Cheat.
Dennis: Mhm.
Philip: Da gibt's da gab's zum Beispiel eine Lücke bei Genshin Impact in dem Anti Cheat und da ist ja immer son bisschen diese Diskussion, hey, ich hab 'n Anti Cheat, läuft der auf keine Level, ne. Wenn ich den aufn PC ausführe, wird der eben vor dem Betriebssystem geladen, ne, mit diesem mit den Ringlägern beispielsweise, Das
Jan: musst Du, glaube ich, noch 1 eine Stufe ausführlicher erklären.
Philip: Okay, ja, vielleicht klar. Also es ist so, dass im Prinzip bei der Hierarchie der Ausführung meines Computers habe ich verschiedene Layer, die nacheinander gestartet werden. Ich hab am Ende, also am Anfang natürlich irgendwo son bisschen die Hardware, mein Bios und solche Geschichten. Ich hab meinen Kernel, der da halt am Ende des Tages als Erstes gestartet wird und darüber habe ich dann langsam Treiber und irgendwann den Applikationslayer, mal sehr vereinfacht, runtergebrochen formuliert. Und die Idee ist eben, dass man da sone gewisse, ja, eine Differenzierung vor allen Dingen von was Berechtigung anbelangt hat. Also sprich, wenn ich weiter innen im Ring quasi, mehr mehr Richtung Kernel Layer irgendwo ausgeführt werde, hab ich mehr Berechtigung über das, was außerhalb ausgeführt wird. Ist jetzt 'n bisschen umständlich formuliert, heißt am Ende des Tages, son Kerneltreiber kann am Ende vielleicht mehr RAM auslesen, mehr Speicher auslesen, mehr von den Instruktionen auslesen, die irgendwie auf meinem PC beispielsweise passieren als sone Applikation. Da gibt's ja schon, also Bin dafür
Jan: aber auch meistens 'n bisschen primitiver unterwegs, ne. Das ist ja so der der Trade off dann.
Philip: Ja, kann man so sagen durchaus, ja. Nur im, genau und bei Gencian Impact wiederum gab es dann eben genau dieses Problem beziehungsweise das ist halt son Problem mehr oder weniger, was beim Anticheat immer wieder mal genannt wird. Vergleichbar übrigens tatsächlich auch so mit so Antivirensoftware und so was. Da kommt man immer wieder so in ähnliche Gespräche. Ich hab 'n Treiber für meinen Anticheat, der eben auf 'ner sehr hohen Ebene oder in der sehr tief in diesem Ring, sag ich mal, sehr, sehr früh gestartet wird und dadurch eben sehr hohe Berechtigung am Ende auf der Applikationsebene, wenn ich eben das Betriebssystem gestartet hab hat, der kann RAM auslesen und so weiter, ne. Also die Idee ist halt natürlich, ich will als Anticheat mächtiger sein als der Cheat. Das bedeutet, ne, man sollte dem Kleinen auch am besten nicht vertrauen, deswegen wollen wir ihn halt am besten auch voll scannen, so nach dem Motto. Und dann eben schauen, dass wenn eben 'n Cheat läuft, dass ich den eben detektieren kann und dann eben auch was dagegen machen kann. Das Problem an der ganzen Geschichte ist natürlich, wir haben jetzt quasi eine zusätzliche, ja, in dem Fall bei Gencian Impact gewesen, einen zusätzlichen Treiber, der sehr hohe Berechtigung hat und dann aber halt eine Security Flow hat. Und was man sich damit natürlich eintritt, ist halt am Ende des Tages 'n Einfallstor, ne. Also 'n Einfallstor, was von der Applikationsebene einfach ausgenutzt werden kann, wenn ich, also das war jetzt nur eine Code Execution in dem Fall. Kommen wir aber gleich noch mal zu. Es war in dem Fall nur eine Code Execution, dass ich natürlich diesen Treiber ansprechen konnte und dann eben auf Berechtigungsebene des Treibers mit 'n paar Cliffen ja, Dinge auf dem PC ausführen konnte mit zu hohen Berechtigung. Genau das, ja genau der Super GAU, sag ich mal, wovor man halt bei Anti Cheat auf Computern