102: Cyber-Resilienz im Fokus: Ein Gespräch mit Uwe Rühl (Resilience Operations Center GmbH)

Speaker0: Hi und willkommen zu einer weiteren Folge von Blue Screen, eurem Lieblingstech-Podcast.

Speaker0: Ich habe heute wieder einen sehr spannenden Gast für euch mit im Gepäck.

Speaker0: Und wenn ich mal so über die Hashtags gucke, die man zu unserem heutigen Gast

Speaker0: findet, wäre das zum Beispiel Organizational Resilience, Management System Expert,

Speaker0: Integrated Management System Freak und so weiter und so fort.

Speaker0: Also die Liste ist sehr lang und unser Gast hat tatsächlich eine wesentlich

Speaker0: größere Bühnenpräsenz als ich. und ich verneige mein Haupt in Ehrfurcht vor Uwe Rühl.

Speaker0: Ich wünsche euch heute viel Spaß bei dieser neuen Folge.

Speaker0: Bluescreen, der Tech-Podcast. Ja, nachdem ich dich ja jetzt so angeteasert habe,

Speaker0: Uwe, würde ich sagen, erzähl doch mal, wer bist du, was machst du und warum

Speaker0: bin ich so ehrfürchtig vor dir?

Speaker0: Wahrscheinlich ist das nur meine eigene Empfindung.

Speaker1: Also, ich bin ja jetzt fast schon ein bisschen eingeschifftet, lieber Alexander.

Speaker1: Also, danke für die Blumen im Vorfeld. Ja, was mache ich? Wer bin ich?

Speaker1: Ich bin Uwe Rühl. Ich komme aus Nürnberg, bin dort Geschäftsführer vom Resilience Operations Center.

Speaker1: Das ist ein Unternehmen, wo wir schwerpunktmäßig für kleine und mittelständische

Speaker1: Unternehmen verschiedene Dienstleistungen zur Verfügung stellen im Bereich Resilience

Speaker1: Management für Unternehmer.

Speaker1: Resilience Management heißt für uns, was macht dich als Unternehmen stabil und

Speaker1: widerstandsfähig, aber auf der anderen Seite auch, was macht dich als Unternehmen

Speaker1: anpassungsfähig. Ich glaube, das ist in der momentanen Zeit,

Speaker1: wo alles drunter und drüber geht und gefühlt nur Chaos herrscht.

Speaker1: Wahrscheinlich eine der wichtigsten Fähigkeiten, die Unternehmen brauchen.

Speaker1: Ja, wohin geht's? Wohin navigiere ich? Was tue ich?

Speaker1: Neben dem bin ich bei Q-Skills unterwegs, das ist ein Schulungspartner in Nürnberg

Speaker1: und mache das seit knapp 20 Jahren.

Speaker1: Schulungen vor allem im Bereich Auditmanagement, Auditorenausbildungen für Management-Systeme.

Speaker1: Du hast den Hashtag Integrated Management Systems und so weiter angesprochen.

Speaker1: Ich bin einfach jemand, der ein Fan ist, Dinge systematisch anzugehen,

Speaker1: systematisch zu steuern und dabei gleichzeitig war auch, flexibel zu bleiben, um Dinge anzupassen.

Speaker1: Da kann ich nachher ein bisschen was erzählen, so aus meiner Historie,

Speaker1: wie es überhaupt dazu kam, dass ich mich mit Management-Systemen auseinandersetze,

Speaker1: weil manchmal denkt man ja, was ist mit dem Typen passiert,

Speaker1: in welche zu heiße Badewanne ist der gefallen, aber hat bei mir wirklich eine,

Speaker1: finde ich, eine spannende Historie.

Speaker1: Ja, ansonsten, wenn ich ein bisschen Freizeit habe, bin ich bei der Feuerwehr

Speaker1: und dem Katastrophenschutz tätig.

Speaker1: Das mache ich jetzt seit mittlerweile, ich werde alt, seit 36 Jahren und beschäftige

Speaker1: mich einfach generell mit allem, was so Notfallmanagement, Vorsorgemanagement angeht,

Speaker1: also das einfach mal eine berufliche Historie ist.

Speaker1: Ich habe mal angefangen in der IT, habe da eine Ausbildung gemacht,

Speaker1: IT, Telekommunikation in dem Bereich und bin dann über einen Zivildienst in

Speaker1: die Blaulichtwelt gestolpert, mehr oder weniger.

Speaker1: Ich war schon bei der Freiwilligen Feuerwehr, bin dann aber in den Rettungsdienst gegangen als Zivil.

Speaker1: Und als jemand, der ein Standbein in der Telekommunikation und in der Technik

Speaker1: hat und auf der anderen Seite die entsprechenden Ausbildungen in der Blaulichtwelt

Speaker1: absolviert hat, bin ich dann in den UPU-Freistellen gelandet.

Speaker1: Das war so meine berufliche Entwicklung.

Speaker1: Ich habe das auch 17 Jahre meines beruflichen Lebens gemacht.

Speaker1: Und da haben wir im Jahr 1998, 1999 angefangen, uns systematischer in Bayern

Speaker1: mit dem Thema Millennium damals auseinandersetzen und haben uns die Frage gestellt,

Speaker1: wie schaffen wir es denn, dass eine Einsatzzentrale im Rettungsdienst verfügbar

Speaker1: bleibt und dass du Einsatzmittel rauskriegst zu den Leuten, die tatsächlich

Speaker1: ein medizinisches Thema haben.

Speaker1: Und das war so mein Einstieg damals in das Thema, was man heute als Business

Speaker1: Continuity Management bezeichnen würde.

Speaker1: In der Folge davon haben wir dann ein Projekt gestartet in Bayern,

Speaker1: dass wir die No-Pro-Flight-Stellen, zumindest für den Rettungsdienst,

Speaker1: damals zertifizieren haben lassen nach ISO 9001, was eine Qualitätsmanagement-Norm ist.

Speaker1: Und ich war halt dann derjenige, der gesagt hat, ich habe da Bock drauf,

Speaker1: ich will das machen, ich will mich darum kümmern.

Speaker1: Und habe angefangen eben damals

Speaker1: das Qualitätsmanagementsystem für die Motto-Fleitstellen aufzubauen.

Speaker1: Das war für mich so ein Punkt, da habe ich gemerkt, da ist ganz,

Speaker1: ganz viel Potenzial drin.

Speaker1: Wie schaffst du es, Rahmenbedingungen zu schaffen, dass eine Motto-Fleitstelle

Speaker1: funktioniert, dass du die Rahmenbedingungen sicherstellst,

Speaker1: auch was Informationssicherheit angeht, auch was Business Continuity Management

Speaker1: angeht und gleichzeitig aber den Leuten genügend Freiheit zu geben,

Speaker1: Die du in einer einsatzzentrale Halbnummer brauchst, um auf Ereignisse zu reagieren.

Speaker1: Und das hat sich im Laufe der Zeit weiterentwickelt. Ich habe mich dann in Richtung

Speaker1: ISO 27001, Informationssicherheitsmanagement-Systeme, weiterentwickelt.

Speaker1: Da haben wir 2006 uns einen Trainer aus Großbritannien einfliegen lassen für relativ viel Geld.

Speaker1: Ich war im öffentlichen Dienst, das war echt viel Geld für mich damals.

Speaker1: Und ja, habe dann angefangen, tatsächlich nebenberuflich Audits zu machen.

Speaker1: Das mache ich jetzt seit 2007, bin ich als Auditor unterwegs,

Speaker1: habe viele Unternehmen gesehen, habe mir vieles angeschaut und dabei eben auch gelernt,

Speaker1: was Unternehmen, vor allem eher Konzerne und internationale Unternehmen tun,

Speaker1: um nicht nur Informationssicherheit oder heute wird man ja auch eher vielleicht

Speaker1: von Cybersecurity sprechen, um das zu steuern,

Speaker1: sondern eben dieses ganze Thema unternehmerische Residenz zu steuern.

Speaker1: Und das hat dann mehr und mehr immer dazu geführt, dass wir gesagt haben,

Speaker1: Mensch, wie können wir denn sowas, diese Funktionen, die sich große Konzerne

Speaker1: leisten, wie kann man sowas als Shared Service aufbauen und KMUs zur Verfügung stellen?

Speaker1: Und so ist das Resilience Operations Center quasi geboren, als Unternehmen,

Speaker1: als Dienstleister und stellt heute KMUs eben diese Dienstleistungen zur Verfügung,

Speaker1: die du brauchst, um dein Umfeld zu überwachen,

Speaker1: Threat Hunting, Threat Monitoring zu machen, um auch darauf zu reagieren,

Speaker1: also Incident Management,

Speaker1: aber auch natürlich als Basis für das ganze Management-Systeme aufzubauen,

Speaker1: die nicht für die Dokumentation gestrickt sind und auch nicht,

Speaker1: um irgendwelche Auditoren zufriedenzustellen,

Speaker1: sondern die für die Unternehmen funktionieren, die am E-Wend-Beam.

Speaker0: Das ist tatsächlich was, was sehr auffällig in der IT-Branche ist,

Speaker0: dass sehr viele Menschen irgendwo

Speaker0: über die Rettungsdienste parallel auch sich da reingefunden haben.

Speaker0: Wir hätten die Folge eigentlich auch mit Heros Regensburg für Florian Nürnberg einleiten können.

Speaker1: So, wie man es machen kann, genau.

Speaker0: Ich war lange Zeit beim Technischen Hützwerk. Insofern, ja, es wirkt tatsächlich auffällig.

Speaker0: Also ich kenne viele Leute, die bei der Feuerwehr sind oder auch als Sanitäter

Speaker0: noch nebenberuflich oder in ihrem Ehrenamt das Ganze machen.

Speaker0: Und das ist schon echt spannend von dem her, ist natürlich aber dann auch was,

Speaker0: was einem im Job wiederum hilft.

Speaker0: Also ich habe da letztens auch mit einem Kunden drüber geredet,

Speaker0: wie wir das Thema BCM miteinander aufgebaut haben und mal wirklich auch einen

Speaker0: Wiederanlaufplan geschrieben haben und so weiter, weil man halt einfach diese Denke,

Speaker0: auch das Thema Triage einfach aus seiner Helfertätigkeit einfach schon kennt.

Speaker0: Und bei Kunden merkst du halt auch relativ schnell, wenn die selber auch schon

Speaker0: mal Kontakt mit sowas hatten, wie die dann auf den Zug auch aufspringen.

Speaker0: Die sind eigentlich sogar dankbar dafür, dass man vielleicht aus ihrem Privatleben

Speaker0: irgendwelche Konzepte dann in den beruflichen Alltag mit reinbringen kann.

Speaker0: Und das ist schon wirklich schon cool, weil es halt einfach natürlich tausendfach bewährt ist.

Speaker0: Also ich sag mal so, das Thema Triage kannst du auch im Privathaushalt im Prinzip leben.

Speaker0: Und das Thema Risikobewertung. Wenn ich jetzt sage, okay, was kann schlimmstenfalls passieren?

Speaker0: Zum Beispiel im Haushalt, die Küche brennt ab. Wie kann ich mich davor schützen?

Speaker0: Ja, ich sollte halt den Herd nicht anlassen, wenn ich die Wohnung verlasse.

Speaker0: Wenn es dann trotzdem passiert, ist meine Reaktionsmaßnahme,

Speaker0: ich habe einen Feuerlöscher in Griffreichweite und so weiter und so fort.

Speaker0: Und das lässt sich halt auf alle Lebenslagen im Prinzip einfach übertragen.

Speaker1: Absolut. Ich glaube, am Ende, was du sagst auch, Alexander, es ist genau der

Speaker1: Punkt, dass du in der Blaulichtfamilie, in der Blaulichtwelt einfach eine gewisse

Speaker1: Haltung entwickelst, wie du an Themen rangehst, wie du darauf reagierst.

Speaker1: Und für mich ist zum Beispiel so ein Thema, mich fragen da manchmal Leute,

Speaker1: wie kommst du eigentlich auf diese ganze ISO und diese ganze Normenwelt?

Speaker1: Und ich sage der Mann, Leute, schaut euch mal ein Feuerwehrfahrzeug an.

Speaker1: Oder es ist egal, nimm ein THW-Fahrzeug, nimm einen Rettungswagen.

Speaker1: Das ist eine einzige rollende Normensammlung. Also fast jedes Drum, was da drauf ist,

Speaker1: jeder Ausrüstungsgegenstand unterliegt irgendwelchen Standards und Normen,

Speaker1: ist also hochgradig standardisiert, damit die Dinge zusammenpassen,

Speaker1: damit wir an der Einsatzstelle gemeinsam arbeiten können.

Speaker1: Und du kannst hochgradig improvisieren damit.

Speaker1: Einen Schlauch kann ich nutzen, um natürlich Wasser dadurch zu pumpen, um zu löschen.

Speaker1: Ich kann einen Schlauch nutzen, um Wasser abzupumpen beim Hochwasser.

Speaker1: Ich kann Schlauch aber auch nutzen, um dem Pferd wieder auf die Beine zu helfen.

Speaker1: Also das ist für mich das Faszinierende. Du hast Standards, damit Dinge zusammenpassen.

Speaker1: Und du hast gleichzeitig aber die Möglichkeit zu sagen, hey,

Speaker1: was kann ich denn quasi out of the box mit diesem standardisierten Teil noch machen?

Speaker1: Und deswegen ist für mich Norm eben nicht Korsett und Einengen,

Speaker1: sondern für mich ist Norm, ich weiß, was ich habe.

Speaker1: Ich weiß, was meine Fähigkeiten sind. Also ich bin jetzt noch in der Blaulicht-Feuerwehr,

Speaker1: denke ich sozusagen, und weiß aber, dass ich diese Fähigkeiten einsetzen kann,

Speaker1: um die unterschiedlichsten Szenarien zu bringen.

Speaker0: Jetzt muss man natürlich sagen, gerade in der IT-Welt, natürlich haben wir auch

Speaker0: gewisse Standardisierungen, aber es ist halt nicht so, dass ich jetzt hergehen

Speaker0: kann und mir aus einem zertifizierten Shop einfach meine Sachen kaufe.

Speaker0: Also wenn man jetzt mal bei der Feuerwehr zum Beispiel oder auch beim Technischen

Speaker0: Hilfswerk sagt, Heligen Tools sind supergeil, damit kriege ich definitiv jede

Speaker0: Tür auf, früher oder später,

Speaker0: aber wenn ich jetzt als Unternehmer hergehe und sage, hey, ich bräuchte jetzt

Speaker0: einen Server, dann gibt es einen sehr großen Katalog an verschiedenen Distributionen,

Speaker0: es gibt verschiedene Hersteller und da wird es dann schon so ein bisschen schwammig,

Speaker0: Weil die Komponenten, die da drin verbaut sind, kommen ja aus aller Herren Länder

Speaker0: und man hat es bei den Huawei-Geräten oder Huawei-Komponenten im Mobilfunk gesehen.

Speaker0: Irgendwann sagt dann einer, das ist nicht mehr sicher, möglicherweise,

Speaker0: weil wir sagen, Sachen, die aus China kommen, könnte man jetzt nicht mehr in

Speaker0: diesem zertifizierten, standardisierten Betrieb verwenden.

Speaker0: Und da ist natürlich die Streuung und die Unschärfe gerade im IT-Bereich wesentlich

Speaker0: ungenauer als in der Blaulichtwelt,

Speaker0: wo ich halt definitiv Sachen durch diverseste Zertifizierungen und TÜV und was

Speaker0: weiß ich was vorher geschoben habe.

Speaker0: Das heißt, wir müssen hier eigentlich das Pferd von hinten aufzäumen, dass wir sagen, okay,

Speaker0: wir nehmen jetzt mal den Mischmasch, den ich beim Kunden vorfinde und versuche

Speaker0: mal da trotzdem korsettdenkend erstmal mit einem Standard Wiener ISO 27001 oder

Speaker0: irgendeiner anderen Standardisierung NIST 2,

Speaker0: ja, oh, so Gott will, kriegen wir jetzt doch vielleicht tatsächlich eine.

Speaker0: Jetzt gibt es ja endlich in den neuen Koalitionsverträgen gibt es ja mal so

Speaker0: erste Anzeichen dafür, dass was kommt.

Speaker0: Dann muss man es halt von hinten aufzäumen, weil die Dinge sind schon da.

Speaker0: Wenn ich natürlich auf der grünen Wiese anfange und sage, ich bin ein Medizin-Startup,

Speaker0: dann habe ich die Möglichkeit, von null anzufangen und auch zertifizierte Dinge zu kaufen.

Speaker0: Aber wenn ich schon einen Bestand habe, der seit 20 Jahren existiert und immer

Speaker0: wieder nur gepflegt und halt erneuert wurde, dann wird es natürlich ein bisschen

Speaker0: schwierig. Wie gehst du denn damit um bei Kunden?

Speaker1: Ja, das ist ein Thema, was ja auch die

Speaker1: Die gesetzgeberische Seite, die regulatorische Seite stark adressiert.

Speaker1: Du hast ja gerade Nies 2 schon angesprochen.

Speaker1: Wir haben den Cyber Resilience Act. Das heißt, wir sind ja auch stark in kritischen

Speaker1: Infrastrukturen oder in deren Umfeld unterwegs.

Speaker1: Also Dienstleister, die für kritisches Unternehmen Dinge tun.

Speaker1: Wir haben Mechanismen drin, die genau das natürlich möglich machen sollen.

Speaker1: Sprich, zertifizierte zugelassene Geräte einzusetzen, möglicherweise auch durch

Speaker1: Aufsichtsbehörden zukünftig Verbote auszusprechen, gewisse nicht zertifizierte

Speaker1: Geräte nicht mehr einzusetzen.

Speaker1: Und das würde dann bedeuten, dass du als anwendendes Unternehmer natürlich schauen

Speaker1: musst, okay, was steht mir denn an Geräten zur Verfügung?

Speaker1: Welche Geräte haben die entsprechende Zulassung? Wo darf ich die einsetzen?

Speaker1: Und wann kommt vielleicht ein Rückruf eines Gerätes?

Speaker1: Weil man sagt, Schwachstellen sind nicht mehr angemessen patchbar,

Speaker1: nicht mehr angemessen behandelbar oder ein Dienstleister, ein Hersteller fällt

Speaker1: aus irgendwelchen Gründen in Ungnade oder die geopolitischen Themen,

Speaker1: die wir ja gerade alle so durch die Welt schubsen,

Speaker1: führen dazu, dass wir aus irgendwelchen

Speaker1: Import-Export-Restriktionen Dinge nicht mehr einsetzen dürfen.

Speaker1: Ich glaube, dass wir da in Zukunft mehr damit zu tun haben.

Speaker1: Das hat natürlich viele Faktoren. Der eine Faktor ist, du setzt etwas ein, was quasi gewisse

Speaker1: Security-Voraussetzungen erfüllt, was dir vielleicht als Anwendesunternehmen

Speaker1: auch sichereres Gefühl gibt.

Speaker1: Und auf der anderen Seite darf man aber halt auch nicht verschweigen,

Speaker1: es geht an vielen Stellen auch um Geopolitik, um die Frage, wie abhängig machen

Speaker1: wir uns, wie unabhängig will Europa in Zukunft sein.

Speaker1: Also da wird sich viel, viel, viel bewegen in der nächsten Zeit.

Speaker0: Die Frage kommt eigentlich bei mir recht spät in meinem Gedankenkonstrukt für

Speaker0: Interviews, aber wir können sie an der Stelle passenderweise direkt vorziehen.

Speaker0: Was sind denn die Alternativen an der Stelle? Weil du sagst jetzt natürlich Geopolitik, klar.

Speaker0: Uns wird auch relativ häufig die Frage jetzt tatsächlich in letzter Zeit gestellt.

Speaker0: Ja, kann ich denn Microsoft 365 überhaupt noch einsetzen?

Speaker0: Sagen wir halt, du könntest natürlich auch Nextcloud machen.

Speaker0: Wir können das für euch bauen und ihr könnt es auch bei euch selber betreiben.

Speaker0: Aber dann kommt ja der nächste Schritt.

Speaker0: Du hast ja trotzdem immer noch Hardware, die aus China kommt, die aus den USA kommt.

Speaker0: Wenn du mal so einen typischen, wenn ich mal meinen eigenen Schreibtisch angucke.

Speaker0: Der Bildschirm ist von Dell, das Laptop kommt von Lenovo, mein Handy kommt von

Speaker0: Apple und das ist natürlich schon ein großes Problem.

Speaker0: Und ich meine, für große Unternehmen, die können sich vielleicht freikaufen,

Speaker0: freistandardisieren, aber für den Mittelstand ist das halt zusätzlich zu den

Speaker0: Problemen und Baustellen, die wir seit der DSGVO haben, einfach ein ganz gewaltiges Problem.

Speaker0: Du bist ja im Grunde genommen gar nicht mehr in der Lage, irgendwo überhaupt

Speaker0: compliant zu bleiben mit dem, was du hast.

Speaker1: Naja, das sind jetzt tatsächlich mehrere Problemfälle, die du ansprichst,

Speaker1: die aus meiner Sicht auch wahnsinnige Herausforderungen, gerade im Mittelstand, einfach sind.

Speaker1: Du hast einerseits teilweise gestiegene Markteintrittshürden,

Speaker1: wenn du mit einem Produkt auf den Markt kommen willst.

Speaker1: Wir haben Dinge am Ende des Tages, wo Regulatorik sagt, das geht und das geht

Speaker1: nicht. Und wir haben einfach auch die Frage des Vertrauens am Ende des Tages.

Speaker1: Also die Frage, vertraue ich einer Microsoft, die jetzt ja sagt,

Speaker1: ich baue quasi eine eigenstehende Lösung in der EU auf,

Speaker1: wo wir unabhängig von den USA sind, unabhängig vom Cloud Act,

Speaker1: dann ist natürlich die Frage, ich kann dem vertrauen.

Speaker1: Ich kann es aber auch nur zu einem gewissen Grad durchschauen,

Speaker1: was da im Hintergrund und im Untergrund läuft.

Speaker1: Also wird vieles am Ende des Tages eine Frage von Vertrauen sein und einfach

Speaker1: eine Frage dessen, dass wir halt doch in einem regulierten Markt dann unterwegs

Speaker1: sein werden, zumindest im kritischen Umfeld.

Speaker1: Was geht, was geht nicht, welche Hersteller geht, welche Hersteller geht nicht.

Speaker1: Und ich kann es mir ehrlich, fast jeder große Hersteller hatte schon mal so

Speaker1: das Thema, wo man sagt, war da jetzt ein Backdoor drin oder nicht?

Speaker1: War das jetzt vertrauenswürdig oder nicht? Der Markt hat es häufig verziehen,

Speaker1: weil man einfach sagt, irgendwas muss ich ja nutzen.

Speaker1: Ich glaube, da werden wir uns immer durchbewegen müssen durch diese Situation.

Speaker1: Meine Befürchtung ist, dass wir in die Überregulatorik abrutschen.

Speaker1: Das ist meine persönliche Befürchtung.

Speaker1: Und ich hätte, wenn ich mir das wünschen dürfte,

Speaker1: dann wäre es eine vernünftige Risikoabwägung, um zu sagen, okay,

Speaker1: zwischen den regulatorischen Anforderungen und einer unternehmerischen Freiheit

Speaker1: zu sagen, ich kann da drinnen fünftige Balance fahren.

Speaker1: Das wäre so mein persönlicher, wenn ich mir was wünschen dürfte.

Speaker1: Wir werden sehen, wie war die Regulatorik fortschreitet in der Richtung.

Speaker0: Ich meine, es ist halt nicht nur die Regulatorik und es sind auch nicht nur

Speaker0: die Themen, darf ich überhaupt noch einen Waste-Anbieter benutzen.

Speaker0: Wenn man es jetzt mal aus der Sicht des Datenschützers sieht,

Speaker0: muss ich sagen, Am Ende des Tages ist deine Unterkante als Unternehmen der DPA,

Speaker0: also das Data Privacy Addendum vom jeweiligen Hersteller.

Speaker0: Das musst du glauben, was da drin steht. Und wenn du es nicht glauben kannst,

Speaker0: aus Gründen wie auch immer, musst du den Dienst halt einfach in Ruhe lassen und nicht benutzen.

Speaker0: Das nächstes Thema wäre dann Datenschutzfolgeabschätzung. Lass jemanden darüber gucken.

Speaker0: Auch da stellt sich die Frage, mit welcher Expertise kann denn überhaupt jemand das beleuchten?

Speaker0: Weil am Ende wird auch der Datenschutzbeauftragte nur das dpa-Dokument lesen

Speaker0: vom jeweiligen Hersteller und dann vielleicht noch ein bisschen googeln oder

Speaker0: Chat-GPT fragen und dann ist es das.

Speaker0: Also niemand ist in der Lage wirklich zu überprüfen, ob Microsoft nicht trotzdem

Speaker0: über seinen großen Backbone hintenrum trotzdem irgendwo Zugriff auf Dinge hat.

Speaker0: Wenn man aber mal das Ganze auch auf Hardware sich anguckt,

Speaker0: ja, Sophos hat das leider ja die letzten Jahre doch relativ stark betrieben,

Speaker0: dass sie dann angefangen haben, Threat Hunting auf Infrastruktur von Kunden zu betreiben,

Speaker0: weil sie halt gesagt haben, Wir wollen wissen, welche Angreifer aus Südostasien

Speaker0: da unsere Geräte infiltrieren und dann quasi halt Fallen eingebaut haben in

Speaker0: die Equipments des Kunden,

Speaker0: damit sie dann den Angreifer finden. Das ist halt nicht in Ordnung.

Speaker0: Also du wirst auf einmal halt Teil einer Lösung, wo du gar nicht Teil davon

Speaker0: sein möchtest. Eigentlich dürfte es gar nicht möglich sein, dass der Hersteller

Speaker0: auf meiner Hardware solche Dinge treibt.

Speaker0: Und was dann als drittes noch hinzukommt, ist natürlich bei den vielen Herstellern,

Speaker0: die halt heute irgendwelche Cloud-Services an ihre Produkte,

Speaker0: auch Hardware-Produkte koppeln,

Speaker0: hast du natürlich auch immer ein gewaltiges Risiko aus dem Oberthema geplante Obsoleszenz.

Speaker0: Ich habe das jetzt gesehen, ich habe mir jetzt eine neue Spülmaschine gekauft

Speaker0: von Siemens und du kannst zwei Drittel der Sachen schon an der Maschine einstellen,

Speaker0: aber für das letzte Drittel brauchst du eine App und die App erstellt dann über

Speaker0: die Cloud von BSH einen Zugang auf meinen Geschirrspüler,

Speaker0: damit ich dann die Feintuning-Sachen machen kann.

Speaker0: Das heißt, ich bin eigentlich gezwungen, diese Software und auch diese Cloud

Speaker0: vom Hersteller zu benutzen, weil ich sonst nicht 100% meines Geschirrspülers nutzen kann.

Speaker0: Was mache ich denn, wenn irgendwann der Hersteller sagt, so wie EA das ja auch

Speaker0: im Spielebereich getan hat, uns interessiert die alte Need-for-Speed-Umgebung

Speaker0: nicht mehr, deswegen wir schalten die Server jetzt ab.

Speaker0: Und bei mir ist dann das Endergebnis, ich kann das Spiel nicht mehr spielen,

Speaker0: weil beim Start des Spiels geprüft wird, ist der Server da?

Speaker0: Nö, also startet das Spiel nicht. Das ist natürlich schon auch ein gewaltiges

Speaker0: Risiko, weil du halt nie weißt, wann das irgendwann mal passiert.

Speaker1: Ja, und das sind natürlich genau diese Risiken. Ich meine, du sprichst ja auch

Speaker1: die Konsumentenseite an.

Speaker1: Geht uns ja als Konsument an der Stelle genauso. Irgendwann wird ein Dienst

Speaker1: eingestellt und dann schaust du halt in die berühmt-berüchtigte Röhre.

Speaker1: Und das gleiche Thema kann zum Unternehmensumfeld schlicht und ergreifend Weg laufen.

Speaker1: Ich meine, wie lange hatten wir diese Datenschutzdiskussionen eben über die

Speaker1: Cloud-Umgebungen, wo auch unsere föderalen Datenschutzbehörden sich ja bei beiden nicht einig waren.

Speaker1: Der eine empfiehlt, der andere hält sich zurück, der andere sagt,

Speaker1: nein, um alles in der Welt bitte gar nicht.

Speaker1: Und das ist halt genau dieses Thema, wo, um es jetzt wieder auf die Resilienz-Thematik

Speaker1: zurückzubringen, es gibt Themen, da hilft es nichts, wenn ich versuche,

Speaker1: mich dagegen zu stemmen.

Speaker1: Da werde ich einfach anpassungsfähig sein müssen. Du hast vorhin das Thema Nextcloud gebracht als Beispiel.

Speaker1: Für mich ist die Frage, wie schnell komme ich denn zum Beispiel,

Speaker1: wenn ich heute als Unternehmen in der Cloud-Umgebung mich eingenistet habe,

Speaker1: welche Möglichkeiten habe ich denn, um mich anzupassen?

Speaker1: Also was wäre, wenn morgen, übermorgen irgendjemand auf die Idee kommt,

Speaker1: zu sagen, ich ziehe den Stecker, wie auch immer dieser Stecker aussieht.

Speaker1: Diesen Stecker gibt es, glaube ich, nicht. Aber du weißt, was ich meine.

Speaker1: Wie schnell könnte ich switchen? Wie schnell könnte ich eine On-Prem-Lösung

Speaker1: wieder aufbauen oder wie schnell könnte ich auf eine alternative Lösung steigen,

Speaker1: um als Unternehmen meine Arbeitsfähigkeit, meine Betriebsfähigkeit aufrechtzuerhalten?

Speaker1: Das sind für mich genau diese Dissidenz-Dämen, um die es geht in der heutigen Zeit.

Speaker1: Weil ich glaube, eins ist fix und das ist, dass eben nichts mehr wirklich in Stein gemeißelt ist.

Speaker1: Wir haben jetzt in den letzten Wochen erlebt, wie ein Weltbild,

Speaker1: Entschuldigung, mit dem ich aufgewachsen bin, sich zerlegt.

Speaker1: Und du sagst, also wie ging es halt so, du sagst plötzlich so,

Speaker1: hä, was geht denn jetzt ab?

Speaker1: Und das ist für mich Resilienzmanagement, die Frage zu stellen,

Speaker1: alles klar, welche Alternativen habe ich, welche alternativen Wege gibt es?

Speaker1: Und um auf dein Beispiel mit dem Geschirrspüler zurückzukommen,

Speaker1: in gewisser Weise gilt es auch im privaten Umfeld.

Speaker1: Welche Flexibilität habe ich? Am Ende des Tages ist es immer schwierig,

Speaker1: wenn es einfach an den Geldbeutel geht, wenn es Geld kostet,

Speaker1: gerade im privaten Hausfall, wenn man sagt, ich würde gerne, das Gerät auch noch,

Speaker1: aus Sustainability-Gründen würdest du es vielleicht auch gerne noch weiter nutzen

Speaker1: und wirst aber jetzt aus irgendwelchen Gründen dazu gezwungen zu sagen, ich muss umsteigen.

Speaker1: Es ist halt immer die Frage zwischen

Speaker1: Geschäftsmodell, Regulatorik, Sustainability-Gedanken, irgendwo bis dazwischen

Speaker1: all diesen Dimensionen halt hin und her gerissen.

Speaker1: Nochmal, das ist für mich dann die Frage, wie navigiere ich mich?

Speaker1: Wie orientiere ich mich? Das sind wir jetzt auch wieder in der Blaulichtwelt.

Speaker1: Ja, ich muss erst einmal die Lage erkunden, muss erst mal schauen,

Speaker1: wo befinde ich mich gerade? Was habe ich für Handlungsalternativen?

Speaker1: Und deswegen ist Resilienzmanagement, um damit auf die Blaulicht-Welt aufzukommen,

Speaker1: an vielen Stellen schlicht und ergreifend das, was du draußen als einsatzleitende

Speaker1: Funktion magst, dich zu orientieren, anzuschauen, was ist gerade die Situation,

Speaker1: bin ich im falschen Film, dann kneife ich mich und stelle fest, okay,

Speaker1: es ist gerade Realität, was sind meine Handlungsoptionen?

Speaker0: Ja, ich glaube halt, du hast es vorhin schon mal gesagt, dass wir vielleicht

Speaker0: in eine Überregulatorik uns bewegen werden, in Deutschland und auch in Europa.

Speaker0: Ich sage bei Auditierungen immer dazu, wenn es Dinge gibt, die wir definitiv

Speaker0: nicht adressieren werden, weil sie zu viel Geld kosten, weil sie zu viel Impact

Speaker0: verursachen, gerade auch jetzt im produzierenden Gewerbe relativ häufig.

Speaker0: Es gibt irgendeine alte Maschine, da läuft noch Windows XP oder noch älter.

Speaker0: Das Ding kann man nicht ersetzen. Diese Maschine wird nicht mehr hergestellt.

Speaker0: Es gibt keine Updates und die neue Maschine würde so viele Millionen Euro kosten,

Speaker0: dass es sich einfach nicht lohnt. Dann kannst du das Problem nur noch mitigieren,

Speaker0: indem du halt das Ding so weit wie es geht isolierst, damit halt nur wirklich

Speaker0: das Minimum an Datenaustausch zum restlichen Netzwerk stattfindet.

Speaker0: Aber am Ende war das immer so die Empfehlung, du kannst natürlich auch immer

Speaker0: als Entscheider, als Unternehmer sagen, ich akzeptiere dieses Risiko.

Speaker0: Ich befürchte aber, durch diese ganze Entwicklung, die wir gerade sehen und

Speaker0: auch durch diese mögliche Überregulatorik, wird diese Karte in den nächsten

Speaker0: Monaten und Jahren öfter gespielt

Speaker0: werden müssen, als es vor dieser ganzen Geschichte mit den USA war.

Speaker1: Ja, also du hast einzelne Branchen, nehmen wir mal den Kraftwerkssektor oder

Speaker1: Luft- und Raumfahrtssektor, da hast du Testgeräte, Maschinen,

Speaker1: Umgebungen, die laufen über Jahrzehnte teilweise.

Speaker1: Meine Befürchtung ist, am Ende des Tages gibt es wahrscheinlich niemanden,

Speaker1: der die Komplexität von dem überhaupt noch versteht, von der Welt versteht,

Speaker1: von der technischen Welt versteht, in der wir unterwegs sind.

Speaker1: Ich sage jetzt mal, einfach als Beispiel jetzt wieder die ganzen Zollstreitigkeiten.

Speaker1: Wie viele iPhones werden denn in den USA hergestellt?

Speaker1: Da steht hinten drauf, das Sein in Kalifornien. Okay, wunderbar.

Speaker1: Und wenn ich jetzt heute hergehen würde als Aufsichtsbehörde und sage,

Speaker1: das darfst du nicht mehr, du musst diese Umgebung abschalten,

Speaker1: wird meiner Meinung nach auch die Aufsichtsbehörde nicht letztendlich verstehen,

Speaker1: welche Folgen hätte das.

Speaker1: Einfach, weil wir uns irgendwann mal darauf committet haben,

Speaker1: beziehungsweise die Welt hat sich dahin entwickelt, dass wir globale Lieferketten

Speaker1: haben, dass wir eine hochgradig arbeitsteilige Welt haben, geht ja aufgrund

Speaker1: der Spezialisierung eigentlich einfach auch gar nicht mehr.

Speaker1: Und dass wir an vielen Stellen die Seiteneffekte, die Querschläge gar nicht verstehen würden.

Speaker1: Weshalb ich glaube, am Ende des Tages muss trotzdem das Unternehmen eine gewisse

Speaker1: Freiheit haben, risikopassierte Entscheidungen zu treffen.

Speaker1: Natürlich immer auch mit dem Fokus, nicht um des, verzeih es mir,

Speaker1: schieren Gewinndrucks Risiken einzugehen, die insgesamt die gesellschaftliche

Speaker1: Resilienz, die gesellschaftliche Stabilität gefährden.

Speaker1: Aber auch das ist ein Barock sagt. Also für mich gibt es nicht die hundertprozentige

Speaker1: Resilienz, die hundertprozentige Sicherheit, die hundertprozentige,

Speaker1: keine Ahnung, Transparenz über den Prozess.

Speaker1: Ich muss versuchen, mich da

Speaker1: durch zu navigieren und da irgendwie eine vernünftige Balance zu finden.

Speaker1: Das ist für mich das taktische Business von Resilienz-Management.

Speaker0: Ja, im Prinzip, und das habe ich hier im Podcast schon mehrmals gesagt,

Speaker0: wir brauchen gar nicht zu warten, bis die KI ein solches Entwicklungsstadium

Speaker0: erreicht hat, dass sie quasi eigenständig wird, vollständig eigenständig und

Speaker0: damit dann die Singularität,

Speaker0: vor der man sich ja fürchtet und worüber es ja auch diverseste Filme gab,

Speaker0: Man nehme nur Terminator als Beispiel oder Matrix.

Speaker0: Wir haben ja aus dem Blickwinkel der Unternehmen in Bezug auf ihre Technologie,

Speaker0: die zum Einsatz kommt, eigentlich schon längst den Schritt der Singularität erreicht.

Speaker0: Niemand versteht, was wirklich da funktioniert und warum es funktioniert oder halt auch nicht.

Speaker0: Es ist hochgradig komplex geworden, was natürlich auch dazu führt,

Speaker0: und da sind wir vielleicht wieder in dem Bereich der Blaulichtwelt,

Speaker0: wenn man sich mal anschaut, wie viele neue Lösungen und Produkte in den letzten

Speaker0: 10, 15 Jahren gekommen sind und was das auch für eine Anforderung dann für die

Speaker0: Technikteams bedeutet.

Speaker0: Als ich angefangen habe im IT-Bereich vor mittlerweile fast 25 Jahren,

Speaker0: da hat es halt gereicht, wenn du dich mit einem NT-Server und vielleicht einem

Speaker0: alten Windows-Desktop-Betriebssystem ein bisschen ausgekannt hast.

Speaker0: Internet war damals auch noch nicht so ein wirkliches Ding.

Speaker0: Heute hast du so mehrfach untereinander gegliederte Hypervisor-Lösungen.

Speaker0: Du hast Container-Lösungen, du hast CI, CD-Systeme, du hast so viele komplexe

Speaker0: Systeme, dass es halt auch oft für die IT-Teams selber einfach unmöglich ist,

Speaker0: da noch einen vollständigen Überblick zu haben. Es wird halt dann Inselwissen daraus.

Speaker0: Das heißt, die eine Hand weiß oft gar nicht, was die andere tut oder warum Dinge

Speaker0: nicht mehr funktionieren.

Speaker0: Und das ist natürlich schon ein gewaltiges Risiko.

Speaker0: Es gibt aber leider halt auch keine einfache Lösung mehr, die du dann betreiben

Speaker0: könntest. So, hätten wir jetzt ein

Speaker0: Publikum, würde jetzt spätestens jemand schreien, aber was ist mit Linux?

Speaker0: Und dann muss ich sagen, ja, natürlich kannst du Linux einsetzen.

Speaker0: Du kannst die meisten Dinge von dem, was wir heute so brauchen,

Speaker0: auch auf Open Source aufbauen.

Speaker0: Aber dann ist das nächste Problem, auch wieder BCM, wo sind denn die Fachkräfte?

Speaker0: Wie schnell kriege ich denn, wenn ich jetzt heute sage, ich habe ein IT-Admin-Team

Speaker0: aus vier Leuten, da ist einer der IT-Leiter, der sollte so ein bisschen die Stabsstelle leiten,

Speaker0: dann hast du aber noch jemanden, der kann recht gut Windows-Server und auch

Speaker0: so ein bisschen vielleicht Mobile-Device, dann hast du einen,

Speaker0: der ist für Netzwerke, Firewalling und Security da und der dritte ist halt so

Speaker0: ein bisschen der First-Level-Springer.

Speaker0: So, und jetzt stellst du deinen ganzen Betrieb um, weg von den US-Anbietern,

Speaker0: einfach komplett auf Open Source.

Speaker0: In Zukunft wird Mail mit Postfix gemacht und Storage machst du auf einer eigenen

Speaker0: On-Cloud oder Next-Cloud-Umgebung.

Speaker0: Auch die Virtualisierung kannst du Proxmox nehmen, das ist sogar ein Produkt

Speaker0: aus Europa, aus Österreich, was wir auch selber gerne zum Einsatz tatsächlich

Speaker0: bringen. und die User müssen sich jetzt auch mal schnell umgewöhnen.

Speaker0: Du hast 500 User, die haben jetzt kein Windows 11 mehr, die haben jetzt auf

Speaker0: einmal einen Ubuntu-Desktop.

Speaker0: Wie soll das denn bitte funktionieren? Also ich meine, in der Theorie ist das

Speaker0: natürlich alles ganz nett, aber mal wirklich realistisch betrachtet keine Chance,

Speaker0: auch wenn es vielleicht der richtige Weg wäre.

Speaker1: Ja, das führt natürlich in einen Bereich, den ich persönlich für den schwierigsten

Speaker1: halte an der ganzen Thematik.

Speaker1: Dieses Veränderungsmanagement dann auch an uns als Menschen.

Speaker1: Also das eine ist die technische Lösung, das andere ist aber halt die Frage,

Speaker1: wie gewöhne ich jetzt Menschen um?

Speaker1: Wie kriege ich Menschen von einer bekannten, ich sag mal auch bewährten Umgebung

Speaker1: weg in eine neue Umgebung, weil

Speaker1: irgendwelche strategischen oder taktischen Gesichtspunkte dafür schlüpfen?

Speaker1: Das ist ja auch noch verbunden, glaube ich, mit ganz anderen Komplexitätsfaktoren,

Speaker1: weil wo findest du jetzt, wie du sagst, die Leute, die qualifiziert sind?

Speaker1: Oder wie qualifizierst du die Leute weiter?

Speaker1: Wir haben heute auch die Thematik, vieles kann ich, was früher hochkomplex war,

Speaker1: heute mit Low-Code- oder No-Code-Plattformen versuchen zu lösen, zu automatisieren.

Speaker1: Die Komplexität dahinter ist aber häufig überhaupt nicht mehr durchsichtig.

Speaker1: Was passiert denn da im Hintergrund? Was macht da eigentlich dieser Bot zum

Speaker1: Beispiel im Hintergrund?

Speaker1: Und das ist für mich eine sehr, sehr komplexe Frage, weil sie halt auf unser

Speaker1: Verhalten geht auf uns als Gewohnheitstiere,

Speaker1: Gewohnheitsmenschen quasi abzielt und neue Fähigkeiten bringt.

Speaker1: Wobei ich glaube, dass gerade diese Anpassungsfähigkeit eine Ziel-Zukunftskompetenz ist,

Speaker1: die wir eigentlich viel, viel mehr fördern müssten, die Möglichkeit,

Speaker1: flexibel mich anzupassen, zu sagen, okay, alles klar,

Speaker1: ich muss mich da einarbeiten und brauche Lösungen, wo ich eben viel auch standardisieren kann.

Speaker1: Nehmen wir das Thema Configuration Management, Secure Configuration.

Speaker1: Ich habe die Woche mich mit einem Kunden unterhalten zum Thema eben Secure Configuration

Speaker1: von deren Umgebung und alleine für Server Harding reden wir von 330 Seiten Policy-Dokument.

Speaker1: Am Ende des Tages versuchst du das aber ja idealerweise als Security as Code quasi auszurollen.

Speaker1: Du brauchst aber halt die Leute, die verstehen, wie überführe ich das,

Speaker1: welche Testläufe muss ich machen, um dann zu sagen, alles klar,

Speaker1: wie konfigüre ich meine Umgebung? Und das mache ich jetzt vor den Windows und

Speaker1: dann vielleicht morgen, um in dem Beispiel zu bleiben, mache ich das Ganze auf Linux.

Speaker1: Ja, das ist menschliches Veränderungsmanagement, neben den technischen Fragen.

Speaker0: Ja, und dann brauchst du natürlich auch noch jemanden, der bereit ist,

Speaker0: dafür die Zeit und das Geld auszugeben, dass die Leute überhaupt in der Lage

Speaker0: sind dazu, das auch alles umzusetzen.

Speaker0: Ich mache das gerne auch bei Kunden, wenn wir das Thema BCM und BIA halt einfach anfangen,

Speaker0: dass wir erstmal quasi von unten erstmal eine Bestandsaufnahme machen,

Speaker0: uns mal darüber Gedanken machen, was haben wir denn, was muss notwendigerweise

Speaker0: definitiv laufen, wie würde eine Notfallinfrastruktur aussehen,

Speaker0: wenn das eine System nicht mehr funktioniert und so weiter und so fort.

Speaker0: Aber dann kommst du irgendwann auch an den Punkt so, jetzt müssen wir Dinge

Speaker0: tun, damit es besser wird und wir haben da eine relativ große.

Speaker0: Übrigens frei verfügbare Dokumentensammlung von Daniel Möckos aus Österreich,

Speaker0: der auch immer mit einem Bein bei mir oder mit einem Auge von mir so ein bisschen

Speaker0: mitverfolgt wird, weil der wirklich verdammt gute Dokumente schreibt.

Speaker0: Und da stehen halt auch ganz klare Zeitangaben drin. Du hast gerade Server-Härtung

Speaker0: gesagt, es gibt Dokumente, da steht drin, wenn das eine regelmäßige Tätigkeit

Speaker0: werden soll bei neuen Servern, musst du das, das, das tun.

Speaker0: Und das kostet so viele Stunden oder Manntage. Und da haut es halt die Unternehmer

Speaker0: häufig dann doch vom Stuhl, weil sie sagen, ja, aber der muss doch auch den

Speaker0: Toner noch wechseln und der soll dann auch noch die Updates irgendwo installieren und so weiter.

Speaker0: Also, wenn man es dann mal wirklich sieht, ist man bei der menschlichen Ressource

Speaker0: sehr schnell bei einem Overcommitment dieser einzelnen Ressource,

Speaker0: weil die ja neben ihrem normalen Geschäft, was sie bislang auch getan hat,

Speaker0: jetzt zusätzlich das auch noch alles tun soll.

Speaker0: Jetzt kann ich sagen, ja, du könntest natürlich auch einen Dienstleister dafür

Speaker0: holen, aber der will ja auch dafür Geld. Also wir machen das ja nicht umsonst.

Speaker0: Und ganz oft scheitert es dann an dem Punkt und dann heißt es am Ende.

Speaker0: Wir machen jetzt eigentlich gar nichts. Es bleibt alles so, wie es ist.

Speaker0: Danke für den Audit, danke für den Bericht.

Speaker0: Wir haben jetzt festgestellt, dass wir sehr viele Probleme haben,

Speaker0: aber wir tun am Ende nichts.

Speaker0: Und ich habe leider wirklich Kunden, die sind auf dem Weg vom ersten Audit bis

Speaker0: heute, zwei Jahre später mittlerweile, dreimal voll verschlüsselt worden.

Speaker0: Die haben dreimal neu aufgebaut und wir haben dreimal gesagt,

Speaker0: hey, lassen Sie es doch jetzt bitte richtig machen, das wäre doch nicht nötig.

Speaker0: Ja, wissen Sie schon, Herr Karls, da haben wir jetzt leider auch keine Kapazitäten dafür.

Speaker0: Tja, was soll ich da noch sagen? Also das ist schwierig und auch leider wirklich

Speaker0: sehr traurig und es demotiviert natürlich auch die Fachkräfte, die noch da sind,

Speaker0: wenn sie in so einer Situation stecken oder wenn der IT-Leiter gleichzeitig

Speaker0: der Buchhalter und alles weitere ist noch als One-Man-Show. Das kann nicht funktionieren.

Speaker1: Ja, das ist halt dieses Thema, Kunde von mir hat es mal genannt,

Speaker1: einen Marathon laufen, während du eine offene Herz-OP hast.

Speaker1: Also dieses Gefühl, dass es eigentlich fast unmöglich ist, also fast unmöglich

Speaker1: ist, all diese Themen zusammenzubringen und die, ja, wie soll ich sagen,

Speaker1: die Ressourcen dafür freizuschauen.

Speaker1: Ich meine, wenn wir ein Management-System anschauen, dann ist das Thema Ressourcenfrage

Speaker1: ein kurzes Kapitelchen mit einem Satz drin.

Speaker1: Der aber, wenn man mal genauer hinschaut, eigentlich eines der Kernthemen ist.

Speaker1: Wenn ich Resilienz erreichen will oder Resilienz verfolgen will,

Speaker1: du wirst sie nie wirklich erreichen, du wirst sie verfolgen,

Speaker1: du wirst sie optimieren.

Speaker1: Mit BCN, mit Informationssicherheit, mit all den Themen, die du brauchst,

Speaker1: wirst du halt auch die Frage nach den Ressourcen stellen müssen.

Speaker1: So, dabei geht es aber meines Erachtens nach auch um einen klugen Ressourceneinsatz.

Speaker1: Es geht aus meiner Sicht auch darum, dann vielleicht Leute, die gewisse Spezialkenntnisse

Speaker1: haben, freizuschaufeln von anderen Themen, aber auch Themen auf breitere Schultern zu verteilen.

Speaker1: Jetzt gibt es natürlich auch Möglichkeiten, Dinge zu teilautomatisieren.

Speaker1: Schauen wir mal, was KI-Fähigkeiten noch entwickeln werden in der Zukunft,

Speaker1: was kann man da noch machen.

Speaker1: Wobei ich auch nicht glaube, dass das wirklich die Wunderpille ist,

Speaker1: die man schluckt und dann ist alles gut.

Speaker1: Aber auch das ist halt immer die Frage, welche Ressourcen habe ich und was kann

Speaker1: ich mit diesen Ressourcen jetzt in die Realfahrten fallen?

Speaker1: Da gab es ja dieses schöne, gute Pareto-Prinzip, was ich immer noch gut finde.

Speaker1: 20 Prozent der Zeit schon mal 80 Prozent der Eckemisse. Aus Risikosicht heißt das,

Speaker1: ich habe schon mal ein gewisses Risikoniveau versucht abzudecken und versuche

Speaker1: dann eben gezielt nach Prioritäten Schritt für Schritt vorzugehen.

Speaker1: Es kann aber halt auch nicht unser Ziel sein, einzelne Leute in den Unternehmen zu verbrennen.

Speaker1: Und am Ende des Tages geht die frustriert auf und dann steht erst recht das

Speaker1: Scheunentor quasi offen.

Speaker0: Ja, auch hier wieder vielleicht eine Ableitung in Richtung Blaulichtwelt.

Speaker0: Ich habe gerade mal Chat-GPT gefragt, wie viele Einsätze hat denn die Feuerwehr

Speaker0: Nürnberg so in den letzten Jahren gehabt?

Speaker0: Und da kommt raus, ich weiß nicht, ob es stimmt, 2023 9.935 Einsätze,

Speaker0: Berufsfeuerwehr Nürnberg.

Speaker0: Du kannst die Berufsfeuerwehr Nürnberg demzufolge nicht auch noch zusätzlich

Speaker0: den Verkehr regeln lassen und vielleicht noch, weil im Gartenamt gerade irgendwie

Speaker0: Krankheit ist, dass die dann auch noch Blumen gießen. Das wird nicht funktionieren.

Speaker0: Und das ist hier im Prinzip genau das Gleiche. Du kannst nicht ein IT-Team oder

Speaker0: den IT-Verantwortlichen, der sowieso schon auf 110 Prozent ist,

Speaker0: noch zusätzlich mit solchen Dingen beschäftigen.

Speaker0: Das heißt, man muss halt entweder Leute einstellen oder sich halt Dienstleister

Speaker0: ranholen, die einen dann halt temporär unterstützen.

Speaker0: Und das ist halt einfach das Thema. Und es gibt ja Möglichkeiten.

Speaker0: Also wenn ihr den Podcast schon länger hört, dann habt ihr mit Sicherheit auch

Speaker0: zum Beispiel das Interview mit Dr.

Speaker0: Thjorben Burgon gehört. Es gibt Interims-Manager. Nutzt solche Möglichkeiten.

Speaker0: Ihr kommt nicht auf eigenen Beinen und auf eigener Leistung dahin,

Speaker0: wo ihr sein müsstet, wenn ihr euch nicht da entsprechend Unterstützung holt

Speaker0: und eure IT-Teams halt auch mal verstärkt.

Speaker0: IT ist kein Kostenfaktor mehr.

Speaker0: IT ist das, was eure Firma am Laufen hält und nur das ist.

Speaker0: Und das ist halt ein großes, großes Problem. Ich weiß nicht, wie siehst du das?

Speaker0: Was ist so ein typisches Problem, wenn du denn jetzt mit dem Thema Cyber Resilience

Speaker0: bei einem Unternehmen reingehst?

Speaker0: An was scheitert es? Und was sind so die typischsten Dinge, die die Unternehmen

Speaker0: tun sollten, aber halt nie tun?

Speaker1: Also wir sind ja auch in den Unternehmen tätig und unterstützen die direkt.

Speaker1: Das ist ja quasi unser Modell, den KMUs halt die Funktionen auch zur Verfügung

Speaker1: zu stellen, die sie brauchen.

Speaker1: Es scheitert meistens nicht am Willen, sondern, wie wir vorhin schon gesprochen

Speaker1: haben, eigentlich an der Ressourcenfrage.

Speaker1: Das heißt, man weiß, dass man zum Beispiel das Thema Secure Configuration angehen muss.

Speaker1: Man weiß, dass man ein systematisches, möglichst automatisiertes Patch-Management braucht.

Speaker1: Man weiß, dass man sich mit dem Thema Threat Intelligence auseinandersetzen muss.

Speaker1: Es fehlt aber eben an den nötigen Freiräumen, das zu tun, viele saufen schlicht

Speaker1: und ergreifende Informationen ab.

Speaker1: Also wenn ich mir das ganze Thema anschaue, was weiß ich, ein BSI-Lagebericht,

Speaker1: du brauchst ja Leute, die sich eigentlich mit nichts anderem beschäftigen,

Speaker1: als diese Berichte zum Beispiel durchzuforsten, zu sagen, bin ich jetzt irgendwo

Speaker1: betroffen, was muss ich denn jetzt tun?

Speaker1: Klar kann man da viel automatisieren, kann sich da die Information rausfiltern

Speaker1: lassen, aber es hilft ja nichts, das alleine zur Kenntnis zu nehmen,

Speaker1: sondern ich muss dann ja auch agieren, muss handeln.

Speaker1: Das ist halt genau dieses Problem. Also die Leute sagen,

Speaker1: ich habe jetzt gerade eigentlich so eine,

Speaker1: man nennt es ja tatsächlich mal Firefighter-Mentalität, bekämpftes Feuer,

Speaker1: wo es quasi am betroligsten ist und so wandert deine Aufmerksamkeit anstelle

Speaker1: von systematisch an den Themen herzugehen.

Speaker1: Und nochmal, ich bin da halt ein Fan von Systematik, weil ich muss mein Gesamtlagebild

Speaker1: versuchen zu verstehen, zu überblicken und zu wissen, wo helfen meine begrenzten

Speaker1: Ressourcen jetzt am meisten.

Speaker1: Und das ist für mich so diese Thematik, nochmal zurück zum Resilienzmanagement

Speaker1: zu verstehen, was ist denn jetzt insgesamt da, wo es bei mir am meisten brennt

Speaker1: und wo ich aber auch den besten Hebel habe, um anzugreifen.

Speaker1: Man wundert sich manchmal, dass die Feuerwehr nicht direkt ins Feuer reinlöscht,

Speaker1: sondern manchmal daneben.

Speaker1: Warum? Weil man einfach die Ausbreitung verhindern will, weil man andere Objekte schützen will.

Speaker1: Also die Frage, wo greife ich zuerst an, die ist nicht immer so einfach zu beantworten.

Speaker1: Ich muss genau schauen, wo stehst du als Unternehmen? Was sind deine größten Themen?

Speaker1: Wo müssen wir verteidigen? Wo müssen wir angreifen? Wo müssen wir vielleicht auch manchmal sagen,

Speaker1: Nee, das gebe ich jetzt lieber auf, also weil ich zum Beispiel eine veraltete

Speaker1: Technologie habe, die ich jetzt einfach ersetzen muss oder wo ich sage,

Speaker1: ich ziehe mich da auch raus aus gewissen Dingen.

Speaker1: Das sind ja auch unternehmerische Entscheidungen, die man manchmal treffen muss.

Speaker1: Also das tägliche Lagewäschment ist aus meiner Sicht ein ganz,

Speaker1: ganz entscheidender Punkt. Welche Ressourcen, wo setze ich die am besten an?

Speaker0: Ja, auch was du vorhin gerade meintest, die Leute werden mit Informationen überflutet

Speaker0: und am Ende kann man es nicht mehr greifen.

Speaker0: Es ist auch tatsächlich ein Problem, wenn wir heute anfangen,

Speaker0: Unternehmen vorzubereiten, zum Beispiel für eine TSAC-Zertifizierung,

Speaker0: dann wühlst du dich halt einmal quer durch und produzierst dabei halt eine ganze

Speaker0: Menge an Berichten und Dokumenten und so weiter.

Speaker0: Und da dann noch den Überblick zu haben und auch zu sagen, okay,

Speaker0: welche Dinge machen wir zuerst? Löschen wir das Feuer oder löschen wir jetzt

Speaker0: die umliegende Infrastruktur?

Speaker0: Erstmal machen wir die nass, damit es halt da nicht auch noch brennt.

Speaker0: Das ist dann tatsächlich die große Kunst. Und ich glaube, da wirst du mir recht

Speaker0: geben, das ist auch jetzt kein Prozess, der innerhalb von zwei,

Speaker0: drei Monaten erledigt ist.

Speaker0: Also das ist ein Prozess, der braucht manchmal Jahre.

Speaker1: Definitiv bin ich völlig bei dir. Es ist aber auch ein Prozess,

Speaker1: ja, der dauert Jahre, bis ich da vielleicht mal soweit bin.

Speaker1: Aber ich kann heute und jetzt und sofort anfangen und mir eine Systematik aufbauen,

Speaker1: die ich im Laufe der Zeit weiterentwickeln kann.

Speaker1: Wo ich persönlich mich extrem schwer tue damit und was ich auch in der heutigen

Speaker1: Zeit sehr schwierig finde, ist, dass wir vieles tun müssen in den Unternehmen.

Speaker1: Rein, um Compliance-Anforderungen zur Füllung nachzuweisen.

Speaker1: Du hast das Thema TISAX angesprochen, wenn du heute einen Mittelständler hast,

Speaker1: der in unterschiedlichen Branchen unterwegs ist.

Speaker1: Also was weiß ich, er bringt Dienstleistungen für den Automobilsektor,

Speaker1: macht aber auch noch ein bisschen Pharma und macht noch ein bisschen Medizinprodukte.

Speaker1: Der muss sich mit unterschiedlichen Anforderungskatalogen auseinandersetzen.

Speaker1: Am Ende des Tages wollen die alle das Gleiche in der Basis.

Speaker1: Aber ich muss dreimal das aufbereiten, vielleicht die Nuancen unterschiedlich

Speaker1: aufbereiten, weil ich durch drei unterschiedliche Testierungsverfahren durch

Speaker1: muss, um die jeweiligen Kataloge einzuführen.

Speaker1: Das ist für mich ein Punkt, da müsste man meiner Meinung nach dringend rangehen,

Speaker1: um da aufzuräumen, zu sagen, okay, ich bin für branchenspezifische Kataloge.

Speaker1: Ich bin da voll dafür, weil es branchenspezifische Thematiken gibt.

Speaker1: Also ich sage jetzt mal, im Pharma-Produktionsprozess hat halt nochmal andere

Speaker1: Anforderungen als jetzt vielleicht eine Produktion im Automobilsektor.

Speaker1: Aber es darf nicht dazu führen, dass ich jetzt quasi mir unterschiedliche Eintrittstickets

Speaker1: holen muss, die ich jedes Mal neu lösen muss.

Speaker1: Sondern ich brauche in der Basis ein vernünftiges Management-System und das

Speaker1: soll in der Lage sein, diese unterschiedlichen Anforderungen,

Speaker1: die Branchenanforderungen zu verarbeiten.

Speaker1: Ich hoffe, ich bin da jetzt ein bisschen rosa-rote-brille-mäßig unterwegs und

Speaker1: hoffe inständig darauf, dass was NIS2 anspricht

Speaker1: mit einem europaweiten Cyber-Resilience-Zertifizierungsschema ist,

Speaker1: dass das hoffentlich dazu führt, dass wir wirklich was kriegen,

Speaker1: was allüberweit anerkannt ist und ich nicht in Frankreich nochmal extra was

Speaker1: machen muss und in Spanien nochmal was anderes und in Deutschland müssen wir

Speaker1: vielleicht noch den C5 und diesen und jenen Katalog erfüllen.

Speaker1: Und bei uns, das ist an vielen Stellen halt einfach auch ein Riesenmodell für

Speaker1: Überprüfungen, Audits und Testierungen geworden.

Speaker0: Absolut, ja. Also an der Stelle empfehle ich tatsächlich Kunden,

Speaker0: die in der Situation sind, immer mal auch einen Blick in Richtung openkritisk.de.

Speaker0: Die Website ist fantastisch.

Speaker0: Und wenn man da jetzt zum Beispiel mal reinschaut im Bereich Risikomanagement,

Speaker0: DORA, Banken- und Finanzdienstleister, dann gibt es unter DORA den Artikel 5,4,

Speaker0: Kenntnisse und Fähigkeiten der Geschäftsleitung.

Speaker0: Das wiederum, und das kann man da direkt ableiten, ist dann auch in NIST 2 im

Speaker0: IT-Act unter 822 geregelt, im C5-HR03 und ISO 27001 in diversen Kapiteln.

Speaker0: Und es ist tatsächlich eine gute Idee, wenn man schon irgendeine dieser verschiedenen

Speaker0: Zertifizierungen durch hat,

Speaker0: dass man dann, wenn man noch eine weitere braucht, auch uns betrifft das,

Speaker0: wir sind ISO 27001 und 17 und wir fallen jetzt aber auch unter NIST 2,

Speaker0: sobald das Ganze dann wirklich in Gesetzesform gegossen wird.

Speaker0: Dass man dann wirklich mal guckt, welche Controls aus dem einen Thema erfülle

Speaker0: ich denn vielleicht durch das andere Thema schon,

Speaker0: damit man nicht wieder wirklich auf der grünen Wiese anfängt mit seinen Dokumenten,

Speaker0: sondern sich vielleicht wirklich ein Control-Matching macht,

Speaker0: ein Mapping bastelt, ein Security-Mapping,

Speaker0: damit man halt an diese ganzen Punkte direkt so rangehen kann und vielleicht

Speaker0: einfach nur noch Verweise macht und am Ende vielleicht in dem einen Dokument

Speaker0: oben noch dazuschreibt, betrifft übrigens auch D&D-Standards.

Speaker0: Weil anders, wenn du immer wieder von Null anfängst, das ist ja,

Speaker0: das eine war ja schon ein gewaltiger Prozess und das nächste wird nicht weniger.

Speaker1: Dieses Mapping ist aus meiner Sicht ein ganz wesentliches Thema.

Speaker1: Jetzt kommt das Komma aber oder Komma und. Es bräuchte aber halt auch die Fähigkeit,

Speaker1: dass diese Dinge gegenseitig anerkannt werden.

Speaker1: Also, dass ich eben nicht nochmal neu von Null auf alle Nachweise auf den Tisch

Speaker1: legen muss, obwohl ich schon einen Bericht aus der einen Ecke habe.

Speaker1: Also nehmen wir mal, du hast einen 27.001 Audit Report, jetzt kommt ein C5 und

Speaker1: ja, man schaut sich den Bericht vielleicht an, nimmt ihn auch wohlwollend zur

Speaker1: Kenntnis, prüft aber trotzdem in dem kompletten Umfang nochmal durch.

Speaker1: Das sind Aufwände, die in den Unternehmen entstehen, die genau bei der Ressourcenfrage,

Speaker1: die wir uns vorhin gestellt haben, die Ressourcen nämlich abknabbert.

Speaker1: Da beschäftige ich jetzt ein ganzes Team an Leuten damit,

Speaker1: ein Heer von Auditoren, von Prüfern zufriedenzustellen, Nachweise zu bringen,

Speaker1: weil ich halt in unterschiedlichen Branchen unterwegs bin, weil ich halt in

Speaker1: unterschiedlichen Ländern unterwegs bin.

Speaker1: Und dann habe ich die nationalen Schemata, die ich nochmal erfüllen muss,

Speaker1: die müssen auditiert werden.

Speaker1: Ich mache ein Audit für ein französisches Schema regelmäßig,

Speaker1: das muss dann alles vor Ort passieren.

Speaker1: Das heißt, ich fliege dann halt einmal durch die Welt, weil da irgendwo,

Speaker1: keine Ahnung, ein Office ist und zwei Racks stehen, weil dieses Schema erfordert,

Speaker1: du musst das vor Ort prüfen.

Speaker1: Die haben aber trotzdem eine 27.001 und ich darf es aber in dem Moment nicht

Speaker1: eins zu eins als gegeben hinnehmen und sagen, jo, alles klar,

Speaker1: hat ISO geprüft, passt für mich.

Speaker1: Und da fängt es dann halt an, dass wir tatsächlich aus, wie auch immer gemeint,

Speaker1: der Regulatorik anfangen, die Ressource zu verbrauchen.

Speaker0: Ja, an der Stelle muss ich halt leider immer so ein bisschen an Karl Valentin

Speaker0: denken, Buchbinder Manninger.

Speaker0: Da sind wir jetzt nämlich, da schließt sich nämlich unser Kreis.

Speaker0: Diese ganzen Controls und eine tagesgenaue Aussage dazu, ob du das erfüllst

Speaker0: oder nicht, hätten natürlich die US-Cloud-Anbieter schon im Portfolio.

Speaker0: Also wenn ich jetzt sage, ich habe zum Beispiel mein ganzes Business auf Microsoft

Speaker0: 365 aufgebaut und ich nutze auch Perview und diese ganzen Sachen,

Speaker0: dann sagt mir das System über diese gesamte Landschaft hinweg,

Speaker0: wo erfülle ich welchen Standard und wo müsste ich vielleicht noch ran.

Speaker0: Aber, haben wir ja gerade gehört, könnte unter Umständen aus der Resilienzdenke,

Speaker0: was wäre wenn, vielleicht jetzt nicht die richtige Idee sein.

Speaker0: Und dadurch, das ist genau der Punkt, deswegen ist das so schwer für den Mittelstand.

Speaker0: Und auch für große Unternehmen, aber bei einem großen Unternehmen fällt es halt

Speaker0: nicht so auf, wenn das irgendein DAX-Konzern ist, dass die sich da ein Heer

Speaker0: aus Compliance-Beratern und

Speaker0: IT-Menschen beschäftigen dafür, weil es dann einfach auch schon egal ist.

Speaker0: Das ist dann halt so finanzstark, dass es nicht mehr auffällt,

Speaker0: aber ein Mittelständler mit 100, 200 Mitarbeitern kann sich das nicht leisten?

Speaker1: Der spürt es und zwar gewaltig.

Speaker1: Und am Ende des Tages fühlt sich manches halt an, wie das Eintrittsticket in

Speaker1: einem bestimmten Markt, das du lösen musst.

Speaker1: Also ich sage jetzt mal nur, so fühlt es sich halt manchmal an.

Speaker1: Und deswegen ist meine Hoffnung, dass wir dieses europaweite Schema haben werden.

Speaker1: Dass du nicht als Unternehmen in die Verlegenheit kommst, hier 22 oder 27 Antilstickets

Speaker1: für den EU-Markt zu kaufen oder machen zu müssen, absolvieren zu müssen.

Speaker1: Die Zukunft wird es zeigen, was da passiert. Ich meine, die DSGVO,

Speaker1: Artikel 42, 43 Zertifizierungen sind ja so ein ähnliches Thema,

Speaker1: wo ich dann sage, naja gut, schauen wir mal einfach, was passiert.

Speaker1: Ich habe immer die rosa-rote Brille an der Stelle auf und hoffe,

Speaker1: dass es diese Schema-Attack gibt.

Speaker1: Zumindest eine Regionalisierung global wird man aber wahrscheinlich erleben,

Speaker1: dass Dinge halt nicht mehr so einfach weltweit anerkannt werden,

Speaker1: wie das bis dato vielleicht mal so gebühlt war.

Speaker1: Zehn Jahre zurück, 15 Jahre zurück, wenn du da eine 27.001 gehabt hast,

Speaker1: hat jeder gesagt, ah, super, alles klar, passt.

Speaker1: Ist heute nicht mehr der Fall. Du hast die 27.001, jetzt können wir quasi sagen,

Speaker1: formell ein Haken dahinter und dann kommt natürlich trotzdem das Third-Party-Risk-Management,

Speaker1: was ja auch durchaus damit zu tun hat, dass manchmal die Zertifizierungen nicht

Speaker1: aussagekräftig genug waren oder sind und auf der anderen Seite aber auch vielleicht

Speaker1: diese Gegebenheit zeigt, DORA als Beispiel.

Speaker1: Oder zwingt dich ja quasi dazu, eben deine Dienstleister nochmal extra zu überprüfen.

Speaker1: Das heißt, die 27001 alleine reicht dir halt nicht aus. Das ist maximal das

Speaker1: Ticket, dass du durch die Tür kommst.

Speaker0: Ja, absolut, ganz klar. Und auch das ist ein Punkt, den wir immer wieder mal mit Kunden haben.

Speaker0: Und da sage ich, im Grunde genommen kannst du dich mit deinem Dienstleister

Speaker0: einfach auch nur auf der Basis beschäftigen, wie du es mit dem DPA eines Cloud-Anbieters tust.

Speaker0: Du musst die Fragen stellen, die sind vordefiniert und dann musst du dich darauf

Speaker0: verlassen können, dass dein Dienstleister dir das halt so wahrheitsgemäß,

Speaker0: wie es nur geht, einfach beantwortet.

Speaker0: Und auch da, es wird immer eine Unschärfe drinbleiben in diesem ganzen Thema,

Speaker0: weil das ist natürlich auch nur eine Momentaufnahme.

Speaker0: Wenn ich heute den Audit mache, heißt es ja nicht, dass in sechs Monaten der

Speaker0: Dienstleister immer noch genauso die Dinge benutzt, wie er sie angegeben hat.

Speaker0: Und es ist im Prinzip wie beim TÜV, wenn ich mit meinem super getunten Auto

Speaker0: zur Hauptuntersuchung komme und Winterreifen drauf schraube,

Speaker0: dann wird der TÜV-Prüfer sagen, jo, passt, alles eingetragen, die Reifen passen auch.

Speaker0: Und dann fahre ich heim und schraube wieder die verbotenen Felgen mit coolen Chromspinnern drauf.

Speaker0: Und dann hält mich die Polizei an und dann sagst du auch nett,

Speaker0: ja, aber ich war doch gerade hier erst beim TÜV.

Speaker0: Guck mal, ich war heute beim TÜV und der hat gesagt, das ist alles gut.

Speaker0: Dann sagt der TÜV auch, ja, aber ich habe diese Felgen damals nicht gesehen.

Speaker0: Also es ist halt einfach ein Problem. Wir müssen trotzdem noch in der Lage sein,

Speaker0: einen gewissen Vertrauensvorschuss abzugeben, damit wir überhaupt noch in der

Speaker0: Lage sind, handlungsfähig zu bleiben.

Speaker0: Aber ansonsten ist die Alternative, du machst halt alles selbst und das wird

Speaker0: halt leider nicht mehr funktionieren, weil wir haben auch in Deutschland nicht

Speaker0: die Möglichkeiten, alles selbst zu machen.

Speaker1: Das ist, glaube ich, die Wahrheit sehr gut auf den Punkt getroffen,

Speaker1: weil am Ende ist es wiederum die Frage nach Vertrauen oder Misstrauen.

Speaker1: Und ich glaube mal, vom Grunde her, sind wir Menschen schon so gestrickt,

Speaker1: dass wir eigentlich vertrauen wollen.

Speaker1: Wohin wir aber momentan auch getrieben werden, auch regulatorisch ist,

Speaker1: dass wir das Misstrauen eigentlich vorne dran stellen.

Speaker1: Und immer die Frage stellen, du versprickst mir das, aber kann ich mir sicher

Speaker1: sein, dass du mich eigentlich trotzdem irgendwo veräppelst?

Speaker1: Bei aller Liebe, trotz aller Zertifizierungen, Testate und was wir da sonst noch was machen,

Speaker1: du hast es ja gerade an einem Beispiel erklärt, ich kann eine wunderschöne konforme

Speaker1: Welt präsentieren und im Hintergrund mache ich mir trotzdem irgendwas auf,

Speaker1: wo ich sage, naja, komm, gehen wir jetzt mal an den unbequemsten Maßnahmen mal vorbei.

Speaker1: Ein gesundes Maß, das ist glaube ich immer wieder das Thema,

Speaker1: ich weiß, dass ich das wahrscheinlich jetzt schon fünfmal oder sechsmal oder

Speaker1: siebenmal gesagt habe, aber am Ende des Tages geht es einfach auch eine gewisse

Speaker1: gesunde Balance zwischen dem Vertrauen,

Speaker1: trotzdem sich auch das eine oder andere zeigen zu lassen oder das eine oder

Speaker1: andere auch zu prüfen, zu monitoren, zu überwachen.

Speaker1: Das ist zum Beispiel etwas, was wir dann ja auch machen für unsere Kunden,

Speaker1: dass wir halt einfach Supplier Monitoring auch machen und schauen,

Speaker1: okay, sind nämlich Auffälligkeiten da?

Speaker1: Und wenn ich dann merke, dass jemand auffällig ist, mir Dinge verspricht,

Speaker1: die aber trotzdem nicht eingehalten werden, ja gut, dann muss ich halt natürlich

Speaker1: irgendwo die Reißleine ziehen, wenn ich es denn kann.

Speaker1: An vielen Stellen kann ich es ja gar nicht, weil ich gar nicht die Möglichkeit

Speaker1: habe, großartig unter Alternativen zu wählen.

Speaker1: Aber ich plädiere schon dafür, dass wir als Menschen uns so ein bisschen auch

Speaker1: vertrauen können sollten.

Speaker0: Ja, es ist am Ende die Waage einfach zwischen ich tue, was ich kann und ich tue, was möglich ist.

Speaker0: Ich habe aber trotzdem ein gewisses Grundvertrauen und auch einen Vertrauensvorschuss.

Speaker0: Und ich glaube, auch das wird dir relativ häufig begegnen, man merkt bei einer

Speaker0: Auditierung auch relativ schnell das Mindset im Unternehmen.

Speaker0: Ob das jetzt wirklich nur eine Kostenstelle ist, die IT, oder ob man wirklich

Speaker0: jemandem gegenüber sitzen hat, der halt dahinter ist, wo auch die Geschäftsleitung

Speaker0: dahinter steht und sagt, wir müssen das jetzt machen.

Speaker0: Halt vielleicht aber auch in einem vertretbaren und einem gesunden Tempo,

Speaker0: so dass nicht alles gleichzeitig passiert, weil sonst brechen dir als nächstes

Speaker0: deine Mitarbeiter weg, die am Ende mit der Lösung dann auch arbeiten müssen.

Speaker0: Und ich glaube, das ist einfach so ein bisschen das Geheimnis dazwischen.

Speaker0: Und dann natürlich immer die Finger gekreuzt.

Speaker0: Hoffentlich wird nichts passieren. Man muss die Risiken natürlich auf dem Schirm

Speaker0: haben, weil was passieren kann, das ist relativ schnell aufbereitet.

Speaker0: What could possibly go wrong? Das kriegt man hin.

Speaker0: Und dann muss man halt überlegen, wie gehe ich dann damit um, wenn es dann soweit ist.

Speaker0: Und man kann es nicht zu Ende denken. Man kann es natürlich üben.

Speaker0: Auch das empfehlen wir immer wieder den Unternehmen, wenn man dann mal mit so

Speaker0: den ersten zwei, drei Durchläufen fertig ist.

Speaker0: Lass uns mal vielleicht auch eine Notfallübung machen, die über den normalen

Speaker0: Brandschutz hinausgeht.

Speaker0: Einfach nur in der Tabletop-Übung. Man muss jetzt nicht alles ausschalten,

Speaker0: sondern man kann das einfach schön gemütlich geplant an einem Tag den Leuten

Speaker0: mal präsentieren und sagen so, ihr habt heute das Problem XY, wie geht ihr damit um?

Speaker0: Und dann merken die Leute auch erst dann eigentlich.

Speaker0: Ja, die Dokumente liegen auf dem File-Server. Der ist verschlüsselt,

Speaker0: da kommst du nicht mehr hin. Wo ist das Backup davon?

Speaker0: Hast du die noch in der Cloud? Hast du sie ausgedruckt und so weiter?

Speaker0: Und dann wird auch ganz häufig für die Leute, die nicht direkt im Entstehungsprozess

Speaker0: dieser ganzen Maßnahme beteiligt waren, klar, wie wichtig es eigentlich ist,

Speaker0: sich mal diese Fragen zu stellen.

Speaker0: Weil auch da, ehrlich gesagt, es passiert zu wenig.

Speaker0: Na klar, in der Presse passiert ganz viel oder geh auf Websites wie Ransomware

Speaker0: Live, da siehst du jeden Tag, dass es wieder angeblich jemanden erwischt hat,

Speaker0: wobei auch das immer ein bisschen mit Vorsicht zu genießen ist,

Speaker0: siehe der angebliche Breach bei Rheinmetall von Babook 2,

Speaker0: der wahrscheinlich einfach nur Unsinn ist.

Speaker0: Also ich habe bis jetzt nichts Gegenteiliges gesehen oder keine Beweise,

Speaker0: dass das tatsächlich passiert wäre, aber am Ende des Tages ist trotzdem noch

Speaker0: zu wenig in der eigenen Infrastruktur und ich vergleiche das immer so ein bisschen

Speaker0: mit Corona damals, als das in China losging.

Speaker0: Ja, das ist halt ein Problem, was in China ist. Das ist so wie Dengue-Fieber

Speaker0: in Afrika. Das gibt es halt bei uns nicht.

Speaker0: Als dann die ersten Fälle aber gemeldet wurden hier in der Region,

Speaker0: habe ich mir schon gedacht, ah ja, schau, jetzt ist es bei uns auch angekommen

Speaker0: und spätestens jetzt brauchst du irgendein Konzept.

Speaker0: Du kannst nicht mal sagen, ja, das ist ja der nächste Landkreis. Das ist in Nürnberg.

Speaker0: Regensburg, das sind noch 100 Kilometer, das wird schon nicht rüberkommen.

Speaker0: Dann spätestens brauchst du halt einen Plan.

Speaker1: Also das ist ein ganz, ganz wesentliches Thema.

Speaker1: Also ich muss zugeben damals Corona, ich durfte ja in meinen beruflichen Rollen

Speaker1: auch Pandemiepläne mitschreiben.

Speaker1: Und ich muss ehrlicherweise sagen, ich habe damals Corona in der Auswirkung

Speaker1: am Anfang echt unterschätzt.

Speaker1: Also dieses, wir zielen wirklich die Notbremse und machen zu,

Speaker1: stellen das öffentliche Leben ein.

Speaker1: Ich habe damals mir gedacht, das werden Sie das nicht wirklich machen.

Speaker1: Also ich war, obwohl ich eigentlich Pandemiepläne mitentwickelt habe,

Speaker1: muss ich sagen, echt ein bisschen überrascht an der Stelle auch.

Speaker1: Aber das, was du gerade eben auch angesprochen hast, das Ganze zu üben,

Speaker1: zu simulieren, ich glaube, das ist einfach der entscheidende Punkt,

Speaker1: weil ich möchte das Bild wieder aufmachen in der Blaulichtwelt zurück.

Speaker1: Du hast Werkzeug, wenn du mit dem Werkzeug weißt, wie du mit umgehst,

Speaker1: wenn du das regelmäßig übst, wenn du das regelmäßig trainierst,

Speaker1: dann kann ich auf die unterschiedlichsten Situationen reagieren.

Speaker1: Am Ende des Tages geht es meiner Meinung nach gar nicht darum zu sagen,

Speaker1: jedes Szenario vorzudenken und vorzuplanen, weil du kannst nicht alle Eventualitäten

Speaker1: vorplanen. Siehe Pandemie.

Speaker1: Für mich war, wir haben damals Pandemiepläne geschieben, wir haben geglaubt,

Speaker1: dass ein Grippevirus sich mal wieder entwickelt.

Speaker1: Wir haben mit sowas wie dem SARS-Coronavirus-2 so einfach damit anzurechnen.

Speaker1: Aber trotzdem Verfahren zu haben, eine Methodik zu haben, wie du solche außergewöhnlichen

Speaker1: Ereignisse, solche Krisen managst, um das dann auf eine Situation anzuwenden,

Speaker1: Du halt so noch nicht gesehen hast. Darum geht es eigentlich.

Speaker1: Das ist dann auch so ein Punkt, den wir bei Q-Skills machen regelmäßig,

Speaker1: dass wir dort in offenen Schulungen

Speaker1: dieses Notfall- und Krisenmanagement speziell für Cybersituationen üben, trainieren

Speaker1: und eben auch mit der Simulation mal durchgehen.

Speaker1: Das heißt, wir schauen uns an, was sind die Handwerkszeuge?

Speaker1: Was muss ich in so einer Situation, was brauche ich da an Handwerkszeug?

Speaker1: Du hast gerade einen Zugriff auf Pläne, aber auch die Frage,

Speaker1: wie ermittle ich Informationen, wie bewerte ich, ob Information richtig ist.

Speaker1: Du hast ja gerade auch ein schönes Beispiel gebracht.

Speaker1: Ist das eine vertrauenswürdige Quelle, auf der ich eine Entscheidung wirklich

Speaker1: begründen kann oder nicht? Das sind handwerkliche Themen.

Speaker1: Ein Zeitstrahl aufzubauen, Handlungsalternativen zu entwickeln.

Speaker1: Und das kann man üben, das kann man trainieren, damit es halt auch Samstag nachts

Speaker1: um drei Uhr mit Restalkohol bei Schneerwegen auch funktioniert.

Speaker0: Genauso. Ja, es ist genau so, wie du sagst.

Speaker0: Ich bin mal gespannt, wie sich das ganze Thema in den USA ganz besonders weiterentwickelt,

Speaker0: gerade was Pandemiepläne angeht.

Speaker0: Ich habe jetzt neulich gelesen, die Masernausrottung ist schon scheinbar nicht

Speaker0: mehr gegeben, teilweise in den USA.

Speaker0: Jetzt schauen wir mal, wie gut das funktioniert mit Robert F.

Speaker0: Kennedy Jr. als Gesundheitsminister.

Speaker0: Man darf gespannt sein.

Speaker1: Ja, mit einer geschwächten Gesundheitsbehörde. Genau.

Speaker0: Und einem Präsidenten, der damals empfohlen hat, Bleichmittel wäre ein gutes Mittel gegen Corona.

Speaker1: Ja, das war damals ein Highlight, ja.

Speaker0: Absolut, ja. Ja, mal so vielleicht aus der Praxis gefragt.

Speaker0: Hast du denn ein Beispiel, wo du sagen kannst, da gab es eine Situation bei

Speaker0: einem Kunden, einen Vorfall, wo Cyber-Resilienz eine größere Krise tatsächlich

Speaker0: auch dann effektiv verhindert hat?

Speaker0: Also ich meine, du solltest jetzt natürlich keine Namen nennen,

Speaker0: aber gibt es da Beispiele dazu?

Speaker1: Viele Beispiele. Es gibt Beispiele auch guter Strategien, die im Hintergrund greifen.

Speaker1: Und häufig ist es so, wenn die Strategie wirklich gut funktioniert,

Speaker1: dann hast du eigentlich gar nicht die Entwicklung der Christensituation,

Speaker1: sondern eher so ein Ups-Ereignis, wo man sagt, oh, das hätte es schiefgehen

Speaker1: können. Das heißt, da gibt es wirklich ganz, ganz viele Unternehmen,

Speaker1: die sich da sehr, sehr gut aufgestellt haben.

Speaker1: Auch Ransomware Recovery, Ransomware Resilience, wo man sagt,

Speaker1: ich habe wirklich gute Rückfallebenen mit Right-Once-Backups,

Speaker1: wo man sagt, ich kann daraus meine Systeme wiederherstellen.

Speaker1: Denn es gibt aber halt auch die Gegenbeispiele, wo man sagt,

Speaker1: Zum zweiten, zum dritten Mal verschlüsselt und dann zum zweiten Mal die Insolvenz erklärt.

Speaker1: Hatte ich im Kundenkreis, die dann zweimal hintereinander über eine Ransombeer-Attacke

Speaker1: in die Insolvenz gerutscht sind.

Speaker1: Das sind dann diese Dinge, wo man sagt, hat man da nichts dazugelernt?

Speaker1: Hat man einfach Pech gehabt?

Speaker1: Das ist am Ende des Tages dann auch schwer manchmal zu beantworten.

Speaker1: Aber was einfach der Kernpunkt ist aus meiner Sicht, du musst Resilience by Design mitbedenken.

Speaker1: Das sind für mich Dinge wie wirklich Alternativen, also wirklich genügend Redundanzen auch aufzubauen.

