098: BSI-Zertifizierungen, BCM, BIA & IT-Security Beratung. Ein Interview mit Dirk Größer.

Speaker0: Hi und willkommen zu einer weiteren Folge von BlueScreen, eurem Lieblingstech-Podcast.

Speaker0: Wir haben Folge Nummer 98, das heißt, wir haben nur noch zwei Folgen bis zu

Speaker0: unserem ersten großen Jubiläum.

Speaker0: Und ja, vielleicht ist euch das schon aufgefallen, hier geben sich jetzt gerade

Speaker0: die Experten so wirklich die Klinke in die Hand.

Speaker0: Ich habe jetzt extra bewusst mal ein bisschen darauf verzichtet,

Speaker0: immer diesen Wechsel zwischen Interview- und Wissenfolge zu machen,

Speaker0: sondern die letzten Folgen zu 100.

Speaker0: Da gibt es ausschließlich Experteninterviews. So auch heute.

Speaker0: Ich habe heute einen weiteren spannenden Gesprächspartner mir eingeladen, den Dirk Grösser.

Speaker0: Und wir werden uns heute mal zum Thema BSI-Zertifizierung und IT-Security-Beratung

Speaker0: unterhalten. Viel Spaß bei dieser Folge.

Speaker0: Bluescreen, der Tech-Podcast. Der Gast, den wir heute für euch haben,

Speaker0: ihr habt es gerade schon gehört, der Dirk Grösser, Der ist Information Security Consultant,

Speaker0: CISSP und ISO 27001 Lead Auditor in seiner eigenen Unternehmensberatung,

Speaker0: hat aber davor schon ganz viel Zeit bei der T-Systems verbracht unter anderem.

Speaker0: Und ich würde sagen, Dirk, stell dich doch einfach mal unseren Zuhörerinnen

Speaker0: und Zuhörern vor und erzähle uns ein bisschen, wer du bist und was du sonst so machst.

Speaker1: Ja, sehr gerne. Tja, dann erstmal hallo zusammen, mein Name ist Dirk Größer,

Speaker1: du hast es gerade schon gesagt.

Speaker1: Ja, ich bin Mitte 50, ich bin Freiberufler, das mache ich auch schon eine ganze Weile.

Speaker1: Ich habe irgendwann mal mit dem ganzen Thema begonnen, aber da gehen wir vielleicht

Speaker1: später noch mal darauf ein, wie das so eigentlich losgegangen ist.

Speaker1: Ich bin seit gut 30 Jahren, wie man so schön sagt, in der IT-Branche unterwegs

Speaker1: und so die letzten roundabout 15 Jahre beschäftige ich mich eigentlich ausschließlich mit den Themen

Speaker1: Informationssicherheit, Business Continuity Management und hatte auch mal so

Speaker1: eine kurze Zeitepisode, wo ich mich auch mit dem Thema Datenschutz beschäftigt

Speaker1: habe, aber das habe ich deutlich zurückgefahren.

Speaker1: Das heißt also, meine Schwerpunkte ganz klar sind Information, Sicherheit und BCM.

Speaker1: Und in dem Kontext, so wenn man eben so im WSI-Kontext unterwegs ist,

Speaker1: geht es eben primär häufig eben um öffentliche Auftraggeber und so könnte man

Speaker1: sagen, habe ich vielleicht so eine zwei Drittel zu ein Drittel Auftraggebersituation,

Speaker1: also von öffentlich zu privatwirtschaftlichen Kunden.

Speaker1: Und ja, das ist das, was ich so mache im Grunde genommen.

Speaker0: Ja, erstmal dafür natürlich sehr vielen Dank. Wenn man sich so mal anguckt,

Speaker0: was du so tust ansonsten, der andere mit dem Einsatz.

Speaker0: Schöne Grüße an der Stelle nach Nürnberg.

Speaker0: Da ist es ja auch so, die Themen, die da eine große Rolle spielen,

Speaker0: ist ja unter anderem der BCM-Praktiker oder auch der IT-Grundschutzpraktiker,

Speaker0: aber auch zum Beispiel Vorfallpraktiker,

Speaker0: Vorfallexperte im CSN des BSI, was ich ja auch selber bin,

Speaker0: zusammen mit einem Kollegen bei uns im Unternehmen, mit dem Christian Mayer.

Speaker0: Wie nimmst du die ganze Situation wahr? Ist das ein Thema,

Speaker0: was jetzt aufgrund der verschiedenen Notwendigkeiten wie einer Datenschutzgrundverordnung,

Speaker0: aber auch teilweise den natürlich gestiegenen Angriffen auf IT- und Cyberinfrastrukturen

Speaker0: etwas ist, was Aufschwung bekommt?

Speaker0: Oder ist das eher so, dass man sagt, naja, man hat es halt, weil man es haben möchte oder muss.

Speaker0: Aber wie ist die Wahrnehmung von dir? Ist das schon in den Köpfen der Entscheider

Speaker0: angekommen, dass das wichtige Positionen sind? Oder hapert es da noch?

Speaker1: Teils, teils. Also da muss man so ein bisschen das vielleicht etwas differenzierter betrachten.

Speaker1: Ich denke mal mittlerweile so das Jahr 2025, wenn man da einfach schaut,

Speaker1: die Bedrohungslage. und wenn man einfach mit offenen Augen in die Welt sieht,

Speaker1: was wir da an Cyberangriffen haben.

Speaker1: Mit Corona hatten wir eine Pandemie und so weiter. Das heißt,

Speaker1: also bei vielen ist mittlerweile im Kopf angekommen.

Speaker1: Man kann nicht mehr so weitermachen, wie das vielleicht in den letzten 20 Jahren

Speaker1: irgendwie so war, jetzt bezogen auf Informationssicherheit, wo man vielleicht gesagt hat, na gut,

Speaker1: Man nimmt eine Firewall und einen Virenscanner und dann ist das schon alles

Speaker1: ziemlich super, sondern bei den meisten ist es schon angekommen.

Speaker1: Man muss sicherlich deutlich mehr machen, aber ich denke, an der einen oder

Speaker1: anderen Stelle muss man noch so ein bisschen an der Awareness arbeiten,

Speaker1: weil viele gedanklich noch so irgendwie unterwegs sind, wasch mich,

Speaker1: aber mach mich nicht nass.

Speaker1: Also auf der einen Seite hat man erkannt, ja, wir müssen was tun,

Speaker1: aber dann erkennt man, naja, man muss dann,

Speaker1: wenn man das transparent betrachtet, sieht man, das bedeutet natürlich auch

Speaker1: Aufwände auf der anderen Seite und da,

Speaker1: das ist eigentlich das Spannende von beiden Management-Systemen,

Speaker1: also egal, ob man jetzt Informationssicherheit oder auch BCM betrachtet,

Speaker1: da ist eben das Spannende,

Speaker1: das immer so auszutarieren.

Speaker1: Auf der einen Seite zwischen Aufwand und Wirtschaftlichkeit,

Speaker1: auf der anderen Seite eben mit der entsprechenden Wirksamkeit und da eben für

Speaker1: jeden Kunden so das richtige Maß zu finden, das ist eigentlich das Spannende daran.

Speaker0: Ja, mit deiner Vergangenheit von 30 Jahren in der IT- und Cyber-Sec-Bubble mal

Speaker0: auf das ganze Thema natürlich auch drauf geguckt.

Speaker0: Wie bist du denn selber da hingekommen? Also was hat dich denn dazu bewegt oder

Speaker0: animiert, dich so zu spezialisieren?

Speaker1: Eigentlich hat das alles ganz harmlos angefangen. Das heißt,

Speaker1: ich habe irgendwann mal Elektrotechnik mit Schwerpunkt technische Informatik

Speaker1: studiert, habe mich dann Fokus damit beschäftigt,

Speaker1: eben Mikrocontrollerschaltungen zu entwickeln, zu programmieren.