mit Kernelebene oder mit Kernelberechtigung Angst hat, sag ich mal, ne. Auch so Stichwort zum Beispiel so was wie Riot mit ihrem Vanguard und so was in der Richtung, ne, was ich bei League of Legends zum Beispiel benutze, all solche Tools. Bei Gencian Impact war's jetzt so, dass dieser Treiber eben geladen wurde und tatsächlich nachweislich auch missbraucht wurde. Also hier haben wir nicht nur den Fall, dass dass sogar theoretisch mehr oder weniger, sondern wir haben tatsächlich auch 'n praktisches Beispiel, wo es eine Aufarbeitung von Trend micro gab, die gesehen haben, dass jemand in in 'nem, ich glaub, in dem Company Netzwerk war's, tatsächlich Genstream drauf hatte, entsprechend auch den Anti Cheat, wird automatisch mitinstalliert, läuft nebenbei. Und dieser dieser Fehler in diesem Treiber dann dort in der in dem Company Netzwerk ausgenutzt wurde. Also sprich, der wurde dafür benutzt, eben in das Netzwerk einzubrechen. Also das könnte man halt auch, also das heißt, ne, ist immer son bisschen gemein, ich will jetzt immer nicht so sagen, meine Lieblings Security Flowers oder sowas in der Richtung. Das klingt immer son bisschen zu wohlwollend ehrlich gesagt. Wir wollen das schon bekämpfen, aber ist halt leider auch wieder son Beispiel dafür, für 'n für 'n sehr prominente, ja, son sehr prominente Fragestellung Cheating und Anticheat und sollte man das auf Kernel Ebene machen oder eben nicht.
Jan: Aber wenn ich das richtig verstanden hab, haben die Angreifer da Anti Cheat genutzt, weil das quasi schon auf dem System war, da dann quasi 'n Angriff durchzuführen?
Philip: Genau.
Jan: Ich hätte eine Frage, die da vielleicht noch eine halbe Stufe weitergeht. Wir sehen ja immer suppisticatore Supply Chain Angriffe so generell. Und auch immer bessere Sparefish Angriffe so, ja. Und gab es schon mal einen Case, wo jemand gezielt Videospiele als Vehikel genutzt hat, einzelne Personen anzugreifen oder einzelne Systeme, einzelne Firmen, und damit quasi so die ganze Player Base irgendwie mit angegriffen hat als als Nebeneffekt, aber eigentlich nur ein oder 2 Systeme als Ziel hatte?
Philip: Wieierig. Wenn ich so drüber nachdenke, kann ich dir, glaub ich, tatsächlich kein praktisches Beispiel grade nennen. Hat auch 'n bisschen damit zu tun, wie gesagt, auch mit 'n bisschen Verschwiegenheit und so was von der ganzen von der ganzen Kannst Du
Jan: mir da erzählen, wenn's Mikrofon aus ist, kein Thema.
Philip: Ja, ja, ist das 'n 5 Euroschein. Nee super, machen wir nachher, ne. Nein, also supply Chain ist halt auch irgendwo 'n Thema. Ich kann dir 'n ähnliches Beispiel nennen zumindest. Es ist leider nur, ist leider halt, wie gesagt, in dem Sinne kein gefordertes praktisches Beispiel, aber 'n theoretisch ist immerhin, wo es in Richtung auch wieder Infekt von von Clients geht. Da ging's Dota tatsächlich. Dota hat Custommods, die halt über Steam Workshop beispielsweise eben zugelassen werden können. In den Custommods kannst Du Javascript ausführen.
Jan: Aber es klingt schon gut.
Philip: Kurzfassung am Ende des Tages haben die halt V8 benutzt tatsächlich, zu parsen und zu zu executen am Ende und die haben einfach eine alte Version von V8 gehabt in dem Sinne. Also gehört halt auch irgendwie so zur Supply Chain. Ist eher son bisschen in der Richtung, so, ne. Also es gab halt einfach melicious Models, die am Ende JavaScript executed haben und dann eben die Flow in wie 8 exploitte. Ja, das war
Jan: Spaß JavaScript, ne. Das war jetzt halt noch mal noch mal zu sagen. Natürlich war's JavaScript.
