110: Zwischen Recht und Risiko: - Wie Cybersecurity zur geopolitischen Waffe wurde. Mit Prof. Dr. Kipker (CII)

Speaker1: Hi und herzlich willkommen zu einer weiteren Folge von Blue Screen,

Speaker1: eurem Lieblings-Tech-Podcast, der IT-Vente-VG.

Speaker1: Ich bin wie immer Alex und ich hatte ja in der letzten Folge mit dem Marco schon

Speaker1: angekündigt, dass wir heute einen besonderen Gast für euch dabei haben.

Speaker1: Ich unterhalte mich heute mit Prof. Dr.

Speaker1: Dennis Kenji-Kipka zu dem Thema Zwischen Recht und Risiko, wie Cyber Security

Speaker1: zur geopolitischen Waffe wurde.

Speaker1: Blue Screen, der Tech-Podcast.

Speaker1: Und bevor es hier in der Folge so richtig losgeht, eine kleine redaktionelle Anmerkung.

Speaker1: Der Dennis und ich, wir hauen ziemlich oft Ausfall bei Amazon ein.

Speaker1: Und das ist natürlich nicht falsch, weil das ist definitiv ein wichtiges Thema gewesen.

Speaker1: Zwischenzeitlich ist aber bei Cloudflare auch einiges passiert.

Speaker1: Das haben wahrscheinlich alle mitbekommen.

Speaker1: Und ich möchte deswegen hier kurz darauf hinweisen, dass das,

Speaker1: was wir über AWS sprechen, auch exemplarisch für Cloudflare oder auch für Crowdstrike

Speaker1: seinerzeit zu sehen ist.

Speaker1: Denn je weniger dezentraler Infrastruktur die Unternehmen und die Nutzer verwenden,

Speaker1: umso größer ist natürlich das Risiko am Ende des Tages, dass dann aufgrund von

Speaker1: zentralisierten Lösungen einfach auch natürlich die Ausfälle wesentlich mehr

Speaker1: wehtun. So und jetzt viel Spaß wirklich bei dieser Folge.

Speaker1: Ja, und der Dennis, der ist bekannt aus Funk und Fernsehen, wie meine Oma immer früher gesagt hat.

Speaker1: Es gibt, glaube ich, kaum eine Chance, ihn nicht irgendwo auf LinkedIn oder

Speaker1: auf einem anderen IT- und Tech-Kanal mal zu sehen oder zu lesen. Kommt gut rum.

Speaker1: Der hat auch zusammen mit dem Manuel Artuk, der ja hier in Folge 104 schon gewesen

Speaker1: ist, einiges zu tun, gerade mit der AG Kritis.

Speaker1: Und ja, Dennis, es freut mich unglaublich, dass du dir heute die Zeit nehmen

Speaker1: konntest. Du bist viel unterwegs.

Speaker1: Erzähl doch mal ein bisschen was zu dir. Wer bist du? Was machst du?

Speaker1: Und warum kommst du so viel rum?

Speaker0: Ja, ganz herzlichen Dank erstmal, Alec, für die Möglichkeit,

Speaker0: hier heute sein zu können. Danke für die Einladung in den Podcast.

Speaker0: Also ich glaube, wir sind beide aus demselben Grund hier, nämlich es geht um

Speaker0: Cybersicherheit. Es geht um digitale Resilienz.

Speaker0: Und ich kann ja einfach mal vorab ein, zwei Worte zu mir sagen,

Speaker0: wozu du dich auch schon eingeladen hast.

Speaker0: Also ich komme ursprünglich mal aus dem Bereich des technischen Datenschutzes

Speaker0: raus. Das ist jetzt mittlerweile schon 15 Jahre her, als man wirklich noch gesagt

Speaker0: hatte, Cyber Security, das sind irgendwie so technisch-organisatorische Maßnahmen.

Speaker0: Ja, und heutzutage ist das natürlich ein ganz anderes Themenfeld,

Speaker0: auch ein hochpolitisches Themenfeld mittlerweile geworden.

Speaker0: Ich habe dann damals in meinem Rahmen eines Forschungsprojekts vom Bundesforschungsministerium

Speaker0: die erste Umsetzung in Deutschland von der ersten Kritis-Gesetzgebung betreut

Speaker0: und damals waren natürlich mit dem ersten IT-Sicherheitsgesetz noch sehr,

Speaker0: sehr viele Betreiber extrem verunsichert, was jetzt irgendwie Stand der Technik

Speaker0: bedeutet und manche haben auch gesagt.

Speaker0: Dass sie überhaupt nicht einsehen, warum wir jetzt irgendwie noch in Sachen

Speaker0: Cyber Security noch mehr Regulierung bekommen, noch mehr Pflichten bekommen.

Speaker0: Ich glaube, heutzutage jetzt im Jahr 2025, zehn Jahre später,

Speaker0: braucht man darüber nicht mehr debattieren, zumindest nicht an der Stelle.

Speaker0: Ja, und dann habe ich halt diese gesamte Entwicklung begleitet,

Speaker0: auch regulatorisch vom ersten IT-Sicherheitsgesetz kommend, so über die erste NIS-Richtlinie.

Speaker0: Dann kam ja irgendwann 2021 ein zweites IT-Sicherheitsgesetz.

Speaker0: Und jetzt wurde ja vor wenigen Tagen, beziehungsweise gestern ja eigentlich schon,

Speaker0: die NIST-2-Umsetzung in Deutschland dankenswerterweise jetzt auch knapp ein

Speaker0: Jahr nach der eigentlichen Deadline verabschiedet, das heißt,

Speaker0: wir bekommen NIST-2 und da dreht sich natürlich sehr, sehr viel einerseits drum, aber andererseits,

Speaker0: da komme ich auch so lange zum Ende dessen, was ich eigentlich mache.

Speaker0: Sehen wir natürlich auch, dass ich kann noch so viel über sichere Produkte,

Speaker0: sichere Prozesse sprechen, wenn ich keine sicheren Produkte habe,

Speaker0: dann hilft es mir an der Stelle nicht wirklich weiter und wir sehen ja eben

Speaker0: immer mehr, dass auch Cyberangriffe deswegen erfolgreich sind,

Speaker0: nicht weil jetzt ein Endunternehmen immer nur angegriffen wird,

Speaker0: auch aber nicht immer nur,

Speaker0: sondern weil eben auch vielfach Dienstleister, Auftragsverarbeiter oder einfach

Speaker0: Softwareprodukte, die in den Unternehmen eingesetzt werden, nicht sicher sind.

Speaker0: Und das adressiert natürlich unter anderem der Cyber Resilience Act.

Speaker0: Und was wir eben somit sehen und was eben so ein bisschen auch meine bisherige

Speaker0: Entwicklung so geprägt hat, ist dieser Weg, aus einem sehr, sehr speziellen

Speaker0: Gebiet herauszukommen, wo sich irgendwie vor 15 Jahren nur die wenigsten,

Speaker0: sag ich mal, interessiert haben,

Speaker0: dass sich jetzt irgendwie so zu einer allgemeinen Daueraufgabe entwickelt hat.

Speaker0: Und das ist ja auch das, was ich sehe und wo ich meine Forschung dran ausrichte.

Speaker0: Das heißt, es ist nicht nur Cyber Security, sondern digitale Resilienz mittlerweile geworden.

Speaker0: Das ist eben auch einer der Gründe, warum ich zusammen mit einigen Kolleginnen

Speaker0: und Kollegen letztes Jahr das Cyber Intelligence Institute in Frankfurt gegründet

Speaker0: habe, was eben genau diese Aufgabe hat, ganzheitliche, gesellschaftliche,

Speaker0: digitale Resilienz umzusetzen, die sich eben durch Wirtschaft,

Speaker0: Wissenschaft, Politik bis in die Zivilgesellschaft hinein erstreckt.

Speaker0: So viel vielleicht ein ganz kurzer Abriss zu dem, was ich mache.

Speaker1: Ja, vielen Dank. Ich finde es auch immer sehr beeindruckend,

Speaker1: wie viele Themen du dir gleichzeitig draufschaufelst.

Speaker1: Also du erzählst ja jetzt auch zuletzt auf der ITSA, du hast bei uns auf der

Speaker1: Veranstaltung letztes Jahr schon auch gesprochen und du hast auch in Regensburg

Speaker1: auf dem Cyber Security Veranstaltung vom Security Cluster Regensburg gesprochen.

Speaker1: Man könnte ja meinen, irgendwann ist es doch mal gut. Also du bist ja im Prinzip

Speaker1: wie so ein Mensch an der Klagemauer.

Speaker1: Du erzählst jeden Tag die gleiche Story und die Leute kapieren es halt scheinbar

Speaker1: nicht oder wollen es nicht kapieren oder stecken halt den Kopf in den Sand.

Speaker1: Das ist das Schwierige dabei.

Speaker1: Und denk mir, weil du gerade gesagt hast, gestern Endes 2, also zur zeitlichen

Speaker1: Einordnung, wir nehmen heute am 14.11.

Speaker1: Auf, wenn jetzt irgendwas zwischenzeitlich passiert, was wir nicht wissen oder wissen können.

Speaker1: Wir haben keine Glaskugel und deswegen seht es uns bitte nach.

Speaker1: Aber nichtsdestotrotz, as we speak, Ludwigshafen ist offline.

Speaker1: Also Ludwigshafen, die Stadtverwaltung, hat genau so einen Vorfall.

Speaker1: Scheinbar gerade, also ich habe jetzt keine Details dazu, was da genau die Ursache

Speaker1: war, aber Punkt ist, die sind gerade nicht in der Lage zu arbeiten.

Speaker1: Und das sind natürlich solche Sachen, Stadtverwaltungen, ja,

Speaker1: ist auch kritische Infrastruktur, habe ich auch mit Manuel drüber geredet in

Speaker1: Folge 104 und das sind halt schon Probleme, weil jetzt kann auf einmal vielleicht

Speaker1: kein Bürgergeld bezahlt werden,

Speaker1: jetzt kann keine Gewerbesteuer eingetrieben werden und das sind alles so Punkte,

Speaker1: die natürlich eine Stadtkasse relativ schnell leer werden lassen.

Speaker1: Insofern sollte man natürlich da schon auch als kritische Infrastruktur oder

Speaker1: Betreiber von kritischen Diensten, die ja durch die NIST 2 adressiert werden,

Speaker1: da sein möglichstes Ton.

Speaker1: Und ich finde es halt einfach auch immer traurig, wenn man Unternehmen berät

Speaker1: wie wir und sagt, pass auf, hier, hier, hier, hast du ein Problem, bitte mach das.

Speaker1: Und ich gucke täglich so über aktuelle Breaches drüber, was ist gerade so aktuell

Speaker1: passiert, wer ist gerade wieder geleakt worden und dann sehe ich halt Unternehmen,

Speaker1: die ich vor einem halben Jahr beraten habe, auch auf der Liste und dann rufst

Speaker1: du da an und sagst, hey, kann ich helfen?

Speaker1: Ja, nee, hier ist gerade wirklich Land unter, also am liebsten würden wir die

Speaker1: Firma gerade abfackeln, dann wäre es eine Warmsanierung, dann hätten wir es

Speaker1: hinter uns und das ist halt genau der Punkt.

Speaker1: Also man kann es nicht oft genug sagen, in der Hoffnung, dass es dann doch mal

Speaker1: irgendwann in die Köpfe von den Leuten reinkommt, dass man sich da halt darum kümmern muss.

Speaker1: Du hast gerade einen ganz wichtigen anderen Begriff schon gesagt,

Speaker1: Resilienz, deswegen auch der Titel zwischen Recht und Risiko,

Speaker1: wie Cyber Security zur geopolitischen Waffe wurde.

Speaker1: Ja, wir sind abhängig von vielen US-Clouds und wenn dann halt ein Donald Trump sagt,

Speaker1: hier, Europa hat jetzt keinen Zugriff mehr auf ChatGPT, OpenAI und ich kenne

Speaker1: sehr viele Unternehmen, die da wirklich ihr ganzes Business dran aufhängen,

Speaker1: dann hast du ein Problem, wenn du dich nicht mit einer Alternative beschäftigt hast vorher.

Speaker1: Das ist schon eine geopolitische Waffe, weil man natürlich da die Klinge am Hals hat.

Speaker0: Zu Stimmung. Also ich erzähle das ja auch an allen Ecken und Kanten.

Speaker0: Also dieses Problem, was wir jetzt gerade diskutieren, was wir eigentlich ja

Speaker0: intensivst auch medial begleitet, seit Januar dieses Jahres diskutieren,

Speaker0: das ist ein Problem, wo wir eigentlich schon vor 25 Jahren theoretisch hätten

Speaker0: darüber sprechen können.

Speaker0: Und das erzähle ich eben teilweise auch in meinen Keynote-Vorträgen,

Speaker0: weil wenn wir einfach mal daran denken an die Schrems-Entscheidung,

Speaker0: ja, also wo der EuGH die Angemessenheitsbeschlüsse zum Datenschutz zwischen

Speaker0: den Vereinigten Staaten und Europa, die transatlantischen Datenschutzabkommen

Speaker0: gekippt hat, da haben wir ja schon gesehen,

Speaker0: dass wir digital unsouverän sind.

Speaker0: Also wenn wir einfach mal in das Jahr 2015 zu denken und da gab es ja noch nicht

Speaker0: mal so wahnsinnig viele Cloud-Dienste, wie wir sie heute verwenden,

Speaker0: was beispielsweise Software as a Service angeht,

Speaker0: da hat das auch schon dazu geführt, dass quasi von einem Tag auf den anderen

Speaker0: ein erheblicher Teil der Rechtsgrundlage für die transatlantische Datenübermittlung

Speaker0: personenbezogener Daten aus der Europäischen Union in die USA entfallen ist

Speaker0: und die Europäische Kommission von einem Tag auf den anderen unter einem erheblichen

Speaker0: politischen Druckstand auch innenpolitisch,

Speaker0: wirtschaftspolitisch zu sagen, wir müssen jetzt so schnell wie möglich irgendwie

Speaker0: ein neues Abkommen hinkriegen, damit wir eben weiter Daten ermitteln können, weil das Resultat war.

Speaker0: Dass eben die Unternehmen gesagt haben, ja, so what? Also, was soll ich denn

Speaker0: jetzt machen, wie du das eben auch schon skizziert hast?

Speaker0: Ich brauche die US-Dienstleister an der Stelle, die US-Tech-Unternehmen,

Speaker0: meine betriebliche Infrastruktur setzt darauf auf.

Speaker0: Also, muss ich ja weiter die Daten übermitteln und da können auch nicht die

Speaker0: Datenschutzaufsichtsbehörden hingehen in der Europäischen Union und sagen,

Speaker0: okay, dann sanktionieren wir jetzt mal zigtausende Unternehmen,

Speaker0: die beispielsweise noch in einer Microsoft-Cloud drin hängen.

Speaker0: Das heißt, da haben wir das schon erlebt.

Speaker0: Dann haben wir es ein zweites Mal erlebt im Jahr 2020.

Speaker0: Da wurde nämlich eben in der Privacy Shield, also quasi das zweite Abkommen

Speaker0: nach Safe Harbor, wiedergekippt.

Speaker0: Was war das Resultat? Eigentlich das Gleiche. Und da hat dann auch schon irgendwie

Speaker0: so ein Handelsblatt beispielsweise getitelt, ja, wir müssen irgendwie unsere

Speaker0: Datenschutzgrundsätze anpassen, damit sowas eben nicht mehr passiert,

Speaker0: also wahrscheinlich das Niveau absenken.

Speaker0: Aber wir haben eben höchste rechtliche Standards, höchste Standards an Compliance,

Speaker0: Governance, Vertrauenswürdigkeit.

Speaker0: Aber selber haben wir eigentlich schon im letzten Jahrzehnt gesehen,

Speaker0: und das war weit vor Donald Trump, also bis sich das irgendwie so konkret jetzt

Speaker0: dargestellt hat, dass wir nicht dazu in der Lage sind.

Speaker0: Das heißt, man hat es damals, wo wir jetzt diskutieren, als Problem der nationalen

Speaker0: Sicherheit, Souveränität, Arbeitsfähigkeit und so weiter,

Speaker0: Wirtschaftsschutz, das hat man damals einfach nur als Datenschutzproblem angesehen.

Speaker0: Da haben die Leute gesagt, naja, es ist ja nur Datenschutz.

Speaker0: So what? Ja, also es spielt ja keine Rolle für meinen Betrieb,

Speaker0: für meine Souveränität irgendwo.

Speaker0: Und jetzt hat sich das geändert, weil wir reden nicht mehr über Datenschutz.

Speaker0: Wir reden darüber, das hast du ja auch gesagt, dass Technologie verfügbar sein muss.

Speaker0: Und das ist ja auch ein klassisches Ziel der IT-Sicherheit. Es geht ja nicht

Speaker0: nur um Datenvertraulichkeit.

Speaker0: Und Integrität, Authentizität, sondern es geht auch um Verfügbarkeit von Diensten.

Speaker0: Und da sind wir beim ganz essentiellen Punkt angelangt. Also vor drei Wochen

Speaker0: der AWS-Ausfall, der globale,

Speaker0: der ja unter anderem eben auf eine bestimmte Rechenzentrumsregion in den Vereinigten

Speaker0: Staaten an der Ostküste zurückzuführen gewesen ist, wo eben ganz viele Knotenpunkte zusammenlaufen.

Speaker0: Ja, das war nicht durch einen Cyberangriff bedingt, das war auch nicht die US-Regierung,

Speaker0: die sich dazu entschlossen hatte.

Speaker0: Es war einfach nur ein technischer Fehler an der Stelle, aber der hat dazu geführt,

Speaker0: dass weltweit Unternehmen und

Speaker0: auch hier in Deutschland Unternehmen eben einen halben Tag frei hatten.

Speaker0: Und das zeigt, glaube ich, ganz deutlich, in welcher Situation wir uns befinden

Speaker0: und warum wir jetzt mittlerweile auch sagen, Cyber Security ist nicht irgendwie

Speaker0: nur sowas technisch-organisatorisches, wie ich damals gesagt hatte,

Speaker0: es ist was Strategisches geworden.

Speaker0: Also es geht um die Frage, welche Komponenten werden irgendwo verbaut,

Speaker0: auf welche Dienste verlasse ich mich und wie richte ich mein Unternehmen in

Speaker0: den Management-Entscheidungen wirklich auf der höchsten Ebene,

Speaker0: im strategischen Level so ein,

Speaker0: dass ich irgendwo auch redundant und damit letzten Endes resilient bin.

Speaker0: Und ich glaube, von dieser Erkenntnis sind wir auch noch recht weit entfernt

Speaker0: bei vielen Unternehmen, weil eben diese Abhängigkeiten, wie ich auch gesagt

Speaker0: habe, über Jahrzehnte hinweg mehr oder weniger gezielt aufgebaut worden sind.

Speaker1: Ja, ich finde es gut, dass du den AWS-Vorfall gerade ansprichst,

Speaker1: weil das war für mich genau das Event, was es mal gebraucht hat an der Stelle,

Speaker1: um mal ein bisschen zu verdeutlichen, was das eigentlich bedeutet und wie man

Speaker1: sich da halt dran koppelt.

Speaker1: Und ich muss sagen, ich bin ein Fan von deutschen Produkten.

Speaker1: Also ich kaufe auch jetzt zum Beispiel im Bereich Küche,

Speaker1: Gerne Sachen von deutschen Herstellern, aber ich konnte bei dem AWS-Ausfall

Speaker1: meinen Geschirrspüler nicht mehr programmieren.

Speaker1: Wo ich dann auch sage, okay, cool, danke, dass ihr deutschen Softwarehersteller

Speaker1: und deutschen Hardware-Produzenten für meine Küche scheinbar auch auf irgendwelche

Speaker1: Services in der Amazon Cloud setzt, weil ich konnte meinen Geschirrspüler nicht mehr programmieren.

Speaker1: Denn es ist eh schon lächerlich, warum ich eine App brauche,

Speaker1: um das Ding zu programmieren.

Speaker1: Es ist genug Platz für Knöpfe eigentlich auch in der Front, aber okay, ist dann halt so.

Speaker1: Ja, und das ist dann genau der Punkt. Du machst dich halt derart abhängig überall

Speaker1: von diesen ganzen Sachen.

Speaker1: Und ähnlich ist es auch, wenn ich dann immer sehe, wenn irgendwer sich wieder

Speaker1: von AliExpress irgendwelche Technik kauft.

Speaker1: Überwachungskameras, Babycams, sage ich auch immer, ist aber mutig,

Speaker1: dass du dir das Ding da ins Kinderzimmer schraubst.

Speaker1: Warum? Dann sage ich, was glaubst du, wo die Daten verarbeitet werden, die du siehst?

Speaker1: Weil die App, die du dazu brauchst, die hat ja auch eine Verbindung zu irgendwelchen

Speaker1: Cloud-Services, die dann irgendwo in der Ali-Cloud liegen.

Speaker1: Also weiß ich nicht, ob ich das brauche, dass ein chinesischer Service mein

Speaker1: Kind zwölf Stunden am Tag filmt.

Speaker1: Und da denken die Leute halt nicht drüber nach. Da bist du dann halt sofort

Speaker1: irgendwie ein Verschwörungstheoretiker, der eigentlich immer ein Stück Alufolie dabei hat.

Speaker0: Ja, also dieses Thema digitale Souveränität, das sage ich eben auch immer.

Speaker0: Es gibt viele Unternehmen, Verbände, die jetzt irgendwie eine Definition davon

Speaker0: aufmachen wollen, was digitale Souveränität ist.

Speaker0: Mittlerweile spricht man sogar von Souveränitätswashing, also dass auf alles

Speaker0: Mögliche das Siegel digitale Souveränität draufgedruckt irgendwie wird.

Speaker0: Aber jeder definiert es so für sich, dass es dann schon passt.

Speaker0: Und das schafft natürlich wahnsinnig viel Unsicherheit. Und wir sehen es ja

Speaker0: auch, das mit dem Geschirrspiel ist eigentlich das beste Beispiel.

Speaker0: Teilweise steht eben auf der Verpackung, sag ich mal, digitale Souveränität drauf.

Speaker0: Das heißt, beispielsweise wird der Source-Code in Deutschland zumindest zu großen

Speaker0: Teilen hergestellt. Natürlich Programm-Bibliotheken extern holt sich jeder irgendwo

Speaker0: ran oder Open-Source-Komponenten oder es ist entwickelt in Deutschland oder

Speaker0: es ist ein deutsches Unternehmen, was das Ganze betreibt.

Speaker0: Aber als Verbraucher und auch als Einkäufer ist es im Unternehmen natürlich

Speaker0: auch kaum ersichtlich, wer betreibt die technisch notwendige Infrastruktur dahinter.

Speaker0: Und das sehen wir gerade auch bei vielen Start-ups. da haben wir jetzt bei AWS

Speaker0: auf einmal diese Vernetzung gesehen.

Speaker0: Also nach außen hin scheinen alles irgendwie separate Dienste zu sein,

Speaker0: autark, unabhängig, aber am Ende hängen sie irgendwie alle dann doch in dieser einen Cloud drin.

Speaker0: Und was ich den Leuten halt einfach immer zu sagen versuche,

Speaker0: ist, anknüpfen an das, was du auch festgestellt hast, also digitale Souveränität

Speaker0: ist nicht irgendwas, was ein Bundesdigitalministerium jetzt irgendwie einheitlich

Speaker0: für Deutschland beschließt und dann werden wir alle digital souveräner.

Speaker0: Dann kommt so eine Souveränitätsgießkanne und bei jedem von uns kommen Tröpfchen

Speaker0: von Digital-Souveränität an und dann haben wir das Problem erledigt.

Speaker0: Das ist einfach eine Beschaffungsentscheidung.

Speaker0: Jede einzelne Beschaffungsentscheidung, also beim IT-Einkauf im Unternehmen,

Speaker0: bei Verbraucherinnen und Verbrauchern ist eine Entscheidung für oder gegen digitale Souveränität.

Speaker0: Und wenn wir sagen, das interessiert uns nicht, wir machen einfach so weiter wie gehabt.

Speaker0: Gut, dann wird das am Ende auch zur Folge haben, dass nicht nur diese Abhängigkeiten

Speaker0: fortbestehen, diese Abhängigkeiten gegebenenfalls ausgenutzt werden,

Speaker0: sondern dass wir auch das Problem haben, dass die nationale europäische Technologieentwicklung

Speaker0: nicht davon profitiert.

Speaker0: Das heißt, an der Stelle eben auch keine neuen, innovativen Produkte geschaffen

Speaker0: werden, wir auch nicht in der Lage sind, zu skalieren.

Speaker0: Das ist ja etwas, was eben auch gerade im Bereich europäischer IT-Entwicklung

Speaker0: oftmals noch kritisiert wird, dass wir nicht so gut in der Lage sind, zu skalieren.

Speaker0: Aber der Grund dafür ist eigentlich ganz einfach, weil man eben in der Vergangenheit

Speaker0: auch als Kundinnen und Kunde nicht genügend in europäisch-souveräne Lösungen

Speaker0: investiert hat, sodass eben auch einerseits nicht der Bedarf zum Skalieren bestand

Speaker0: und andererseits auch nicht die wirtschaftlichen Mittel zum Skalieren vorhanden gewesen sind.

Speaker0: Das heißt, es muss dann generelles Umdenken stattfinden und Souveränität ist eben nichts,

Speaker0: was irgendwas abstrakt politisch definiert wird und mich braucht das dann irgendwie

Speaker0: als Einzelperson nicht zu interessieren, sondern jede Unternehmerin,

Speaker0: jeder Unternehmer hat ja ein Interesse daran, dass das Unternehmen weiterläuft.

Speaker0: Und wenn wir jetzt mal angenommen hätten, dieser AWS-Ausfall,

Speaker0: der hätte jetzt nicht einen halben Tag gedauert, sondern eine Woche.

Speaker0: Was wäre dann los gewesen? Ja, also da geht es nicht mehr um die Geschirrspüler,

Speaker0: die Katzentoilette, die nicht mehr ans Internet anbindbar ist,

Speaker0: sondern geht es darum, dass vielleicht sogar industrielle Kontrollsysteme,

Speaker0: Infrastruktur in dem Bereich ausfallen, erhebliche volkswirtschaftliche Schäden eintreten.

Speaker0: Und das ist ja auch eines dieser Risiken, worüber wir im Rahmen dieser ganzheitlichen

Speaker0: Bewertung von digitaler Souveränität sprechen müssen.

Speaker0: Und deswegen ist es auch so, dass es jede Unternehmerin und jeden Unternehmer

Speaker0: eigentlich interessieren muss, was jetzt da auch in Washington diskutiert wird

Speaker0: oder was jetzt in Brüssel diskutiert wird oder auch in Berlin diskutiert wird.

Speaker1: Ja, absolut. Ich meine, wenn das jetzt eine Woche gedauert hätte,

Speaker1: hätte ich halt ein paar Tage von Hand abspülen müssen, so wie man das früher gemacht hat.

Speaker1: Oder ich wäre irgendwann zu Ikea gefahren und hätte mir nochmal ein neues Geschirrset gekauft.

Speaker1: Also, da ist der Notfallplan.

Speaker1: Der Notfallplan steht zur Verfügung. Aber das ist auch so eine Sache.

Speaker1: Jetzt kannst du sagen, ja, Souveränität, dann gehe ich halt weg von Microsoft

Speaker1: 365 zum Beispiel. So, man kann ja auch, oh Wunder, immer noch Sachen selber hosten.

Speaker1: Also es gibt ja nach wie vor solche Systeme wie Exchange oder auch Open Source

Speaker1: Lösungen dafür, habe ich jetzt zuletzt gelesen, Österreich ist da wohl ziemlich

Speaker1: dabei, gerade auch die ganzen Stellen auf Open Office umzustellen und Thunderbird

Speaker1: als Mail Client und so weiter.

Speaker1: Es geht ja, aber es ist ja immer das Problem, wo lasse ich denn laufen und wer

Speaker1: soll es denn betreuen? Also wir haben einerseits eine Verfügbarkeitsproblematik

Speaker1: für die Services. Wo hoste ich die?

Speaker1: Auf welchem Blech oder auf welchen Cloud-Services? Da haben wir wieder eine

Speaker1: Cloud, wenn ich das irgendwo in ein Datacenter von einem Provider packe.

Speaker1: Welche Mitarbeiter sollen das Ganze betreuen? Wer kennt sich damit überhaupt

Speaker1: aus? Das heißt, wir haben da einen Knowledge Gap an der Stelle.

Speaker1: Und dann geht es ja theoretisch eigentlich weiter. Wenn wir mal ehrlich sind,

Speaker1: das ist so wie diese Debatte um Huawei-Komponenten in Telekommunikationssystemen zum Beispiel.

Speaker1: Wo kommt denn mein Laptop her? Ich habe einen Lenovo-Laptop.

Speaker1: Da sind ja auch haufenweise unsouveräne Dinge drin.

Speaker1: Also es wird ja nicht in Deutschland produziert. Der letzte deutsche PC-Hersteller

Speaker1: Fujitsu ist schon lange weg.

Speaker1: Also du kannst ja auch keinen, es gibt ja nicht das Deutschland-Laptop oder so.

Speaker1: Also wie bei einem Fairphone, wo ich weiß, woher kommen die Komponenten.

Speaker1: Ich habe ja gar keine Auswahl an der Stelle.

Speaker1: Also insofern ist da natürlich auch das Nächste, wenn der Core,

Speaker1: wenn die Basis, die ich einsetze, schon irgendwo herkommt.

Speaker1: Ich sage jetzt gar nicht mal aus dem bösen Ausland, aber irgendwo her,

Speaker1: wo ich keinen Einfluss drauf habe, dann hast du natürlich da auch ein gewaltiges Problem.

Speaker1: Ähnlich wie bei Softwarekomponenten, die so tief in den Kern und in den Kern

Speaker1: eingreifen, wie diese ganze Geschichte da mit CrowdStrike.

Speaker0: Das Problem ist einfach, also wir versuchen es zurzeit irgendwie so als politische

Speaker0: Fehlentscheidung irgendwie darzustellen, aber es sind auch wirtschaftliche Fehlentscheidungen.

Speaker0: Also die Beispiele, die du ja genannt hast, diesen Treffen. Also ich meine,

Speaker0: IBM, also ich hatte damals noch ein IBM ThinkPad tatsächlich.

Speaker0: Und jetzt ist ja das Lenovo ThinkPad geworden.

Speaker0: Der Punkt ist einfach, dass wir schon die

Speaker0: letzten 30 Jahre lang halt IT-Entwicklungs-Outsourcing betrieben haben.

Speaker0: Also das ist auch Großkonzern. Also ich meine, gerade wo die Computer anspricht,

Speaker0: am Anfang waren Siemens, dann war es irgendwie Siemens, Fujitsu, dann war es nur Fujitsu.

Speaker0: Oder auch den Smartphone-Markt zum Beispiel, wenn wir über Hardware-Herstellung sprechen.

Speaker0: Also es hat ja auch in den 1990er Jahren bis in die frühen 2000er Jahre hinein

Speaker0: Mobilfunkhersteller originär aus Deutschland oder aus der Europäischen Union

Speaker0: gegeben, die mittlerweile auch vom Markt verschwunden sind.

Speaker0: Und das lag einfach auch daran, dass man als Unternehmen gesagt hat,

Speaker0: warum sollen wir die Dinge selber herstellen, selber entwickeln,

Speaker0: wenn wir es eben auch viel, viel günstiger aus dem Ausland importieren können.

Speaker0: Und das hat man 20 Jahre erfolgreich gemacht. Das hat sich natürlich irgendwo

Speaker0: gerecht, weil das Know-how, das wir aufgegeben haben aus wirtschaftlichen Gründen

Speaker0: heraus, dann natürlich an anderer Stelle irgendwo aufgebaut wurde,

Speaker0: gezielt aufgebaut wurde, weil ja auch,

Speaker0: Kunden da gewesen sind, Investitionen da gewesen sind und jetzt geht es darum,

Speaker0: dass wir dieses Know-how innerhalb weniger Jahre zurückholen.

Speaker0: Das wird uns in dieser Form natürlich nicht gelingen.

Speaker0: Das heißt, wir müssen uns schon überlegen, wo wir eigentlich im Bereich digitale

Speaker0: Souveränität ansetzen. Das ist letzten Endes eine Risikoabwägung.

Speaker0: Also, wenn man da jetzt auch wieder diesen Crowdstrike-Vorfall als ein Beispiel

Speaker0: oder diesen AWS-Ausfall dann da letzten Endes zitiert, wir müssen eben zuvorderst

Speaker0: bei den kritischen Infrastrukturen anfangen und den großen Wirtschaftsbetrieben,

Speaker0: staatlichen Einrichtungen.

Speaker0: Das heißt, dort, wo wir am ehesten politisch oder wirtschaftlich erpressbar

Speaker0: wären, müssen dann eben schauen, dass wir diese Souveränität in technologischer

Speaker0: Hinsicht, Software, Hardware.

Speaker0: Cloud-Systeme betreffend, dann eben auch in den Mittelstand hineinbringen,

Speaker0: bis zum einzelnen Verbraucher, zur einzelnen Verbraucherin.

Speaker0: Eine hundertprozentige Digitalsouveränität wird es nicht geben im Sinne einer digitalen Autarkie.

Speaker0: Aber ich glaube, das ist an der Stelle auch gar nicht zwingend notwendig,

Speaker0: sondern wir müssen einfach diejenigen Prozesse identifizieren,

Speaker0: die notwendig sind, damit wir nicht erpressbar werden und damit wir weiter lauffähig bleiben.

Speaker0: Weil nehmen wir mal an, WhatsApp wird abgeschaltet.

Speaker0: Ja, ich meine, das würde erstmal Kommunikationschaos bedeuten,

Speaker0: aber die Menschen würden sich dann, glaube ich, relativ schnell orientieren,

Speaker0: was die Alternative ist an der Stelle.

Speaker0: Das wäre jetzt nicht so, dass man sagen würde, das wären jetzt massive Probleme,

Speaker0: mit denen wir konfrontiert werden.

Speaker0: Wenn wir aber über das Thema Regierungscloud sprechen, sieht das schon gänzlich

Speaker0: anders aus. Und was oftmals, und da sind wir bei dem schönen Thema.

Speaker0: Souveränitätswashing, oder was mich daran stört, ist, dass die Hyperscaler sich

Speaker0: insbesondere und die großen Big-Tech-Konzerne keine klare und transparente Kommunikation betreiben.

Speaker0: Also, es wird immer gesagt, ja, wir sind ja souverän, es gibt Datengrenzen,

Speaker0: die wir einziehen, wir gründen ein Unternehmen, ein Tochterunternehmen in der

Speaker0: EU, in Deutschland, was dann alles verwaltet,

Speaker0: die Cloud-Server liegen doch physisch hier bei euch direkt belegen,

Speaker0: da kann doch nichts passieren.

Speaker0: Aber das ist halt eben diese Augenwischerei, weil eine Cloud soll ja gerade

Speaker0: von überall auf der Welt aus erreichbar sein.

Speaker0: Das ist ja die Sinn einer Cloud, sonst bräuchten wir das ganze Thema gar nicht.

Speaker0: Und die US-amerikanischen Überwachungsgesetze, die gehen wirklich auch so weit,

Speaker0: dass sie eben sagen, wenn man jetzt den US-Cloud-Act referenziert,

Speaker0: es kommt gar nicht darauf an, wo die Server stehen. Und es geht sogar noch weiter.

Speaker0: Es gibt ja in den Vereinigten Staaten diese geheimen Pfizer-Gerichte,

Speaker0: die auch sogenannte Gag-Orders gegenüber leitenden Angestellten von solchen

Speaker0: Cloud-Gesellschaften oder technischen Angestellten treffen können.

Speaker0: Und die müssen dann unter Geheimhaltung bestimmte Zugänge gewähren, Daten herausgeben.

Speaker0: Dann können natürlich die Unternehmen sagen, ja, aber doch, dann lass uns doch

Speaker0: die Daten verschlüsseln, sodass in uns als Betreiberunternehmen der Zugriff

Speaker0: technisch an der Stelle nicht mehr gewährt ist.

Speaker0: Aber andererseits sagen dann die US-Strafgerichte, ja gut, dann verschlüssel

Speaker0: die Daten, aber damit hast du eine Beweismittelvereitelung, weil wir brauchen

Speaker0: die Daten und das sanktionieren wir jetzt mit ansteigenden wirtschaftlichen

Speaker0: Sanktionen und das geht eben sogar so weit,

Speaker0: dass man dann in Teilen sogar sagt.

Speaker0: Deutsche Unternehmen, also die Geschäftstätigkeit in den Vereinigten Staaten

Speaker0: betreiben und da sind wir bei einer Telekom, bei einer IONOS,

Speaker0: die ja auch souveräne Cloud-Lösungen in dem Sinne anbieten,

Speaker0: unterliegen ebenso der US-Jurisdiktion, weil sie Geschäftstätigkeit in den USA betreiben.

Speaker0: Das heißt, auch da könnte theoretisch eine US-Behörde hingehen und sagen,

Speaker0: wir möchten Daten aus eurer Cloud raushaben, ansonsten sanktionieren wir eben

Speaker0: euer Tochterunternehmen wirtschaftlich.

Speaker0: Und das Letzte, was ich noch erwähnen möchte, wo wir über Verfügbarkeit sprechen,

Speaker0: ist natürlich das US-amerikanische Exportkontrollrecht.

Speaker0: Da denkt kaum einer oftmals dran, aber da sind die US-Präsidenten,

Speaker0: und wir alle kennen den US-Präsidenten ja mittlerweile sehr gut,

Speaker0: Da sind dem US-Präsidenten erhebliche Entscheidungsspielräume auch eingeräumt,

Speaker0: zu sagen, naja, eine Technologie, die wir als USA exportieren und auch vielleicht

Speaker0: schon seit Jahrzehnten exportieren, ist eine Frage der nationalen Sicherheit.

Speaker0: Deswegen verhängen wir jetzt einfach exportkontrollrechtliche Beschränkungen

Speaker0: und das kann man bei Cloud durchaus annehmen.

Speaker0: Bei Cloud wird nicht nur im Konsumerbereich, sondern in die Industrie hinein,

Speaker0: ein bisschen zu militärische oder kritische Infrastruktur.

Speaker0: Also lässt sich durchaus irgendwie

Speaker0: juristisch hinbiegen, um so eine Argumentation am Ende zu ermöglichen.

Speaker1: Und da steckt dann natürlich auch ganz viel Lobbyismus dahinter,

Speaker1: wenn man dann sieht, dass jetzt Bayern sich schon wieder für Microsoft so entschieden hat.

Speaker1: Wo ich auch sage, sag mal, das kann ja eigentlich nicht sein. Aber ja, warum?

Speaker1: Microsoft ist ein riesiger Arbeitgeber in München. Wer die Gebäude kennt dort,

Speaker1: da arbeiten tausende Menschen.

Speaker1: Und ja, das ist halt dann vielleicht auch ein bisschen Teil der Entscheidung.

Speaker1: Und ich habe es letztens in einem zynischen LinkedIn-Beitrag geschrieben.

Speaker1: Gut, Markus Söder scheint alles gut zu finden, was aus den USA kommt,

Speaker1: weil McDonald's ist ja auch so sein Lieblingsrestaurant.

Speaker1: Das gute Rindfleisch aus Bayern dort in die Burger reinverarbeitet wird.

Speaker0: Sehr treffender Vergleich.

Speaker1: Ja, also damit ist es dann cool und in Ordnung scheinbar.

Speaker1: Und ja, es ist wirklich ein Trauerspiel. Und wie du es gerade gesagt hast,

Speaker1: zum Thema Beweismittelvereitelung. Wir hatten ja jetzt diese Entscheidung zum

Speaker1: Thema Chatkontrolle, was ja das kleine Kind von der Vorratsdatenspeicherung

Speaker1: ist, die so jedes Jahr wiederkommt.

Speaker1: Und jetzt durch die neue Regierung war das zu erwarten, dass da wieder dieses

Speaker1: Thema aufgemacht wird, wobei diesmal ja Europa da der Meinung ist,

Speaker1: sie müssten jetzt da wieder irgendwo die Finger überall drin haben,

Speaker1: um uns vor den bösen Terroristen zu schützen.

Speaker1: Zwinker, zwinker. Das ist dann im Prinzip das Gleiche.

Speaker1: Wie viel Souveränität brauche ich denn, wenn ich am Ende irgendwelche Schnüffelschnittstellen

Speaker1: in meine Software einbauen muss?

Speaker1: Oder auf meinem Handy installieren muss, damit da Hints und Kunst von den Überwachungsinstanzen

Speaker1: da mitlesen kann, was ich da gerade mit meinem Partner rumschreibe,

Speaker1: dass wir morgen noch bitte Schweineschnitzel kaufen müssen, weil wir Besuch haben. Also schwierig.

Speaker0: Ja, also diese Souveränitätsdebatte, gerade im Cloud-Bereich,

Speaker0: ist massiv von Lobbyinteressen durchzogen.

Speaker0: Und wo du eben auch das Beispiel Microsoft hattest, das war jetzt vor einigen

Speaker0: Monaten, da hat eben auch einen Beitrag in Social Media geteilt,

Speaker0: wo es darum ging, dass auf dem GovTech-Campus zusammen mit Microsoft,

Speaker0: zusammen mit Vertretern des Bundesdigitalministeriums irgendwie an so einer

Speaker0: Definition geschraubt wird, was eigentlich digitale Souveränität für Europa

Speaker0: oder für Deutschland ist.

Speaker0: Und man muss sagen, viele dieser Definitionen und Debatten, die wir zum Thema

Speaker0: Digital-Souveränität finden können, sind einfach nur vergiftet mittlerweile.

Speaker0: Und deswegen ist es auch so, egal wen du fragst, die meisten Leute sagen,

Speaker0: ach, digitale Souveränität, also bleib mir fern mit digitaler Souveränität,

Speaker0: weil ich habe die ganzen Argumente sowieso schon gehört, viele dieser Argumente

Speaker0: sind intransparent, aber wo kommen wir denn eigentlich mal letzten Endes ins Doing rein?

Speaker0: Und der Staat ist definitiv gefordert, im Bereich digitale Souveränität mit

Speaker0: gutem Beispiel voranzugehen, weil wenn der Staat das nicht tut.

Speaker0: Dann sehen die Unternehmen auch nicht die Relevanz, weil es gibt ja nichts Relevanteres

Speaker0: als die staatliche Infrastruktur, die zu schützen ist.

Speaker0: Wenn der Staat nicht mehr funktioniert, dann funktioniert in Deutschland alles

Speaker0: an der Stelle nicht mehr.

Speaker0: Und unter dem Gesichtspunkt ist der Fall in Bayern, den wir sehen,

Speaker0: auch überhaupt nicht nachvollziehbar.

Speaker0: Wir sehen es eben nicht nur bei Produktivitätssoftware wie Microsoft,

Speaker0: wir sehen es auch bei Palantir, also bei klassischer Datenanalyse und Überwachungssoftware, ja.

Speaker0: Also Baden-Württemberg, da hatten wir jetzt ja die Entscheidung jetzt vor wenigen

Speaker0: Tagen zu sagen, wir gehen voll in Palantir rein, weil man vorher,

Speaker0: bevor man sich überhaupt Gedanken über die gesamte rechtliche Situation gemacht

Speaker0: hat, einfach schon gesagt hat, naja, wir haben ja schon die technischen Beschaffungsverträge,

Speaker0: das System wurde ja auch schon pilotiert.

Speaker0: Lasst uns doch einfach mal damit starten. Und das ist in diesen Zeiten völlig blauäugig.

Speaker0: Also einerseits geht es natürlich um die datenschutzrechtlichen Fragen von solchen

Speaker0: Algorithmen basierten Analyse-Tools.

Speaker0: Das ist der erste Punkt, der sich dort stellt. Aber andererseits auch die Frage.

Speaker0: Eigentlich geht es um Gefahrenabwehr.

Speaker0: Es geht um Strafverfolgungsinteressen. Also Dinge, die eigentlich wirklich originär

Speaker0: im engsten Sinne nur dem Staat und seinen Behörden überlassen sind.

Speaker0: Warum machen wir uns denn jetzt da auch noch, wo wir schon die ganzen wirtschaftlichen

Speaker0: Abhängigkeiten und Verflechtungen haben, warum machen wir uns denn da jetzt

Speaker0: auch noch zusätzlich auf diese Art und Weise gezielt abhängig?

Speaker0: Und dann wundert es mich auch nicht, warum die Leute sagen, ja,

Speaker0: lasst uns nicht über digitale Souveränität sprechen, weil es hält sich doch

Speaker0: sowieso niemand an digitale Souveränität.

Speaker0: Wir brauchen da dringend eine einheitliche Linie, die mag zwar in Teilen durch

Speaker0: den Föderalismus erschwert werden, in der Europäischen Union haben wir auch

Speaker0: keine einheitliche Linie, was digitale Souveränität anbelangt.

Speaker0: Ein bestes Beispiel ist die EU-Kommission selbst, die jetzt die Meinung des

Speaker0: Datenschutzbeauftragten, das Europäische so hingebogen hat, der das mal kritisch gesehen hatte,

Speaker0: dass sie gesagt haben, ja, wir haben ja irgendwie so viele Safeguards irgendwie

Speaker0: eingezogen, dass wir auch weiterhin auf Microsoft 365 als Europäische Kommission setzen können.

Speaker0: Wir haben es bei der Enisa gesehen, also als diese Debatte jetzt im April war

Speaker0: mit der CVE-Schwachstellendatenbank, wo wird die gehostet?

Speaker0: Sie wird auf Azure gehostet. Also wir brauchen einfach viel mehr Stringenz in

Speaker0: unserem Entscheiden und Handeln, weil ansonsten macht es keinen Sinn,

Speaker0: darüber zu reden, weil sich niemand daran halten wird.

Speaker1: Am Ende ist es halt dessen Brot ich esse, dessen Lied ich singe und das ist

Speaker1: das Problem. Da haben wir halt wieder den Lobbyismus.

Speaker1: Und es ist halt so wichtig, sich da wirklich immer wieder auch kritisch mit

Speaker1: zu beschäftigen und deswegen ist es auch so wichtig, was du machst,

Speaker1: was da Manuel macht, was auch Leute wie Lilith Wittmann halt tun.

Speaker1: Ihr reibt euch ständig halt am Staat und an den Behörden und gebt eure Meinung

Speaker1: dazu kund und macht es auch noch publik und das finde ich halt an der Stelle so super wichtig.

Speaker1: Man kann natürlich da auch immer mit so ein bisschen einem gewissen Zynismus

Speaker1: an das Thema rangehen zum Thema Baden-Württemberg.

Speaker1: Ich hoffe, ich mache mich da jetzt nicht zu sehr unbeliebt. Wir haben ja auch

Speaker1: einen Standort in Ludwigsburg bei Stuttgart, aber Bavü hatte ja einen Datenschutzbeauftragten

Speaker1: gesucht, kurz bevor es das Thema Palantir kam, wo ich auch sage,

Speaker1: naja, was soll denn der Datenschutzbeauftragte bitte dazu sagen?

Speaker0: Ja, das ist so ähnlich, wie wir irgendwie im Jahr 2022 in der Corona-Pandemie

Speaker0: darüber debattiert haben, wie man Zoom an deutschen Hochschulen vernünftig einsetzen kann.

Speaker0: Da gab es dann eine Empfehlung, glaube ich, vom hessischen Landesdatenschutzbeauftragten.

Speaker0: Der hat gesagt, der Einsatz von Zoom ist ohne weiteres datenschutzkonform möglich,

Speaker0: wenn die Hochschulen eben ausschließen, dass personenbezogene Daten von Studierenden

Speaker0: an US-Behörden abfließen.

Speaker0: Okay, dann gehen wir jetzt mal in die Hochschulen rein und gucken uns dann mal

Speaker0: die IT an, gucken uns die Verantwortlichen an und dann stellen wir die Frage einfach nochmal.

Speaker1: Genau, und jeder kriegt dann so einen Decknamen, so wie bei House of Cards,

Speaker1: dann bist du halt Paris und der nächste ist Berlin und dann passt das alles.

Speaker0: Ja, genau. Das wäre vielleicht eine Pseudonymisierung, aber ich glaube,

Speaker0: die wäre nicht besonders sicher.

Speaker1: Wobei House of Cards ist falsch, bevor sich jetzt hier wieder jemand aufregt

Speaker1: schon im Chat. Ich meinte natürlich Haus des Geldes.

Speaker1: Ja, spannend auf jeden Fall. Du bewegst dich, wie wir jetzt gerade schon gehört

Speaker1: haben, so im Grunde zwischen Wissenschaft, Politik und Wirtschaft.

Speaker1: Aber wo siehst du deine eigentliche Mission? Warum stehst du auf jeden Morgen?

Speaker0: Ja, also erster Linie, um endlich

Speaker0: mal das Thema digitale Resilienz als ganzheitliches Thema zu befördern.

Speaker0: Das ist der erste Punkt. Der zweite Punkt ist, Möglichkeiten der Zusammenarbeit zu definieren.

Speaker0: Also das war auch einer der Gründe, warum wir das Cyber Intelligence Institute

Speaker0: gegründet hatten, weil wir haben gesehen, die Wissenschaft, die macht zwar viel

Speaker0: im Bereich Cyber Security, digitaler Resilienz, auch Forschung zu Souveränität

Speaker0: gibt es auch schon bei uns seit Jahren in der Wissenschaft,

Speaker0: wo die meisten Ergebnisse, die landen

Speaker0: natürlich in wissenschaftlichen Fachveröffentlichungen, Konferenzen.

Speaker0: Die meisten Menschen bekommen davon gar keine Kenntnis, obwohl es eigentlich

Speaker0: so wichtige Dinge wären.

Speaker0: Und viele innovative Ideen und Konzepte, die dann auch im Rahmen von Fördermitprojekten,

Speaker0: Forschungsprojekten entwickelt werden, die kommen nie in die Praxis rein.

Speaker0: Und wir sehen uns da eben auch als CIA an dieser Schnittstelle von der Wissenschaft

Speaker0: in die Wirtschaft hineinkommunizieren, in die Politik hineinkommunizieren,

Speaker0: in die Gesellschaft hineinkommunizieren.

Speaker0: Und was wir da eben machen, das sind sogenannte Transformationsprojekte.

Speaker0: Das heißt, wir versuchen nicht nur Defizite im Rahmen unserer Studien,

Speaker0: Gutachten und so weiter zu identifizieren, sondern auch konkrete Lösungsansätze vorzuschlagen.

Speaker0: Jetzt gerade, wo wir über das Thema digitale Souveränität so ausführlich gesprochen

Speaker0: haben, also wir haben ja heute den 14.

Speaker0: November, das ist ja schon deutlich geworden und wir haben ja nächste Woche Dienstag am 18.

Speaker0: November in Berlin diesen ganz groß angekündigten deutsch-französischen Digital

Speaker0: Summit on Sovereignty und da geht es ja um genau diese Fragen,

Speaker0: die wir gerade diskutiert haben.

Speaker0: Und wir als CII haben uns da einfach gesagt, wie können wir denn eigentlich

Speaker0: jetzt auch Beschafferinnen, Beschaffer,

Speaker0: IT-Einkäufer in Unternehmen, in Behörden dabei unterstützen,

Speaker0: leichter digital souveräne Entscheidungen zu treffen und vielfach ist es so,

Speaker0: wir haben für alles Mögliche eigentlich digital souveräne Produkte in Deutschland

Speaker0: und der EU, die meisten kennen die einfach nicht.

Speaker0: Die Marketing-Budgets sind nicht so groß, die PR-Budgets sind nicht so groß

Speaker0: und unsere Aufgabe, die wir dort jetzt.

Speaker0: CII sehen, ist, dass wir jetzt eine europäische Wertschöpfungsallianz gründen, also an diesem 18.

Speaker0: November auf einem offiziellen Side-Event vom Bundesdigitalministerium und dass

Speaker0: wir eben Beschaffere für Beschafferin und Beschaffer so eine Art Einkaufsliste formulieren.

Speaker0: Das heißt, dass man eben sektorabhängig schauen kann und branchenabhängig,

Speaker0: was brauche ich im Regelfall, wenn ich meine IT betreiben will,

Speaker0: also meine Werbeagentur ist irgendwas anderes als Industriebetrieb,

Speaker0: sage ich mal, und dass man dann einfach eine Liste an digital souveränen Lösungen

Speaker0: erarbeitet Und dann auch anhand konkreter evidenzbasierte Kriterien,

Speaker0: und da sind wir eben wieder in der Wissenschaft,

Speaker0: definiert, worauf basiert jetzt eigentlich diese Souveränitätsentscheidung?

Speaker0: Nicht auf irgendeiner schwammigen Definition, sondern wirklich,

Speaker0: wo man am Ende vielleicht so hingehen kann und sagen, prozentual ist dieses

Speaker0: Unternehmen, ausgehend von diesen Kriterien, die dir transparent dargelegt werden,

Speaker0: so und so souverän und deswegen wird eine Empfehlung gegeben,

Speaker0: im Sinne einer digital souveränen Entscheidung, die Technologie zu verwenden

Speaker0: oder eben besser davon abzusehen.

Speaker0: Ich glaube, es geht einfach viel darum, diesen Zugang zu schaffen,

Speaker0: weil gerade mittelständische Unternehmen haben nicht die Ressourcen,

Speaker0: um sich jetzt noch zusätzlich zum Thema Datenschutz, Cyber Security ist ja auch so ein Problem,

Speaker0: noch mit dem Thema digitale Souveränität als strategische Investitionsentscheidung zu befassen.

Speaker0: Und das ist eben das, wo wir unsere Aufgabe sehen als Forschungsinstitut,

Speaker0: aber wo ich auch meine Aufgabe sehe, eben nicht nur darüber zu reden und irgendwas

Speaker0: an den Pranger zu stellen, sondern eben auch konstruktive Hilfestellungen,

Speaker0: die für jedermann nutzbar sind, konkret anzubieten.

Speaker1: Ich denke, dass da halt viele den Wechsel auch scheuen, gerade was die Anwender angeht.

Speaker1: Hatte ich jetzt letztens auch so eine Situation, wo wir dann gesagt haben,

Speaker1: pass auf, bei den Leuten, die jetzt nicht auf Windows 11 upgraden können,

Speaker1: weil die Hardware das nicht hergibt, ich installiere denen jetzt einfach mal

Speaker1: ein paar Laptops mit Fedora Linux und dann ist gut.

Speaker1: Und ich habe nichts dazu gesagt, habe es denen gegeben und die arbeiten damit jetzt.

Speaker1: Die haben einen Knopf oben in der Leiste, da ist dann ein Firefox-Symbol,

Speaker1: dann können sie ins Internet gehen. Da ist ein Thunderbird, da können sie E-Mail machen.

Speaker1: Es sieht ja auch mittlerweile alles nach so einem OS aus, wie man es halt kennt,

Speaker1: ob das jetzt macOS ist oder Windows.

Speaker1: Diese ganzen aktuellen Betriebssysteme schauen ja sich doch relativ gleich und

Speaker1: dann ist auch die Einstiegshürde nicht mehr so groß.

Speaker1: Dass die User dann sagen, oh, was muss ich jetzt tun, weil in den Köpfen ist

Speaker1: Linux immer noch ganz viel Commandline. Und das ist ja für den Anwender nicht notwendig.

Speaker0: Ja, es fehlt glaube ich auch einfach an diesem Wissen. Und das würde ich auch

Speaker0: als primäre Aufgabe auch unter anderem eines Bundesdigitalministeriums einfach

Speaker0: sehen, zu kommunizieren, also an den Anwender zu kommunizieren.

Speaker0: Das muss ja kein IT-Experte sein.

Speaker0: Das ist ja nicht erforderlich. Wir sind alle Experten für unseren jeweiligen Bereich.

Speaker0: Wie man sich eben auch digital souveräner aufstellen kann.

Speaker0: Und das eben beispielsweise, wenn es um Linux geht, wenn ich darüber rede,

Speaker0: dass ich irgendwas in irgendwelche Kommandozeilen,

Speaker0: eingeben muss und mir irgendwelche Befehle merken muss, die ich mir nie,

Speaker0: oder Syntax, die ich mir nie werde merken können, sondern dass wir natürlich

Speaker0: da auch grafische Benutzeroberflächen haben, die ich ganz normal bedienen kann.

Speaker0: Und ich glaube, so ein bisschen ein Irrglaube ist einfach auch,

Speaker0: dass digitale Souveränität auch einmal wahnsinnig viel kostet.

Speaker0: Es ist natürlich nicht so, dass es sich wie so ein Software-as-a-Service-Abo.

Speaker0: Mit so Log-In-Effekten, wie wir es ja zurzeit gerade im Produktivitätsbereich

Speaker0: haben, erschlagen lässt,

Speaker0: sondern dass schon Aufwände, vielleicht auch zum Beginn Effizienzverringerungen

Speaker0: vorhanden sind, man muss eben halt diese ganzheitliche Dimension an der Stelle

Speaker0: sehen, warum ich das letzten Endes auch tun muss.

Speaker0: Und wir haben jetzt auch in dieser Woche, also gestern als Institut auch eine

Speaker0: Studie veröffentlicht, wo wir uns gerade auch mit diesen Log-In-Effekten befasst

Speaker0: haben, also das hat die öffentliche Verwaltung da betroffen,

Speaker0: Die kann man auch kostenlos auf unserer Website herunterladen.

Speaker0: Und da haben wir eben auch gerade identifiziert, dass es oftmals an diesem Wechselschmerz

Speaker0: liegt, dass eben Betriebe sich gegen digitale Souveränität entscheiden.

Speaker0: Da reden wir nicht nur über Mittelständler. Ich habe auch schon mit Vertreterinnen

Speaker0: und Vertretern, Einkäufer von den DAX-Konzernen gesprochen. Die haben was Ähnliches

Speaker0: gesagt. Die haben gesagt, ja, wir haben jetzt doch...

Speaker0: Wir haben jetzt doch 20, 30 Jahre lang auf Microsoft gesetzt,

Speaker0: uns voll in dieses Ökosystem integriert.

Speaker0: Wie sollen wir denn jemals überhaupt da rauskommen? Wie schaffen wir das überhaupt?

Speaker0: Da reden wir über Konzerne, die große eigene IT-Abteilung auch mit entsprechendem Know-how haben.

Speaker0: Und ich glaube, das ist schon die falsche Frage, die man stellt hier.

Speaker0: Wie schaffen wir das? Ihr seid ja auch irgendwie reingekommen.

Speaker0: Irgendwie habt ihr auch den Umstieg in den 1970er, 1980er Jahren auf digitale

Speaker0: Datenverarbeitung geschafft. So, und jetzt, 30 Jahre später,

Speaker0: müssen wir einfach noch einen Umstieg schaffen.

Speaker0: Und das sind einfach die falschen Fragen, die gestellt werden.

Speaker0: Weil, glaube ich, auch einfach dieses Know-how nach wie vor fehlt.

Speaker0: Das Know-how fehlt erst recht auf strategischem Management-Level,

Speaker0: aber eben teilweise auch im Bereich der IT-Beschaffung.

Speaker0: Und wenn wir sagen wollen, wir wollen auch digitale Souveränität in größeren

Speaker0: Unternehmen wirklich nachhaltig herstellen, dann müssen die Abteilungen,

Speaker0: auch wie es eigentlich bei der Cybersicherheit der Fall ist,

Speaker0: viel intensiver miteinander zusammenarbeiten.

Speaker0: Also das meint die technischen Abteilungen, die strategische Abteilung,

Speaker0: den Einkauf, aber natürlich auch die Juristen, die dann sagen müssen,

Speaker0: okay, wir haben jetzt irgendwie diesen Vertrag, diese Klausel,

Speaker0: die da drin steht, das ist eben nicht wirklich digital souverän,

Speaker0: was hier angeboten wird.

Speaker0: So, und anders werden wir das nicht hinkommen, wenn wir uns nicht auf diese

Speaker0: Art und Weise jetzt auf den Weg begeben.

Speaker0: Und es ist jetzt auch keine Frage davon, dass wir sagen können,

Speaker0: ja, das machen wir in fünf bis zehn Jahren irgendwie fertig,

Speaker0: das ist ein längerfristiges Projekt, sondern wir hätten eigentlich schon,

Speaker0: und da denke ich an Edward Snowden,

Speaker0: ja, Summer of Snowden 2013, NSA, Prism, da ging es um das Abhören von Ausspähen

Speaker0: unter Freunden mit dem Handy damals noch von Angela Merkel.

Speaker0: Das waren ja die Sachen, über die wir berichtet und debattiert hatten.

Speaker0: Alles lange in Vergessenheit geraten.

Speaker0: Aber wir hätten eigentlich schon ab dem Jahr 2013 uns eben jene Fragen stellen müssen.

Speaker0: Und das hat ansoweit natürlich auch nichts mit Donald Trump unter diesem Gesichtspunkt

Speaker0: zu tun, weil diese extensive US-Überwachungs- und Kontrollgesetzgebung,

Speaker0: die gab es auch schon unter einem Präsident Obama oder auch schon unter einem Präsident Biden.

Speaker0: Das einzige Problem, was wir jetzt sehen, ist, dass sich natürlich Donald Trump,

Speaker0: das Ganze politisch zunutze macht.

Speaker0: Das haben die anderen sich in dieser Form nicht zunutze gemacht.

Speaker0: Und er wäre blöd, also über die Intelligenz kann man, glaube ich,

Speaker0: nochmal sicherlich streiten, aber er wäre zumindest außenpolitisch blöd,

Speaker0: wenn er dieses Druckmittel.

Speaker0: Nicht nutzen würde. Und man hat es ja auch jetzt gesehen beim Angemessenheitsbeschluss,

Speaker0: der basiert auf einem präsidentiellen Rechtsakt, der damals in netter Weise

Speaker0: von Joe Biden erlassen wurde, weil Joe Biden gesagt hat, ja,

Speaker0: jetzt müssen wir die Zusammenarbeit mit den Europäern wieder stärken,

Speaker0: insbesondere wirtschaftlich und dazu gehört auch das Thema Datenschutz.

Speaker0: Und da ist eben ein Privacy and Civil Liberties Oversight Board drin.

Speaker0: Und dieses Oversight Board besteht aus fünf Leuten.

Speaker0: Und kurz nach der Amtseinführung im Frühjahr dieses Jahres war auf einmal nur

Speaker0: eine Person noch da und damit hat natürlich das Chorum gefehlt,

Speaker0: um entsprechende Entscheidungen treffen zu können.

Speaker0: Aber Trump ist nicht hingegangen und hat das ganze Ding gekippt,

Speaker0: weil dann hätte sich natürlich die EU-Kommission die Frage stellen müssen,

Speaker0: okay, wie verfahren wir jetzt?

Speaker0: Sondern er hat das erstmal so außer Gefecht gesetzt und jetzt ist es wieder neu besetzt worden.

Speaker0: Das heißt, wir werden uns im Bereich digitaler Souveränität nicht darauf einstellen

Speaker0: müssen, meiner Meinung nach, dass von einem Tag auf den anderen alles abgeschaltet

Speaker0: wirkt, weil das wäre dumm.

Speaker0: Politisch, außenpolitisch wäre das nicht sinnvoll, sondern wir werden uns darauf

Speaker0: einstellen müssen, dass vielleicht bestimmte Kontrollmechanismen mal funktionieren,

Speaker0: mal nicht funktionieren, dass vielleicht perspektivisch bestimmte Dienste mal

Speaker0: eine höhere Ausfalltoleranz haben.

Speaker0: Niemand weiß genau, woran das dann eigentlich liegt, weil ja viele dieser Anordnungen

Speaker0: dann auch geheim zu halten sind.

Speaker0: Also ich glaube, das ist so die Gebenlage, die wir da in den nächsten fünf Jahren

Speaker0: und innerhalb der nächsten fünf Jahre bis 2030 auf uns zurollen sehen.

Speaker1: Ja, davon kannst du ausgehen. Das ist halt, wie ich vorhin schon mal gesagt

Speaker1: habe, immer das Problem zwischen, wie kriegen wir es hin?

Speaker1: Also man fürchtet die Akzeptanz, dann hat man zu wenig Personal,

Speaker1: was sich das auch zutraut oder was das überhaupt möchte.

Speaker1: Und dann fehlt auch natürlich die Technologie, die auch irgendjemand betreuen

Speaker1: muss. Und es gibt ja diverse Ideen, eine Europa-Cloud zu machen,

Speaker1: dieses Gaia-Thema, was ja nicht wirklich weitergeht.

Speaker0: Ja, Gaia, Gaia.

Speaker1: Genau.

Speaker1: Wo auch die US-Anbieter schon wieder irgendwie eine Rolle drin spielen,

Speaker1: wo ich sage, also wenn ihr als europäische Lösung bei Gaia-X irgendwie Microsoft

Speaker1: und Google und Amazon mit reinholt, dann verstehe ich es nicht.

Speaker1: Die Ideen, Europa-Cloud zu machen, sind ja da.

Speaker1: Du hast ja den Meister Schrems vorhin schon erwähnt. Da ist es ja im Prinzip genauso.

Speaker1: Also die Idee ist ja schon länger da, aber irgendwie gab es nicht so richtig

Speaker1: den Ansatz dazu, irgendwie mal was zu tun.

Speaker1: Und es ist noch immer zu wenig passiert. Also das klingt jetzt vielleicht so,

Speaker1: als ob ich mir das wünschen würde, irgendwie so ein Doomsday-Prophet oder so.

Speaker1: Aber es ist so. Es passiert einfach zu wenig und es tut noch nicht weh genug.

Speaker1: Das ist so ähnlich wie die Aussage von Privatpersonen und Bürgerinnen und Bürgern

Speaker1: früher. ja, was wollen die denn mit meinen Daten? Ja, die wollen nichts mit deinen Daten.

Speaker0: Die haben ja aber, glaube ich, immer noch diese Aussage.

Speaker1: Die wollen nichts mit deinen Daten. Die wollen einfach ein legitimes E-Mail-Postfach

Speaker1: und ein legitimes und genutztes Social-Media-Konto übernehmen,

Speaker1: damit sie halt noch mehr Schindluder treiben können.

Speaker1: Nur um das geht es. Die wollen jetzt nicht die Fotos von Omas 80.

Speaker1: Geburtstag sehen. Das ist denen wahrscheinlich völlig wurscht.

Speaker0: Ja, das ist einfach dieses Paradoxon. Wenn die Leute fragst,

Speaker0: aber willst du, dass deine Daten irgendwie nach Amerika geschickt werden?

Speaker0: Willst du, dass sie massenhaft durch Dienste ausgewertet werden?

Speaker0: Dann sagen natürlich alle nein. Nein, das will ja keiner letzten Endes,

Speaker0: aber wenn es dann doch passiert, ja, dann ist es eben an der Stelle hinzunehmen.

Speaker0: Ich glaube, das ist ja eine Form von Bequemlichkeit,

Speaker0: die ist einfach, wenn digitale Dienste genutzt werden, auch in den Köpfen der

Speaker0: Leute verankert und ich erkenne es ja auch in meinem eigenen Bekanntenkreis

Speaker0: auch immer wieder, also wir leben schon in einer Bubble,

Speaker0: ja, wir leben in unserer Cyber Security Bubble, das ist schon eine sehr,

Speaker0: sehr spezielle Bubble und man ist dann irgendwie erschüttert,

Speaker0: wenn man dann irgendwie hört,

Speaker0: wie wenig Gedanken sich die Leute über ihre Sicherheit im digitalen Raum,

Speaker0: über das Thema Datenschutz machen, aber.

Speaker0: Ich kann es auch irgendwo verstehen, es ist einfach auch eine schwer zugängliche

Speaker0: Materie und viele wollen sich oder können sich damit auch gar nicht beschäftigen,

Speaker0: teilweise weil einfach die Zeit fehlt oder man andere drängendere Probleme irgendwie

Speaker0: hat, mit denen man sich im Beruf und Privatleben auseinandersetzen muss und

Speaker0: deswegen ist es halt umso wichtiger,

Speaker0: dass wir da auch nicht den Mut verlieren, weil wir eben aus dieser Bubble kommen,

Speaker0: die Themen kennen, einschätzen können auch und den Leuten eben auch Tipps, Input geben können,

Speaker0: dass wir einfach nicht damit aufhören und immer weitermachen,

Speaker0: weil es wird nie die 100% digital residente Gesellschaft geben. Die gibt es nicht.

Speaker0: Also ich vergleiche vieles immer ganz gern mit der Datenschutz-Grundverordnung,

Speaker0: weil die Datenschutz-Grundverordnung ja so einen allgemeingültigen Ansatz hat.

Speaker0: Irgendwie diffundiert in alle möglichen Bereiche in allen europäischen Mitgliedstaaten rein.

Speaker0: Aber trotz DSGVO-Vereinheitlichen haben wir immer noch kein einheitliches Datenschutzniveau.

Speaker0: Wir sind aber weiter, als wir es noch vor zehn Jahren gewesen sind.

Speaker0: Und das ist, glaube ich, das Entscheidende, dass wir uns mit jedem Tag eben

Speaker0: ein Stückchen weiter bewegen und da dann eben auch nicht,

Speaker0: das Thema aufgeben, was wir sowieso nicht tun werden, sonst wären wir jetzt

Speaker0: hier auch am Freitagnachmittag nicht damit befassten, einen Podcast zu dem Thema

Speaker0: aufzuzeichnen, aber das ist, glaube ich, das Wichtigste.

Speaker0: Und man darf sich einfach nicht davon entmutigen lassen, dass jetzt nicht jedermann

Speaker0: an Datenschutz oder Souveränität oder Cybersicherheit denkt.

Speaker1: Ja, aber auch da darf man nicht aufhören, eben die Leute daran zu erinnern oder zu ermahnen.

Speaker1: Wenn ich immer irgendwelche WhatsApp-Stati sehe, wo dann irgendwie Kinder zu

Speaker1: sehen sind, kommentiere ich immer nur bitte mit keine Kinder auf WhatsApp oder

Speaker1: auch auf anderen Social-Media-Plattformen.

Speaker1: Ich kommentiere das regelmäßig und ich höre da auch nicht auf,

Speaker1: weil es halt einfach, die Leuten ist das nicht klar.

Speaker1: Und wir haben bei dieser Aktion Türen auf mit der Maus dieses Jahr zum ersten Mal teilgenommen,

Speaker1: hatten dann bei uns im Unternehmen hier in Regensburg auch in Summe vielleicht

Speaker1: 40 Familien da und hatten dann verschiedene Stationen eben zum Thema Cyberrisiken

Speaker1: und halt gerade Kinderumgang mit Medien,

Speaker1: wie sehen gute Passwörter aus und so weiter.

Speaker1: Und im Schulungsraum hatten wir hinten dieses Aufklärungsvideo von der Telekom

Speaker1: laufen, wo es darum geht, wo dieses Mädchen Emma seine Eltern quasi adressiert im Kino.

Speaker1: So, hey, ich weiß, ihr habt mich total lieb, deswegen macht ihr auch Fotos von

Speaker1: mir, aber bitte hört auf, die ins Internet zu stellen.

Speaker1: Dann gab es diesen Deepfake, wo diese Emma auf einmal dann eine etwas jugendlichere Emma ist.

Speaker1: Dann gab es dann irgendwie Deepfake und Identitätsdiebstahl und Creditscore

Speaker1: kaputt und natürlich dann am Ende des Tages auch Pornografie.

Speaker1: Und ich kriege Gänsehaut, wo ich drüber rede, weil dieses Video,

Speaker1: das ist wirklich dermaßen eindringlich.

Speaker1: Und ich werde es auch unten in den Shownotes verlinken. Und ich hatte in der

Speaker1: ersten Runde, wo dann Eltern dieses Video geguckt haben, wir haben extra gesagt,

Speaker1: bitte guckt das ohne eure Kinder an. Das ist echt nichts für Kinder.

Speaker1: Ich hatte eine Mutter drin, die hat Rotz und Wasser geheult,

Speaker1: weil ihr in dem Moment scheinbar bewusst geworden ist, was da passieren kann.

Speaker1: Und sie tut das anscheinend selber regelmäßig, so wie so viele.

Speaker1: Und das ist halt wichtig. Du musst da wirklich dranbleiben, den Leuten das zu

Speaker1: verklickern, weil gerade das Thema Kinder und Jugendliche, die haben Recht am

Speaker1: eigenen Bild und wer weiß, was dann mit diesen Fotos passiert.

Speaker1: Und man verbaut den Kindern damit die komplette Zukunft.

Speaker1: Soviel zum Thema, was wollen die mit meinen Daten? Ja, wahrscheinlich nichts

Speaker1: Gutes. Und das ist halt das große Problem dabei.

Speaker0: Ja, also im Zweifelsfall wird es kommerziell ausgewertet. Genau, richtig.

Speaker1: So ist es. Ja, um mal nochmal zum Kern der eigentlichen Folge zurückzukommen,

Speaker1: wie Cyber Security zur geopolitischen Waffe wurde.

Speaker1: Ich möchte jetzt nicht das Thema Cyber War hier aufziehen.

Speaker1: Also Cyber War, das hat auch der Manuel schon so schön gesagt, frei nach Thomas Ried.

Speaker1: Cyber War Will Not Take Place. Krieg findet auf dem Schlachtfeld statt und nicht im Internet.

Speaker1: Auch wenn das Internet als die fünfte Ebene sozusagen anerkannt wurde,

Speaker1: schon vor längerer Zeit.

Speaker0: Halber und Informationsraum, ja.

Speaker1: Neben Luft, Wasser, Boden und, was war die vierte?

Speaker0: Weltraum.

Speaker1: Weltraum, genau. Luft, Wasser, Boden, Weltraum. Schöne Grüße an der Stelle an

Speaker1: das Star-Wars-Projekt.

Speaker1: Da hat sich ja damals der...

Speaker1: Busch Senior dran, glaube ich, ziemlich verausgabt und Reagan.

Speaker1: Das war ja schon auch immer so ein Schreckgespenst, was da uns immer vorgehalten

Speaker1: worden ist, so zum Thema, wir stationieren jetzt Raketen im Weltall.

Speaker1: Nein, wir stationieren keine Raketen im Internet, aber das Internet kann natürlich

Speaker1: eben durch solche Ausfälle, die dann auch möglicherweise produziert sind oder

Speaker1: provoziert werden, eben wie dieser AWS-Ausfall oder Ausfälle größerer Services,

Speaker1: kann das natürlich schon dazu führen, dass die Infrastruktur Dienste nicht mehr genutzt werden.

Speaker1: Werden können, dass Leute keine Informationen mehr bekommen können.

Speaker1: Insofern ist das schon ein Risiko, aber es ist kein Cyberwar an der Stelle,

Speaker1: sondern es geht um Geopolitik.

Speaker1: Wir haben es gerade schon gesagt, wenn jetzt jemand entscheidet, ein

Speaker1: Blonder, orangefarbener Mann, dass Europa jetzt keinen Zugriff mehr auf JetGPT

Speaker1: hat, dann wird es auf jeden Fall wehtun in vielen Bereichen.

Speaker1: Außer man hat sich halt vorher mit Lösungen beschäftigt, indem man es zum Beispiel

Speaker1: selbst hostet oder halt vielleicht mehr solche Dinge wie Mistral und Co.

Speaker1: Benutzt hat, die ja aus Europa kommen.

Speaker1: Aber ja, ist natürlich schon ein heißes Thema und ein heißes Eisen und ich sage,

Speaker1: gerade bei den vielen Auditierungen, die wir so machen, Notfallpläne sind halt

Speaker1: wichtig und wenn ich heute mein gesamtes

Speaker1: Schicksal und das gesamte Auskommen meines Unternehmens eben an eine US-Cloud

Speaker1: gebunden habe, muss ich mir halt Gedanken darüber machen, was tue ich,

Speaker1: wenn es jetzt nicht mehr zur Verfügung steht?

Speaker1: Wie kann ich das Ganze halt mitigieren? Wie kann ich noch arbeiten?

Speaker1: Und da ist eigentlich der Hauptpunkt, wo man sich heute mit auseinandersetzen muss.

Speaker1: Gerade jetzt wieder Microsoft 365, sind wir mal ehrlich, für die 20 Euro,

Speaker1: die eine Business Premium Lizenz kostet, kann man sich das kaum selber bauen.

Speaker1: Was man da alles aus einer Hand kriegt, immer mit dem gleichen Data Lake,

Speaker1: das ist ja das Schöne daran.

Speaker1: Wenn ich jetzt eine Datei in Word erstelle und die liegt in OneDrive,

Speaker1: habe ich die auch in Teams sofort zur Verfügung und kann sie sofort teilen.

Speaker1: Und das ist halt schon cool.

Speaker1: Es ist kein von links nach rechts verschieben und wir merken,

Speaker1: wo liegt das Zeug, sondern dieses System weiß ja, was es gibt.

Speaker1: Und das hat alles natürlich seinen Charme, vor allem zu dem Preis.

Speaker1: Also 20 Euro für diesen Stack an Technologie, das ist schon...

Speaker1: Ein gutes Argument.

Speaker0: Das ist immer die einzelne Summe, die wird ja auch in der Werbebroschüre immer

Speaker0: herangezogen, aber ich meine, wir haben das ja jetzt, es hat ja auch schon verschiedene

Speaker0: Anfragen parlamentarischer Art gegeben, wie es jetzt eigentlich um die Kosten bestellt ist,

Speaker0: sogar alljährlich gibt es Anfragen, was eben die Cloud- und Lizenzkosten

Speaker0: insbesondere von Microsoft angeht und wenn wir dann mal sehen, wie sich diese,

Speaker0: wenigen Euro auf einmal summieren, da sind wir dann am Ende bei Millionen,

Speaker0: so in zigfachen Millionen-Summen angelangt, das ist glaube ich das Entscheidende

Speaker0: und wenn ich erstmal eben nicht nur eine Arbeitsplatz in die Cloud reingestellt

Speaker0: habe, sondern tausende Arbeitsplätze in die Cloud reinstelle,

Speaker0: ist es natürlich auch umso schwieriger, aus dieser Cloud am Ende wieder rauszukommen.

Speaker0: Und das führt auch dazu, und da habe ich eben auch mit Verantwortlichen der

Speaker0: Länder im Bereich IT-Beschaffung teilweise gesprochen.

Speaker0: Die dann gesagt haben, ja, wir können diese Entscheidung jetzt zum einen sowieso

Speaker0: nicht nachvollziehen, aber wir werden eben wirtschaftlich immer weiter unter

Speaker0: Druck gesetzt, weil das ist ja wie mit Kfz-Versicherungen.

Speaker0: Da komme ich zwar leichter raus wieder, aber wir haben ja Eigentlich noch nie

Speaker0: hat jemand wirklich erlebt, dass seine Kfz-Versicherung günstiger geworden ist,

Speaker0: wenn dann zum Jahresende wieder die neuen Beträge kommen.

Speaker0: Sie wird eigentlich immer minimal teurer und das ist das, worüber wir reden

Speaker0: und da wird natürlich auch dieser Log-In-Effekt ausgenutzt.

Speaker0: Also man ist bequem, man will diese Versicherung nicht kündigen,

Speaker0: sie läuft irgendwie weiter, es passiert ja auch nichts und man will sich gar

Speaker0: nicht damit befassen. Das ist dasselbe, was wir eben bei Software-IT-Beschaffungsentscheidungen,

Speaker0: Cloud-Beschaffungsentscheidungen sehen. Es läuft einfach alles immer so weiter.

Speaker0: Man stellt einfach etwas größere Budgets bereit, aber macht sich damit natürlich

Speaker0: auch in gewisser Hinsicht nicht nur technisch erpressbar, sondern natürlich

Speaker0: auch wirtschaftlich irgendwo abhängig.

Speaker0: Und das ist ja auch gerade das, was da kritisiert wird, dass man eben nicht

Speaker0: nur die technische Kontrolle über die eigene IT verliert, sondern mehr und mehr

Speaker0: auch die wirtschaftliche Kontrolle und am Ende man gar keine Kontrolle mehr hat.

Speaker0: Also weder über seine Finanzen noch über das, was eigentlich technisch genau abläuft.

Speaker0: Und das ist die ganz große Gefahr, die sich noch nicht realisiert hat, die schon da ist.

Speaker0: Und das ist ja der Punkt. Wir wachen jetzt irgendwie auf.

Speaker0: Und stellen fest, das ist nicht nur ein Albtraum gewesen, sondern wir leben

Speaker0: in diesem Albtraum der IT-Abhängigkeit, den wir irgendwie gezielt über Jahrzehnte aufgebaut haben.

Speaker0: Aber es ist einfach so, also wenn wir uns auch mal Cloud Computing anschauen.

Speaker0: 2010, ja, das weiß ich noch an der Uni, da kam dann auf einmal die Dropbox.

Speaker0: Und da haben dann alle gesagt, da gibt es sowas wie Dropbox,

Speaker0: du kannst alle deine Daten irgendwie an einem Ort speichern und dann kannst

Speaker0: du das auf deinem Computer nutzen, auf deinem stationären Computer,

Speaker0: kannst du das auf deinem Notebook nutzen,

Speaker0: mit Smartphone war damals noch nicht so wahnsinnig viel und du kannst zu Hause

Speaker0: und an der Uni arbeiten und alle sind in die Dropbox reingegangen,

Speaker0: niemand hat es interessiert, wer betreibt den ganzen Kram eigentlich,

Speaker0: welche Sicherheitsanforderungen liegt das, wo stehen die Server,

Speaker0: das war völlig egal und wenn man da jemanden gefragt hätte, der gesagt,

Speaker0: ja, funktioniert doch alles und wird schon sicher sein.

Speaker0: Und wir kommen, glaube ich, immer noch so ein bisschen aus dieser Mentalität

Speaker0: raus, wird schon sicher sein, funktioniert ja alles.

Speaker0: Aber ich glaube, wir haben ja in den letzten 40 Minuten sehr gut dargelegt,

Speaker0: dass dieses wird schon sicher sein, funktioniert ja alles, nicht mehr der Maßstab ist, um,

Speaker0: heutzutage Cybersicherheit und IT-Sicherheit im Zeitalter dieser hybriden Bedrohung,

Speaker0: die wir ja auch gerade angesprochen haben, also zwischen physisch,

Speaker0: Sabotage, Spionage, Desinformation, das sind ja auch viel, viel weitergehende Interessen.

Speaker0: Wir haben ja nicht nur Unternehmensinteressen, Wir haben auch staatliche Interessen

Speaker0: neben den politischen Interessen.

Speaker0: Und in diesem Zeitalter ist es, glaube ich, einfach nicht mehr die richtige

Speaker0: Art und Weise, über dieses Thema zu sprechen oder so anzugehen,

Speaker0: wie man es noch vor zehn Jahren gemacht hatte.

Speaker1: Ja, man neigt dazu, sehr schnell Vorschusslorbeeren und Vorschussvertrauen irgendwo

Speaker1: in ein System reinzusprechen, das man halt nicht analysiert hat.

Speaker1: Und auch da wieder, da sind wir vielleicht zu sehr die Nerds für dieses Thema.

Speaker1: Ich möchte schon wissen, wo meine Systeme sich hin unterhalten.

Speaker1: Und ich mache schon auch Traffic-Analyse. Wenn ich jetzt irgendwas Neues zu

Speaker1: Hause oder im Unternehmen einführe, möchte ich schon wissen,

Speaker1: mit welchen Services, die wo stationiert sind, redet denn dieses System jetzt.

Speaker1: Aber das macht ja Lieschenmüller nicht. Die Leute gehen in den Mediamarkt und

Speaker1: kaufen sich halt irgendwie, keine Ahnung, Nuki und Ring und dieses ganze Zeug,

Speaker1: was ja auch sehr billig angeboten wird,

Speaker1: wird schon funktionieren, wird schon passen. Schwierige Einstellung,

Speaker1: ganz schwierige Einstellung.

Speaker0: Aber in Zukunft wird es ja glücklicherweise auch so sein, dass ein Mediamarkt

Speaker0: Pflichten aus dem Cyber Resilience Act erfüllen muss.

Speaker0: Und wir haben ja auch solche Initiativen, wie zum Beispiel das IT-Sicherheitskennzeichen

Speaker0: vom BSI, das es dann vielleicht auch Verbrauchern ermöglicht zu unterscheiden,

Speaker0: ist jetzt ein Produkt eher cybersicher.

Speaker0: Das IT-Sicherheitskennzeichen ist natürlich auch immer so ein bisschen mit Vorsicht

Speaker0: zu genießen, weil es keine Zertifizierung oder ähnlich ist. ist,

Speaker0: aber zumindest es gibt einen Anhaltspunkt dafür, ob sich ein Unternehmen zumindest

Speaker0: mal mit Cybersicherheit auseinandersetzt oder nicht und das,

Speaker0: es muss einfach einfach ergreifbar sein.

Speaker0: Wenn ich einen Umkarton habe und auf der Verpackung irgendein Kennzeichen in

Speaker0: diesem Sinne draufsteht vom BSI, dann habe ich schon mal eher,

Speaker0: also dann habe ich in jedem Fall ein Entscheidungskriterium,

Speaker0: was wir vorher nicht zur Verfügung gestanden haben und es ist ja auch nach wie

Speaker0: vor, also wonach suchen die Verbraucher im Internet? In erster Linie gibt es

Speaker0: das Produkt auch irgendwo billiger.

Speaker0: So, und das ist ja bislang das einzige Kriterium gewesen, aber wenn solche Kriterien

Speaker0: natürlich dann auch noch zusätzlich gut sichtbar herantreten,

Speaker0: dann wird es, glaube ich, schon den einen oder anderen geben,

Speaker0: der sagt, dann entscheide ich mich eben für dieses Produkt und nicht für ein

Speaker0: anderes Produkt in diesen Zeiten.

Speaker1: Ja, glaube ich auch. Wobei, da muss ich sagen, was dieses BSI-Siegel,

Speaker1: was ja keines ist, angeht, die Hürden sind natürlich schon hoch.

Speaker1: Also gerade bei dieser ganzen BSI-Geschichte, wenn man sich mal damit versucht

Speaker1: hat, auseinanderzusetzen, ein BSI-Siegel,

Speaker1: IT-Sicherheitsdienstleister auf der BSI-Landkarte zu werden,

Speaker1: die fragen dir wirklich ein Loch in den Bauch.

Speaker1: Und selbst wenn du schon entsprechend ISO 27001 und 18 und was der Teufel was

Speaker1: erfüllst, schickst das rein und sagst, machen wir alles schon,

Speaker1: wir haben ISMS und dies und das, dann wird es halt nicht akzeptiert,

Speaker1: dann muss da von BSI wieder ein Auditor kommen und so weiter.

Speaker1: Also die Einstiegshürde ist relativ hoch und es wird natürlich auch da gerne

Speaker1: Marketing mit betrieben mit irgendwelchen Siegeln und Zertifikaten.

Speaker1: Als das Thema NIST 2 aufkam, habe ich die ersten Beiträge bei LinkedIn gesehen.

Speaker1: Nur mit unserem Unternehmen können Sie NIST 2 zertifiziert werden.

Speaker1: Nee, du kannst dich nicht NIST 2 zertifizieren. Du kriegst einfach einen Auditkatalog

Speaker1: und den musst du erfüllen. Ende.

Speaker1: Du kannst nur sagen, wir haben uns mit dem Katalog beschäftigt und passt.

Speaker0: Ja, das ist halt dieser Wildwuchs auch teilweise bei proprieten Zertifikaten.

Speaker0: Ich meine, bei der Datenschutz-Grundverordnung, die Datenschutz-Grundverordnung

Speaker0: ziehe ich immer wahnsinnig gerne auch als Beispiel heran, weil wir haben viele

Speaker0: der Debatten und Fehler und Umsetzungsherausforderungen, die wir jetzt für Cybersicherheit

Speaker0: sehen, das kam ja einfach etwas später schon bei der DSGVO gesehen.

Speaker0: Das ist ja genauso gewesen. Also wir hatten keine einheitliche,

Speaker0: es gab ja nicht die DSGVO-Zertifizierung lange, jahrelang. Das hat sich ja mittlerweile geändert.

Speaker0: Und nach dem DSGVO ist auch es möglich, einen entsprechenden Zertifizierungsmechanismus

Speaker0: anzubieten. Das hat aber einfach Jahre gedauert.

Speaker0: Man weiß nicht, warum. Es gibt ja verschiedene Gründe, die da immer so kolportiert werden.

Speaker0: Aber das Problem ist einfach, dass gerade diesen Siegeln teilweise einfach auch

Speaker0: eine zu große Bedeutung beigemessen wird.

Speaker0: Also zum einen wissen wir nicht, was für Siegel gibt es, wie gut sind die tatsächlich.

Speaker0: Und viele dieser Siegel sind auch nicht besonders gut, wenn man sich auch mal

Speaker0: den Prüfkatalog, von dem du eben gesprochen hast, anschaut, die Prüfdichte.

Speaker0: Anschaut und zum anderen entsteht auch gerade bei Geschäftsleiterinnen,

Speaker0: Geschäftsleitern im Mittelstand schnell der Eindruck, naja, wenn ich jetzt irgendwie

Speaker0: mal zertifiziert habe und ein Audit irgendwie drüber gelaufen ist,

Speaker0: dann hafte ich ja auch gar nicht mehr, dann habe ich doch alles getan,

Speaker0: aber so ein Siegel ist halt immer nur eine Momentaufnahme, jede Zertifizierung

Speaker0: ist eine Momentaufnahme und entbindet mich dann ja nicht davon,

Speaker0: hinterher zu sagen, ich muss trotzdem mein ISMS.

Speaker0: Weiter fortführen, das ist ja gerade nicht so und, aber das ist halt das Problem,

Speaker0: dass wir halt diesen Markt auch haben.

Speaker0: Und gerade NIST 2 hat auch zu viel, viel unseriöser Werbung geführt.

Speaker0: Also gerade auch herstellerseitig, dass dann teilweise behauptet wird,

Speaker0: man kann mit einzelnen Produkten NIST 2 konform werden.

Speaker0: Das ist nicht zutreffend.

Speaker0: Weil es geht um Prozessmanagement. Prozessmanagement muss aus dem Unternehmen selbst kommen.

Speaker0: Produkte können dabei unterstützen und können ja auch ein Bestandteil der Cybersicherheitsmaßnahmen

Speaker0: sein, aber es gibt nicht irgendwie Plug-and-Play-Niss-Zweikonformität.

Speaker0: Ja, also ich habe da irgendwas, teilweise hat es ja sogar irgendwie Jaststeller

Speaker0: von USB-Sticks gegeben, wo dann oben drin stand mit unseren USB-Sticks,

Speaker0: vermeiden Sie Bußgelder in Millionenhöhe und das ist so ein bisschen dieser

Speaker0: Cybersicherheits-Irrsinn, den wir da auch in den letzten Jahren erlebt haben.

Speaker0: Ich hoffe, dass sich das jetzt erledigt hat. Also wir haben,

Speaker0: es wurde in den letzten zwei Jahren wahnsinnig viel Werbung mit NS2 gemacht.

Speaker0: Man weiß jetzt natürlich nicht, was in 2026 passieren wird, jetzt wo wir tatsächlich

Speaker0: NS2 haben, aber ich glaube, es wird nicht mehr so intensiv sein,

Speaker0: wie es jetzt im Jahr 2023 oder 2024 war.

Speaker1: Also Cyber Security ist definitiv eine strategische Disziplin und kein IT-Problem.

Speaker1: Also da gehört mehr dazu, du hast es gerade gesagt, ISMS, da gehört Compliance

Speaker1: dazu, da gehören ganz viele Themen dazu und mit einmal zertifizieren ist es

Speaker1: halt einfach nicht getan.

Speaker1: Und ich habe letztens selber so ein schönes Beispiel gehabt mit einem Elektrogerät

Speaker1: aus China wohlgemerkt, also bewusst in China bestellt.

Speaker1: Und ja, da ist tatsächlich ein Aufkleber drauf, dass da eine Elektroprüfung

Speaker1: für das Netzteil stattgefunden hätte, aber das Netzteil ist trotzdem durchgebrannt

Speaker1: und das Kabel war angeschmort.

Speaker1: Und dann sage ich auch, naja, Elektroprüfungsaufkleber kann ich mir viele drucken.

Speaker1: Das heißt halt noch lange nichts.

Speaker1: Da spielen auch viele Sachen einfach mit dazu.

Speaker1: Wie ist die Steckdose beschaffen und was für eine Leistung kommt da wirklich

Speaker1: aus der Steckdose raus? Wie konnte das überhaupt schmelzen? Warum ist die Sicherung nicht geflogen?

Speaker1: Da ist es im Prinzip genauso. So, oder was auch immer so ein schönes Beispiel

Speaker1: an der Stelle ist, wenn du dein Auto zum TÜV bringst und hast normalerweise

Speaker1: absolut illegale Tuningfelgen auf diesem Auto, mit denen du nicht fahren darfst.

Speaker1: So, jetzt gehst du her und extra für den TÜV-Termin schraubst du Winterreifen

Speaker1: drauf, die du fahren darfst.

Speaker1: Dann kriegst du deine Plakette und fährst wieder. So, und dann halte dich die

Speaker1: Polizei morgen an, wenn du deine Tuningfelgen wieder drauf hast.

Speaker1: Und dann sagst du, hier, ich habe einen Zettel, da hat der TÜV sogar das Auto

Speaker1: gestern gesehen und die haben gesagt, das ist alles cool.

Speaker1: Dann könnte die Polizei entscheiden, jetzt fahren wir mal zu der TÜV-Stelle

Speaker1: und prüfen das. Und dann sagt der Prüfer, ja, die Felgen waren da aber nicht

Speaker1: drauf, als ich das Auto gestern gesehen habe.

Speaker1: Pech gehabt. Das war's. Stilllegung.

Speaker0: Ja, das ist, glaube ich, einfach dieser Punkt. Cybersicherheit ist was,

Speaker0: was im eigenen Interesse erfolgt.

Speaker0: Also, was wir jetzt sehen, die Regulierung ist eigentlich nicht der eigentliche

Speaker0: Grund für Cybersicherheit, sondern das ist ja sowas wie NIST-2-Geld oder sowas

Speaker0: wie ein Cyber-Resilience-Act.

Speaker0: Das ist eine Folge davon, dass man einfach in den letzten Jahren zu wenig getan

Speaker0: hat. Das heißt, wir sehen es ja irgendwie allen halben.

Speaker0: Ich glaube, gefühlt hatten wir in keinem Jahr wie diesem Jahr so viele Unternehmensinsolvenzen,

Speaker0: gerade auch im Mittelstand oder Unternehmen, die gerade auch an den Rand ihrer

Speaker0: Existenz getrieben wurden, sind ihre Existenzgrundlage infolge eines Cybervorfalls.

Speaker0: Und es ist einfach etwas, was Unternehmen im eigenen Interesse umsetzen müssen,

Speaker0: aber es wird eben vielfach als regulatorisches, als rechtliches Problem aufgefasst

Speaker0: und das ist ein ganz großer Fehler, den wir hierzulande erleben.

Speaker0: Cybersicherheit ist kein rechtliches Problem, das ist ein faktisches,

Speaker0: ein technisches Problem und dadurch geht es natürlich zum unternehmensstrategischen Problem.

Speaker0: Wenn das Unternehmen nicht mehr funktioniert, dann habe ich definitiv als Geschäftsleitung,

Speaker0: eine große Herausforderung vor mir.

Speaker0: Und da müssen wir uns ein bisschen verlösen, dass die Unternehmen sagen,

Speaker0: ich muss das Ganze ja umsetzen, weil jetzt irgendwie NIST 2 da ist.

Speaker0: Aber am Ende kontrolliert es das BSI ja sowieso nicht. Wer soll denn irgendwie

Speaker0: 30.000 Unternehmen kontrollieren? Deswegen ist es mir letzten Endes egal.

Speaker0: Nein, es ist deswegen wichtig, weil du dein eigenes Unternehmen,

Speaker0: was du irgendwie über Jahrzehnte aufgebaut hast, davor schützen sollst,

Speaker0: dass es eben infolge eines lapidaren, muss man ja sagen, Cybervorfalls,

Speaker0: weil viele Cyberangriffe sind nicht deswegen erfolgreich, bei Unternehmen irgendwie

Speaker0: über Monate hinweg ausgespäht wurden oder irgendwelche APTs da laufen,

Speaker0: sondern weil die Basics fehlen und du willst ja nicht jahrzehntelange Arbeit,

Speaker0: gerade bei Familienunternehmen, die da reingesteckt wurden,

Speaker0: jetzt ruinieren, nur weil du sagst, Cybergefahren, das interessiert mich nicht,

Speaker0: das hat doch gar nichts mit meinem Unternehmenszweck zu tun und wir werden ja

Speaker0: sowieso nicht angegriffen. Das ist ja oftmals das Argument.

Speaker0: Und das muss man viel, viel stärker den Leuten auch klar machen,

Speaker0: dass es eigentlich gar nicht darum geht, Gesetze einzuhalten,

Speaker0: dass die Gesetze nur die Folge einer unzureichenden digitalresilienten Gesamtsituation sind.

Speaker1: Ja, das Thema gezielte Angriffe wird auch irgendwie immer noch falsch verstanden.

Speaker1: Also es ist wahrscheinlicher, dass du dir einfach aufgrund von irgendeinem uralt

Speaker1: Softwarestand halt was einfängst oder Opfer wirst, also im Prinzip wie so ein Drive-By-Shooting,

Speaker1: als dass du jetzt irgendwo von einem Konkurrenten absichtlich irgendwie ausgeschaltet wirst oder so.

Speaker1: Das ist das, was ich halt immer wieder auch erklären muss, weil in den Köpfen

Speaker1: der Entscheider immer noch das oft so ist, so wie man das so aus Hackerfilmen kennt.

Speaker1: Dann setzen die sich hin und dann schnappen die sich da ihr Laptop und dann

Speaker1: geht es aber richtig los und dann wird dann nach Lücken gesucht.

Speaker1: Ich glaube, dass das mittlerweile wirklich nicht der wirkliche Fall ist.

Speaker1: Also wenn, dann wird es wahrscheinlich eher das eigene Personal sein,

Speaker1: mit dem man sich beschäftigen sollte mit dem Thema Insider-Risiko.

Speaker1: Und da ist wesentlich mehr Schadenspotenzial drin.

Speaker1: Und eben nicht der böse Hacker, der sich jetzt hinsetzt und versucht,

Speaker1: das Unternehmen XY in Kempten auszuschalten, aus irgendeinem Grund.

Speaker1: Und ja, leider sehr viel Hollywood-Gedanken, die da immer noch eine Rolle spielen

Speaker1: in diesen ganzen Entscheidungen.

Speaker1: Und ja, es geht am Ende des Tages um Verantwortung, es geht um Geld,

Speaker1: es geht auch um das Einkommen meiner Mitarbeiterinnen und Mitarbeiter und das

Speaker1: ist auch das, was ich immer wieder am Ende so Abschluss, Fazitgesprächen mit unseren Kunden sage,

Speaker1: kümmert euch bitte darum, das ist eure Verantwortung, liebe Inhaber und Geschäftsführer,

Speaker1: dass die Leute auch nächsten Monat noch ihre Miete bezahlen können.

Speaker1: Es kann nicht sein, dass eine Verschleppung von Investitionen für irgendein

Speaker1: technologisches Thema, sei es jetzt Cyber Security oder was anderes,

Speaker1: eben dieses Risiko immer größer wird.

Speaker1: Und je länger man es verschleppt, umso schlimmer wird es, weil am Ende wird

Speaker1: es halt immer noch teurer.

Speaker1: Und es tut immer noch mehr weh, dann das vernünftig einmal neu aufzubauen.

Speaker1: Es kostet aber wesentlich mehr Geld und Energie, wenn man wirklich das so weit

Speaker1: kommen lässt, dass es am Ende dann einen Ransomware-Vorfall gibt und das gesamte

Speaker1: Unternehmen steht, ich dann die Folgekosten zu tragen habe,

Speaker1: gerade Leute, die halt Forensik können oder die halt wieder Anlauf beherrschen

Speaker1: vernünftig, das kostet Geld.

Speaker1: Dann habe ich vielleicht noch ein Lösegeld, was ich bezahlen möchte oder muss

Speaker1: und dann kommen die Konventionalstrafen von meinen Kunden, dann kommt vielleicht

Speaker1: noch eine Strafe vom Bundesdatenschutz, Landesdatenschutzbeauftragten.

Speaker1: Das kostet viel mehr und das tut nachhaltig weh und der Ruf ist dann halt kaputt

Speaker1: und ja, ist der Ruf erst ruiniert, lebt es sich gänzlich ungeniert,

Speaker1: das passt an der Stelle dann ganz gut.

Speaker0: Ich wollte gerade sagen, ist bei Cyber-Sicherheit gerade nicht so. Ja.

Speaker1: Ja, und das ist halt eine Situation oder auch eine Sache, die muss man den Leuten

Speaker1: immer wieder predigen und einfach vermitteln, weil das halt einfach zu weit

Speaker1: weg ist. Und deswegen meinte ich ja vorhin, es passiert zu wenig.

Speaker1: Es passiert einfach immer noch zu wenig.

Speaker1: Und wir haben einen Vorfall gehabt oder eine Kundenanfrage, die war dann,

Speaker1: ja, wir müssen jetzt mal über dieses Thema sprechen. Dann sage ich,

Speaker1: ah, okay, weiß ich, haben wir schon länger gesagt, aber warum jetzt auf einmal?

Speaker1: Ja, Unternehmen XY, was bei uns so drei Häuser weiter in der gleichen Straße

Speaker1: ist, wurde jetzt auch Opfer.

Speaker1: Dann sage ich, ja, aber das ist kein Geolokationsproblem. Also die sind jetzt

Speaker1: nicht rumgefahren, haben dann gesehen, ach, guck mal, hier in der Straße,

Speaker1: da ist Firma dies und Firma das und die greifen wir jetzt an und daneben ist

Speaker1: noch eine andere, die schnappen wir uns als nächstes.

Speaker1: Also so ist es halt nicht zu sehen. Mir ging es damals bei Corona so,

Speaker1: als das losging, damals war es noch in China, habe ich mir gedacht,

Speaker1: ja, das ist ein Problem in China.

Speaker1: Als dann die ersten Fälle in Deutschland kamen, habe ich dann schon gedacht,

Speaker1: okay, das scheint doch jetzt ein ernstes Thema zu sein.

Speaker1: Und als dann die ersten Vorfälle hier in unsere Region aufkamen,

Speaker1: das war dann so, okay, die Einschläge kommen jetzt näher. Jetzt ist es wirklich

Speaker1: ein echt ernstzunehmendes Problem.

Speaker1: Und ja, es war vorher auch ein Problem. Wäre ich nach China geflogen in dem

Speaker1: Moment oder ich hätte die Entscheidung treffen müssen, fliege ich dahin oder

Speaker1: nicht, wäre ich nicht hingeflogen. Weil da geht es ja gerade rund.

Speaker1: Und mit IT ist es im Grunde genommen das Gleiche. Man weiß, dass man eigentlich

Speaker1: schon eine riesige Bringschuld hat, aber das Aussitzen wird nicht gut funktionieren.

Speaker1: Was wäre denn dein Rat an junge Leute, die sich mit dem Thema Cybersecurity beschäftigen wollen?

Speaker0: Ich glaube, das kommt so ein bisschen darauf an, aus welcher Warte.

Speaker0: Also wenn man natürlich sagt, was ich vielfach zurzeit auch sehe,

Speaker0: dass mich junge Menschen, also auch Menschen mit einem Studium fragen,

Speaker0: wie kann ich in dieser Branche Fuß fassen?

Speaker0: Und ich sage den Leuten, ja klar, du kannst ja Cyber Security studieren.

Speaker0: Das ist ganz wichtig, dass es solche Studiengänge auch gibt,

Speaker0: aber was eben in den Betrieben fehlt, ist Praxis.

Speaker0: Und was wir eben immer noch erleben, ist, dass viele Hochschulen und viele Universitäten

Speaker0: gerade diese Praxis, die so wichtig ist im Bereich Cyber Security,

Speaker0: überhaupt nicht im geringsten vermitteln.

Speaker0: Es geht um theoretische Fertigkeiten, theoretische Kenntnisse.

Speaker0: Und da sage ich den Leuten lieber, wenn du wirklich erfolgreich sein willst,

Speaker0: der Cybersicherheit auf Fuß fassen willst, dann kommt es am Ende jetzt nicht

Speaker0: zwingend auf ein Zertifikat mehr oder ein Zertifikat weniger oder noch mehr

Speaker0: studiert, noch weniger studiert, sondern es kommt darauf an,

Speaker0: dass du an der richtigen Stelle die Praxiserfahrung sammelst.

Speaker0: Und das ist etwas, was man, glaube ich, noch stärker an die jungen Menschen

Speaker0: einfach kommunizieren muss.

Speaker0: Und gerade Cybersecurity-Experten werden händeringend gesucht an allen Ecken

Speaker0: und Kanten, also wohl behördlich wie auch im Unternehmen.

Speaker0: Und meine Empfehlung ist da, einfach mal anzufangen. Ja, also man kann mit vielen

Speaker0: verschiedenen Studiengängen in das Thema Cybersecurity-Risikomanagement einsteigen.

Speaker0: Dafür braucht man auch nicht zwingend irgendwie eine Informatikausbildung haben

Speaker0: oder Fachinformatik oder Systemintegrator oder ähnliches sein.

Speaker0: Es ist eben auch der Quereinstieg möglich. Und der Quereinstieg wird von vielen

Speaker0: Unternehmen auch gefördert.

Speaker0: Und wenn man sich das Thema annehmen will, einfach mutig sein,

Speaker0: an Unternehmen herantreten, eben sich weiterbilden, die Möglichkeit zum Quereinstieg suchen.

Speaker0: Und wenn man dann eben auch ambitioniert ist, dann wird es einem auch gelingen,

Speaker0: sehr, sehr gut in dieser Branche Fuß fassen zu können. Das ist eigentlich das,

Speaker0: was ich jedem jungen Menschen in dem Bereich empfehlen kann.

Speaker1: Danke dafür, das denke ich genauso. Also gesucht wird das ja zuhauf,

Speaker1: also wenn man da mal nach freien Jobangeboten sucht, das ist schon Wahnsinn.

Speaker1: Ich sehe das immer nur so ein bisschen als Problem, dass das noch nicht erkannt

Speaker1: wird, dass das halt auch bezahlt werden möchte.

Speaker1: Also gerade jetzt öffentlicher Dienst hatte ich letztens mal nachgefragt,

Speaker1: wo das denn in der Tabelle dann sich befindet und dann hieß es ja,

Speaker1: das ist E12 und dann denke ich

Speaker1: mir auch, na viel Glück auf der Suche nach dem, was ihr da alles wollt,

Speaker1: weil für E12 steht wahrscheinlich keiner auf oder vielleicht jemand,

Speaker1: der jünger ist und halt noch wachsen möchte, aber Leute, die da Erfahrung mitbringen,

Speaker1: kriegt man halt wahrscheinlich für diesen Betrag eher weniger.

Speaker1: Dann wüsste ich gerne noch, wie kann man denn dich und deine Arbeit am besten verfolgen?

Speaker1: Du hattest das CII schon gesagt, also Cyber Intelligence Institute.

Speaker1: Das verlinke ich natürlich auch in den Shownotes.

Speaker1: Und LinkedIn, dein LinkedIn-Profil packe ich natürlich auch in die Shownotes.

Speaker1: Gibt es sonst noch irgendeine Quelle, wo man dich am besten verfolgen kann?

Speaker0: Also tatsächlich gibt es sogar bald eine ganz neue Quelle. Also wir sind dabei,

Speaker0: eine eigene App zu erarbeiten vom Cyber Intelligence Institute.

Speaker0: Und da werden wir auch alle cybersicherheitsrelevanten Informationen,

Speaker0: die sonst über unsere Kanäle laufen, gut aufbereitet anbieten. Die ist kostenlos.

Speaker0: Das ist jetzt noch nicht ganz so weit, aber auch da wird es zukünftig eben einen neuen Kanal geben.

Speaker0: Und der Gedanke war einfach auch zu sagen, wo wir über proprietäre Netzwerke

Speaker0: sprechen, eben auch ein Informationsangebot zu schaffen, was sich nicht auf

Speaker0: Social Media bewegt, was eben auch in Hand US-amerikanischer Konzerne ist.

Speaker0: Das werde ich aber dann auf jeden Fall auch noch kommunizieren.

Speaker0: Das werden wir als Institut kommunizieren und damit gibt es eine weitere Möglichkeit,

Speaker0: mehr uns zu folgen und unsere Arbeit da auch zu sehen. Genau.

Speaker1: Ja, das ist auf jeden Fall cool. Wie gesagt, schreibe ich auch in die Shownotes

Speaker1: rein. Guckt euch einfach da mal, bleibt an dem Cyber Intelligence Institute dran.

Speaker1: Und der Dennis wird es dann wahrscheinlich auch auf LinkedIn oder so verkünden,

Speaker1: wenn es dann soweit ist, gehe ich einfach davon aus.

Speaker0: Genau so ist es.

Speaker1: Genau. Bleibt da einfach mal dran und guckt euch das an. Wie gesagt,

Speaker1: wie immer, alles unten in den Shownotes.

Speaker1: Und an der Stelle, Dennis, vielen Dank für deine Zeit heute und vor allem für

Speaker1: die Klarheit von dir zwischen Gesetz, Technik und Realität.

Speaker1: Hat mich wirklich wahnsinnig gefreut und ja, ich hoffe, wir sehen uns demnächst

Speaker1: mal wieder auf irgendeiner der Konferenzen dieser Welt irgendwann wieder.

Speaker0: Ja, danke, Alex, für die Einladung heute und auf jeden Fall auch für das ganz

Speaker0: tolle Gespräch. Hat mir sehr viel Spaß gemacht.

Speaker1: Danke dir. Jo, dann bis bald und euch Zuhörenden.

Speaker1: Noch einen wunderschönen Tag, wann auch immer ihr uns hört. Entweder einen guten

Speaker1: Morgen oder guten Mittag oder guten Abend. Ihr kennt das.

Speaker1: Lasst mir gerne auch einen Kommentar da. Ihr könnt auf jedem Podcatcher,

Speaker1: den es so gibt, kommentieren. Ihr könnt auch Bewertungen abgeben.

Speaker1: Irgendwelche Sternchen oder Bananen oder, keine Ahnung, Bockwürste,

Speaker1: was auch immer in eurer App da so zur Verfügung steht, gerne eine Bewertung dalassen.

Speaker1: Empfehlt uns vor allem auch weiter. Davon lebt auch der Podcast.

Speaker1: Einfach durch Weiterempfehlungen. Mund-zu-Mund-Übertragung hilft immer an der Stelle.

Speaker1: Und ihr könnt natürlich auch mir eine Sprachnachricht dalassen.

Speaker1: Findet ihr auch den Link unten in den Shownotes.

Speaker1: Mit Speakpipe, ein unsouveräner US-Dienst. Aber die Daten werden gelöscht,

Speaker1: sobald ich die Sprachnachricht angehört habe.

Speaker1: Und dann nehme ich das gerne auch mal als Kritik oder Kommentar in einer der

Speaker1: nächsten Folgen hier auf.

Speaker1: Ja, und natürlich noch ein ganz wichtiger Hinweis, vergesst nicht,

Speaker1: dem Podcast zu folgen. Wenn ihr das Ganze gerade auf YouTube gehört habt,

Speaker1: aktiviert bitte die Glocke.

Speaker1: Ich muss das leider an der Stelle immer wieder sagen, damit ihr keine neue Folge verpasst.

Speaker1: Und dann freue ich mich, wenn wir uns zur nächsten Folge von Blue Screen hier

Speaker1: an dieser Stelle wiederhören. Macht's gut, bis zum nächsten Mal. Tschüss.