Speaker1: Ich hatte also immer schon eine relativ hohe Affinität zur Technik,

Speaker1: zur Elektronik und bin dann auch sehr schnell Richtung Forensik eigentlich abgedriftet,

Speaker1: weil wenn man jetzt mal das nochmal 30 Jahre vielleicht zurückdreht oder 35 Jahre,

Speaker1: Da war das natürlich, also ich war immer wieder damals fasziniert davon, wie einfach es doch war,

Speaker1: von vielen Menschen als vertrauenswürdig erachtete Systeme eben zu kompromittieren

Speaker1: oder irgendwo so Veränderungen herbeizuführen.

Speaker1: Ja, das war damals eben noch sehr, sehr einfach.

Speaker0: Kurze Frage, würdest du sagen, dass das heute wesentlich anders ist?

Speaker0: Manchmal nein.

Speaker1: Manchmal nein, aber zumindest mal die Awareness ist heute auf der Betreiberseite

Speaker1: deutlich höher, dass man sagt, ja,

Speaker1: wir nehmen zur Kenntnis und wir akzeptieren, dass wir diese Anfälligkeit haben

Speaker1: und sind dann auch durchaus motiviert und geneigt, entsprechend Maßnahmen dagegen zu ergreifen.

Speaker1: Das heißt, man kann eben mit so einem gewissen Grundset erstmal die Wahrscheinlichkeit

Speaker1: nach unten drücken und wenn man dann vielleicht noch zwei, drei Schüppchen drauflegt,

Speaker1: kann man dann auch deutlich mehr erreichen, aber natürlich auch zum Preis eines

Speaker1: etwas höheren Aufwands, den ich dann vielleicht habe, um das zu betreiben.

Speaker0: Ja, das auf jeden Fall. Da gehe ich auf jeden Fall mit.

Speaker0: Jetzt ist es natürlich immer ein bisschen schwierig, klassischen Themen,

Speaker0: die man halt in der Berufsschule auch irgendwann mal gelernt hat,

Speaker0: wenn man irgendwie Cyberschaffender ist, über die Dinge hinaus zu denken.

Speaker0: Ja, du hast gerade schon gesagt, jetzt eine Firewall und Update-Management,

Speaker0: Patch-Management und solche Geschichten, das sollte man eigentlich ja irgendwie im Griff haben.

Speaker0: Aber gerade dann so in die Richtung geguckt, was Business-Continuity-Management,

Speaker0: Business-Impact-Analysen und so weiter angeht, da verlassen wir ja doch in vielen

Speaker0: Segmenten den Bereich, wo sich der normale Admin halt wohlfühlt.

Speaker0: Weil der hat halt vielleicht ein Monitoring, das sagt ihm, wo es gerade klemmt

Speaker0: und ein Update-Dienst, der sagt, wo fehlen jetzt irgendwelche neuesten Software-Updates.

Speaker0: Aber wir begeben uns ja mit dem Thema BIA-BCM schon ganz schwer in Richtung Management-Thematik.

Speaker0: Ich muss es ja irgendwie hinbekommen, einem Entscheider, vielen kleinen Mittelständlern,

Speaker0: natürlich dem Geschäftsführer dann auch zu vermitteln,

Speaker0: warum ist das jetzt wichtig und da sehe ich tatsächlich immer wieder eine doch

Speaker0: ganz schöne Hürde für die Techniker,

Speaker0: das vernünftig rüber zu bekommen. Wie würdest du das denn adressieren?

Speaker1: Ja, ich denke, das Thema kann man auch nicht technisch adressieren,

Speaker1: weil wenn ich Geschäftsführer bin, dann habe ich ja irgendwie ein Unternehmen,

Speaker1: was irgendeinen Geschäftszweck hat, wo ich Wertschöpfung mit betreibe und dann

Speaker1: interessiert es mich eigentlich gar nicht so sehr,

Speaker1: wie funktionieren meine Computer und laufen jetzt die Bits von links nach rechts

Speaker1: oder von rechts nach links, sondern es geht eher um funktionale Aspekte.

Speaker1: Das heißt, man muss eigentlich eher von der Kosten- oder Bedrohungsseite ein

Speaker1: Stück weit kommen und muss, denke ich, darüber so ein Stück weit die Wahrnehmung

Speaker1: beim Gesprächspartner schärfen.

Speaker1: So mit so Fragen, was wäre denn, wenn die IT einen Tag, eine Stunde,

Speaker1: eine Woche, was auch immer, ausfällt oder wenn plötzlich die Daten nicht mehr

Speaker1: zur Verfügung stehen würden oder bestimmte Daten öffentlich werden würden.

Speaker1: Und über solche Fragestellungen, denke ich mal, kommt man da deutlich besser als Ziel.

Speaker1: Das war bei mir ja ähnlich, das hatte ich ja eben auch so ein bisschen ausgeführt.

Speaker1: Am Anfang war ich sehr technisch unterwegs und irgendwann erkennt man eben,

Speaker1: Technik ist das eine, aber eben Organisation und Management und Systematik eben das andere.

Speaker0: Ja, das stimmt schon, ja, absolut. Ist auch was, was wir immer wieder versuchen

Speaker0: anhand dieses Ansatzes, wirklich mit einer Milchmädchenrechnung auch erstmal

Speaker0: dem IT-Verantwortlichen zu helfen, indem man halt sagt,

Speaker0: guck mal, du musst es ja jetzt nicht auf Basis von irgendwelchen harten Facts

Speaker0: erstmal vermitteln, sondern geh doch einfach mal davon aus,

Speaker0: euer Unternehmen macht 10 Millionen Euro Jahresumsatz, ihr arbeitet 220 Werktage,

Speaker0: dann haben wir einen gedachten,

Speaker0: fiktiven Umsatz, was natürlich nicht stimmt, so von irgendwo 45.000 Euro,

Speaker0: das heißt, ein Tag kaputt, kostet 45.000 Euro.

Speaker0: Damit habe ich zumindest schon mal eine Linie da reingebracht und Und dann muss

Speaker0: man halt die Kosten dazu mischen, indem man sagt, okay, und was kostet Wiederherstellung?

Speaker0: Wie hoch sind normalerweise Lösegeldzahlungen?

Speaker0: Wie viel Zeit muss ich rechnen, bis dann aus der Notfallphase,

Speaker0: aus dem Notbetrieb quasi vielleicht auch wieder ein Normalbetrieb möglich ist?

Speaker0: Ich habe vielleicht wieder Beschaffungskosten.

Speaker0: Ich muss Strafzahlungen in Erwägung ziehen, weil ich vielleicht irgendwo von

Speaker0: der Datenschutzbehörde nachher noch eine Anzeige bekomme und so weiter.

Speaker0: Und daraus ergibt sich dann halt irgendein Preis. und dann kann man ganz gut

Speaker0: dagegenhalten, was würde es denn kosten, wenn ich jetzt präventive Maßnahmen

Speaker0: eben einleite, um es gar nicht erst so weit kommen zu lassen.

Speaker0: Und natürlich, manche, die da schon tiefer drin sind, sagen ja,

Speaker0: so kannst du es aber nicht rechnen.

Speaker0: Sag ich ja, aber ich muss ja irgendeine Art von Kommunikationsebene finden zwischen

Speaker0: dem Techniker und dem Entscheider, auf dem sich beide halt verstehen.

Speaker0: Also so eine Art Pareto, beziehungsweise, das stimmt gar nicht,

Speaker0: nicht Pareto. Wie nennt sich diese Sprache, was in Zirkus oft gesprochen wird?

Speaker0: Pareto wollte ich nicht sagen.

Speaker1: Im Zirkus.

Speaker0: Wie heißt diese Sprache wieder?

Speaker0: Esperanto, genau. Eine Art Esperanto zwischen diesen beiden Welten.

Speaker0: Aber natürlich auch mit Pareto-Ansatz, klar.

Speaker0: Genau. Und von dem her, da kommt man dann schon relativ gut in diese Richtung.

Speaker0: Bevor wir jetzt allerdings da noch tiefer einsteigen in dieses ganze Thema,

Speaker0: warum das denn vielleicht auch gut ist, sich damit mal wirklich auch selber

Speaker0: auseinanderzusetzen und wie so eine typische Ausbildung aussieht,

Speaker0: hast du ja mit Sicherheit auch in deiner Historie einige Meilensteinprojekte

Speaker0: gehabt, die dir dann gezeigt haben, dass du in der richtigen Richtung unterwegs bist.

Speaker0: Hast du da vielleicht so das eine oder andere, was du uns erzählen kannst oder darfst?

Speaker1: Ja, also das ist ja schon ein bisschen her, deshalb kann ich darüber auch sprechen,

Speaker1: weil über viele andere Sachen kann ich eben nicht sprechen.

Speaker1: So eins der größeren Projekte, so am Anfang, war sicherlich das Herkules-Projekt der Bundeswehr.

Speaker1: Das heißt, damals habe ich mich auch beschäftigt eben mit Informationssicherheit

Speaker1: eines technischen Systems, des einzigen grünen Systems damals.

Speaker1: Das Hercules-Projekt war ja damals eher auf die sogenannte Weise IT ausgerichtet,

Speaker1: der Bundeswehr, also eher die Verwaltung und so weiter.

Speaker1: Und das hat sich ja dann über die Jahre ein Stück weit gewandelt,

Speaker1: sodass man eben auch dann, ich sage mal, einsatzrelevante Systeme zum Teil dann

Speaker1: eben durch die BWI, Also das ist der damals der Dienstleister,

Speaker1: der aus diesem Herkules-Projekt entstanden ist,

Speaker1: was durch den supportet und betrieben wird.

Speaker1: Und ja, also das war eine sehr interessante Zeit, weil man da eben dann wirklich

Speaker1: ganz hautnah dabei sein konnte, wenn ich das mal so sagen darf.

Speaker1: Also so zu sehen, diesen Übergang von der Zeit irgendwie 1900 irgendwas und

Speaker1: dann irgendwie das Jahr 2000 und dort auch im Prinzip so ein Denkansatz,

Speaker1: der sich eben dann bei der Bundeswehr langsam gewandelt hat,

Speaker1: dass man festgestellt hat, ja, wir müssen dieses IT-Thema eben auf andere Beine stellen.

Speaker1: Also das war sicherlich so eins der, ich sage mal, sehr spannenden Projekte.

Speaker1: Das hat mich auch relativ lange beschäftigt und dann auch immer mal wieder beschäftigt.

Speaker1: Ansonsten sind eben viele andere öffentliche oder Projekte öffentlicher Auftraggeber

Speaker1: sehr, sehr spannend in den unterschiedlichen Bereichen, oftmals im Bereich der

Speaker1: Kommunikation und Infrastruktur,

Speaker1: wie jetzt beispielsweise die Regierungsbehörden und so weiter auch miteinander kommunizieren.

Speaker1: Genau, und dann später eben auch Themen wie beispielsweise das Übernehmen von

Speaker1: ESB-Rollen bei einer Bundesbehörde oder bei einem größeren IT-Dienstleister

Speaker1: im Gesundheitsbereich, von einem Kritisbetreiber und so weiter.

Speaker1: Also das waren sicherlich so schon prägende Stationen.

Speaker0: Ja, das klingt auf jeden Fall sehr prägend, vor allem bei dem Herkules-Projekt,

Speaker0: da werden Erinnerungen wach. Was waren es damals?

Speaker0: Ich glaube irgendwas so 150.000 Computerarbeitsplätze?

Speaker1: Ich weiß es nicht mehr. Ich weiß irgendwie nur noch die sieben Milliarden.

Speaker1: Das ist ja gerade so, wenn du jetzt irgendwie bedenkst, über welche Milliarden

Speaker1: wir heute reden. Also damals war sieben Milliarden noch viel.

Speaker1: Heute ist es wahrscheinlich auch noch viel, aber irgendwie haben sich die Maßstäbe verschoben.

Speaker0: Ja, das stimmt wohl. Das stimmt wohl. Ja, verrückt.

Speaker0: Aber cool, dass du da auch damals beteiligt warst.

Speaker0: Ja, und von dem her, das zeigt aber auch natürlich ganz klar,

Speaker0: wenn du sagst, Bundeswehr, Regierungsbehörden und so weiter,

Speaker0: Das braucht halt auch Struktur.

Speaker0: Also da kann man nicht einfach mal drauf losadministrieren und machen und gucken.

Speaker0: Das wird dann schon irgendwie passen, sondern das braucht halt einfach natürlich eine Struktur.

Speaker0: Insofern merke ich da natürlich auch, dass du gerade, was das Thema BSI-Zertifizierung

Speaker0: da der richtige Mann bist.

Speaker0: Also wir beide kennen uns ja nicht aus dieser Ausbildung für den Vorfallexperten.

Speaker0: Ich habe die ja damals mit dem Donald Ortmann gemacht.

Speaker0: Schöne Grüße, Donald. Du warst auch schon hier im Podcast zu Gast.

Speaker1: Ja, den Donut kenne ich tatsächlich.

Speaker0: Ja, mit dem habe ich seitdem auch sehr viel Kontakte immer wieder.

Speaker0: Aber das Ganze hat ja eine Struktur, diese Ausbildungswege.

Speaker0: Das kann teilweise, zumindest für mich als jemand, der aus der Praxis kommt,

Speaker0: ich mache es jetzt auch schon über 20 Jahre, ein bisschen verwirrend sein,

Speaker0: weil man halt einfach in der Denkweise vielleicht ein bisschen anstößt,

Speaker0: wie man selber arbeitet an dem, was halt das BSI sich gerne so vorstellen würde,

Speaker0: wie man halt einen Vorfall bearbeitet.

Speaker0: Aber wenn man es dann mal ein paar Mal gemacht hat, merkt man,

Speaker0: ja, das macht schon irgendwie alles Sinn, wenn man halt in einem festen vorgegebenen

Speaker0: Schema halt einfach sich bewegt.

Speaker0: Magst du uns da mal vielleicht grundsätzlich einen Einblick geben?

Speaker0: Was sind denn diese verschiedenen BSI-Zertifizierungen und für wen sind die denn geeignet?

Speaker1: Genau, also wir fangen vielleicht mal mit dem Grundschutzpraktiker an.

Speaker1: Das heißt, man kann erst mal so zwei Grundlinien erst mal in der grundsätzlichen Denkweise sehen.

Speaker1: Das ist nämlich einmal das Thema Informationssicherheit und das andere ist das BCM-Thema.

Speaker1: Und wenn wir jetzt eben auf die Informationssicherheitsseite gehen,

Speaker1: dann ist quasi die Einstiegsmöglichkeit dort der IT-Grundschutzpraktiker,

Speaker1: das ist ein Einführungskurs,

Speaker1: ein Einführungsformat, wo man sich erstmal so mit den Grundsätzen oder Grundlagen

Speaker1: der Informationssicherheit so ein bisschen vertraut macht, den Grundschutz als solches,

Speaker1: als methodische Vorgehensweise kennenlernt und vielleicht auch versteht,

Speaker1: wie ist die Abgrenzung beziehungsweise die Schnittmenge mit anderen Standards

Speaker1: wie beispielsweise oder Normen, wie beispielsweise der ISO 27001,

Speaker1: die ja in einem sehr engen Verhältnis mit dem Grundschutz, mit dem Informationssicherheitsteil steht.

Speaker1: Ja, dann guckt man sich eben so ein paar Dinge an, die man dann als Arbeitsmittel

Speaker1: braucht, wie beispielsweise das Grundschutz-Kompendium.

Speaker1: Schaut sich an die unterschiedlichen Vorgehensmodelle, die man hat im Grundschutz.

Speaker1: Wie wendet man das an in Projekten? Wie kann ich so ein ISMS schrittweise aufbauen?

Speaker1: Wie kann ich solche Gefährdungs- oder Risikoanalyse- Betrachtungen durchführen?

Speaker1: Gibt es dafür einen Standard?

Speaker1: Ja, den gibt es, nämlich den Standard 200-3.

Speaker1: Wie dokumentiere ich das Ganze? Was auch häufig so ein Thema ist,

Speaker1: was aus meiner Sicht ein bisschen kurz kommt in der Praxis, weil der Grundschutz

Speaker1: ja durchaus den Beruf hat,

Speaker1: sehr dokumentenlastig zu sein, was ich jetzt auch nicht unbedingt hier,

Speaker1: sage ich mal, belastbar widerlegen kann.

Speaker1: Aber man kann durchaus durch eine geschickte und clevere Dokumentation und Umsetzung

Speaker1: eine ganze Menge Aufwand auch an der Stelle nach unten bringen.

Speaker1: Und man bekommt eben noch Praxisbeispiele und Übungen, somit auf den Weg,

Speaker1: das Ganze anzuwenden. Das ist natürlich für alle geeignet, die sich mit dem

Speaker1: Thema Informationssicherheit vertraut machen wollen.

Speaker1: Das heißt, das kann jemand sein, der im IT-Umfeld tätig ist.

Speaker1: Es kann aber auch jemand sein, der unter Umständen gar nicht so IT-affil ist,

Speaker1: der vielleicht eher aus einer organisatorischen Laufbahn kommt und sich mit

Speaker1: dem Thema Informationssicherheitsmanagement beschäftigen möchte.

Speaker1: Also das ist so erstmal das Einstiegsformat und dann kann man das Ganze noch

Speaker1: vertiefen, indem man eben den sogenannten IT-Grundschutzberater dann noch anschließt.

Speaker1: Da gibt es allerdings noch ein paar Rahmenbedingungen, da muss man eben eine

Speaker1: entsprechende Anwendung.

Speaker1: Berufserfahrung und so weiter nachweisen. Und dann kann man eben diesen Berater machen.

Speaker1: Das ist auch nochmal ein Aufbaukurs von zwei Tagen. Das hatte ich jetzt gar nicht gesagt.

Speaker1: Der Praktikerkurs, das ist ein Kurs, der dauert bei Q-Skills vier Tage.

Speaker1: Wenn man nach dem Curriculum des BSE vorgeht, kann man den auch in drei Tagen grundsätzlich machen.

Speaker1: Nur wir haben über die Jahre einfach festgestellt, dass vier Tage geeigneter

Speaker1: sind, weil es doch eine ganze Menge Stoff ist und da es ja ein Einsteigerkurs ist.

Speaker1: Und wenn sich jemand vorher noch wenig oder wenig Berührungspunkte mit dem Thema

Speaker1: hatte, sind natürlich drei Tage schon eine Hausnummer.

Speaker1: Da sind vier Tage deutlich besser, da kann man noch deutlich mehr Praxis reinbringen.

Speaker1: Deshalb eben der Praktiker mit vier Tagen.

Speaker1: Dann der Berater, wie gesagt, mit zwei Tagen. Und das ist dann eben die Informationssicherheitsschiene.

Speaker1: Und seit noch gar nicht allzu langer Zeit gibt es den BCM-Praktiker,

Speaker1: wo man eben auch nochmal so ein Einstiegsformat konzipiert hat von drei Tagen.

Speaker1: Das dauert auch bei Q-Skills drei Tage.

Speaker1: Da geht es eben um das Thema BCM. Also der Standard dazu auf der BSI-Welt ist eben die 200-4.

Speaker1: Der ist dann ähnlich inhaltlich aufgebaut. Also man bekommt auch erstmal Grundlagen,

Speaker1: lernt dann die unterschiedlichen Vorgehensweisen kennen,

Speaker1: lernt Mittel und Wege, wie ich einmal Vorsorge betreiben kann,

Speaker1: auf der anderen Seite eben aber auch mich darum kümmern muss,

Speaker1: wenn ich Vorfälle habe, die dann auch zu beherrschen oder zu behandeln.

Speaker1: Das heißt, da bekomme ich eine ganze Menge Rüstzeug im Sinne eines Management-Systems

Speaker1: mit auf den Weg, um das Ganze wuppen zu können.

Speaker1: Und wenn man dann die beiden anderen Kurse, also den Vorfallpraktiker und den

Speaker1: Vorfallexperten vielleicht noch dazu nimmt, das wäre dann aus meiner Perspektive

Speaker1: eher der etwas praxislastigere Teil.

Speaker1: Also wo ich eben doch sehr operativ unterwegs bin, mich den Dingen in einen

Speaker1: bestimmten Rahmen zu stellen, wohingegen eben die drei anderen Kurse eher so

Speaker1: dieses Management-System in den Vordergrund stellen.

Speaker0: Das würde ich auch so sehen. Prinzipiell ist es ja auch eher so,

Speaker0: dass der Vorfall-Praktiker und Vorfall-Experte eher Rollen sind,

Speaker0: die man halt einnimmt, wenn man dann auch für das Cybersicherheitsnetzwerk des

Speaker0: BSI halt aktiv werden möchte,

Speaker0: wie eben wir als Sicherheitsdienstleister, um eben unsere Kunden oder halt auch

Speaker0: Fälle, die über das BSI reinkommen, dann entsprechend bearbeiten zu können.

Speaker0: Und ich habe gesehen, wie wir selber unsere Prüfung gemacht haben, seinerzeit in Bonn.

Speaker0: Da waren auch Leute, die den Grundschutzpraktiker oder Grundschutzberater gemacht haben.

Speaker0: Die saßen auf jeden Fall wesentlich länger in der Prüfung als wir.

Speaker0: Das hat mich damals auch ein bisschen gewundert.

Speaker1: Ja, ich sage mal, woran das liegt, kann ich dir auch nicht sagen.

Speaker1: Die Regeln macht das BSI.

Speaker0: Das stimmt, ja, das stimmt wohl. Und die sind gar nicht so ohne.

Speaker0: Also wir sind damals auch durch diese Sicherheitsschleuse da durch,

Speaker0: mussten auch alles abgeben, was irgendwie Elektrogeräte sind und so.

Speaker0: Hat dann schon wirklich einen Prüfungscharakter. Also die meinen das schon ernst.

Speaker0: Ist aber auch gut so, muss man ganz ehrlich sagen.

Speaker1: Ja, aber das ist ja bei vielen Zertifizierungen so. Also ich kann mich noch

Speaker1: daran erinnern, dass ich damals den CISP gemacht habe. Da ist das ähnlich.

Speaker1: Da musst du sogar deine Taschentücher und Stifte und so weiter.

Speaker1: Also wirklich alles abgeben. Du kannst gar nichts mit reinnehmen.

Speaker1: Du wirst dann von vier Kameras überwacht und so weiter.

Speaker1: Also da hat man, da musst du den Fingerabdruck noch abgeben.

Speaker1: Also da kann man viel machen, wenn man das tiefer legen möchte.

Speaker0: Ja, gut, es ist aber auch natürlich eine vertrauenswürdige Tätigkeit nachher.

Speaker0: Also das muss man halt auch ganz klar sagen.

Speaker0: Die Dinge, die wir da sehen, das ist schon teilweise, das geht schon ganz tief

Speaker0: unter die Motorhaube und in die Eingeweide der Infrastrukturen rein.

Speaker0: Und ich hatte am Anfang so ein bisschen gedacht, ob das überhaupt ein Thema

Speaker0: wird, wenn man denn jetzt dann gelistet ist, auch im CSN. Aber da kommt schon einiges rüber.

Speaker0: Also ich hätte es, ich habe es unterschätzt, ehrlich gesagt,

Speaker0: wie viele Vorfälle man da tatsächlich so zu Gesicht bekommt.

Speaker0: Und insofern, es ist einfach auch eine wichtige Tätigkeit. Also wenn ihr jetzt

Speaker0: hier die Folge hört und gerade sagt, Mensch, das klingt aber alles sehr interessant,

Speaker0: ihr könnt auch gerne euch mal das Thema auf der BSI-Webseite angucken.

Speaker0: Ich verlinke das gerne auch unten in den Shownotes.

Speaker0: Vielleicht ist ja zumindest erst mal der Ersthelfer ein Thema.

Speaker0: Das kann jede Bürgerin und jeder Bürger tun, der sich in der Lage dazu fühlt,

Speaker0: anderen Menschen im IT-Bereich weiterzuhelfen.

Speaker0: Guckt euch das einfach mal an, weil ich muss sagen, wir sind immer noch viel

Speaker0: zu wenig Leute in diesem Bereich, weil es halt auch nicht so wirklich bekannt ist bisher.

Speaker0: Also ganz oft sind die Leute überrascht, dass es sowas überhaupt gibt wie das

Speaker0: Cybersicherheitsnetzwerk.

Speaker0: Aber es ist wirklich eine sehr wichtige und vor allem auch gerade im privaten

Speaker0: Bereich einfach eine essentielle Geschichte.

Speaker0: Weil ein Unternehmen, was einen Cybervorfall hat, gut, die können irgendjemanden beauftragen.

Speaker0: Ob das jetzt gut geht oder schneller geht, wenn man schon einen Vertrag mit

Speaker0: irgendjemandem hat, sei mal dahingestellt.

Speaker0: Aber für normale Menschen, Bürgerinnen und Bürger, die ja auch jeden Tag mit

Speaker0: Enterprise-Technologie arbeiten.

Speaker0: Also jedes iPhone, jedes iPad, all diese Geräte, die können ja richtig viele

Speaker0: Dinge. und da kann auch halt richtig viel schief gehen und denen fehlt halt

Speaker0: sonst eigentlich der Ansprechpartner.

Speaker0: Also wie gesagt, wenn ihr das jetzt hört und sagt, klingt interessant,

Speaker0: guckt euch das bitte mal an.

Speaker0: Ich bin mit Sicherheit genauso wie der Dirk froh um jeden, der sich für dieses

Speaker0: Thema halt mit einsetzt. Es können nicht genügend Helfer da sein.

Speaker1: Ja, also das kann man eigentlich nur unterstreichen. Also ich kann mich noch

Speaker1: daran erinnern, als ich damals gestartet bin, da war das häufig in Projekten

Speaker1: so, Dann bekam man so zwischen den Zeilen gesagt, ja, guck mal,

Speaker1: nimm mal dein Schippchen und dein Förmchen, da hinten haben wir dir einen Sandkasten

Speaker1: aufgebaut, spiel da mal so ein bisschen, aber störe uns hier nicht beim Arbeiten, wenn es denn geht.

Speaker1: Und das hat sich eigentlich komplett gewandelt, so die letzten Jahre,

Speaker1: sodass man schon eine relativ wichtige Rolle inne hat und da auch durchaus bedeutungsvolle

Speaker1: Dinge tun oder auch entscheiden kann.

Speaker0: Nachdem du ja aber auch selbstständig tätig bist, gehe ich jetzt mal davon aus,

Speaker0: dass man dich, wenn man jetzt sagt, man möchte nicht selber den Grundschutzpraktiker

Speaker0: machen oder den Grundschutzberater, dich auch beauftragen kann,

Speaker0: um zum Beispiel solche Auditierungsmaßnahmen vorzunehmen,

Speaker0: um sich einfach vorzubereiten im Bereich BIA und BCM. Ist das korrekt?

Speaker1: Genau, also das ist so eine meiner typischen Dienstleistungen.

Speaker1: Das heißt, man kann einmal die Vorbereitung so, dass man zertifizierungsfähig

Speaker1: oder zertifizierungsreif wird, also auf Zertifizierungsniveau kommt.

Speaker1: Das ist so die eine Schiene.

Speaker1: Die andere Schiene, das hatte ich jetzt gerade im letzten Jahr,

Speaker1: wenn ich als Organisation beispielsweise mein Zertifikat verloren habe oder

Speaker1: wenn es ausgesetzt ist, dann eben wieder dafür zu sorgen,

Speaker1: die Feststellung dahingehend zu mitigieren und dafür zu sorgen,

Speaker1: dass das Zertifikat wieder eingesetzt werden kann, also so, dass die Wirksamkeit

Speaker1: von so einem Management-System wieder gegeben ist.

Speaker0: Ja, mal in Richtung BCM und BIA geguckt.

Speaker0: Viele Kunden, die irgendwie schon mal auf einer Sicherheitsveranstaltung waren,

Speaker0: kommt häufig nach der ITSA vor, kommen dann und sagen, hey Pegasus,

Speaker0: wir möchten gerne einen Pentest machen.

Speaker0: Dann sage ich, was habt ihr denn an vorbereitenden Maßnahmen schon gemacht?

Speaker0: Habt ihr eure Workloads identifiziert?

Speaker0: Kennt ihr eure Assets? Wisst ihr, wie ein Notfall zu reagieren ist?

Speaker0: Habt ihr Notfallpläne und so weiter und so fort?

Speaker0: Und dann kommt eigentlich häufig, nee, haben wir nicht.

Speaker0: Wir wollen einfach nur mal gucken, was bei uns möglich ist. Und ich sage halt

Speaker0: dann ganz oft, Leute, das ist natürlich ganz nett, das können wir auch mal machen,

Speaker0: aber es ist eigentlich eine Geldverspendung.

Speaker0: So typisches Red-Teaming, Pen-Testing, Black-Box-Testing ist halt häufig sehr

Speaker0: schnell zu Ende, wenn man sich halt nicht vorbereitet hat. Deswegen ist auch

Speaker0: da immer unsere Empfehlung, erstmal da einfach in die Analyse reinzugehen.

Speaker0: Jetzt haben wir einen festen Standard, wie wir an solche Sachen rangehen. Wie machst du das denn?

Speaker0: Wie gehst du in so eine Erstbewertung rein bei einem Unternehmen?

Speaker1: Und das kommt ein Stück weit darauf an, was letzten Endes das Ziel ist.

Speaker1: Das heißt, wenn das Ziel ist, man sein soll, so eine Art Reifegrad zu ermitteln,

Speaker1: dann kann man das auf unterschiedlichste Art und Weise machen.

Speaker1: Man kann dann eben einmal, wie es der Name schon durchaus sagt,

Speaker1: das über ein Reifegradmodell versuchen oder sich anschauen.

Speaker1: Das heißt, man kann erstmal quasi auf der prozessoralen Ebene einsteigen und

Speaker1: da die Rahmenbedingungen abklopfen.

Speaker1: Man kann aber auch dann punktuell in die Tiefe tauchen. Aber in der Regel bleibt

Speaker1: man erstmal so bei den Rahmenbedingungen.

Speaker1: Da, denke ich mal, bietet es sich zum Beispiel an, wenn man so mal Richtung BSI schaut.

Speaker1: Da gibt es entsprechende Mittel und Werkzeuge, wie man sowas durchaus machen kann.

Speaker1: Das heißt, ich könnte mir beispielsweise das Kompendium nehmen und könnte da

Speaker1: eben schauen, welche thematischen Vorgaben für bestimmte Dinge gibt es denn

Speaker1: dort und schaue mir beispielsweise mal die Basisanforderungen an.

Speaker1: Das Basisanforderungen im Grundschutz ist so das minimale Minimum dessen,

Speaker1: was man tun sollte, um eben nicht grob fahrlässig gehandelt zu haben.

Speaker1: Und das wäre für mich so eine erste Baseline, die man mal irgendwie erreicht haben sollte.

Speaker1: Und wenn man das vielleicht noch ein bisschen verdichtet, kriegt man da schon

Speaker1: relativ gute Aussagen und ein gutes Bild, an welchen Stellen,

Speaker1: wo man den Schraubschlüssel nochmal ansetzen muss, sowohl technisch als auch organisatorisch.

Speaker0: Und setzt du dann in der Tiefe auch weiter drauf, dass du dann mit dem Unternehmen

Speaker0: zum Beispiel halt mal eine Art von Asset Management,

Speaker0: Oder halt auch eben solche Sachen wie Notfallhandbuch, Notfallpläne,

Speaker0: Alarmierungsprotokoll und solche Geschichten dann auch gleich mit etablierst?

Speaker0: Oder hört bei dir das Ganze bei der Beratung auf?

Speaker1: Nee, nee, also es geht dann auch durchaus. Wenn man mehr möchte,

Speaker1: bekommt man natürlich auch mehr.

Speaker1: Das heißt, da geht es natürlich dann darum, die entsprechenden Fähigkeiten auch

Speaker1: herzustellen oder zu enablen.

Speaker1: Das heißt, du hast es ja eben auch schon gesagt, so eine Grundfähigkeit ist

Speaker1: es mal überhaupt, Dinge zu erkennen oder überhaupt irgendwas zu erkennen.

Speaker1: Und alleine bei dem Thema Detektion, da könnten wir eigentlich einen ganzen

Speaker1: Podcast drüber machen, was da so alles nicht funktionieren kann oder was man

Speaker1: da so auch alles falsch machen kann.

Speaker1: Aber das heißt, da brauche ich schon mal bestimmte Fähigkeiten,

Speaker1: um überhaupt in der Lage zu sein, das Ganze bewerten zu können.

Speaker1: Du hast eben schon so einen Eckpfeiler genannt, Du brauchst irgendwie Kenntnis

Speaker1: über deine Assets und die sollten idealerweise nicht irgendwie zwei Jahre alt

Speaker1: sein, dieser Kenntnisstand, sondern vielleicht gibt es ja Möglichkeiten wie

Speaker1: eine CMDW oder was auch immer,

Speaker1: was man dann eben in der Organisation etablieren kann im Bereich des Antiservicemanagements,

Speaker1: was dann eben bestimmte Dinge ermöglicht.

Speaker1: Und dabei ist es natürlich immer gut, erstmal zu schauen, was hat denn ein Unternehmen schon.

Speaker1: Das heißt, es ist immer eine gute Idee, erstmal zu gucken,

Speaker1: was gibt es denn schon und kann man das vielleicht durch leichte Veränderungen ertüchtigen,

Speaker1: erweitern, ergänzen und jetzt nicht alles gleich sozusagen mit eigenen Tools

Speaker1: oder eigenen Mitteln zu übersteuern, sondern eben mit Bedacht zu schauen,

Speaker1: dass das Ganze dann später auch für das Unternehmen anwendbar und nutzbar bleibt.

Speaker1: Denn es ist natürlich ein großer Unterschied, ob ich jetzt mit einem kleinen

Speaker1: Mittelständler spreche oder mit einem Konzern.

Speaker1: Die haben natürlich ganz andere Möglichkeiten, wie die solche Dinge eben gestalten können.

Speaker0: Viele wissen halt auch nicht, wie du gerade auch gesagt hast,

Speaker0: was sie eigentlich schon für Dinge haben.

Speaker0: Das sehen wir gerade im Microsoft-Umfeld relativ häufig. Da sind ja auch schon

Speaker0: viele Sachen on board, die man halt einfach nur benutzen müsste,

Speaker0: gerade wenn es um das Thema Protokollierung und Logs geht, wie auch Standard

Speaker0: Domäneninfrastruktur.

Speaker0: Ich sehe das immer wieder bei Audits von Active Directory.

Speaker0: Wenn halt die Logs einfach ausgeschaltet sind, dann kann ich es natürlich nicht

Speaker0: mitbekommen, wenn irgendjemand sich schon in meiner Infrastruktur bewegt und

Speaker0: irgendwie versucht, mit Lateral Movement Methoden oder Credential Stuffing oder

Speaker0: sonst irgendwas auf die Konten zu schlagen.

Speaker0: Und mach halt die Logs einfach an, sammel sie zentral, am besten außer Haus,

Speaker0: damit es auch nicht irgendwie kaputt gemacht werden kann von den Angreifern.

Speaker0: Und dann hätten wir ja schon was. Und das geht oft schon mit Bordmitteln.

Speaker1: Absolut, absolut. Aber das, wie du schon sagst, das ist erstmal so eine Erkenntnis,

Speaker1: die man dann häufig auch haben muss.

Speaker1: Also es gibt immer wieder Kunden, wo man sich irgendwie wundert.

Speaker1: Die haben schon eigentlich im Grunde genommen alles, müssten nur an der einen

Speaker1: oder anderen Stelle die Dinge zusammenfügen und dann wären sie schon deutlich einen Schritt weiter.

Speaker1: Oder viele geben sich dann auch eben so ein Stück weit der Sozialromantik hin,

Speaker1: so aus meiner Sicht, wenn man da mal fragt, was macht ihr denn freitags ab drei

Speaker1: übers Wochenende oder an Feiertagen oder wie erkennt ihr denn da irgendwelche

Speaker1: Dinge und in welcher Form seid ihr dann reaktionsfähig?

Speaker1: Und das sind dann eben durchaus Fragen, die man dann stellen muss und häufig

Speaker1: ist eben die Lösung, dass man sagt, okay, bestimmte Alarmklassen lässt man dann

Speaker1: eben bei Dienstleistern auflaufen, die dafür bezahlt werden und sich eben damit

Speaker1: auch sehr gut auskennen,

Speaker1: bestimmte Dinge da in dem Umfeld zu tun.

Speaker0: Es ist auch häufig so, dass dann viele Leute halt einfach das aufgrund der Komplexität

Speaker0: und der möglichen Kosten einfach scheuen, aber es gibt auch viele,

Speaker0: viele Dinge einfach im Open-Source-Bereich.

Speaker0: Es gibt viele Dinge, die man auch anderweitig lösen kann.

Speaker0: Ich sage immer, das Schlimmste, was ihr machen könnt, ist einfach nichts zu tun. Genau.

Speaker0: Man darf natürlich auch vielleicht den Kunden nicht überfrachten mit Informationen.

Speaker0: Deswegen ist das bei uns immer so ein kleiner Pingpong, dass wir sagen,

Speaker0: wir machen jetzt erstmal eine Bewertung der Infrastruktur von außen.

Speaker0: Gucken auch mal mit Open-Source-Intel, was gibt es hier so für mögliche Hebel,

Speaker0: schauen uns dann mal die lokale Infra an und gehen mit dem IT-Grundschutzkatalog

Speaker0: erstmal eben ran, wie du gerade auch gesagt hast,

Speaker0: um erstmal so die wirklich großen, dramatischen Dinge in den Griff zu bekommen

Speaker0: und vielleicht auch so die Low-Hanging-Fruits mit zu erwischen.