Philip: Und ja genau und dadurch halt dann eben über das Spiel Leute, die dann eben diesen Mod geladen haben, dann eben ausbrechen konnten mehr oder weniger. Also ist halt auch irgendwo am Ende des Tages natürlich eine Supply Chain Ding, dass Du halt deine Dependencies vielleicht im Blick haben solltest und 'n Update
Dennis: solltest. Noch mal ganz kurz zurück zu dem Beispiel, was Du grade mit Genshin Impact hattest. Ja, klar. Bei mir, dass Du gar nicht bewusst war, dass so Anti Cheat Protection dann irgendwie auf auf auf Kernelebene läuft. Krieg ich das als Nutzer dann gar nicht mit oder wie? Also das heißt, ich installiere mir das Spiel oder ist das irgendwie eine explizite Rechteabfrage oder das ist Na
Jan: ja, Du installierst ja Anti Cheat meistens so separat noch mal mit.
Philip: Genau. Also den Geil, er
Dennis: hab ich noch nie gemacht.
Philip: Also den Ja, also als als Du
Jan: und ich noch angefangen haben Videospiele zu spielen, da gab's doch noch nicht so diese diese Colonel Level Anti Cheats, das ist ja sone son Trend der letzten, boah ich weiß nicht, sag mal so 5 Jahre oder so.
Philip: Ah, also ich mein, es gibt schon darüber hinaus in dem Sinne, aber es wird halt präsenter, sag ich mal irgendwo, ne.
Dennis: Okay, aber das also das ist das installiert man separat.
Philip: Mhm. Das installiert sich halt mit dem Spiel mit tatsächlich. Also wenn Du Okay, aber
Dennis: aber sichtbar in dem Sinne.
Philip: Ja, also ich sag mal, Du Du heutzutage ja. Also das ist, glaub ich, auch eine Entwicklung, die noch gar nicht so lange her ist, ehrlich gesagt. Ich meine, es gibt mittlerweile bei Steam vor allen Dingen in den Steam Pages, wenn Du 'n Spiel installierst, was son Anti Cheat hat, gibt's mittlerweile 'n Hinweis darauf, son kleinen kleinen gelben Kastenrechte, von wegen, ey, das installiert 'n Anticheat, der sogar Route Level Berechtigung hat mehr oder weniger. Aber es gibt in dem Sinne auch keine Abfrage oder so, ne. Also wenn Du das Spiel installiert, dann lädt sich das runter, es installiert sich, es installiert halt alle notwendigen Komponenten, unter anderem mit Anti Cheat. Du startest das Spiel, das Anti Cheat startet sich beziehungsweise halt also quasi die Applikationsseite des Cheats mehr oder weniger Anti Cheats lädt sich dann und Du startest das Spiel und das kommuniziert dann eben mit dem Colonel Driver in dem Fall. Okay. Also aber ich mein, genau, also wenn wenn es wenn Du's ganz explizit wissen willst, nee, also Ja. Du bekommst als Spieler tatsächlich auch bei der Installation oder so keinen Hinweis darauf und das ist dann halt da, das musst Du wissen. Okay.
Jan: Früher hat man das immer noch so mitgesehen, so, wenn Du da dieses ganze dot net und sowas, alles, diese Distribution Packages mit installiert hast, dann kam da manchmal auch Anti Cheat irgendwie an dir vorbeigelaufen. Aber heute sieht man das auch tatsächlich, und ironischerweise wird das ja auf Steam erwähnt, aber ich glaub eher so vor dem Hintergrund, so, ja, das läuft dann halt nicht auf dem Steam Deck oder so. Ich weiß gar nicht, ob das für die meisten Konsumenten so wirklich eine Buy- oder nicht Buy Entscheidungshilfe ist oder?
Philip: Wirklich, ich ich kann auch nur spekulieren ehrlich gesagt dadrum, warum das jetzt da steht. Also ich meine halt so aus Usability Sicht, ne, also so wie wir's ja immer betrachten für den Menschen. Am Ende des Tages ist es halt eine sehr nette, sehr nette Auskunft und sollte auf jeden Fall halt auch da stehen und vielleicht auch expliziter. Aber ob's jetzt nur für sowas ist tatsächlich, kann ich nicht genau sagen. Spannend ist natürlich vor allen Dingen halt auch noch, dass das nicht nur Steamlag User manchmal ausschließt, teilweise ja eben auch eine große Diskussion ist, wenn Du Auflierungs spielst oder so was.
