Bitsea & TÜV TRUST IT im Talk: Softwareanalyse trifft KI und Regulierung

00:00:07: Hallo, liebes

00:00:08: Publikum.

00:00:09: Da sind wir wieder mit dem Cybertango – dem echten Trast-Podcast!

00:00:15: Heute zu dritt.

00:00:17: aber ich beginne mal mit dir Axel du bist in Bonn.

00:00:22: Ja hallo Stefan Ich bin in der Tat bei einem Kunden in Bonnn heute.

00:00:27: Es halt etwas ist mir leid Aber gufte hier bei einem Kunden in der Tat auf der Vorstandsetage ein Besprechungsraum beschlagt nehmen.

00:00:37: Und ja, freue mich auf diesem Podcast wie du gesagt hast.

00:00:40: Ja mein Gast Stefan!

00:00:42: Wer ist das denn?

00:00:43: Genau, der kann sich auch direkt selber vorstellen.

00:00:47: Andreas willkommen im Cybertango stelle dich gerne mal vor.

00:00:52: Hallo und auch einen wunderschönen guten Nachmittag.

00:00:55: Ich bin Andreas Kulturabgründer und Geschäftsführer von der Bitzi.

00:01:00: Wir sind eine Firma, die Software

00:01:02: prüft

00:01:03: und bewertet.

00:01:04: Und wir arbeiten schon seit einiger Zeit mit euch zusammen in vielen verschiedenen Projekten.

00:01:09: Das ist korrekt!

00:01:10: Und das sind der Regel auch durchaus spannende Projekte.

00:01:14: Wir haben uns heute einen Themenschwerpunkt rausgesucht, hatte ich glaube ich letzte Woche auch schon mal angekündigt Cyber Resilience Act CAA.

00:01:24: Da sind wir auch an verschiedenen Stellen schon unterwegs.

00:01:29: Wir hatten auch schon mal berichtet über das Projekt, was bei der G-Data vorantreiben.

00:01:35: Aber genau zu diesem Thema gibt es ja doch eine große Schnittstelle unserer beider Tätigkeitsschwerpunkte und es wäre mal cool wenn du mal ausholen könntest, treibt zum Thema CAA, was da gerade im Moment von eurer Seite am Start ist.

00:01:59: Erzähl doch mal!

00:02:00: Was macht ihr da eigentlich genau?

00:02:02: Ja ich würde da ganz ein klein bisschen ausholen.

00:02:06: und zwar haben wir zu diesen Softwareprüfungen die wir ja schon sehr lange machen, haben wir schon vor fünfzehn Jahren angefangen Software Composition in RSS zu machen.

00:02:18: also das geht darum dass man genau verstehen möchte, was für Bestandteile sind in einer Software drin.

00:02:24: Das ist ja oft nicht nur der selbstgeschriebene Code, sondern ganz viel Open Source Komponenten oder irgendwelche kommerzielle Anteile.

00:02:32: und vor fast fünfzehn Jahren haben Konzerne schon angefangen, genau wissen zu wollen, was da alles drin ist.

00:02:42: Man entwickelt Software heute so, vieles wieder benutzt, was schon da ist eben auch diese Open Source Komponenten die dann in ein Produkt eingebaut werden können.

00:02:51: Das macht

00:02:51: einen schnell.

00:02:53: man kriegt qualitativ hochwertige Software und von einem typischen Softwareprodukt sind das mittlerweile fast sechzig bis neunzig Prozent, was eben diese Open-Source Komponenten sind.

00:03:05: Also ihr könnt diese Blackbox öffnen und transparent machen, was eigentlich drin ist?

00:03:10: Genau!

00:03:10: Da haben wir vor vielen Jahren eben dieses Scanner gebaut und da kommt jetzt dann der CRA ins Spiel.

00:03:17: Und zwar hat er genau zur Anforderung, dass ich ja so ein Risikomanagement machen muss um zu verstehen wo könnten in meinem Produkt Sicherheitslagen sein?

00:03:28: Und genau dafür brauche ich wieder diese Software Composition Analysis und das können wir eben sehr auf technischer Ebene sehr tief machen und erkennen sehr gut welche Produktbestandteile darin sind.

00:03:40: Passiert das dann quasi auf einer Quellcode-Ebene oder kann ich das auch als Außenstehender und potenzieller User eines Softwareproduktes bei euch beauftragen?

00:03:53: Also es ist am besten, wenn man den Quellcode hat.

00:03:55: Dann können wir die genauesten Analysen machen.