Speaker0: Und dann vertieft sich es halt immer weiter, bis man dann irgendwann sagt,

Speaker0: okay, jetzt haben wir wirklich hier alles Mögliche getan.

Speaker0: Jetzt sollte vielleicht noch eine zweite Instanz mal drüber gucken,

Speaker0: damit wir hier nichts übersehen haben.

Speaker0: Und dann können wir uns vielleicht mal drüber unterhalten, dass wir mal vielleicht

Speaker0: eine Tabletop-Übung machen. Jetzt üben wir mal den Ernstfall.

Speaker1: Genau.

Speaker0: Und wenn das dann auch noch gut gelaufen ist, dann kann man sagen,

Speaker0: so und jetzt wären wir an dem Punkt, wo ihr vor drei Jahren schon mal gewesen

Speaker0: seid. Jetzt können wir mal über einen Blackbox-Test nachdenken.

Speaker1: Nee, so das ist genau so der Weg, wie man ihn für gewöhnlich unter idealen Umständen geht.

Speaker1: Mehr gibt es dazu eigentlich nicht zu sagen.

Speaker0: Ja, aber finde ich schön, dass du das auch bestätigst an der Stelle,

Speaker0: weil es gibt halt leider auch sehr viele schwarze Schafe in unserer Branche,

Speaker0: die halt versuchen, eben auf Basis der Bedrohungslage, die wir einfach halt leider haben,

Speaker0: da irgendwelche fancy Tools zu platzieren.

Speaker0: Am besten auch noch KI mit irgendwie im Titel, die das dann alles viel toller

Speaker0: machen können und sowieso und überhaupt.

Speaker1: Und ja, Hauptsache Cyber und AI, dann hast du eigentlich schon die Hälfte des Lebens gegangen.

Speaker0: Richtig, richtig. Ich zitiere da immer Manuel Atuk aus der AG Kritis.

Speaker0: Fancy Glitzer KI, das hilft dann schon. Und Cyber.

Speaker1: Ja, genau.

Speaker0: Ja, jetzt haben wir gerade schon gehört, du bist eben auch Trainer bei der Q-Skills.

Speaker0: Die Kurse werde ich natürlich auch unten verlinken.

Speaker0: Dann könnt ihr euch da auch direkt registrieren. Dann könnt ihr auch beim Dirk

Speaker0: vielleicht demnächst oder auch beim Donald, je nachdem, wer den Kurs hält,

Speaker0: in den Genuss kommen, ein solches Training zu bekommen.

Speaker0: Ansonsten, ihr habt es auch gerade schon gehört, den Dirk könnt ihr auch separat beauftragen.

Speaker0: Wenn euch das ansonsten noch weiter interessiert, wir haben hier im Podcast

Speaker0: schon einige Male über diese ganzen Dinge geredet in Auszügen.

Speaker0: Da könnt ihr natürlich dann auch gerne mal reingucken. Schaut auch bei uns auf

Speaker0: der Website mal in den Compliance-Paketen vorbei, da haben wir eben auch solche Dinge.

Speaker0: Und ja, also ich glaube, es mangelt nicht am Angebot. Es mangelt wahrscheinlich

Speaker0: eher an der Bereitschaft, was zu tun.

Speaker1: Genau, oder überhaupt das meinte Erkenntnis, etwas zu tun.

Speaker1: Die Bereitschaft, also häufig ist ja auch so zu erkennen,

Speaker1: wenn wir dann erstmal irgendwo einen Sicherheitsvorfall hatten,

Speaker1: dann plötzlich spielt Geld nur noch eine untergeordnete Rolle oder plötzlich

Speaker1: gehen Dinge, die vorher vollkommen über Jahre oder Jahrzehnte undenkbar waren in der Organisation.

Speaker1: Das ist auch immer so eine Wahrnehmung, die man dann immer mal wieder hat.

Speaker0: Ja, hinzu kommt natürlich noch eins. Wir reden jetzt hier über IT-Grundschutz und Co.

Speaker0: Wir haben natürlich auch noch eine Gesetzgebung. Also wir haben eine Datenschutz-Grundverordnung.

Speaker0: Wir haben eine bis jetzt immer noch nicht sichtbare NIS II, AI Act und Co.

Speaker0: Wie würdest du denn sagen, wie resilient ist denn das, was der IT-Grundschutz

Speaker0: aktuell zur Verfügung stellt, gerade im Hinblick auf diese neuen Technologien,

Speaker0: die halt die letzten zwei, drei Jahre dazugekommen sind?

Speaker0: Wird das abgedeckt? oder sollte da vielleicht demnächst mal eine Novellierung kommen?

Speaker0: Weil ich meine gehört zu haben, es käme auch ein neuer BSI-Standard demnächst.

Speaker1: Ja, also erstmal grundsätzlich zu den BSI-Standards.

Speaker1: Anfang 26 wird es den neuen digitalen IT-Grundschutz++ geben.

Speaker1: Das heißt also, da findet...

Speaker1: Eine Umstellung statt, weil ich hatte das ja eben schon mal so zwischen den

Speaker1: Zeilen angedeutet, Informationssicherheitsmanagement bedeutet auch immer eine

Speaker1: ganze Menge Dokumentation.

Speaker1: Das heißt, ich muss nachweisfähig sein.

Speaker1: Und deshalb versucht man das an einigen Stellen zu unterstützen,

Speaker1: dass man eben so ein neues digitales Regelwerk seitens des IT-Kundenschutzes

Speaker1: rausbringt in Form von einer JSON-Datei, die dann eben vollständig prozessorientiert agiert,

Speaker1: soll die Möglichkeit bieten,

Speaker1: sich den Sicherheitsprozess in gewissen Teilen auch zu automatisieren und die

Speaker1: Bewertung über den Umsetzungsstatus und so weiter von Maßnahmen wird dann eben

Speaker1: über sogenannte flexible Leistungskennzahlen und dynamischen Schwellwerten ersetzt werden.

Speaker1: Das hört sich also schon mal sehr spannend an.

Speaker1: Bisher gesehen hat das meines Wissens noch niemand.

Speaker1: Wie gesagt, soll im Januar 26 starten.

Speaker1: Ich nehme mal an, dass man dann so jetzt in der zweiten Jahreshälfte auch auf

Speaker1: die Tool-Hersteller zugeht und das wird sicherlich sehr, sehr spannend.

Speaker1: Und weil nämlich auch diese sogenannte WIBA, also Wege in die Basisabsicherung,

Speaker1: als auch die BSI-Mindeststandards eng miteinander verzahnt werden sollen,

Speaker1: beziehungsweise WIBA sogar ein Bestandteil des Grundschutzes werden soll.

Speaker1: WIBA, Wege in die Basisabsicherung, ist, wenn man so will, so eine Art Auffahrrampe

Speaker1: zur niedrigsten Absicherungsstufe der sogenannten Basisabsicherung.

Speaker1: Und da ist es eben häufig so, dass in der Praxis viele kleinere,

Speaker1: gerade häufig kommunale Organisationen

Speaker1: einfach aus Ressourcengründen nicht oder kaum in der Lage sind,

Speaker1: Selbst diesen niedrigsten Level, die Basisabsicherung zu erreichen.

Speaker1: Und deshalb hat man da sozusagen nochmal was drunter gebaut,

Speaker1: um das möglichst niederschwellig irgendwie zu ermöglichen und die Leute da irgendwie an Bord zu holen.

Speaker1: Da bleibt es spannend. Ich denke, im nächsten Jahr wird es Änderungen geben.

Speaker1: Allerdings muss man auch sagen, schon angekündigt, es wird auch eine sehr...

Speaker1: Lange Übergangsphase geben, weil natürlich viele Organisationen auch noch damit

Speaker1: im Moment beschäftigt sind, den Grundschutz, wie er jetzt ist,

Speaker1: auf ein akzeptables Niveau zu bringen.

Speaker0: Aber es ist auch ganz wichtig, das auf eine leichter verständlichere Sprache

Speaker0: und ein ergreifbareres Thema zu bekommen.

Speaker0: Gerade im kleinen Mittelstand erlebe ich auch immer wieder.

Speaker0: Sobald da irgendeine Art von Standardisierung im Unternehmen da ist,

Speaker0: tut man sich relativ leicht. Aber so wirklich diese Kleinstunternehmen,

Speaker0: für die ist das halt einfach alles nicht greifbar und auch kaum verständlich.

Speaker0: Und dann kommt natürlich auch der Kostenfaktor hinzu.

Speaker1: Absolut. Also man sieht es ja auch bei den ganzen Kommunen, die jetzt in den

Speaker1: letzten Jahren betroffen waren.

Speaker1: Das ist erheblich. Also wenn so eine Kommune ausfällt oder die Infrastruktur

Speaker1: einer Kommune ausfällt, dann hat das schon auch für das tägliche Leben wirklich

Speaker1: einschneidende Auswirkungen. Keine Frage.

Speaker0: Ganz klar. Also ich habe auch einen Kunden, auch eine Stadtverwaltung,

Speaker0: da hatte ich gemeint, ich finde es toll, dass ihr euch da jetzt so kümmert.

Speaker0: Also die haben richtig Geld ausgegeben.

Speaker0: Und da habe ich gesagt, wie kommt es denn dazu, dass jetzt bei euch so die Bereitschaft da ist?

Speaker0: Und die Aussage des Bürgermeisters war einfach, wir wollen halt nicht das nächste

Speaker0: Anhalt-Bitterfeld sein, wo dran irgendwie jemand wieder einen Podcast drüber macht.

Speaker1: Genau.

Speaker0: Wenn das die Beweggründe sind, dann soll es mir recht sein. Also ich finde es

Speaker0: einfach nur wichtig, dass man sich überhaupt damit beschäftigt.

Speaker1: Absolut. Also ich sage mal, das Ganze ist ja, wie man immer so schön sagt,

Speaker1: ein kontinuierlicher Verbesserungsprozess.

Speaker1: Das heißt, man muss irgendwann mal anfangen und auch wenn man irgendwie auf

Speaker1: niedrigem Niveau anfängt, und das ist ja am Ende des Tages immer so,

Speaker1: also wenn man anfängt, dann ist man meistens nicht bei 100 Prozent,

Speaker1: sondern eher deutlich drunter.

Speaker1: Aber das Wesentliche ist es, eben systematisch dran zu bleiben und das immer

Speaker1: ganz strategisch weiterzuentwickeln.

Speaker1: Und jede Umdrehung im sogenannten PDCA-Zyklus, also so ein Verbesserungsmechanismus,

Speaker1: der eigentlich allen Management-Systemen zugrunde liegt, kann man sagen,

Speaker1: wird die Welt immer wieder eine Stufe besser.

Speaker1: Und da ist es eben wichtig, dran zu bleiben, einfach anzufangen und dran zu bleiben.

Speaker0: Absolut. Ja, wunderbar. Dirk, hättest du denn so gegen Ende von unserem Gespräch

Speaker0: vielleicht noch eine Nachricht oder eine Botschaft, welche du unseren Hörerinnen

Speaker0: und Hörern mitgeben möchtest?

Speaker1: Eine Botschaft, ja. Also ich finde die aktuelle politische Lage schon sehr herausfordernd

Speaker1: und Dinge ändern sich immer schneller und teilweise auch in Richtungen,

Speaker1: die man vielleicht vor einem Jahr so noch nicht gesehen oder wahrgenommen hätte.

Speaker1: Insofern finde ich es immer wichtig, aufmerksam zu bleiben, dran zu bleiben

Speaker1: und so, wie ich es eben schon gesagt habe, eigentlich immer dafür zu sorgen,

Speaker1: entsprechend der Änderungen oder Veränderungen in der Welt auch sein Management-System

Speaker1: nicht zu vergessen und entsprechend nachzusteuern.

Speaker0: Das unterschreibe ich blind, gebe ich dir absolut recht. Und ja,

Speaker0: auch da vielleicht mal ein bisschen über Alternativen nachdenken.

Speaker0: Wobei ich die europäische Alternative, die ein ähnliches Funktionsset bietet,

Speaker0: wie viele amerikanische Lösungen halt leider bislang noch vermisse.

Speaker0: Der eine oder andere Kunde spricht uns natürlich jetzt auch schon darauf an.

Speaker0: Und dann habe ich gesagt, ja, wir können dir natürlich mit Nextcloud und Co.

Speaker0: Auch Dinge bauen. Aber am Ende des Tages bedienst du diese Infrastruktur dann

Speaker0: trotzdem weiterhin mit einer Hardware, die aus den USA oder aus China stammt.

Speaker0: Also das ist nicht zu Ende gedacht, nur weil ich sage, ich gehe jetzt aus Microsoft 365 raus.

Speaker0: Das ist ein Teil einer möglichen Lösung, aber das ist noch lange nicht das Endszenario,

Speaker0: weil es fehlt in Europa halt einfach an der Technologie.

Speaker0: Und solange das so ist, müssen wir halt irgendwo gucken, dass wir dann mit der

Speaker0: vorhandenen Technologie arbeiten können.

Speaker0: Es gibt natürlich auch Datenschutzmöglichkeiten innerhalb der verschiedenen

Speaker0: Lösungen. Also ihr könnt auch selbst verschlüsseln. Auch das habe ich jetzt

Speaker0: schon ein paar Mal den Kunden gesagt.

Speaker0: Ihr könnt auch selber verschlüsseln. Ihr müsst nicht alle Daten in die Cloud

Speaker0: schmeißen. Es gibt nach wie vor Fileserver.

Speaker0: Man soll es nicht glauben. Die kann man auch im eigenen Haus betreiben.

Speaker0: Und auch darauf kann man verschlüsseln. Vielleicht ist das ja ein Ansatz.

Speaker1: Genau. Das heißt, man muss erstmal eine Analyse machen. Welchen Schutzbedarf

Speaker1: an welcher Stelle habe ich? Und dementsprechend dann angemessen entscheiden.

Speaker0: Ganz genau. So ist es. Ja, Dirk, hat mich sehr gefreut heute,

Speaker0: dass wir beide uns darüber austauschen konnten.

Speaker0: Ich finde es auch wirklich sehr schön, dass du da auch dran bleibst an dem Thema.

Speaker0: Wie gesagt, das kann man nicht oft genug wiederholen für die Unternehmer und

Speaker0: auch natürlich eben für interessierte Leute, die jetzt auf den einen oder anderen

Speaker0: Zug aufspringen möchten, den das BSI so bietet.

Speaker0: Und ja, vielleicht können wir ja demnächst einen aus der Hörerschaft oder den

Speaker0: anderen aus der Hörerschaft in den Kreisen des BSI dann entsprechend begrüßen.

Speaker0: Ich freue mich immer, wenn es neue Menschen gibt, die dabei unterstützen.

Speaker1: Absolut, jeder hilft.

Speaker0: Genau, so ist es. Gut, in diesem Sinne, vielen Dank nochmal und für euch.

Speaker0: Es sind nur noch zwei Folgen bis zur Jubiläumsfolge. Bleibt dran.

Speaker0: Ja, dann freue ich mich, wenn wir uns auch zur nächsten Folge wieder hören von

Speaker0: BlueScreen, eurem Lieblingstech-Podcast. Macht's gut. Ciao, Dirk.

Speaker1: Ja, tschüss.

Music: