Podcast

Secrets Not Included

The Secrets Not Included podcast shows why many IT systems in practice are insecure, unstable, or unnecessarily complex — and how to do it better.

Ole and Daniel talk about real architectures, concrete security problems, and the decisions behind them. It's not about theoretical best practices, but about solutions that stand up under real conditions: secure deployments, clean secret strategies, robust infrastructure, and well thought-out automation.

It becomes clear that security isn't an add-on — it's the result of clear technical decisions and clean processes.

Anyone responsible for systems quickly recognises where typical weak points sit — and how modern, secure platforms have to be built to run reliably in the long term.

every Thursday

The podcasters

[Translate to English:] Kai Ole Hartwig, Gründer der Moselwal Digitalagentur & OnlyOle

Kai Ole Hartwig

Co-host.

Programming since 2002 — self-taught, went independent in 2012 with KO-Web, today Moselwal. Over 100 projects, focused on security, performance, automation, and quality.

LinkedIn · Blog · OnlyOle

[Translate to English:] Daniel Langemann, Geschäftsführer der xebro

Daniel Langemann

Co-host with a focus on stable platforms, security, and delivery in operations.

LinkedIn · xebro GmbH

Latest episodes

Secrets Not Included: Cybersecurity, KI und Post-Quantum: Was jetzt auf uns zukommt

42:18

S1 E1323.04.2026

Secrets Not Included: Cybersecurity, KI und Post-Quantum: Was jetzt auf uns zukommt

In dieser Folge von Secrets Not Included wird’s bewusst breit, aber alles andere als oberflächlich: Daniel und Ole sprechen über den aktuellen Stand von Cybersecurity im KI-Zeitalter, über den wachsenden Druck auf Teams, schneller, sauberer und nachvollziehbarer zu patchen, und über die Frage, was Post-Quantum-Kryptografie jetzt ganz konkret für die Praxis bedeutet. Es geht um langlebige Credentials, Zertifikatsrotation, mTLS, Legacy-Systeme, automatisierte Deployments und darum, warum saubere Pipelines heute kein Luxus mehr sind, sondern Mindeststandard. Dazu kommt die unbequeme Frage, wie sich Sicherheitsarbeit verändert, wenn KI nicht nur beim Finden von Schwachstellen hilft, sondern das Zeitfenster zwischen Fund, Exploit und Fix massiv verkürzt. Eine Folge über alte Systeme, neue Bedrohungen und die Realität dazwischen: technisch, direkt und ohne Bullshit.

Secrets Not Included: Policies

37:42

S1 E1216.04.2026

Secrets Not Included: Policies

Diese Woche bei Secrets not Included geht es um ein Thema, das viele Teams unterschätzen – bis es knallt: Policies. Ole und Daniel steigen tiefer ein in den Open Policy Agent und zeigen, wie sich wiederkehrende Fehler systematisch verhindern lassen – bevor sie überhaupt ins Repository kommen. Statt immer wieder die gleichen Probleme zu debuggen, geht es darum, Regeln zu definieren, die Qualität, Sicherheit und Konsistenz automatisch durchsetzen. Von fehlenden Extension-Keys über falsche PHP-Versionen bis hin zu geleakten Credentials oder Lizenzproblemen: Policies greifen genau dort, wo klassische Tests aufhören. Und sie wirken – unabhängig vom Projekt, übergreifend über Code, Docker, Infrastruktur und Pipelines. Außerdem diskutieren die beiden, warum KI-Agenten ohne klare Leitplanken eher Risiko als Lösung sind – und wie man sie mit Policies wieder in kontrollierbare Bahnen lenkt. Eine Folge über saubere Prozesse, skalierbare Qualitätssicherung und die unbequeme Wahrheit: Nicht Tools machen Systeme sicher – sondern konsequent durchgesetzte Regeln. Wenn du Software entwickelst, Pipelines baust oder Verantwortung für stabile Systeme trägst, solltest du diese Folge hören.

Secrets Not Included: Lieferkettensicherheit

33:53

S1 E1109.04.2026

Secrets Not Included: Lieferkettensicherheit

Diese Woche bei Secrets not Included wird es unangenehm konkret: Ole und Daniel sprechen über den aktuellen Supply-Chain-Fall rund um manipulierte Paket-Abhängigkeiten, gestohlene Tokens und die unbequeme Wahrheit, dass ein simples npm install reichen kann, damit Credentials verschwinden. Es geht um bösartige Dependencies, kurzlebige statt langlebiger Secrets, Update-Retention, SBOMs, interne Paket-Proxies, signierte Commits und die Frage, wie sicher KI-Agenten in der Entwicklungsumgebung wirklich sind. Eine Folge über Software-Lieferketten, unsaubere Prozesse, menschliche Abkürzungen — und warum Security nicht an einem Tool hängt, sondern an der Summe sauberer Methoden. Wenn du Software baust, Deployments verantwortest oder mit Open Source arbeitest, ist das eine Folge, die du nicht nebenbei hören solltest.

Secrets Not Included: Zehn Folgen. Zeit, ehrlich zu werden.

50:57

S1 E1002.04.2026

Secrets Not Included: Zehn Folgen. Zeit, ehrlich zu werden.

Zehn Folgen. Zeit, ehrlich zu werden. In der neuen Folge von Secrets Not Included wird es ungewohnt persönlich. Daniel und Ole erzählen, wie alles angefangen hat. Vom ersten HTML-Gefrickel, über FTP-Deployments, die ganze Systeme zerlegt haben, bis zu Pipelines, die aus Stunden Minuten machen. Es geht nicht um perfekte Lebensläufe. Sondern um den echten Weg: Neugier, Chaos, kaputte Systeme — und irgendwann funktionierende Lösungen. Wir sprechen darüber, warum man früher Dinge einfach gebaut hat, weil es ging, warum heute alles professioneller — aber oft weniger offen ist, und warum Erfahrung nichts mit „Schema F“ zu tun hat. Und auch darüber, wie man vom Basteln im Kinderzimmer oder als Quereinsteiger in komplexe Systeme, DevOps und echte Verantwortung reinwächst. Keine Erfolgsgeschichte. Sondern das, was davor passiert. Wenn du wissen willst, wie aus „ein bisschen rumprobieren“ echte Systeme werden — und warum Neugier wichtiger ist als jeder perfekte Plan

Secrets Not Included: Pipeline Security

43:49

S1 E926.03.2026

Secrets Not Included: Pipeline Security

Pipeline Security klingt trocken. Ist es aber nicht. Denn genau hier entscheidet sich, ob deine CI/CD nur schnell ist — oder auch wirklich sicher. In der neuen Folge von Secrets Not Included sprechen Daniel und Ole über die Sicherheitsprobleme, die in Pipelines ständig unterschätzt werden: langlebige Secrets, zu große Rechte, unsaubere Tests, fehlende Signaturen, SBOMs und Deployments, bei denen niemand mehr genau sagen kann, was eigentlich wirklich in Produktion gelandet ist. Es geht um eine klare Frage: Wie baust du Pipelines so, dass sie liefern — ohne dabei selbst zum Risiko zu werden? Wir sprechen darüber, warum Secrets nicht in Pipelines gehören, warum kurzlebige Tokens der bessere Weg sind, warum Tests gegen echte Umgebungen anders gedacht werden müssen und warum SBOM, Signierung und Runtime statt Bauchgefühl heute kein Luxus mehr sind. Keine Buzzwords. Keine Sicherheitsfolklore. Sondern die unbequemen Punkte, die in echten Setups relevant werden. Neue Folge von Secrets Not Included — mit Daniel und Ole.

Secrets Not Included: Wie schreibt man Tickets Richtig? Was ist Spec-Driven-Development?

35:25

S1 E819.03.2026

Secrets Not Included: Wie schreibt man Tickets Richtig? Was ist Spec-Driven-Development?

In dieser Folge schauen wir uns an wie TIckets eigentlich geschrieben sein sollten, das diese umgesetzt werden könne und kommen dann zum Spec-Driven-Development.