00:03:58: Wir haben oft so, dass ein Kunde nur einen Container hat oder er hat halt mehr Dateien.

00:04:02: Die könnten wir zum Stück weit untersuchen und finden da auch Bestandteile

00:04:07: mit drin.

00:04:11: Ihr seid, wenn ich das richtig in Erinnerung habe mit einem EU-Projekt auch tiefer eingestiegen.

00:04:18: Das Thema könntest du auch dazu mal den Zuhörern erläutern was es damit auf sich hat?

00:04:25: Ja die EU hat ja diesen Cyber Resilience Act herausgegeben oder erlassen weil man sichere Produkte haben will

00:04:35: und weil man

00:04:36: besseres Cyber Security haben will.

00:04:41: um das Ganze umzusetzen, gibt es eine ganze Reihe von Anforderungen die alle Firmen die digitale Produkte bauen erfüllen müssen.

00:04:51: Für große Konzerne ist das relativ leicht zu stemmen aber gerade für KMUs kleine und mittlere Firmen sind das eine ganze reihe von Themen die zusätzlich zu meinem Tagesgeschäft das mich schon einspannt auch noch machen soll.

00:05:08: Das hat die EU auch gemerkt und möchte die Firmen unterstützen.

00:05:12: Und hat daher ein großes Programm ausgeschrieben, wo es darum ging wie kann denn KMUs unterstützt

00:05:18: werden

00:05:19: mit Verfahren, mit Werkzeugketten?

00:05:24: Und das haben wir zusammen mit einem Konsortium gewonnen und haben da jetzt in den letzten zwei Jahren eine Werkzeugkette und verschiedene Tests bereitgestellt Die Firmen helfen, das schneller umzusetzen.

00:05:36: Das Schöne ist die EU hat es schon vorfinanziert.

00:05:39: Also die Firmen können das kostenlos einsetzen und der ganze Code den wir erzeugt haben, den gibt's auch als Open Source.

00:05:44: Die kannst du hier da selber installieren.

00:05:48: Also das ist ein durchaus konstruktiver Ansatz um entsprechende Unternehmen zu unterstützen und jetzt nicht, ich sag mal der böse Kontrolleur mit erhobenen Zeigefinger.

00:06:10: Genau, das ist ja auch die, wo die EU unterstützen will.

00:06:14: Man will ja sichere Produkte haben und man will ja nicht alle Firmen jetzt gleich bestrafen.

00:06:20: Also in diesem Projekt haben wir drei große Bereiche, die wir gemacht haben.

00:06:24: Das erste ist es gibt so selbst Checklisten im Internet.

00:06:29: also die Webseite ist octet.eu ganz wichtig mit zwei C und einem T. Das Erste bei diesem Selbstcheck kann eine Firma feststellen, bin ich überhaupt betroffen.

00:06:41: Der Cyber Resilience Act betrifft ja alle Firmen die digitale Produkte herstellen, die irgendwie kommunizieren können mit dem Internet.

00:06:50: Ausgenommen sind aber Produkte, die schon irgendeine anderen Regelungen unterliegen wie zum Beispiel jetzt wenn es eine Fahrzeugregelung gibt oder im medizinischen Bereich und auch in der deutschen Fahrt da gibt's schon andere Regeln.

00:07:04: Also mit diesem ersten Check kann ich mal selber feststellen, bin ich überhaupt betroffen oder nicht.

00:07:09: Dann gibt es einen zweiten Bereich das ist eine Lückenanalyse oder Gap-Analyse wie man Neudeutsch sagt.

00:07:16: die stellt viele Cybersecurity Fragen.

00:07:20: Die kann ich auch alle anklicken und am Ende kommt dann raus ne Liste mit Themen die ich noch angehen muss.

00:07:26: also Ich sehe dann sehr schön in so Grafiken was ich schon alles erfülle Und was vielleicht noch fehlt.

00:07:31: Man kann darauf hin dann praktisch meine einen Berichtswesen, Verträge kann ich dann anpassen um den Cyber Resilience Act gerecht zu werden.

00:07:42: Und der dritte Teil das ist in die Werkzeugkette wo wir viel mitgearbeitet haben, die meinen Quellcode untersucht und dann feststellt welche Komponenten sind da drin und gleichzeitig rausklickt was für Sicherheitslipensinnen in diesen Komponenten drin.

00:07:58: und das kann man regelmäßig durchlaufen lassen.

00:08:01: also der Cyber Resalience Act erfordert ja dass man gravierende Sicherheitslücken innerhalb von vierundzwanzig Stunden meldet.

00:08:07: Wenn ich dann einmal täglich das durchlaufen lasse, dann sehe ich immer hier gibt es eine neue Sicherheitslücke und kann prüfen ob die dann in meinem Produkt wirklich ausgenutzt werden kann und gebenfalls denn die Meldung erstellen und auch ein Patch da rauskleben dazu.

00:08:21: Spannend!

00:08:21: Also der Kunde kann das in großen Teilen selbstständig machen er kann sich aber auch von euch von der BITSI quasi an die Hand nehmen lassen und dadurch führen lassen.

00:08:34: Genau, wir haben dann Beratung drum herum.

00:08:36: Dieses Octet-Paket ist ein fertiges Paket mit dem Kunden selbstständig alles machen können.

00:08:42: Wenn Sie das nicht wollen oder keine Zeit dazu haben oder noch Unterstützung brauchen, dann könnt Ihr sich gerne an uns wenden.

00:08:49: Wir haben auch ein paar Produkte da noch obendrauf gebaut die es dann noch einfacher machen oder noch schöner oder eine KI, die dann schon Empfehlungen gibt.

00:08:57: wie kriege ich denn so ne Sicherheitslücke wieder weg?

00:09:01: Und kann ich damit so eine vollständige CRA-Compliance herstellen?

00:09:05: oder gibt es da noch irgendwelche offenen Flangen?

00:09:10: Also der CRA betrifft ja sehr viele verschiedene Bereiche.

00:09:14: Ich muss ja auch schon angefangen beim Design von meinen Produkten, dass ich sicherstelle das die Security bei Design entwickelt sind.

00:09:26: Es gibt sehr viele Berichtswesen.

00:09:29: Das muss ich in meiner Firma selber umsetzen, das kann diese Werkzeugkette nicht...

00:09:33: Dass ja auch was wir immer wieder tun wenn wir den Kunden unterstützen.

00:09:38: Im Grunde treffen wir hier mit der Frage von Axel genau die Schnittstelle wo wir uns super ergänzen können.

00:09:45: Genau weil das ist nicht Teil für Noctet.

00:09:49: Sag noch mal was im Kontext fällt.

00:09:52: immer wieder auch der Begriff S-Bomb Software, Bill of materials sind ja immer so Schlagworte, Abkürzungen, Anglesismen die nicht jeder direkt auf Anhieb verstehen kann.

00:10:08: Kannst du noch mal erläutern was da eigentlich was sich hinter dem S-Bom eigentlich verbirgt?

00:10:14: Ja der S- Bom ist eine einfache Teile Liste.

00:10:16: ich vergleich das ganz gerne mit wenn ich zum Beispiel in ein Supermarkt geh und mir einen Müsli kauft, dann habe ich irgendwo die Liste von den Zutaten.

00:10:27: Und kann dann sehen was ist da alles drin?

00:10:30: Bin ich gegen irgendwas allergisch?

00:10:32: Dann kaufe ich das Produkt eben nicht oder suche nach etwas anderem.

00:10:35: Und genau so ist die S-Bombe Teilliste von einer Software.

00:10:40: Wenn da jetzt was drinnen ist, Sicherheitslücken zum Beispiel, dann kann ich entscheidend nicht nehmen es nicht oder ich muss mir überlegen wie kriege ich die denn weg.

00:10:47: Ein schönes Bild mit der Teile Liste.

00:10:50: Anderer schöner Vergleich ist aus der Mobilindustrie.

00:10:54: Also ein Autohersteller, der weiß ja ganz genau von der Hardware die er verbaut, von jeder Schraube und jedem Stückchen Stoff.

00:11:02: wo kommt es her?

00:11:03: Welche Lifferant?

00:11:04: in welchen Fahrzeugen wurde das eingebaut?

00:11:06: Wenn's irgendwo mal Probleme gibt dann können direkt die Nutzer von dem Fahrzeug angeschrieben werden.

00:11:12: man sagt Achtung dein Tankdeckel hat zum Beispiel ein Problem.

00:11:14: Fahr mal bitte in die nächste Werkstatt und lass den austauschen.

00:11:18: Und bei Software ist es heute eben oft so, dass man noch gar nicht genau weiß was da alles drin ist.

00:11:23: Weil die Entwickler alles Mögliche zusammengebaut haben und die S-Bom, die ist genauso eine Teileliste wie bei einem Fahrzeug das ich eben genau weiß.

00:11:33: wo kommen die unterschiedlichen Softwareteile

00:11:35: her?

00:11:37: Super!

00:11:38: Damit kann ich auch jeder was anfangen.

00:11:40: Ja,

00:11:40: jetzt würde ich gerade da noch einmal nachbohren wenn... Ich habe das verstanden auch mit eurem Ansatz dass man über diese Kompositionsanalyse feststellen kann welche Teile da drin sind.

00:11:53: aber ich sage mal wenn ich so ein gewöhnliches Gewöhnlicher mag mir das nachsehen Software Entwickler bin hab' ich überhaupt noch ne Chance bei den heutigen Toolsets die ja auch durchaus sehr komplex sein können

00:12:06: eine

00:12:07: S-Bombe zu erstellen, ohne dass ich vielleicht auf Unterstützung viel durch euch zurückgreife.

00:12:14: Und die schiebt noch einen nach das Thema KI und Softwareentwicklung?

00:12:18: Wie gleichbar ist das denn dann?

00:12:19: auch wenn du da mal erzählen könntest wie ihr das seht und bewertet?

00:12:24: Ja es sind zwei Themen die aufeinander aufbauen.

00:12:26: also wenn wir in der Software anschauen das immer ganz interessant wird wenn Kunden fragen was hast du alles eingebaut?

00:12:32: dann kommen in der Regel so Ja, fünftig bis vielleicht hundert Komponenten.

00:12:36: Wenn man dann reinschaut finden wir garantiert über tausend bis dreitausend.

00:12:45: Und das ist der Fall weil jede Komponente dich einbaut.

00:12:49: die kann so viele Abhängigkeiten haben oder selber aus vielen kleinen Teilen bestellen oder eigens eine Coatschnipsel drin haben die irgendwo anders her kopiert wurden.

00:12:58: Die muss man alle anschauen, wenn man genau wissen will.

00:13:00: Gibt es hier Sicherheitslücken in meinem Produkt?

00:13:02: Also ein Entwickler kann das ohne Werkzeugen nicht selbstständig machen.

00:13:07: Er braucht irgendein Werkzeug.

00:13:08: Es gibt eine ganze Reihe wie zum Beispiel bei dem Octet.

00:13:12: wir verwenden... Wir haben die nicht alles selber neu geschrieben und da gibt's dann einen Scancode und Phosologie und OIT.

00:13:18: Das sind alles Open Source Produkte.

00:13:19: Es ist auch eine ganze Reihe von kommerziellen Produkten, die man nehmen kann aber ohne die würde ich behaupten geht es nicht.

00:13:28: Und bei der KI ist jetzt ein ganz spannender Fall, weil die KI, die in der Softwareentwicklung angekommen.

00:13:35: Also man kann heute so viel schneller Software entwickeln wenn man KI verwendet dass man eigentlich gar nicht mehr davon da drum herum kommt.

00:13:43: und der KI kann das sehr gut, weil sie an gelernt wurde an einen Open Source.

00:13:49: Die hat praktisch bei dem Training von der KI wurde der ganze Open Source verwendete und mit dem hat ihr das gelernt der Code, den die produziert.

00:13:59: Das sind natürlich Bruchstücke von dem was ursprünglich mal in die reingegeben wurde zum Lernen.

00:14:04: Da sind die gleichen Sicherheitslücken und die gleichen Risiken auch wieder drin.

00:14:09: Deshalb muss ich den Code genauso untersuchen.

00:14:11: das ist ein bisschen schwieriger weil ich habe eben nicht mehr diese ganzen Komponenten also keine großen Teile die man direkt sieht was mit eingebaut wurde sondern es ist eben das heißt dann Fragmente oder Kotstückchen Und die guten Scanner können sie auch rausbekommen.

00:14:28: Das beruhigt

00:14:29: mich wieder ein bisschen, das beruht nicht durchaus weil ich komme gerade aus unserer Konzern internen KI-Schulung, die hatte ich bis eben und naja da wird ja schon auf nicht nur die Chancenseite sondern auch die Risikoseite sehr stark fokussiert.

00:14:44: und gerade da hilft es ja sehr, wenn man doch in der Lage ist eben unter die Haube zu gucken und das Ganze nochmal zumindest einigermaßen transparent zu machen.

00:14:57: Ich habe hier noch einen ganz spannenden Einwurf aus unserer Niederlassung USA da war ich vor zwei Wochen.

00:15:05: Und hier in Deutschland ist ja oft so, dass man auf diesen KI-generierten Codenrad etwas kritisch schaut und guckt was kann der alles für Probleme haben.

00:15:13: Ob ich da irgendwelche Compliance Sachen dich noch beachten muss oder wo kommen Sicherheitslungen?

00:15:18: Darf ich das überhaupt alles verwenden?

00:15:20: Dass man eher vorsichtig... In den USA waren wir auch ein paar Veranstaltungen, das ist genau anders drum.

00:15:26: Da schreiben die Firmen ihren Entwickler mittlerweile vor, dass die KI verwenden müssen weil sie ebenso viel schneller sind Und dann eben im Nachgang prüfen sollen, dass es in Ordnung ist.

00:15:35: Genau umgedreht zu dem.

00:15:38: So verschieden sind die Welten!

00:15:42: Ich finde ein Vorteil für die USA-Welt, die dadurch viel schneller sind und da müssen wir schauen, dass wir nicht abgehängt werden.

00:15:51: Ja das ist glaube ich auch eine Mentalität.

00:15:52: Die Amerikaner probieren einfach erst mal Dinge aus und tun während man in Deutschland oder Europa erstmal versucht, Dinge zu reglementieren bevor überhaupt mal irgendeiner irgendwo mit konkreter Verhauung gesammelt hat.

00:16:06: Ich glaube, das ist schon ein Thema, bin ich völlig bei der Andere.

00:16:11: Bedenken Trigatum ist hier groß und da versuchen wir ja auch immer wieder in den Projekten zu vermitteln und den vernünftigen tragfähigen Kompromiss dann auch zu finden zwischen dieser Risikoabwägung und denen was an risiken Chancen in dieser KI-Welt steckt.

00:16:30: Das ist schon bezeichnend.

00:16:33: Ich würde noch mal kurz einen kleinen Ausflug machen in die Regulierungsaspekte des CAAs, weil da erleben wir das so.

00:16:47: im Moment steigt die Anfragedichte zu dem Thema CAA ziemlich an.

00:16:54: Wir haben uns ein bisschen gewundert, hatten ja sehr früh ein erstes Projekt über das wir berichtet haben und dann war es lange Zeit doch relativ still obwohl dieser Stichtag Ende siebenzwanzig ein ziemlich harter Block eigentlich ist.

00:17:11: Ein sehr harter Anschlag ist.

00:17:13: wie habt ihr das denn eigentlich so erlebt?

00:17:15: Wie sich die dieser Regulierungsimpuls bisher so am Markt ausgewirkt hat?

00:17:21: Ja, ich glaube viele Firmen die sind überschwemmt

00:17:25: von verschiedensten

00:17:26: Regulierungen und sehen dann nur der CRA acht.

00:17:29: Der gilt ja ab Ende siebenundzwanzig da habe ich noch Zeit.

00:17:32: was aber ganz wichtig ist es zu sehen diese Berichte also dass sich schwere Schwachstellen schon melden muss der gilt schon ab elften September.

00:17:40: zwei tausend sechsund zwanzig.

00:17:42: Also das sind jetzt nur noch wenige Monate bis dahin.

00:17:45: Und wenn ich so eine Software Komposition Analyse machen muss von meinem Code Die kann oft Wochen oder wenn der Kot sehr groß ist auch mal ein paar Monate dauern.

00:17:55: Also das wird schon höchste Zeit, dass man es umsetzt und wir sind auch auf vielen Veranstaltungen unterwegs einfach um das Bewusstsein zu schärfen.

00:18:02: Dass die dass man das jetzt umsätzt dass man anfangen muss also dass man nicht warten kann bis Ende sieben und zwanzig.

00:18:08: veranstaltung ist ein super stichwort.

00:18:10: Wir sind auch zusammen demnächst unterwegs mit ihr sammelt

00:18:15: nicht mehr so weit weg.

00:18:16: ja

00:18:19: wann haben wir den?

00:18:21: Der findet in München, glaube ich statt.

00:18:23: Habe ich das richtig in Erinnerung?

00:18:26: Genau und zwar ist er im siebten und achten Juli in Münchner.

00:18:34: Da werden wir dann auch noch über die üblichen Kanäle und Social Media reichhaltig zu informieren.

00:18:41: Das sind Kollegen von euch und von uns aus der Beratung mit dabei, die sich auf das Thema spezialisiert haben Und ich denke mal, wenn ich im Moment die Anfrage und Projektstartliste sehe, dass das eine relativ volle Veranstaltung werden wird.

00:19:03: Was uns natürlich freut denn so soll es sein.

00:19:07: Unsere Erfahrung ist immer, dass man gerade, wenn man früh in diesen Projekten Erfahrungen gesammelt hat dann jedem nächsten Projekt aspiranten auch weiterhelfen kann eben mit diesem Erfahrungsschatz.

00:19:20: Das ist nochmal interessante Erfahrung aus den USA hier dazu.

00:19:26: In den USA sind ganz viele Firmen, die gar nicht direkt in Deutschland oder Europa verkaufen, aber die wissen, sie sitzen irgendwo in der Zulieferkette mit drin und die müssen ja auch alle dem COA genügen.

00:19:39: Die fragen schon sehr viel an.

00:19:42: Ich muss hier alle Daten bereitstellen, umso dass es keine Probleme gibt und nicht weiter zu Lieferers sein kann.

00:19:48: Die wollen jetzt schon wissen welche Komponenten habe ich, welche Sicherheitslücken?

00:19:51: Und die haben ihre S-Bombs und haben ihre Software damit schon sauber gemacht.

00:19:59: Ich hab auch noch eine interessante Überschneidung gesehen bei den Kunden, die sich im Rahmen der Komponenten der Industrie Steuerungen mit den Themen befassen die also wegen der IEC-Systeme sind und schauen wo sie stehen, dass man dann sehr schnell auf das Thema CAA zu sprechen kommt.

00:20:19: Und das auch manchmal interessanterweise dann vorzieht.

00:20:22: Also es gibt da ja wie immer verschiedene Wege, die zum Ziel führen und auch verschiedene Ausgangslagen.

00:20:29: Im Moment verdichtet sich das auch aus dem Sektor heraus in Richtung CAA.

00:20:38: von daher eine spannende Zeit.

00:20:42: Was würdest du uns denn so für die nächsten gemeinsamen Projekte hier noch für die Zuhörer auch mit auf den Weg geben?

00:20:52: Also ich glaube, wie wir es bei NIST-II haben Betroffenheitsanalyse, die man ja auch selbstständig durchführen kann ist doch dann schon mal ein super Ansatzpunkt um überhaupt zu schauen ob einen das wirklich tangiert und dann die nächsten Schritte abzuwenden.

00:21:10: Genau, das würde ich jedem empfehlen.

00:21:12: Einmal schaue und bin nicht betroffen!

00:21:13: Und wenn ja vielleicht auch so eine Gap-Analyse machen die können wir auch durchklicken auf dieser Octet Webseite und dann weiß ich schon ob ich vielleicht habe ich schon alles aufgesetzt oder vielleicht fehlen nur noch einzelne Teile oder es fehlt noch ganz viel.

00:21:27: aber da kann ich zumindest mal einen Plan machen.

00:21:31: Also ich habe auch eben gerade schnell auf die Octet-Seite drauf geschaut, muss ich ja sagen.

00:21:35: Als du dir erwähnt hattest Andreas und ja, ich meine ist er durchaus sehr konstruktiv.

00:21:39: also ich glaube damit kann man auch durchaus zurechtkommen.

00:21:44: Und wie du schon gesagt hast wenn man alleine es dann doch nicht schafft oder nicht die die Kapazität dafür hat Dann ich denke muss man halt auch schauen entsprechende Hilfsangebote hier wie zu suchen.

00:21:58: Es gibt auch Kunden, die sagen wir wollen das gar nicht machen.

00:22:00: Das ist so außerhalb von unserem Geschäft.

00:22:03: Die kaufen es einfach

00:22:04: ein.

00:22:08: Da steht ja jedem frei und ihr steht da zur Verfügung.

00:22:12: Und wie er in dem besagten Umfeld wenn's ob die regulative Konformität und sonstige Dinge geht ebenso.

00:22:21: Und da finden wir immer wieder gut zusammen.

00:22:26: bedanke ich mich für deine Teilnahme heute und diesen kleinen Ausflug in dieses hochinteressante EU-Projekt.

00:22:33: Und das, was da rausgekommen ist...

00:22:36: Ich fand es sehr spannend!

00:22:37: Danke!

00:22:38: Ja vielen Dank für die Einladung.

00:22:41: Wir sehen uns spätestens in München aber wahrscheinlich dann auch noch mal vorher den jeweiligen Projekten.

00:22:50: Axel und Andreas macht's gut

00:22:52: ja ihr auch.

00:22:53: herzlichen dank nochmal fürs zuhören und bis nächste Woche

00:22:57: Bis bald.

00:22:58: Nachts gut, tschüss!