Jan: Ja, oder auch Proton am Ende.
Philip: Ja, manchmal schon, aber Colon Anti Cheats meckern auch bei Proton teilweise, ne. Also
Jan: Sehr, genau, das funktioniert ja dann nicht.
Philip: Genau, das ist genau. Also es gibt Spiele, die Du halt nicht spielen kannst, die weil die halt gerade auch 'n Anti Cheat auf Köln Ebene benutzen, vor allen Dingen eben, was Linux oder Mac betrifft. Okay.
Jan: Ja, ja. Beim Steam Deck User. Philipp, gab's eine oder gibt's noch eine Frage, die wir dir noch nicht gestellt haben und Du Du dir denkst, Mensch, ich hab mich so gut darauf vorbereitet, ich wollte unbedingt darüber reden, aber weder Jan noch Dennis haben mich auf Thema x y angesprochen.
Philip: Jetzt haben wir gerade über Andi Typen gesprochen. Nee, also ich glaub, darüber hinaus haben wir eigentlich 'n guten Roundup so insgesamt gehabt, ja.
Jan: Wunderbar. Dann sind wir mit dem Cheaten hier durch, aber haben noch 1 1 ein Thema uns für den Schluss aufgehoben. Nämlich Dennis, was kommt noch? Die Okay, ich war heute hart geflasht, weil Dennis gesagt hat, er hat 'n Pick vorbereitet. Deshalb Dennis, darfst Du heute anfangen?
Philip: Dein Pick ist, dass Dennis 'n Pick hat?
Dennis: Vielen Dank. Ja, ich hab ich hab mich auch gewundert, dass ich mich daran erinnert hab. Und zwar ist es auch jetzt nichts Neues leider, aber es war letztens mal irgendwie Diskussion beim Mittagessen. Ich bin erstaunt darüber, wie viele Leute es nicht kannten und deswegen ist es mein und zwar ist es eine iOS Funktion, deren Name ich grade natürlich nicht finde. Es geht diese kleinen Punkte, die man im Auto anmachen kann, Bewegungs
Jan: Motion Sickness.
Dennis: Zu reduzieren. Genau. Und ich leide glücklicherweise selbst nicht darunter, deswegen ist es kein Feature für mich. Aber wenn ihr Freundinnen und Bekannte habt, die das vielleicht haben, kann man das so konfigurieren, dass es auch automatisch angeht, wenn man irgendwie im Auto sitzt. Und dann hat man so kleine Punkte rund ums Display, die sich dann bewegen, wenn die entsprechenden G-Kräfte auf das auf das Display wirken. Ist ganz lustig, weil man's gar nicht so gut nachstellen kann. Also man versucht, irgendwie selbst das iPhone zu bewegen, tut sich nicht viel, weil das halt andere Bewegungen sind. Wenn man so es durch den Raum bewegt, dann geht's. Und zumindest bei meiner bei meiner Frau hilft es 'n bisschen. Also sie kann besser aufs Handy gucken, was sie vorher praktisch gar nicht konnte, wenn die Dinger an sind.
Jan: Ich hab da 2 Fragen.
Philip: Ja. Gibt's es auch auf iPads?
Jan: Oh, wahrscheinlich. Und taugt das auch für im Flugzeug?
Dennis: Ja. Also ich denke, genau, also wenn dir da auch schlecht wäre, das ist halt alles immer, wenn diese, genau, wenn diese Bewegungen sind, dass sich das dann praktisch mitbewegt und der Kopf das dann einstellen würde. Ich will mal ganz kurz, aber das ist mal recht Ja, das ist so lange höher.
Jan: Im Flugzeug habe ich das tatsächlich manchmal, weil da hast Du ja noch mehr das Problem, dass gar keinen Horizont mehr hast, auf den Du gucken kannst. Beim Auto kannst Du zumindest so zum Fenster rausgucken, aber gerade wenn Du im Flugzeug in der Mitte siehst oder die Fenster unten sind oder es dunkel ist oder so, dann bist Du ja im Prinzip komplett aufgeschmissen und deswegen, da würde ich's vielleicht
Philip: auch mal probieren. Ja, spannend. Hab ich tatsächlich auch noch gar nicht von gehört.
Jan: Ja, cool. Okay, also
Dennis: man findet's beim iPhone unter Bedienungshilfen unter Bewegung und dort nennt sich es einfach Fahrzeugbewegungshinweis.
Jan: Das klingt wie eine wunderbar eingedeutschte
Dennis: Genau. Und es gibt sogar hier ist gerade eine Hinweis, neu bei Fahrzeug hin Bewegungshinweise in Io 26 und wird auch wieder sehr neu. Und zwar kann man das Erscheinungsbild der Bewegungshinweise anpassen, indem Farbe, Größe, Abstand und Bewegung dieser Punkte noch anpassen kann.
Jan: Ist ja mein Traum.
Dennis: Genau. Also auch das jetzt ganz neu sozusagen.
Jan: Wenn wir schon bei Flugzeugen sind, bring ich meinen Pick noch ein, weil gegen den Pick von Philipp kann ich nur abstinken.
Philip: Was hast Du jetzt gesagt?
Jan: Ich hab was dabei, komplett unseriös und das nennt sich Cloud Gazing dot online und was ihr da macht, ist, ihr kriegt im Prinzip ein ein ein Foto vorgeben von Wolken, weil Cloud Gazing, Wolken schauen und ihr müsst dann mit sonem kleinen Pinsel die Figuren da einzeichnen, die ihr da erkennt. Ob das ein Herz ist, eine Giraffe, ein Stern, ein Haus, ein ein irgendwas und gleichzeitig seht ihr dann auch, was alle anderen auf diesem Foto im Prinzip eingezeichnet haben oder ihr könnt halt einfach son bisschen durch die Galerie klicken, was Leute in irgendwelchen anderen Wolken gesehen haben und wie viel Spaß sie so damit hatten. Es ist unglaublich lustig und ein wahrscheinlich Timesink, den man gar nicht in in Worte fassen sollte, aber es ist immer es ist immer so, weiß nicht, weil Du hast mal irgendwie so 20 Sekunden, die Du irgendwie killen musst, weil Du gerade auf auf irgendwas wartest und da kannst Du genauso 1, 2, 3 von diesen Wolkenbildern mitmachen. Cloud Gazing dot online bietet überhaupt keinen Mehrwert darüber hinaus. Also ich muss ja hartes Expectations Management betreiben. Die Seite macht nichts außer euch, Wolken zu zeigen und Striche zu malen und trotzdem kann man kann man viel Spaß damit haben. Es gibt dann auch noch son paar irgendwie so so Challenge, mal nur eine Linie und mach da irgendwie eine Figur draus oder so was und ja, das das
Philip: Klingt großartig.
Jan: So wie
Philip: etwas, wo ich auch sehr viel Zeit
Jan: erzählen könnte. Wenn wir nämlich schon beim Malen sind.
Philip: Ach guck mal auch, diese Überleitung, Mensch.
Jan: Als als würde ich das öfter machen mit diesem Podcast. Mein Gott, unglaublich.
Philip: Nein, aber als ob das jetzt auch 'n besseres, eine bessere besserer Pick of the day ist, das überlassen wir unseren Hörerinnen natürlich.
Jan: Sowieso immer.
Philip: Was ich mitgebracht habe, ist 'n neues Hobby tatsächlich, wo's grade Malen geht, Figuren bemalen. Die ein oder anderen kennt's vielleicht son bisschen aus dem Kontext so von dem, was Games Workshop son bisschen publiziert an Figuren. Also tatsächlich physische Figuren mit Acrylfarbe bemalt ist son bisschen mehr oder weniger als Hobby in in mein Leben eingekehrt. Ich bin, glaub ich, nur halbwegs talentiert ehrlich gesagt, aber ist schon schön. Also es macht es macht sehr viel Spaß. Also ich muss sagen, ich hab sehr viel Gutes dazu zu berichten. Ich bemale oder wir bemalen auch tatsächlich vor allen Dingen Brettspielfiguren, weil ich einfach auch privat sehr viele Brettspiele zu Hause habe. Ich spiel sehr gerne Brettspiele Und da gibt's dann immer wieder mal sone Tonne von Minis dabei. Und ja, die anzumalen ist schon wirklich, also es ist son richtige befreiende, ja, sone Zenkur eigentlich. Ich komme abends zu Hause und dann kann ich mich hinsetzen, meine Farben auswählen und dann, ach schön, den letzten Schliff und Strich
Dennis: Spaß des
Jan: Tages setzen. Wie lange sitzt man da so an 1 Figur?
Philip: Oh, ich sitz viel zu lange da dran. Also meine meine Lebensgefährtin ist tatsächlich sehr talentiert und an der ganzen Geschichte, muss ich sagen. Die ist auch sehr fix bei der ganzen Sache. Ich brauch sehr lange. Also ich glaube, ich hab neulich für sone, weiß ich nicht, ich zeig's jetzt grade mit den Fingern, man kann's schwer nachvollziehen. So, sagen wir mal 4 Zentimeter. Oh, vielleicht so was genau. Ah, sone 4 Zentimeter Figur schon so 2 Tage a
Jan: Oh ja, das 5
Philip: Stunden, 4, 5 Stunden.
Jan: Ja, kann man son Wochenende rein versenken.
Philip: Tja, also ich weiß nicht, ich glaub, ich bin da, ich bin tatsächlich auch einfach 'n bisschen zu zu genau. Vielleicht muss ich auch einfach mal anfangen, 'n bisschen drüber zu malen. Mir wird dann auch immer gesagt, Du kannst doch, wenn Du drüber malst, kannst Du doch einfach wieder noch mal drüber malen und das geht doch ganz einfach. Ich so, nein, ich will den Sprichgri jetzt schon gerade haben. Mhm. Na ja, manchmal ist das. Ich geborene mir Mühe, ich geborene mir halt Mühe.
Jan: Dennis müsste es eigentlich super nachvollziehen können. Du hattest doch auf unserer Bemal Bemal Aktion hier im Büro versucht, son QR Code von Hand zu malen. Ja. Ja, das war ja auch ähnlich filigran, oder?
Dennis: Es war ähnlich filigran. Hat ja auch am Ende, ich weiß auch immer noch nicht warum, aber es hat nicht funktioniert. Verrückt. Ich hätte mit mehr Geduld hätte ich das Ganze angehen müssen.
Jan: Ja. Ja. Mein mein Sportlererin in der Oberstufe hat mir mal 'n sehr guten Ratschlag gegeben, an den ich mich auch immer zu halten versuche ist, man muss nicht gut sein in Sachen, darin Spaß haben zu können.
Philip: Das stimmt, das stimmt, kann ich kann ich nur bestätigen.
Jan: Sehr schön, dann danke euch für die Picks. Philipp, danke, dass Du hergekommen bist, danke für die Zeit für den Podcast, das war 'n superinteressantes Gespräch. Ich hätte nicht gedacht, dass man in Konterstrike mit Nametags Crossside scripting Lücken auslösen kann Und vielleicht konnten wir da draußen den oder die ein oder andere dazu motivieren, sich entweder, wenn sie schon in dem Feld unterwegs sind, mehr mit Security zu beschäftigen oder wenn sie schon in Security unterwegs sind, vielleicht sich mehr mit dem Gaming Feld zu beschäftigen.
Dennis: Ja, ja. Auch von meiner Seite. Vielen Dank. Hat Spaß gemacht.
Philip: Sehr, sehr gern.
Jan: Wenn ihr da draußen Anmerkungen, Kritik, Feedback oder undiscoused Sicherheitslücken habt, dann
Philip: Ja, meldet euch. Wir mögen gerne Vorschussprojekte dazu machen.
Jan: Könnt ihr euch gerne melden an Podcast at Programmier Punkt bar oder ihr schreibt uns auf unserem Discord Server oder auf Social Media. Wir lesen alle Nachrichten fleißig mit und freuen uns immer, wenn wir von den Zuhörerinnen da draußen was hören. Ansonsten hört ihr uns spätestens in ein, 2 Wochen wieder zu den nächsten Deep Dive oder zu den nächsten News und wir verabschieden uns. Bis dahin. Tschau, tschau. Macht's gut. Tschau. Bis dahin.

Security in Games mit Philip Klostermeyer

Shownotes

Picks of the Day

Fahrzeug-Bewegungshinweise von Apple

Miniaturfiguren Bemalen

cloudgazing.online

Speaker Info

Philip Klostermeyer