Speaker1: Bei all dem Thema Cloud trotzdem irgendwo Backup-Kopien in der Hand zu halten,

Speaker1: also durchaus auch physisch Backup-Kopien zu haben, wo ich sage,

Speaker1: daraus kann ich im Zweifelsfall, wenn es mich ganz hart getroffen hat, neu aufbauen.

Speaker1: Das sind eben diese krisenhandwerklichen Themen, die ich brauche,

Speaker1: um die Situation zu steuern

Speaker1: und am Ende des Tages auch so eine Resilienzkultur aufzubauen,

Speaker1: wo ich feststelle, welche Fähigkeiten habe ich eigentlich im Unternehmen,

Speaker1: um mich in solchen Situationen durchzunavigieren.

Speaker1: Das sind für mich Erfahrungswerte. Da habe ich einige Unternehmen gesehen,

Speaker1: einige Unternehmen auch begleiten dürfen, wo wir festgestellt haben,

Speaker1: cool, da funktioniert es.

Speaker1: Wir hatten aber auch die Situation mit einem Kunden. Wir haben ja zwei Szenarien

Speaker1: geübt im Krisenmanagement und beide Szenarien sind tatsächlich eingetroffen.

Speaker1: Wo wir gesagt haben, okay, haben wir es jetzt herbeigerufen quasi.

Speaker1: Das eine war ein physisches Ereignis, ein Brandereignis und das andere war eine

Speaker1: Ransomware-Attacke und beide sind mit einem Zeitversatz von ein paar Wochen

Speaker1: tatsächlich bei denen eingetreten.

Speaker1: Sie konnten, sie managen die Ransomware-Attacke leider nicht ganz so gut wie

Speaker1: das physische Ereignis. Sie sind in der Erholungskurve und ich habe einen Kunden,

Speaker1: bei dem hat es so richtig, richtig, richtig gut funktioniert.

Speaker1: Die hatten wirklich ein Ereignis, ohne vorbereitende Maßnahmen werden die weggewiesen vom Fenster.

Speaker1: Die haben 18 Monate Recovery betrieben, es waren wirklich 18 Monate und sind

Speaker1: aber heute so wieder zurück auf dem Markt, dass auch die Produktionseinbußen,

Speaker1: die Umsatzeinbußen sich jetzt wieder ausgeglichen haben. Das war aber ein jahrelanger Kampf.

Speaker1: Das hat Jahre gedauert, bis sie wirklich wieder auf dem Vorkrisenboot zurück waren.

Speaker1: Aber dadurch, dass die entsprechende Redundanzen aufgebaut haben und auch Verträge

Speaker1: zur Hilfe auf Gegenseitigkeit mit Marktbekladern hatten,

Speaker1: haben die das Ereignis überlebt und sind heute stärker als damals.

Speaker1: Aber darf man nicht verschweigen, es war wirklich ein jahrelanger Kampf.

Speaker0: Ja, das sieht man ja auch bei anderen öffentlich bekannten Beispielen,

Speaker0: wie das Thema bei Südwestfalen IT oder Kreis Anhalt-Bitterfeld.

Speaker0: Das dauert, natürlich dauert das und auch das sollte man niemals unterschätzen,

Speaker0: nur weil man halt das Mögliche getan hat, dass man Backups hat,

Speaker0: dass man halt diese ganzen Dinge getan hat, die halt einfach auch aus den Mindestanforderungen

Speaker0: heraus, aus IT Grundschutz und Co. einfach hervorgehen.

Speaker0: Es ist deswegen jetzt nicht so, dass man innerhalb kürzester Zeit wieder da ist.

Speaker0: Und auch das, ich finde es immer ganz nett, das ist dieses Wunschbild,

Speaker0: wenn wir akzeptierte Ausfallzeiten mit Kunden diskutieren in einem Notfallmanagement.

Speaker0: Dann kommt ganz oft eine Stunde als Aussage.

Speaker0: Da sage ich, puh, finde ich jetzt ein bisschen sportlich, eine Stunde,

Speaker0: lass uns mal vielleicht eher einen Tag draus machen oder eine Woche,

Speaker0: damit wir dann auch wirklich realitätsnah sind, Und weil es ist jetzt auch nicht

Speaker0: der Fall, wenn du jetzt einen Ransomware-Vorfall hast,

Speaker0: dass du innerhalb von zwei Stunden die Leute, die du brauchst,

Speaker0: in einen Triage-Call schon zusammenbekommst und die sind dann auch sofort verfügbar

Speaker0: und bringen eine Heerschar an Technikern mit, die das dann alles auf magische Weise lösen.

Speaker0: Und so wird es ja in der Praxis tatsächlich nicht laufen und so läuft es auch nicht.

Speaker0: Also ich sehe es ja selber, wir sind ja fürs BSI auch im Einsatz über das Cybersicherheitsnetzwerk

Speaker0: und du verbrätst gerne mal auch ein, zwei Tage, bis du überhaupt soweit bist zu verstehen.

Speaker0: Was ist denn eigentlich die Situation des Kunden, weil sich halt eben vorher

Speaker0: keiner mit dem Thema Resilienz beschäftigt hat.

Speaker0: Es gibt keine Dokumentation, es gibt keine Pläne, es gibt auch keine Übersicht.

Speaker0: Du fängst ja dann wirklich bei Null an. Also du baust halt on the fly sozusagen

Speaker0: dein Resilienzdokument auf, in irgendeiner Form, damit du zumindest überhaupt

Speaker0: mal die Gesamtsituation greifen kannst.

Speaker1: Deswegen nochmal am Ende des Tages ist für

Speaker1: mich Resilienz unterschiedliche Handlungsprinzipien, taktische Varianten,

Speaker1: das Beherrschen von deinen handwerklichen Grundlagen, um sie dann auf die unbekannte

Speaker1: Situation anzuwenden. Da bin ich wieder komplett in der Blaulichtwelt.

Speaker1: Für mich ist das wirklich ein Rollwall für Resilienzprinzipien,

Speaker1: auch das Militär übrigens.

Speaker1: Viele Dinge kommen ja aus dem militärischen Umfeld.

Speaker1: Am Ende des Tages habe ich vielleicht

Speaker1: ein schickes, tolles Dokument mit vielen, vielen, vielen Seiten.

Speaker1: Auditorenfreundlich aufbereitet. Auditoren sagen, geil, ob es dann funktioniert

Speaker1: in der Praxis. Da ist manchmal der One-Page-Jetre deutlich mehr wert.

Speaker1: Du kannst als Unternehmen Situationen überleben. Wehtut es trotzdem.

Speaker1: Und weil du jetzt auch sagst, RTO, eine Stunde. Ja, das klingt alles immer in

Speaker1: der Theorie, klingt das super gut.

Speaker1: Aber die Frage ist, hast du diese schönen Wetterkonditionen,

Speaker1: für die häufig diese Pläne geschrieben sind?

Speaker1: Ich muss den Plan eigentlich für die Schlechtwetterkonditionen schalten und

Speaker1: davon ausgehen, dass viele Dinge halt in dem Moment nicht so funktionieren.

Speaker1: Es scheitert an Kleinigkeiten häufig. Ja, das hat jetzt genau,

Speaker1: also wir hatten das Thema mal Recovery Test beim Kunden,

Speaker1: wunderbar, hat auch funktioniert innerhalb des Zeitfensters und dann fehlt aber

Speaker1: irgendeine Liste mit irgendwelchen Buchungsnummern und die lag aber auf dem

Speaker1: Desktop von der betroffenen Person,

Speaker1: weil man dann manchmal sagt, okay, schade.

Speaker1: Weil das System, wer daran arbeiten kann, die Person überleitet trotzdem nicht.

Speaker0: Naja, ganz klar. Und auch die What-Could-Possibly-Go-Wrong-Denke halt nicht

Speaker0: nur so weit im Vorfeld, bevor es passiert, sondern auch während der ganzen Situation.

Speaker0: Wir hatten tatsächlich auch genau so einen Fall, wo der Kunde sein komplettes

Speaker0: Produktiv-Storage getötet hat.

Speaker0: Also da konnte er wahrscheinlich nicht mal selber wirklich viel dafür.

Speaker0: Aber Fakt ist, Produktivdaten waren alle weg.

Speaker0: Das waren mehrere Terabyte an Daten, die jetzt verschwunden sind.

Speaker0: Dann war die Frage, okay, wo ist denn das Backup? Ja, das ist in Nürnberg.

Speaker0: Wir waren zu dem Zeitpunkt 60 Kilometer, 50 Kilometer weg von Nürnberg.

Speaker0: Erste Idee, wir fahren dahin, schrauben das Ganze, also das war physikalisches

Speaker0: Hosting von dem Backup-Storage, wir schrauben es raus aus dem Rack,

Speaker0: fahren die Daten rüber, dann haben wir sie wieder. So, dann musst du aber sagen, halt Stopp.

Speaker0: Genau bei dieser Fahrt, das sind die letzten Daten, die wir noch haben,

Speaker0: genau bei der Fahrt fährt mir einer ins Auto, das ist ein Tanklaster,

Speaker0: der kippt um, es läuft alles aus und dann gibt es noch eine Funkenbildung und

Speaker0: dann brennt mir alles ab.

Speaker0: Dann war es das, dann habe ich überhaupt nichts mehr. Also lasst die Daten mal

Speaker0: da, wo sie sind. Wir versuchen das übers Netzwerk rüber zu kopieren.

Speaker0: Wie schnell ist die Internetanbindung? 100 Mbit.

Speaker0: Könnte lang dauern. So, Frage an den Provider.

Speaker0: Kannst du uns temporär mehr Performance geben? Provider, cool wie er war,

Speaker0: gesagt, hey, kein Problem, ich schalte euch da Darkfiber Gigabit Link durch.

Speaker0: Die hatten tatsächlich die Glasfaser von dem direkt im Haus liegen.

Speaker0: Hat immer noch gedauert. Also am Ende des Tages waren das trotzdem noch fast

Speaker0: 35 Stunden, die es gedauert hat, bis die ganzen Systeme rüberkopiert waren.

Speaker0: Aber lieber so, als das Risiko zu akzeptieren, dass genau auf dieser einen Fahrt,

Speaker0: wo nichts schiefgehen darf, genau dann wird was schiefgehen.

Speaker1: Und das ist für mich so ein Punkt. Für mich ist Recovery dann beendet,

Speaker1: wenn ich auch alle Redundanzen wieder habe.

Speaker1: Für die Zeit dazwischen bin ich immer noch in einem Notbetrieb,

Speaker1: wo ich extrem vulnerable bin.

Speaker1: Das darf man bei den Geschichten, also gerade im Recovery Management,

Speaker1: im BCM, nicht unterschätzen.

Speaker1: Nur wieder online zu sein, sagt noch nichts. Ich muss meine Redundanzen wieder aufbauen.

Speaker1: Ich muss die Möglichkeit haben, das nächste Ereignis, das mit Sicherheit kommt,

Speaker1: dann wiederum überstehen zu können.

Speaker1: Weil nichts ist schlimmer, als wenn du im Unternehmen gerade schon im Stress

Speaker1: bist, weil du bist gerade recovered worden und im Stress klickt doch irgendjemand

Speaker1: jetzt wirklich auf so eine bescheuerte E-Mail drauf und zack,

Speaker1: erwischte ich nämlich in der Stresssituation noch das nächste Thema.

Speaker1: Und das ist das, wie sich dann viele Heidel-Sylvaner schießen damit.

Speaker0: Ganz genau das. Ja, wie gesagt, die Blaulichtwelt würde da bei der Denkweise

Speaker0: vielen Leuten weiterhelfen.

Speaker0: Du ziehst das natürlich komplett durch, wenn man auf deiner Webseite guckt.

Speaker0: Du stehst auch gerne mal in Feuerwehrautfit auf der Bühne und hältst Vorträge.

Speaker0: Selbst auf deinem LinkedIn-Bild hast du eine Feuerwehrkleidung an.

Speaker0: Das ist irgendwie ein Katastrophenschutzraum, was ich da so im Hintergrund...

Speaker1: Das war ein Einsatz tatsächlich.

Speaker0: Also finde ich cool tatsächlich, dass du das auch so transportierst,

Speaker0: weil natürlich die Bildsprache deiner Person auf der Bühne in dem Moment bei

Speaker0: Vorträgen das Ganze nochmal schön untermauert.

Speaker0: Und dadurch wird es natürlich noch wesentlich authentischer,

Speaker0: weil man halt nicht nur darüber erzählt, dass man bei der Feuerwehr ist,

Speaker0: sondern auch tatsächlich als der Feuerwehrmann quasi auftritt.

Speaker0: Deswegen sagte ich auch einleitend das Thema Bühnenpräsenz. Du ziehst das ja richtig durch.

Speaker0: Also da bin ich noch meilenweit davon entfernt, was du da so an Vorträgen hältst

Speaker0: und wie du das Ganze auch aufgebaut hast. Ich finde das absolut cool.

Speaker0: Ich bin noch am Anfang für das Thema, auf Konferenzen zu sprechen.

Speaker0: Aber ich finde es schön, dass du das so aufbereitet hast und dich selber damit

Speaker0: auch zu einer Marke gemacht hast.

Speaker1: Danke dir. Ja gut, für mich geht es halt darum,

Speaker1: Ich meine, das ist immer auch eine Gratwanderung. Wo wird es zur Maskerade?

Speaker1: Wo verschreckt mir vielleicht auch manchmal das Publikum eher,

Speaker1: als dass man Nähe aufbaut?

Speaker1: Und auf der anderen Seite geht es für mich halt einfach um Authentizität.

Speaker1: Ich sage, ich mache das jetzt seit, also im Ehrenamt seit 36 Jahren.

Speaker1: Ich habe über 17 Jahre Hauptberuf halt einige Dinge auch gesehen und erlebt,

Speaker1: wo ich heute sage, die prägen mich als Person, aber die prägen auch das Resilience Operations Center.

Speaker1: Weil für das Resilience Operations Center ist tatsächlich eine Voto-Flightstelle

Speaker1: eigentlich die Pause gewesen.

Speaker1: Da ist ganz, ganz viel an Gedanken gut mit eingeflossen.

Speaker1: Und wir haben auch Kollegen, Kolleginnen, die da auch eine gewisse Nähe haben,

Speaker1: die dann einfach auch sagen, ich komme da und ich will da mitarbeiten.

Speaker1: Für mich ist einfach der Punkt, das bin ich.

Speaker1: Ich bin halt auf der einen Seite in dieser Management-System-ISO-Cyber-Security-BCM-Resilience-Feld

Speaker1: unterwegs und trage da auch durchaus einen Anzug.

Speaker1: Also du bist Säuge, ich habe heute einen Anzug an.

Speaker0: Ich habe dich auch schon live mit Anzug gesehen.

Speaker1: Du hast mich auch live schon mit Anzug gesehen. Ich bin aber halt auch dann

Speaker1: draußen unterwegs, wenn der Melder geht und fahre da raus und steht dann,

Speaker1: keine Ahnung, beim Brand, beim Hochwasser, bei sonst irgendwas.

Speaker1: Für mich ist das kein Widerspruch, es ist beides. Und deswegen will ich diese

Speaker1: beiden Welten zumindest in der Sprache, in den Beispielen auch versuchen,

Speaker1: mehr zusammenzubringen.

Speaker1: Weil ich glaube, das ist halt meine persönliche Überzeugung,

Speaker1: wir brauchen ein bisschen was von dieser Hands-on-Mentalität,

Speaker1: die die Blaulichtwelt hat.

Speaker0: Da gebe ich dir absolut recht. Und ich glaube, das würde vielen Unternehmen

Speaker0: tatsächlich auch an der Stelle weiterhelfen.

Speaker0: Wir beide haben uns ja auf dem Security Summit von der Q-Skills kennengelernt,

Speaker0: letztes Jahr in Nürnberg.

Speaker0: Das findet ja immer einen Tag vor der Itza statt.

Speaker0: Ich werde da auch natürlich die Links entsprechend unten die Show Notes mit

Speaker0: reinschmeißen. Da könnt ihr euch dann auch noch anmelden.

Speaker0: Es gibt glaube ich sogar aktuell noch Early-Bird-Tickets. Da könnt ihr mal gucken,

Speaker0: ob es da vergünstigte Eintrittskarten gibt. Es lohnt sich auf jeden Fall da hinzugehen.

Speaker0: Kommt sehr viel Fachwissen an einem Tag zusammen. Gibt auch eine schöne Abendveranstaltung.

Speaker0: Also das lohnt sich definitiv.

Speaker0: Ansonsten kann man dich ja aber auch, das hatten wir ja auch vorhin schon mal

Speaker0: gehört, als Trainer bei der Q-Skills

Speaker0: erleben für die verschiedenen Standardisierungen und Zertifizierungen.

Speaker0: Also du machst zum Thema ISO, du machst BCM, Information Security,

Speaker0: Auditorenausbildung und so weiter.

Speaker0: Das heißt, da kann man dich natürlich dann auch in echt und in Farbe tatsächlich

Speaker0: mal erleben bei so einem Training.

Speaker0: Auch das verlinke ich natürlich gerne unten dann in den Shownotes.

Speaker0: Ja, Uwe, mal noch so eine Frage in Richtung Zukunftsperspektive.

Speaker0: Glaubst du denn, dass dieses ganze Thema Cyber-Resilienz durch aktuelle Technologien

Speaker0: wie eben künstliche Intelligenzen, agentenbasierte Lösungen,

Speaker0: wie wir es hier auch im Interview beim Asam Stefanski schon mal gehört haben,

Speaker0: dass das uns jetzt tatsächlich dann weiterbringt?

Speaker0: Ist das jetzt der Way to go oder ist das nur ein weiteres Heligan-Tool,

Speaker0: was die Leute dann in ihrem Schrank haben?

Speaker1: Ist, glaube ich, nicht schwarz-weiß-01 zu beantworten, sondern auch da wahrscheinlich

Speaker1: eine Frage, wo in diesem, ich vergleiche es manchmal mit dem Mischpult, ja,

Speaker1: Wie weit drehe ich den Regler auf quasi? Es gibt gute Ansätze,

Speaker1: zum Beispiel so Continuous Auditing, wo ich auch KI-basiert mir entsprechende

Speaker1: Audit-Logs zum Beispiel ziehe und die dann aufbereite, um sie für irgendwelche

Speaker1: Audits, irgendwelche Überprüfungen zur Verfügung zu stellen.

Speaker1: Ich glaube, dass wir Technologie brauchen, um Security, aber auch Resilience

Speaker1: verstärkt als Code auszurollen in unsere Infrastrukturen.

Speaker1: Ich bin auch der Meinung, wir brauchen Technologie und auch KI-Lösungen,

Speaker1: vor allem für den Umgang mit der Masse und Informationen,

Speaker1: also im Event-Management, im verdichtenden Korrelieren, im Verstehen,

Speaker1: was passiert da um mich herum.

Speaker1: Aber immer aus meiner Sicht wiederum als Ergänzung zum Faktor Mensch.

Speaker1: Auch wieder verglichen jetzt mit der Feuerwehrwelt, auch da zieht Technologie ein.

Speaker1: Du hast relativ viele Möglichkeiten mit Drohnentechnik, auch mit KI-Technik

Speaker1: mittlerweile, gibt es die Vorhersagen zu treffen.

Speaker1: Und dann ist aber immer nochmal, glaube ich, der Faktor Mensch gefragt,

Speaker1: um einfach zu schauen, passt das jetzt?

Speaker1: Und gerade manchmal, ich weiß nicht, wie es dir da geht, Alexander,

Speaker1: wenn du draußen unterwegs bist oder unterwegs warst mit dem THW,

Speaker1: manchmal entscheidet das Bauchgefühl.

Speaker1: Ja, natürlich. Weil man halt einfach dieses Bauchgefühl als Mensch entwickelt

Speaker1: und so sagt, passt das jetzt oder passt das nicht?

Speaker1: Und deswegen ist für mich immer im Mix, wir brauchen technologische Unterstützung

Speaker1: definitiv, aber immer gepaart nochmal mit dem menschlichen Verstand und mit

Speaker1: dem menschlichen Gefühl.

Speaker1: Und deswegen in der Zukunftsperspektive wird für mich auch das Resilience Operations

Speaker1: Center immer den Faktor Mensch haben und immer einen direkten Kontakt haben zum Kunden.

Speaker1: Aber auch wir arbeiten natürlich hochgradig an technologischer Unterstützung,

Speaker1: einfach um mit der Masse an Themen irgendwie klarzukommen.

Speaker0: Ja, so ein Einsatzleitstellenfahrzeug ist mittlerweile ja auch eine fahrende IT-Zentrale geworden.

Speaker0: Ich habe das beim letzten Tag der offenen Tür hier bei der Berufsfeuerwehr in Regensburg gesehen.

Speaker0: Das ist schon cool. Also ich muss ehrlich gestehen, ich bin ein bisschen neidisch.

Speaker0: Ich hätte gern so ein Fahrzeug.

Speaker0: Genau das so mit allem Drum und Dran und einer Markise, damit man sich davor

Speaker0: draußen auch hinsetzen kann. Also das wäre schon genau das Richtige.

Speaker0: Und ich kenne tatsächlich Leute, die sich für ihren beruflichen Alltag so nicht

Speaker0: ganz so extrem ausgeprägt, aber auf Wohnmobilbasis sowas gebaut haben.

Speaker0: Weil letzten Endes ist ja das Schöne an unserem Job, wo wir sind,

Speaker0: ist eigentlich völlig wurscht.

Speaker0: Hauptsache wir sind verfügbar, wenn man uns braucht.

Speaker0: Und das ist schon eine coole Sache, definitiv.

Speaker1: Ja, so einen schönen ELW2 würde ich mir ehrlicherweise auch wünschen,

Speaker1: ja, aber das ist in der Praxis für uns, es wäre ein nettes Gimmick,

Speaker1: aber es ist nicht unbedingt, jetzt nicht unbedingt notwendig,

Speaker1: weil viele Dinge du halt auf einem Waptop mitnehmen kannst.

Speaker1: Selbst wenn man zum Kunden rausfährt, weil man den Kunden jetzt persönlich betreuen

Speaker1: will in einer Krisensituation.

Speaker1: Aber gefallen wird es mir schon auch.

Speaker0: Absolut, ja. Ja gut, wir werden sehen, was die Zeit bringt.

Speaker0: Letzten Endes, momentan kann man relativ wenig in die Zukunft schauen.

Speaker0: Also ich finde, gerade durch die politische Lage ist die Glaskugel etwas arg getrübt.

Speaker0: Dinge, die wir letztes Jahr noch als Way to Go empfohlen haben,

Speaker0: muss man heute einfach mehrmals drehen.

Speaker0: Und am Ende kommt natürlich noch die Europa- und Deutschland-Politik mit ins

Speaker0: Spiel, wo man sich dann halt auch einfach mal abwarten muss.

Speaker0: Was wird denn letzten Endes jetzt eine Empfehlung sein?

Speaker0: Was ich schwierig finde aus politischer Sicht ist, dass auf der einen Seite

Speaker0: die Warnungen vor US- und China-Technologien kommen, aber auf der anderen Seite

Speaker0: Dinge aus diesen Bereichen,

Speaker0: gerade für Strafermittlung, eingeführt werden.

Speaker0: Finde ich persönlich ernsthaftes Problem und das kann man auch zum Beispiel,

Speaker0: wer dem Manuel Artuk auf LinkedIn folgt, der wird das regelmäßig dort lesen,

Speaker0: in welche Richtung sich das da entwickelt.

Speaker0: Der Chaos Computer Club hat sich auch schon ausgesprochen dafür,

Speaker0: dass das bitte nicht gemacht wird.

Speaker0: Was tatsächlich am Ende passiert, werden wir alle erleben.

Speaker0: Ich fürchte halt so ein bisschen, dass wir einfach hier mal wieder mit zweierlei

Speaker0: Maß messen und das ist halt nicht nur unfair, sondern halt auch nochmal ein gewaltiges Risiko.

Speaker1: Ja, es ist immer die Frage, was wird kommuniziert und auch bewusst verbreitende

Speaker1: Informationen und was passiert dann letztendlich im Untergrund doch,

Speaker1: sagen wir mal, verhandlungstechnisch und in welchen Situationen wird welche

Speaker1: Technologie eingesetzt.

Speaker1: Ich glaube, da muss man meiner Meinung nach ein bisschen Abstand einfach nehmen

Speaker1: zu dem, was momentan allgemein in den Medien zu lesen ist.

Speaker1: Das liegt auch nicht alleine jetzt an den Medien, sondern es liegt einfach auch

Speaker1: an der Frage, welche Botschaften gestreut werden und was man da gerne lesen wollen würde.

Speaker1: Ich glaube, persönlich, manchmal tut uns ein bisschen Gelassenheit an der Stelle gut.

Speaker1: Und einfach auch mal zu sagen, okay, jetzt hat mal jemand diese Glaskugel ordentlich

Speaker1: durchgeschüttelt, der Schnee wird sich auch wieder nach unten setzen.

Speaker1: Meiner Meinung nach, und das ist auch wiederum so ein Lernthema aus der Blaulichtwelt

Speaker1: nicht auf jedes Ding drauf zu springen und erstmal zu gucken,

Speaker1: okay bleib ruhig, sammle dich, heißt es so schön in der Feuerwehrwelt stehe still und sammle dich

Speaker1: und erstmal zu sagen, okay, alles klar was ist wirklich das Faktum dahinter und was tue ich damit Ja,

Speaker0: Ganz klar, es wird nichts so heiß gegessen, wie es gekocht wird das ist das

Speaker0: eine, es ist momentan auch Da ist leider sehr viel Polemik im Spiel bei diesen ganzen Dingen.

Speaker0: Ansonsten wäre das ja so, wie wenn du sagen würdest, du willst von Nürnberg nach München fahren.

Speaker0: Aber auf der A9 könnte Stau entstehen. Deswegen fahre ich gleich erst mal gar

Speaker0: nicht los. Du guckst ja auch erst, ob Stau ist, wenn du losfährst.

Speaker0: Und nichts anderes ist es an der Stelle. Aber ich glaube, das Thema mit ruhig

Speaker0: bleiben, stehe still und sammel dich, finde ich, ist tatsächlich eine fantastische Botschaft.

Speaker0: Ich frage ja am Ende der Interviews, ob du noch eine abschließende Botschaft

Speaker0: hast. Also wenn ich es mir aussuchen könnte, würde ich genau die tatsächlich

Speaker0: dafür nehmen, außer du hättest noch eine andere.

Speaker1: Nee, sehr, sehr egal. Also ich glaube, das ist für mich wirklich das Thema im Resilienzmanagement,

Speaker1: dass man einfach eine gewisse Ruhe bewahrt und sich davon verabschiedet,

Speaker1: die richtige Entscheidung zu treffen, sondern einfach zu sagen,

Speaker1: ich treffe jetzt die bestmögliche Entscheidung und das aus einer gewissen Ruhe heraus,

Speaker1: aus einem gewissen, wie soll ich sagen, Überblick heraus. aus.

Speaker1: Deswegen stehe still und sammle dich.

Speaker0: Fantastisch.

Speaker1: Das ist, glaube ich, eine schöne Schlussfolgschaft.

Speaker0: Fantastisch. Uwe, es war mir ein unglaubliches Vergnügen.

Speaker1: Mit dir heute mir auch. Ich danke dir.

Speaker0: Das war richtig schön, hat wirklich Spaß gemacht und mir hat auch tatsächlich

Speaker0: gefallen, wie viel praxisnah Anteile da mit dabei waren.

Speaker0: Ja, wie gesagt, wenn euch das Ganze auch gefallen hat, dann schaut auf jeden

Speaker0: Fall mal unten in die Shownotes.

Speaker0: Da findet ihr auch entsprechend die Links zu Uwe und zu seinem Unternehmen,

Speaker0: zu den Kursen bei der Q-Skills und so weiter und so fort.

Speaker0: Und dann würde ich sagen, hören wir uns beim nächsten Mal hier in 14 Tagen bei BlueScreen.

Speaker0: Und ja, natürlich wie immer liked uns, wo man uns liken kann.

Speaker0: Lasst gern auch einen Kommentar da.

Speaker0: Nutzt die Möglichkeiten über Speakpipe uns auch eine Sprachnachricht zukommen zu lassen.

Speaker0: Und falls ihr das Ganze auf YouTube jetzt gerade gehört habt,

Speaker0: nicht vergessen, die Glocke zu aktivieren.

Speaker0: Uwe, ich danke dir für deine Zeit. Und dann sehen wir uns allerspätestens beim

Speaker0: Security Summit der Q-Skills im Herbst.

Speaker1: Ich danke dir und ich freue mich drauf.

Speaker0: Bis dann. Ciao.

Music: