099: Cloud, KI & ISO: Ralf Hörnig (CISO for a day) über die Zukunft der Informationssicherheit!

Speaker0: Hi und willkommen zu einer weiteren Folge von BlueScreen, eurem Lieblingstech-Podcast.

Speaker0: Ich bin wie immer Alex und wir haben Folge 99. Es gibt nur noch eine einzige

Speaker0: Folge bis zu unserem Jubiläum, dann zur Folge 100.

Speaker0: Und ihr habt es gemerkt in den letzten Gesprächen, wir gehen ganz stark auch

Speaker0: in Richtung des Compliance-Themas.

Speaker0: Wir gehen auch stark in Richtung Standardisierungsthemen. Und deswegen habe

Speaker0: ich mir heute einen besonderen Gast eingeladen, der das Thema CISO4Day sich

Speaker0: zur Aufgabe gemacht hat.

Speaker0: Und dabei wünsche ich uns allen erstmal viel Spaß.

Speaker0: Blue Screen, der Tech-Podcast. Ja, und unser Gast, den ich heute für uns alle

Speaker0: dabei habe, ist der Ralf Hörnick.

Speaker0: Der Ralf Hörnick ist unter anderem eben mit dem Thema CISO4Day,

Speaker0: aber auch im Themenfeld Cloud und KI, Cybersicherheit, CIS, SSP und ISO und so weiter unterwegs.

Speaker0: Und ich würde sagen, Ralf, stell dich doch direkt mal unseren Zuhörern vor und

Speaker0: erzähl uns ein bisschen, wer du bist und was du so machst.

Speaker1: Ja, hallo Alex. Vielen Dank, dass ich zur 99. Sendung dabei sein kann. Freut mich besonders.

Speaker1: Ja, ich bin Experte für Informationssicherheit und Compliance,

Speaker1: oder besser gesagt Governance, Risk und Compliance. und für mich gehört das

Speaker1: zusammen, diese beiden Disziplinen.

Speaker1: Aber ich denke, das werden wir auf dem Podcast noch ein bisschen genau auseinandernehmen.

Speaker1: Ja, wie bin ich da hingekommen? Ich bin von Hause aus Diplomphysiker,

Speaker1: Mathematiker, habe in Bonn studiert und bin sozusagen als Quereinsteiger in die IT gekommen.

Speaker1: Beide hat es 20 Jahre, vor allem bei Finanzdienstleistern unterwegs,

Speaker1: in verschiedensten Rollen, Aufgaben, Positionen, vom Systemadministrator bis zum Bereichsleiter.

Speaker1: Spannend war auch 2018 die Gründung eines Cloud-Competence-Centers.

Speaker1: Gleichwohl, irgendwann habe ich mir überlegt, nochmal was Neues zu starten.

Speaker1: Ende 2023 habe ich mich mit meiner eigenen Firma dann selbstständig gemacht.

Speaker1: Ja, soweit von mir mal ein erster Eindruck.

Speaker0: Ja, danke dir. Ja, deine eigene Firma, die Hörnig Consulting,

Speaker0: die werde ich natürlich nachher auch unten in den Shownotes verlinken,

Speaker0: genauso wie einen Link zu deinem LinkedIn-Profil.

Speaker0: Ja, es ist durchaus beeindruckend, wenn man sich so anguckt, was du so alles tust.

Speaker0: Ich habe mir das mal so ein bisschen auf LinkedIn auch durchgelesen,

Speaker0: wo du da so überall unterwegs bist.

Speaker0: Was wir vielleicht an der Stelle nicht unterschlagen sollten,

Speaker0: ist, dass du ja auch als Trainer aktiv bist für die Q-Skills.

Speaker0: Auch die habt ihr jetzt hier schon ein paar Mal gehört.

Speaker0: Und an der Stelle natürlich wieder einen herzlichen Dank für die Vermittlung,

Speaker0: für dieses Interview eben an die Q-Skills, an den Alex.

Speaker0: Und ja, ich denke mal, das ist natürlich ein großes, großes Themenfeld.

Speaker0: Ja, wenn man jetzt mal so in die deutsche Mittelstandslandschaft oder auch allgemein

Speaker0: in die Unternehmenslandschaft in Deutschland guckt. Wir haben halt sehr viele

Speaker0: rechtliche Aspekte, die ein Unternehmen heute zu berücksichtigen hat.

Speaker0: Es wird auch nicht weniger.

Speaker0: Also NES2 hätte ich ja gehofft, dass es noch vor Ende der bisherigen damaligen

Speaker0: Regierung noch auf die Spur gebracht wird. Hat man ja leider irgendwie nicht hinbekommen.

Speaker0: Jetzt hoffe ich darauf, dass es mit der neuen Regierung dann tatsächlich doch

Speaker0: mal irgendwann was wird.

Speaker0: Ja, wie siehst du diese Situation? Also ich meine, du würdest dich nicht selbstständig

Speaker0: machen, wenn es keinen Markt dafür geben würde in dem Themenfeld.

Speaker0: Aber wie bewertest du so einmal im Querschnitt durch deine Kunden?

Speaker0: Ist das Thema Compliance, ist das Thema Standardisierung, Governance schon in

Speaker0: den Köpfen angekommen oder musst du da noch Grundlagenarbeit leisten?

Speaker1: Ja, es ist noch nicht wirklich in den Köpfen angekommen.

Speaker1: Oft heißt es, möchtest du sicher sein, also man guckt sich eher die Security-Themen

Speaker1: an oder möchtest du formal den Genügen einer Zertifizierung haben,

Speaker1: dann geht man auf die Compliance-Seite.

Speaker1: Das wird beidem nicht gerecht. Man muss das in Kombination sehen.

Speaker1: Es geht darum, bei Governance, Risk and Compliance sowas wie eine Richtung vorzugeben,

Speaker1: Einen Reifegrad zu bestimmen, etwas zu managen, zu steuern.

Speaker1: Und wenn ich das dann kombiniere mit einem Sicherheitsverständnis,

Speaker1: dann kommt insgesamt auch was Gutes raus.

Speaker1: Also beide Disziplinen bedingen sich einander. Das eine funktioniert nicht wirklich ohne das andere.

Speaker1: Aber das ist noch nicht querschnittlich angekommen und im Moment werden eher

Speaker1: die neuen Regularien, die da kommen, ja, jetzt eine große Anzahl kommen,

Speaker1: ja, als Belastung gesehen,

Speaker1: als das Ganze als Geschenk anzunehmen, zu sagen, ja,

Speaker1: es ist gut, dass hier so viele Dinge zusammengefasst worden sind,

Speaker1: dass man Informationen bekommt, wo es hingeht, was man machen kann,

Speaker1: bis hin zu Checklisten hat und das dann fürs eigene Unternehmen adaptiert.

Speaker1: Das kann ein großes Geschenk sein, wird aber querschnittlich eher noch als Belastung

Speaker1: empfunden. Wieso jetzt schon wieder eine neue Regulatorik?

Speaker1: Muss ich das machen, statt den Vorteil zu sehen, vielleicht auch den Wettbewerbsvorteil zu sehen,

Speaker1: dass man sicher ist, dass man compliant ist und dadurch Verantwortung insgesamt

Speaker1: übernommen hat und damit auch für die Kunden entsprechendes Vertrauen erwerben kann?

Speaker1: Ja, das ist aus meiner Sicht ein großer Wettbewerbsvorteil.

Speaker0: Absolut, absolut. Und ich habe es hier auch im Podcast schon mehrmals gesagt,

Speaker0: es gäbe diese ganzen Regulierungen nicht, wenn es keine Notwendigkeit dafür geben würde.

Speaker0: Also das machen die ja nicht zum Spaß, sondern gerade NES II auf europäischer

Speaker0: Ebene hat ja durchaus eine Existenzberechtigung.

Speaker0: Weil wenn man sich mal anschaut, was in der Bedrohungslandschaft halt tagtäglich

Speaker0: passiert und auch welche Unternehmen es dieses Jahr schon erwischt hat,

Speaker0: das kann ich gerne auch mal unten verlinken, da gibt es nämlich schöne Listen dazu,

Speaker0: da muss man halt sagen, ja, scheinbar gibt es ja diese Notwendigkeit.

Speaker0: Was hinzukommt, ist auf der einen Seite natürlich dann das Thema Geld.

Speaker0: Also diese ganzen Lösungen und auch die Arbeit, um es zu erarbeiten,

Speaker0: was denn überhaupt notwendig ist, kostet Geld.

Speaker0: Wir befinden uns in einer wirtschaftlich nicht ganz einfachen Situation aktuell

Speaker0: in Deutschland und in Europa. Auf der anderen Seite sind es halt auch viele

Speaker0: Erbschulden dabei, weil halt die Admins die letzten Jahre oft gar nicht gehört worden sind.

Speaker0: Wenn sie es denn gesehen haben, wo es Probleme gibt, das wurde halt relativ

Speaker0: häufig dann runtergespielt.

Speaker0: Also bestes Beispiel ist immer die Notstromversorgung.

Speaker0: Ja, wir haben halt einen stabilen Strom in Deutschland in den meisten Gebieten.

Speaker0: Und wenn halt nur einmal in fünf Jahren für eine halbe Stunde der Strom weg

Speaker0: war, warum soll ich mir dann sehr teure Notstromlösungen kaufen?

Speaker0: Mit der Argumentation werde ich halt doch das eine oder andere Mal konfrontiert.

Speaker0: Und da, glaube ich, ist ein Teil des Ursprungs für diese ganze Problematik.

Speaker1: Ja, das sehe ich auch so. Also die eigene IT-Sicherheit wird oft überschätzt.

Speaker1: Und die neue Bedrohungslage wird oft auch verhabenlos. Mich trifft es schon nicht.

Speaker1: Aber es ist nicht mehr die Frage, ob man getroffen wird, sondern wann man getroffen wird.

Speaker1: Die Bedrohungslage hat sich dramatisch geändert und die Digitalisierung,

Speaker1: sei es Cloud, sei es AI, sind ein Riesenbeschleuniger für neue Risiken,

Speaker1: die man sich stellen muss.

Speaker1: Und da ist so die Adaptionsgeschwindigkeit von den Unternehmen,

Speaker1: könnte da besser sein, könnte schneller sein.

Speaker1: Und das Allianz Risk Barometer hat ja auch wieder aufgezeigt,

Speaker1: ja, die größten Geschäftsrisiken sind eben Cybergefahren und Betriebsunterbrechungen.

Speaker1: Ja, und da gilt es sich entsprechend anders aufzustellen für die Zukunft,

Speaker1: auch wenn das ein gewisser Invest ist, bin ich absolut bei dir.

Speaker1: Aber ich denke, es ist günstiger, frühzeitig zu investieren am Anfang von neuen

Speaker1: Services und Produkten als hinterher. Das ist immer teurer.

Speaker1: Also lieber von vornherein die Themen mit einbauen. Das ist wesentlich günstiger.

Speaker0: Ja, du zahlst so oder so. Es ist nur die Frage, wann du zahlst und wie viel

Speaker0: mehr du dann am Ende des Tages ausgeben musst.

Speaker0: Ne, sehe ich ganz genauso.

Speaker0: Jetzt kommen wir mal auf das Thema CISO for a Day. Also ich sage mal,

Speaker0: in den normalen Unternehmen, in einem bisschen größeren Unternehmen,

Speaker0: vielleicht auch einem Unternehmen, was schon einer Regulatorik unterliegt,

Speaker0: gibt es halt meistens einen IT-Verantwortlichen.

Speaker0: Der hat dann vielleicht auch noch ein, zwei, drei Kollegen, wenn es denn gut läuft.

Speaker0: Und die kümmern sich dann halt um das Tagesgeschäft und sind Schnittstelle oder

Speaker0: der IT-Leiter ist dann halt Schnittstelle in Richtung Entscheider,

Speaker0: in Richtung Geschäftsleitung.

Speaker0: Hapert sehr häufig, das erleben wir auch immer wieder, einfach in der Vermittlung

Speaker0: der Themen, weil halt der Admin der Admin ist.

Speaker0: Also der klassische Admin kann halt sehr gut mit seinen Serversystemen und auch

Speaker0: mit Netzwerken, aber er ist halt kein Kaufmann.

Speaker0: Also in seltensten Fällen ist es ein Kaufmann und da merken wir schon,

Speaker0: dass es auf der einen Seite dann oft die Situation gibt, dass der Admin seine

Speaker0: eigenen Probleme vielleicht nicht vernünftig rüberbringen kann,

Speaker0: vielleicht möchte er es auch nicht oder sie nicht rüberbringen,

Speaker0: weil man sonst möglicherweise halt einen Stempel bekommt, so dass man seine

Speaker0: Arbeit nicht richtig macht.

Speaker0: Das ist ein weiteres Problem, was wir besonders in Deutschland haben.

Speaker0: Es gibt halt keine Fehlerkultur oder ganz häufig gibt es die leider nicht.

Speaker0: Insofern versucht man es dann irgendwie unterm Teppich zu halten.

Speaker0: Der CISO ist ja eigentlich aber genau die Stabsstelle, die dafür da ist.

Speaker0: Also jemand mit technischem Verständnis insofern, dass die Person bewerten kann,

Speaker0: was die IT tut und auf der anderen Seite auch die Needs entsprechend in Richtung

Speaker0: der Entscheider zu transportieren und da einfach diese Vermittlungsposition einzunehmen.

Speaker0: Das ist was, was ich dann, so verstehe ich das zumindest, bei dir zum Beispiel

Speaker0: bekommen kann, wenn ich sage, Mensch, irgendwie, es knirscht, wir müssen was tun.

Speaker0: BMW fordert von uns jetzt, dass wir T-Sacks machen und wir wissen nicht,

Speaker0: wie es geht. Ist das dann dein Job sozusagen?

Speaker1: Genau, das wäre mein Job, dass ich hier für einen begrenzten Zeitraum hinzukomme

Speaker1: und dann genau für solche Themen unterstütze.

Speaker1: Für gerade aktuelle Themen, aktuelle Bedrohungen, die hochgekommen sind oder

Speaker1: bei der übergreifenden Darstellung und Vermittlung von Themen, Querschnittlichheit,

Speaker1: Informationssicherheit ist eben kein reines IT-Thema.

Speaker1: Das wird oft missverstanden.

Speaker1: Informationssicherheit geht quer durch die ganze Organisation. IT ist ein Teil davon.

Speaker1: Genau darauf kommt es an, dass man hier mit einem gesamthaften Blick entsprechend

Speaker1: sich insgesamt ausrichtet.

Speaker1: Und ja, da kann ich temporär helfen, in entsprechende Richtungen zu gehen oder

Speaker1: auch bei den Umsetzungen mitzuhelfen.

Speaker1: Ich habe einen gewissen schnellen Know-Transfer dadurch.

Speaker1: Unternehmen können da flexibel reagieren und so weiter.

Speaker1: Ja, das macht es aus. CISO for the Day. Manchmal wird auch virtuell das CISO

Speaker1: genannt und verschiedene Begriffe dazu.

Speaker0: Wenn ich jetzt aus meiner eigenen Beraterrolle mir das Ganze mal überlege,

Speaker0: dass ich das machen würde,

Speaker0: muss ich für mich selber zumindest feststellen, dass es mir sehr häufig schwerfällt,

Speaker0: aus der reinen Vermittler- und Beraterposition heraus nicht auch Hands-on-Mentalität

Speaker0: sofort mit reinzubringen.

Speaker0: Weil ganz oft sieht man halt was, wo man sagt, ah ja, da wüsste ich jetzt schon, wie das geht.

Speaker0: Ich mache es dir gleich, komm, passt schon, lass mich mal, ich klicke dir das

Speaker0: jetzt durch oder ich konfiguriere das so, dass es dann sicher ist.

Speaker0: Wie gehst du denn damit um? Weil ich gehe mal davon aus, dass du da natürlich

Speaker0: doch regelmäßig auch mit konfrontiert sein wirst.

Speaker1: Einfach sofort machen, statt einfach mal einen Schritt zurückzugehen,

Speaker1: zu schauen, wo steht man eigentlich, was will man eigentlich genau schützen,

Speaker1: was sind die Kronjuwelen des Unternehmens,

Speaker1: wie ist die Bedrohungslage, wie sind die Schwachstellen, wie sind die Risiken.

Speaker1: Genau, dass man erstmal drauf schaut, bevor man zu sehr, zu schnell hands-on wird.

Speaker1: Hands-on ist wichtig, ja, aber wenn man eine Richtung hat, einen Plan hat, dann ja.

Speaker1: Aber genau darum geht es vorher erstmal ein bisschen stärker auf eine Gesamtplan-Vorgehensweise

Speaker1: zu schauen und nicht schon drei Sachen umgesetzt zu haben und dann festzustellen,

Speaker1: das hilft uns am Ende des Tages gar nicht, weil vielleicht die falschen Dinge

Speaker1: angegangen sind, geschützt haben.

Speaker1: Und das muss man erst mal klar herausarbeiten.

Speaker1: Das finde ich schon wichtig, dass man sich da ein bisschen Zeit nimmt,

Speaker1: in Workshops Zeit nimmt, damit man die Gelder dann ja gezielt einsetzt.

Speaker1: Und dazu hilft es eben, sich genau in diesem GRC-Muster, was habe ich eigentlich für eine Regulatorik,

Speaker1: welche Risiken habe ich und wie kann ich sie einhalten, dass man genau das vorher

Speaker1: überlegt und dann gerne hands-on das umsetzt. Aber so funktioniert das Zusammenspiel.

Speaker0: Ich könnte mir gut vorstellen, dass du damit natürlich jetzt nicht überall offene

Speaker0: Türen einrennst, weil du wirst von der Geschäftsleitung eben bestellt zu dem Thema.

Speaker0: Aber die Administratorin, die ja letzten Endes dann auch mit ihrer Arbeit und

Speaker0: ihren Produkten, die sie halt dort gebaut haben über die Jahre,

Speaker0: die stehen ja dann auch ziemlich im Fokus.

Speaker0: Wie erlebst du das denn? Wirst du akzeptiert von den IT-Teams oder muss man

Speaker0: da auch manchmal erst ein bisschen kämpfen?

Speaker1: Man muss da auch kämpfen, ja, ich werde von den IT-Teams ein Stück weit als

Speaker1: Konkurrenz gesehen, bin ich aber gar nicht.

Speaker1: Also die IT-Leute machen einen hervorragenden Job und das können die auch am

Speaker1: besten machen an der Stelle.

Speaker1: Mir geht es darum, aber denen ein Stück weit zu helfen, die richtigen Hebel

Speaker1: zu sehen, die richtigen Security-Hebel zu sehen.

Speaker1: Und das ist dann für sie gar nicht so einfach, für die ITler,

Speaker1: die oft dann in ihrer IT-Welt oft sehr, sehr tief unterwegs sind,

Speaker1: dann nochmal einen Blick von oben zu haben,

Speaker1: ja, was brauche ich jetzt eigentlich, um sicher zu werden?

Speaker1: Und da kann man dann entsprechend in Gesprächen Stück für Stück da gemeinsames

Speaker1: Vertrauen aufbauen und dann an den Themen arbeiten.

Speaker1: Und ja, es ist gar nicht so einfach, den Blick zu öffnen für die richtigen Themen.

Speaker1: Ja, ich sehe es mal, eine Person herausfordert mich, bin ich wirklich bei dir.

Speaker0: Ja, okay, danke dir dafür. Wenn du jetzt Themen beleuchten möchtest,

Speaker0: die du selber vielleicht nicht in deinem eigenen Werkzeugkasten kannst,

Speaker0: hast du dann irgendein Partnernetzwerk, mit dem du arbeitest?

Speaker0: Oder wie funktioniert das? Mal angenommen, es ist jetzt eine hochkomplexe Kubernetes-Umgebung.

Speaker0: Du kannst die vielleicht nicht selbst bewerten, weil dir vielleicht auch die

Speaker0: Praxiserfahrung fehlt.

Speaker0: Der Admin sagt, das passt schon alles. Wie löst du jetzt diese Blackbox auf?

Speaker1: Ja, erstmal vorweg, ja, ich kann nicht alles, man kann nicht alles können.

Speaker1: Ich habe einen sehr, sehr guten, breiten Überblick.

Speaker1: Und Security basiert auch viel auf Grundkonzepten, Grundüberlegungen,

Speaker1: Grundmustern, die man immer wieder anwenden kann.

Speaker1: Auch ein Gebiet, das man nicht so gut kennt. Aber gleichwohl,

Speaker1: die Situation ist absolut da, dass man sich in dem Gebiet nicht auskennt.

Speaker1: Und mein Verständnis ist auch, dass man dann mit Partnern zusammenarbeitet.

Speaker1: Ja, ich bin mit Partnern unterwegs. Ich habe ein entsprechendes Partnernetzwerk.

Speaker1: Da kann ich reinrufen und bekomme da Unterstützung.

Speaker1: Also Cyber Security ist ein Teamsport.

Speaker1: Man muss gemeinsam mit anderen unterwegs sein. Es ist dann doch so vielfältig und komplex.

Speaker1: Ohne gescheites Netzwerk funktioniert es nicht. Und das kann ich auch immer

Speaker1: wieder sehr gut zurückgreifen, dann insgesamt das Ganze darzustellen.

Speaker1: Also das Heimselkämpfer ist man noch verloren, das Netzwerk braucht man dazu, definitiv.

Speaker0: Ja, danke für den Hinweis, dass es ein Teamsport ist. Das ist auch meine regelmäßige Aussage.

Speaker0: Finde ich ganz wichtig auch, also wenn ihr das jetzt hier gerade hört,

Speaker0: ihr seid da nicht alleine und wenn ihr Hilfe braucht, dann holt euch Hilfe.

Speaker0: Also niemand muss nächtelang im Rechenzentrum irgendwie versuchen, Probleme zu lösen.

Speaker0: Ich bin da halt grundsätzlich auch ein Fan von Pragmatismus einfach,

Speaker0: weil man muss ja mal seine eigenen Stunden auch gegenrechnen.

Speaker0: Man kostet das Unternehmen ja Geld und wenn ich 20 Stunden nach einer Lösung

Speaker0: suche, habe ich Geld verbrannt.

Speaker0: Für das hätte ich mir vielleicht schon mal ein paar Beraterstunden kaufen können

Speaker0: und dann hätte man es vielleicht auch nachhaltig richtig gelöst.

Speaker1: Ja, auf jeden Fall.

Speaker0: Welche Vorteile bietet denn das Konzept eines temporären ZISOs,

Speaker0: wenn diese Unternehmen keine langfristige Position schaffen möchten.

Speaker1: Genau, damit hast du schon einen Vorteil genannt. Es ist keine dauerhafte Personalstelle

Speaker1: mit entsprechenden Kosten dazu.

Speaker1: Ja, das kann natürlich gerade für kleinere, mittelständische Unternehmen eine

Speaker1: sinnvolle Alternative sein, um in diese Richtung zu gehen und sich dann flexibel Expertise,

Speaker1: Fachkenntnisse, projektorientiert oder Themenorientiert, die Use-Case orientiert,

Speaker1: dann hinzuzuholen. Genau.

Speaker1: Da hatten wir eben ja auch schon den Punkt, eine gewisse Neutralität zu haben,

Speaker1: wenn man das als Vorteil sieht, dass man eben nicht mit verschiedensten Einheiten

Speaker1: in der Organisation konkurriert, sondern eine neutrale Position hat und entsprechend anders angehen kann.

Speaker1: Oft hat man entsprechende Themen der Organisation, zwischen IT,

Speaker1: zwischen Datenschutz, zwischen vielleicht Spezial-Security-Abteilungen und,

Speaker1: und, und, ja, da habe ich eine gewisse neutrale Instanz dazu.

Speaker1: Man kann sehr schnell ein Know-how reinbringen, also wenn ein Unternehmen sehr

Speaker1: schnell reagieren möchte, kann es hier ohne langen Aufbau sehr schnell von der

Speaker1: entsprechenden Mahner-Expertise oder den Netzwerk reduzieren, profitieren, sorry.

Speaker1: Genau, und das führt dazu, dass man Risiken insgesamt für Organisationen reduzieren

Speaker1: kann, war schon Gedanken weiter.

Speaker0: Alles gut. Ja, wenn dann, nachdem das ja eine endliche Tätigkeit ist,

Speaker0: wenn du das als temporäre ZISO machst, wie geht das denn danach weiter?

Speaker0: Weil, also ich zumindest, da muss ich wieder aus meiner eigenen Perspektive

Speaker0: sprechen, habe oft das Problem, wenn wir ein Unternehmen im Bereich Cybersecurity beraten haben.

Speaker0: Wir haben dann auch gesagt, okay, diese und jene Dinge solltest du tun und dann

Speaker0: passiert nichts mehr aus irgendwelchen Gründen.

Speaker0: Und bei mir hinterlässt es immer so ein bisschen Bauchgrummeln,

Speaker0: weil ich mir halt denke, wir haben es jetzt eigentlich schon mal ganz gut aufgedeckt,

Speaker0: wo hier die Probleme liegen und haben auch Lösungsvorschläge gebracht.

Speaker0: Ich will aber eigentlich die nicht dann morgen in der Tagespresse lesen,

Speaker0: dass die halt Opfer geworden sind.

Speaker0: Und auch das gab es schon, dass wir wirklich beraten haben und gesagt haben,

Speaker0: hier ist richtig Action bei euch, ihr müsst da was tun und wirklich sechs Wochen

Speaker0: später waren die dann halt mit einer großen Meldung in einer großen Zeitung

Speaker0: in NRW und dann denkst du dir halt,

Speaker0: Autsch, also das hätte halt nicht passieren dürfen eigentlich.

Speaker1: Ja, absolut.

Speaker1: Was dann wirklich sehr, sehr schade ist. Man hat entsprechend zusammengesessen,

Speaker1: hat viele Dinge erarbeitet und dann merkt man,

Speaker1: dass es, wenn es umgesetzt worden wäre, ist er nicht zu den entsprechenden Angriffen gekommen.

Speaker1: Ja, das tut da wirklich weh, ist wirklich sehr schade.

Speaker1: Aber ja, wir hatten eben diskutiert, Hands-on, nicht Hands-on.

Speaker1: Es hilft, wenn man hier sich wirklich einen Plan macht, einen Aktionenplan macht,

Speaker1: vor allen Dingen Budgets dranhängt, Verantwortlichkeiten dranhängt.

Speaker1: Und ja, da helfe ich dann auch sozusagen bei der Umsetzung gerne mit und komme

Speaker1: immer wieder in gewissen Abständen hinzu und schaue mir, wie der Stand der Umsetzung ist.

Speaker1: Damit man nicht in die Organisation, nicht in alte Muster zurückfällt,

Speaker1: sondern konsequent an der Abarbeitung ihrer Themen auch wirklich dran bleibt.

Speaker1: Also dass hier wirklich nachhaltig Strukturen implementiert werden,

Speaker1: an einer gewissen Sicherheitskultur gearbeitet wird und, und, und.

Speaker1: Das heißt, es bedingt erstmal an einen Aufschlag und dann immer wieder mit geeigneten

Speaker1: Impulsen, kleineren Impulse, das Ganze am Rollen halten, bis das wirklich in

Speaker1: Organisation übergegangen ist.

Speaker1: Also das dauert natürlich, von daher kann es passieren, dass man nicht schnell

Speaker1: genug in der Umsetzung ist und dann Opfer eines senzenden Eingriffs doch wird.

Speaker1: Aber wenn man so vorgeht, erstmal das Ganze aufsetzen und dann immer wieder

Speaker1: gezielt das Ganze aktivieren und Laufen halten,

Speaker1: ich glaube, dann kriegt man diese Nachhaltigkeit wirklich rein.

Speaker1: Aber dann gehört es dazu, dass man dran bleibt.

Speaker1: Ja, von Unternehmen, das von vornherein mit einzuplanen, dass man dranbleiben

Speaker1: muss und nicht, ich habe das einmal gemacht, gewissensberuhigt und dann nix

Speaker1: auf Seite, sondern nee, nee, es ist eine Reise, auf die man sich begibt und die Reise dauert.

Speaker0: Ja, die Reise dauert, das wäre jetzt eigentlich eine interessante Zusatzfrage.

Speaker0: Mal angenommen, ein Unternehmen möchte sich jetzt oder muss sich jetzt in irgendeine

Speaker0: Regulatorik begeben, sei es jetzt ISO 27001, sei es TISAX, welche Zeiträume sind denn so üblich?

Speaker0: Weil viele glauben halt, das ist auf drei Wochen erledigt und da muss ich dann

Speaker0: immer sagen, nein, also so schnell wird es vermutlich nicht gehen.

Speaker0: Was ist denn so ein Mittelwert-Zeitraum?

Speaker1: Ja, erstmal gerade zu diesen drei Wochen. Ja, ich bin ja als Third-Party-Auditor unterwegs.

Speaker1: Das heißt, ich komme in Unternehmen rein und dann machen wir eine Prüfung nach

Speaker1: ISO 27001 und wenn man dann nach relativ kurzer Zeit feststellt, naja,

Speaker1: die haben das Ganze nur formal dokumentiert.

Speaker1: Sie leben es nicht.

Speaker1: Das ist dann wirklich sehr schade. Dann wird das Audit auch nicht besonders

Speaker1: gut laufen, weil es ihnen nicht darum geht, einfach nur Formalien zu genügen.

Speaker1: Ich kaufe mir ein Dokumentationsset, das passe ich noch ein wenig an und dann

Speaker1: bin ich fertig und komme durch ein Audit durch. So wird es nicht funktionieren.

Speaker1: Es geht darum, aufzuzeigen, dass man die Prozesse wirklich lebt,

Speaker1: dass man darauf aufbauen kann auf den Prozessen, dass es anschlussfähig ist.

Speaker1: Daraus kann man schon ein bisschen ableiten. Das Ganze ist eben nicht in drei Wochen zu machen,

Speaker1: sondern je nach Größe des Unternehmens, davon hängt es natürlich auch ab,

Speaker1: denke ich, braucht man schon mal drei Monate, um die Basis geschaffen zu haben

Speaker1: und dann wahrscheinlich weiter, drei Monate, dass man mal sagt, okay, diese

Speaker1: Prozesse, diese Themen sind irgendwann dazu herangekommen, sie fangen langsam an,

Speaker1: damit zu arbeiten und dann geht es Schritt für Schritt weiter, ja.

Speaker1: Also auch da wieder. Das ist eine spannende Reise, auf die man sich begibt,

Speaker1: die aber auch sehr schön ist, diese Reise. Aber es ist nicht in drei Wochen getan.

Speaker1: Ich stelle es einmal auf, formal auf und dann bin ich fertig.

Speaker1: Genau das nicht. Das wird nicht funktionieren.

Speaker0: Ja, zumal ja viele dieser Maßnahmen, die aus einem Audit hervorgehen,

Speaker0: für die Anwender halt auch einen direkten Einfluss haben.

Speaker0: Also angenommen, man fängt jetzt an und möchte irgendeine Data Loss Prevention

Speaker0: einführen, dann müssen die Leute ja ihr Verhalten grundlegend mal verändern.

Speaker0: Also sie können vielleicht technologisch auch gar nicht mehr so teilen,

Speaker0: wie sie es vorher gekonnt haben.

Speaker0: Jetzt hast du irgendein Dokument, was eine Klassifizierung hat,

Speaker0: dass du irgendeine Third-Party schicken musst oder möchtest und dann kann die

Speaker0: das nicht aufmachen, weil es irgendwie Dokumentenverschlüsselung ist.

Speaker0: Dann geht es los über einen Schlüsselaustausch. Da sind ja auch viele Sachen

Speaker0: dabei, die man halt vielleicht auch, weil man es schon vorher gewusst hat,

Speaker0: einfach aus der Bequemlichkeit heraus und weil man dieses Theater nicht haben

Speaker0: wollte, einfach irgendwie über die Jahre hinweg gar nicht getan hat.

Speaker0: Es tut also auch auf Seiten der Anwender natürlich ein Stück weit ein bisschen

Speaker0: weh, wenn man sich denn stärker positionieren möchte.

Speaker0: Aber da muss ich halt auch sagen, wenn wir in solchen Gesprächen sind mit Kunden,

Speaker0: ja, ist halt nun mal jetzt leider so.

Speaker0: Ich habe diese Regulatorik nicht erfunden, das ist nicht meine Idee.

Speaker0: Ich unterstütze es, ich finde es gut, aber es ist halt trotzdem jetzt eine notwendige

Speaker0: Maßnahme. Das ist so wie mit MFA.

Speaker0: Ich habe immer noch Gespräche über, ist denn jetzt Multifaktor-Authentifizierung wirklich nötig?

Speaker0: Wo du dann auch sagst, ich kann euch gerne mal zeigen, wie schnell ich das Konto

Speaker0: habe, wenn du keine MFA hast und ich kann dir auch zeigen, wie schnell ich dein

Speaker0: Konto übernehme, wenn du MFA mit Microsoft Authenticator hast.

Speaker0: Also da spielen ja viele Dinge einfach ineinander.

Speaker0: Wie adressierst du das denn?

Speaker0: Oder wie kriegen Unternehmen diese Transformation auch in die Köpfe?

Speaker0: Weil, wie du gerade gesagt hast, eine Standardisierung ist nicht nur das Dokumentenset,

Speaker0: es ist ja auch das Doing und es ist vor allem am Ende auch der Faktor Mensch, der da entscheidet.

Speaker1: Ja, absolut. In der Vergangenheit gab es dann Routinen als Routinen,

Speaker1: die sehr stark eingeübt sind.

Speaker1: Davon muss man sich verabschieden, dass es neue Routinen aufbauen,

Speaker1: also eine gewisse Transformation, die dann vonstatten geht.

Speaker1: Ja, und das geht nur, indem man sich immer wieder mit Security auseinandersetzt,

Speaker1: die ganze Organisation mit Security auseinandersetzt, Awareness-Trainings gibt,

Speaker1: wo man sich bestimmte Themen vornimmt und über die spricht, was sind gute Passwörter,

Speaker1: wieso brauche ich eigentlich MFA,

Speaker1: wie macht man eine Klassifizierung,

Speaker1: wie erfolgt ein Tool zur Angriffserkennung, Wie geht man damit um? Wie melde ich etwas?

Speaker1: Ja, das sind wirklich alles Dinge, die man Schritt für Schritt mit der Organisation

Speaker1: besprechen muss, mit den Mitarbeitern besprechen muss.

Speaker1: Denn am Ende des Tages kommt es ja gar nicht auf die Technik an.

Speaker1: Das ist sehr wichtig, keine Frage.

Speaker1: Aber das schwächste und stärkste Glied ist nun mal der Mensch.

Speaker1: Dass man hier schaut, den intensiv mitzunehmen, eine Art Human Firewall aufzubauen.

Speaker1: Und das heißt, sehr, sehr viel Gespräche führen, sehr, sehr viel sensibilisieren

Speaker1: und Schritt für Schritt die Menschen da mitzunehmen. Genau das gehört dazu.

Speaker0: Am Ende des Tages gewinnt das Projekt nichts, wenn die Benutzer es ablehnen.

Speaker0: Also ich habe das tatsächlich schon erlebt, dass ein Mitarbeiter bei einem Kunden

Speaker0: am Ende dann gesagt hat, also den ganzen Quatsch mache ich nicht mehr mit.

Speaker0: Ich habe eh nur noch zwei Jahre bis zur Rente, da kann dann machen,

Speaker0: wer will, aber ich auf jeden Fall nicht mehr.

Speaker0: Das ist dann auch ein Effekt, der unter Umständen eintreten kann,

Speaker0: wenn man es mit der Brechstange einführt, was in dem Fall leider notwendig war. Aber ja, gut.

Speaker1: Ich glaube, dass das Management sehr stark dahinter steht.

Speaker0: Ja.

Speaker1: Ganz oben auch gezeigt wird, wie wichtig das Ganze ist und nichts,

Speaker1: naja, ihr macht das schon und das Management zieht sich zurück,

Speaker1: sondern muss aktiv präsent sein und dann bewegt sich auch etwas.

Speaker0: Ja, was ich immer ganz hilfreich finde, ist, wenn man den Leuten vermittelt,

Speaker0: das, was wir hier euch beibringen, ist ja auch für euch im Privaten nachher

Speaker0: sinnvoll. Also die Sicherheit hört ja nicht mit Feierabend auf.

Speaker0: Die Leute benutzen ja Technologie jeden Tag im Alltag mit ihren Smartphones

Speaker0: und auch mit ihrem Smart Home teilweise.

Speaker0: Und die gleichen Regeln, die fürs Unternehmen gelten und den Umgang mit Informationen

Speaker0: wie Kennwörter und so weiter, das gilt natürlich auch fürs Private.

Speaker0: Und letzten Endes, wenn ich wirklich ein Unternehmen angreifen möchte und es

Speaker0: technologisch halt nicht funktioniert, weil es gut abgesichert ist,

Speaker0: dann fange ich halt, wenn die Bounty hoch genug ist, irgendwann an,

Speaker0: die Mitarbeiter zu kompromittieren auf ihrem nicht so gut gesicherten Instagram.

Speaker0: Und spätestens dann wird es halt unangenehm und ich denke mal,

Speaker0: wenn man, oder was heißt, ich denke, es ist bewiesen, dass wenn man nur genügend

Speaker0: Druck auf einen Menschen ausübt, dann wird der einen früher oder später halt

Speaker0: auch, wenn man den passenden Hebel hat, dann trotzdem ins Unternehmen reinlassen. Also, ja.

Speaker1: Absolut beide. Gerade in Zeiten von Remote-Arbeit muss man diese scharfe Trennung,

Speaker1: privat unternehmen, was die

Speaker1: Kielte angeht, überdenken und das gesamthaft ist nämlich absolut beide.

Speaker1: Auch dazu gehört gewisses Awareness für die Mitarbeiter, wie die zu Hause ihre

Speaker1: Systeme absichern können.

Speaker0: Ganz genau, ja. Ich sehe das regelmäßig, wenn wir Bewertungen machen auf Infostile

Speaker0: Infektionen und dann gucken mal, welche Systeme sind denn eigentlich die,

Speaker0: bei denen schon irgendein Stealer drauf ist, wie Luma oder Redline.

Speaker0: Das sind ganz oft Privatgeräte, die halt auch keinerlei Sicherheit haben,

Speaker0: aber von denen wird halt mit Geschäftskonten gearbeitet, im Browser zum Beispiel.

Speaker0: Dann ist die ganze Sicherheit natürlich nichts wert, wenn man an der Stelle

Speaker0: halt schon das schwächste Glied hat.

Speaker0: Gut, ja, das sind jetzt so die üblichen Bedrohungen und Probleme.

Speaker0: Jetzt kommen ja aber da natürlich noch jeden Tag viele neue Dinge hinzu.

Speaker0: Also gerade, wenn man mal so in Richtung Cloud schaut, wenn man auch mal so

Speaker0: in Richtung künstlicher Intelligenz schaut.

Speaker0: Ich glaube, es gab keine Folge die letzten 18 Monate, wo wir nicht mal einmal

Speaker0: das Thema KI gehabt hätten.

Speaker0: Da passiert natürlich auch eine ganze Menge. Also das, was vor allem ein großartiges

Speaker0: Problem wird oder ein großes Problem wird, ist halt einfach die Situation,

Speaker0: dass wir eigentlich keiner Information mehr wirklich vertrauen können.

Speaker0: Also sei es jetzt in sozialen Medien oder auch im geschäftlichen Kontext.

Speaker0: Es ist halt leider so, dass die Möglichkeiten für die Angreifer so gewachsen, gut geworden sind.

Speaker0: Und man schaue sich bloß mal die verschiedenen Video- und Bildgenerierenden KI-Lösungen an.

Speaker0: Deepfakes, Stimmcloning, Voicecloning und so weiter und so fort.

Speaker0: Das ist ja natürlich eine noch ganz aktuelle neue Bedrohung,

Speaker0: die, glaube ich, bei vielen einfach auch noch gar nicht überhaupt angekommen

Speaker0: ist, dass das zu einem großen Problem bereits geworden ist.

Speaker0: Hinzu kommt dann natürlich auch noch sehr, wie soll ich sagen,

Speaker0: sophisticated Angriffe,

Speaker0: die halt heute möglich sind, weil man halt KI eben nicht mehr nur auf LLMs beschränkt,

Speaker0: sondern einfach auch natürlich auf Agentenlösungen.

Speaker0: Also das Zeug kann sich auch selber weiter basteln und bauen und daraus kann

Speaker0: man sich im Grunde genommen komplette Angriffe zusammenstricken lassen, autonom.

Speaker0: Und das sind natürlich alles Probleme, die jetzt noch on top dazukommen.

Speaker0: Wie siehst du denn diese Situation?

Speaker1: Ja, eine besondere Situation. Also Cloud war schon ein starker Beschleuniger für neue Risiken.

Speaker1: AI übertrifft das nochmal um ein Vielfaches.

Speaker1: Und wir stehen das ganz am Anfang, was die Volatilität angeht,

Speaker1: dass neue Themen auf uns zukommen.

Speaker1: Also gerade im Bereich, das sind was Spearfishing, also intelligentes Phishing

Speaker1: und intelligentes Social Engineering Angriffe.

Speaker1: AI kann ich da hervorragend für nutzen, um sehr personalisiert

Speaker1: mir zum Beispiel Informationen von einem Anwender zusammenzutragen,

Speaker1: seine Schwachstelle mithilfe von KI genau zu analysieren und jeder hat entsprechende Schwachstellen,

Speaker1: auf die er dann besonders anspringt und dann sind die Angriffe viel, viel schneller,

Speaker1: effizienter sozusagen durchzuführen als vorher.

Speaker1: Also es ist ein Riesenpotenzial noch.

Speaker1: Die die Angreifer nutzen werden, um ganz gezielt Menschen auszunutzen.

Speaker1: Das heißt, durch diese personalisierten Angriffe, was Phishing-Mails angeht,

Speaker1: aber auch Voice-Cloning, dass sie sich überzeugend als Kollege, Chef, wie auch immer,

Speaker1: ausgeben und dann entsprechende Geldüberweisungen zum Beispiel in Auftrag geben.

Speaker1: Also da gibt es auch schon die ersten Berichte zu, dass das entsprechend passiert ist.

Speaker1: Ja, also da stehen wir leider gerade am Anfang, was das Thema angeht.

Speaker0: Aber kommt das in den Köpfen der Entscheider schon an?

Speaker0: Weil wenn man mal so die Vorträge zu dem Thema künstliche Intelligenz sich so anhört.

Speaker0: Ich war jetzt letztens bei einem sehr guten Vortrag vom Zukunftsforscher Oliver Leise aus Hamburg.

Speaker0: Die Message ist, KI ist ja gut, es bringt mir einen Wettbewerbsvorteil und eigentlich

Speaker0: ist in den meisten Fällen die Botschaft,

Speaker0: wenn du da jetzt nicht aufspringst, wird dich deine Konkurrenz überholen,

Speaker0: was dazu aber führt, dass vieles mit der heißen Nadel eingeführt wird.

Speaker0: Es beißt sich so ein bisschen, weil auf der einen Seite natürlich der Wettbewerbsdruck immer größer wird.

Speaker0: Ja, man schaue bloß mal im Automobilherstellerbereich so in Richtung China.

Speaker0: Also BYD zum Beispiel überholt gerade so ziemlich alles, was so da ist,

Speaker0: weil sie halt einfach Dinge zu Preisen anbieten können, die halt mit dem europäischen

Speaker0: und auch mit dem amerikanischen Markt in keinster Weise vereinbar sind.

Speaker0: Jetzt letzte Aussage war, in Zukunft wird BYD auch autonom fahren auf Basis von DeepSeek.

Speaker0: Dann denkst du dir halt als Mitarbeiter oder als Entscheider von irgendeinem

Speaker0: Automotive-Zulieferer auch, ja, wir müssen das jetzt auch machen.

Speaker0: Wir müssen unbedingt sofort unsere gesamten Prozesse zu Microsoft Co-Pilot und

Speaker0: ChatGPT und hast du nicht gesehen verlagern. Aber wir müssen das jetzt auch machen.

Speaker0: Ja, es ist ja ein öffentliches Modell und will ich das wirklich haben oder baue

Speaker0: ich mir nicht vielleicht doch besser was Eigenes, aber Eigenes kostet schon wieder Geld.

Speaker0: Also so wie bei dem letzten Bericht zu dem Data Center, wo Grog AI drin läuft,

Speaker0: der hat halt, also Elon Musk hat da halt mal eben schlappe 200.000 GPUs reingepackt

Speaker0: in das Data Center, damit es funktioniert.

Speaker0: Ja, also wir haben jetzt quasi wieder ein weiteres Damoklesschwert über den

Speaker0: Köpfen der Entscheider und Unternehmer.

Speaker1: Ja, kann ich sehr gut bestätigen.

Speaker1: Ich war auch schon auf Veranstaltungen zu KI, wo das Thema Security und GRC

Speaker1: bewusst rausgelassen worden ist. Also mit dem Hinweis, das hindert uns ja doch

Speaker1: nur, das lassen wir mal auf Seite.

Speaker1: Wir wollen hier schnell nach vorne kommen und die Bremser lassen wir außen vor.

Speaker1: Das wird ein Einholen. Also wie wir eben auch schon mal wieder diskutiert haben,

Speaker1: wenn die Security am Schluss einbauen, dann wird das wesentlich teurer,

Speaker1: als wenn ich mich von vornherein mit darauf Verständigen konzentriere.

Speaker1: Und das macht am Ende des Tages auch langsamer. Also das ist ein Trumschluss

Speaker1: zu glauben, ohne Security bin ich am Ende des Tages schneller.

Speaker1: Und dann muss ich mit viel Aufwand nämlich nachholen,

Speaker0: Das Ganze. Ja, klar.

Speaker1: Also die wird von vornherein das Einbauen. Ich glaube, der Schlüssel liegt eher

Speaker1: daran, dass man sich nicht zu viel vornimmt am Anfang.

Speaker1: Also dass man nicht alles gleichzeitig machen möchte, sondern sich mal einen

Speaker1: gescheiten Use Case raussucht, der einem weiterhilft, der dadurch auch erstmal recht klein ist.

Speaker1: Dafür die Grundlagen schafft und einen gewissen Mehrwert hat und dann ja Stück

Speaker1: für Stück iterativ das Ganze ausbaut.

Speaker1: Nicht direkt das große Ganze, das Unternehmen komplett auf AI in einem Schlag

Speaker1: umstellen, so wird es nicht funktionieren, sondern in kleinen Schritten muss

Speaker1: man da vorgehen und dann schaffen wir auch vernünftig, Security und Co.

Speaker1: Einzubauen in dieses Thema.

Speaker0: Ja, das glaube ich auch und es ist, glaube ich, fatal, wenn man da zu sehr all-in

Speaker0: geht bei dieser ganzen Geschichte.

Speaker0: Da hatte ich auch vor kurzem, also vor zwei Folgen, tatsächlich ein sehr,

Speaker0: sehr interessantes Gespräch mit dem Arsand Stefanski.

Speaker0: Da ging es um das Thema automatisiertes Threat-Modeling mit LLMs.

Speaker0: Und da haben wir eben auch über Agentenlösungen gesprochen.

Speaker0: Das ist Folge 97, falls ihr das mal nachhören möchtet.

Speaker0: Solltet ihr da auf jeden Fall mal reinhören, ist ein wirklich ganz interessantes Thema gewesen.

Speaker0: Und da geht es eben auch darum, dass man halt eben auf eigene Lösungen,

Speaker0: auf eigene Systeme solche Sachen aufbaut, sich halt entkoppelt und ganz oft

Speaker0: sage ich halt, ja, wenn ihr mit KI arbeitet,

Speaker0: ihr dürft da halt nichts personenbezogenes oder irgendwelche Unternehmensgeheimnisse

Speaker0: bei Chat-GPT und Co-Pilot reinschmeißen,

Speaker0: so wie ihr das ja im Browser auch nicht tun würdet in der Suchabfrage.

Speaker0: Dann kriegst du halt, wirst du groß angeguckt, so, ach so, nicht? Ah ja, okay, na dann.

Speaker0: Also es ist manchmal zum Haare raufen.

Speaker1: Spannend. Ja, da muss ja ganz viel drüber gesprochen werden,

Speaker1: wie man vernünftig mit diesen AI-Systemen umgeht.

Speaker1: Solche Selbstverständlichkeiten werden plötzlich vergessen.

Speaker0: Ja, ganz klar. Aber es macht halt auch die weltpolitische Lage nicht einfacher.

Speaker0: Wenn du siehst, Donald Trump, Drillberry Drill, go for it, hier so und so viele

Speaker0: Milliarden US-Dollar über einen Zeitraum von fünf Jahren in das Thema KI.

Speaker0: Da sitzt dann halt Nvidia, Oracle, OpenAI und die freuen sich halt und reiben

Speaker0: sich die Hände und die Aktienkurse gehen immer weiter nach oben.

Speaker0: Und du bist halt als Unternehmer einfach an der Position, es ist schwierig,

Speaker0: da eine Entscheidung zu treffen. Und ich sehe halt jetzt auch ganz häufig schon,

Speaker0: dass es halt dann einfach in Richtung Risikokapital geht.

Speaker0: Und am Ende wird uns aber auch das um die Ohren fliegen.

Speaker0: Also ich befürchte, dass wir dann irgendwann eine ähnliche Blase erleben werden,

Speaker0: die dann platzt wie bei den Immobilien seiner Zeit oder bei Dotcom,

Speaker0: weil halt jeder jetzt auf das Thema einzahlt und am Ende des Tages aber halt

Speaker0: dann aufgrund von Leaks, Datenschutzverstößen,

Speaker0: Sicherheitsrisiken oder halt einfach Fehlinvestitionen, weil man ja meistens

Speaker0: dann auch festhalten möchte an dem, was man schon getan hat,

Speaker0: die Unternehmen halt dann darunter leiden.

Speaker1: Genau, also bei AI muss man sich vor Augen führen, dass hier die Anwendung oder

Speaker1: Service, die Infrastruktur und die Daten miteinander verschmelzen.

Speaker1: Das sind keine getrennten Silos mehr, sondern es ist ein gemeinsames System, wo alles mit drin ist.

Speaker1: Und ja, man muss sozusagen alles gleichzeitig im Blick halten.

Speaker1: Das muss man erst mal im Laufe der Zeit lernen, wie man dort mit sich ständig

Speaker1: verändernden Daten, Services umgeht.

Speaker1: Vielleicht muss man sich das vor Augen führen und dann wird man etwas vorsichtiger,

Speaker1: wenn man zu schnell dieses Thema einführen möchte, sondern man muss erst mal

Speaker1: den Kern, den Charakter von AI-Systemen verstehen, um was es wirklich geht.

Speaker0: Ja, was erlebst du denn da bei deinen Kunden? Ist das schon angekommen?

Speaker1: Nein. Nein.

Speaker1: Ja, so wie du es geschrieben hast, die meisten sind dann doch gerade sehr getrieben.

Speaker1: Und mein Punkt ist dann, mit denen in Diskussionen zu kommen,

Speaker1: was AI wirklich ausmacht, was AI und Cloud in Kombination ausmacht und wie man

Speaker1: dann von vornherein wenigstens Ansatzpunkte reinbekommt,

Speaker1: um sich mit Sicherheit und Steuerung der Sicherheit auseinanderzusetzen.

Speaker1: Aber ja, es ist gerade sehr mühsam.

Speaker1: Also die, wobei es auch das andere gibt, die einen trauen sich gar nicht,

Speaker1: das ist auch nicht gut. Und die anderen sind halt zu forsch.

Speaker1: Dann gilt es irgendwie, einen entsprechenden Weg herauszuarbeiten.

Speaker0: Ja, es hat ja auch wieder was mit Knowledge Transfer zu tun.

Speaker0: Du musst die Leute, also ich habe jetzt ein paar Kunden, die haben halt gesagt,

Speaker0: hier für die gesamte Belegschaft diese 30 Euro oder was das Ding kostet, Co-Pilot Lizenz.

Speaker0: Dann haben die Co-Pilot und dann wissen sie nicht, was sie damit anstellen sollen,

Speaker0: weil viele halt einfach vom Wissen her noch nicht mal aus der Pandemiesituation abgeholt worden sind.

Speaker0: Also die benutzen Teams, weil sie halt irgendwann mal Teams angefangen haben

Speaker0: und ansonsten noch Outlook und dann war es das, haben aber ein M365 E5-Abo für

Speaker0: sehr viel Geld jeden Monat und nutzen halt die Möglichkeiten nicht aus.

Speaker0: Also auch da, nur dadurch, dass ich die Software habe, bin ich noch lange nicht

Speaker0: in der Lage, damit dann auch was zu erzielen. Wobei ich natürlich da schon sagen

Speaker0: muss, wir selber nutzen verschiedenste KI-Tools im Unternehmen.

Speaker0: Der Geschwindigkeitsvorteil ist natürlich nicht von der Hand zu weisen.

Speaker0: Man muss halt einfach nur entsprechende Datengrenzen und Klassifizierungen vorher

Speaker0: haben. Da sind wir dann wieder bei deinem Ursprungsthema Compliance.

Speaker0: Was bringe ich denn in so ein System ein? Aber dann kann einem das tatsächlich

Speaker0: schon sehr den Arbeitsalltag erleichtern.

Speaker0: Und ich muss sagen, ohne diese Lösungen, die wir für uns benutzen,

Speaker0: wäre ich wahrscheinlich nicht in der Lage, diese Workload durchzuziehen,

Speaker0: die ich jede Woche mache.

Speaker1: Ja, also natürlich, ich verwende auch entsprechende KI-Systeme.

Speaker1: Ja, das ist ein großer Helfer.

Speaker1: Ja, man muss sich halt entsprechend um einige Dinge Gedanken machen.

Speaker1: Vor allem, wie stark habe ich Kontrolle über die Daten? Wie kann ich Kontrolle ausüben?

Speaker1: Wie souverän ist die Datenverarbeitung an der Stelle?

Speaker1: Wen suche ich mir als Provider aus, der meine Daten souverän verarbeiten kann?

Speaker1: Na, diesen Themen muss man sich dann stellen. Also am Anfang erstmal ein bisschen

Speaker1: mühsam, um von den Verheißungen dann auf Dauer wirklich profitieren zu können.

Speaker0: Ja, am Ende des Tages aber eigentlich auch nicht mühsamer als eine Datenschutzfolgeabschätzung,

Speaker0: weil ich darf auch eigentlich keine Software einfach zum Einsatz bringen,

Speaker0: ohne mir vorher darüber Gedanken zu machen.

Speaker1: Ja, genau das.

Speaker0: Das ist dann das Nächste, wo du große Augen gegenüber bekommst. Was? Datenschutz wie?

Speaker0: Ach so, naja, okay. Ich sehe das ganz oft in Kundenumgebungen.

Speaker0: Da ist dann in dem Unternehmens-App-Katalog bei Microsoft, da ist tausend und

Speaker0: eine App drin, weil es halt niemals jemand unterbunden hat.

Speaker0: Und da wird halt fleißig Unternehmensinformation mit allen möglichen Herausgebern geteilt.

Speaker0: Ob das jetzt gut ist oder wer es braucht, kann dir am Ende keiner mehr sagen.

Speaker1: Ja, man sieht auch den KI-Erfolg in Firmen vor allen Dingen da,

Speaker1: wo Datenschutz und Security-Infrastruktur sehr intensiv zusammenarbeiten.

Speaker1: Also oft war, ist das Unternehmen noch sehr getrennte Disziplinen, wenig Zusammenarbeit.

Speaker1: Das kann man sich mit KI nicht leisten. Je mehr die Zusammenarbeit funktioniert,

Speaker1: desto schneller kommt man auch nach vorne, was dieses Thema angeht.

Speaker0: Ja, und ich glaube, wir müssen mal aufhören, auch da wieder diese Plakativbeispiele anzubringen.

Speaker0: Ähnlich wie der goldene USB-Stick auf dem Parkplatz, der angeblich so gut immer

Speaker0: funktioniert, ist es dieses, ich prompte mir die Gehaltsabrechnung von meinem Chef zusammen.

Speaker0: Das ist jetzt keine Argumentation und das ist natürlich wieder ein prominentes

Speaker0: Beispiel, aber da haben jetzt schon wieder viel zu viele Leute einfach drauf aufgesetzt.

Speaker0: Also wir sind halt als Deutsche jetzt auch nicht unbedingt dafür bekannt,

Speaker0: dass wir sofort auf jeden neuen Zug aufspringen müssen, aber es fördert jetzt

Speaker0: auch nicht den Einsatz von Lösungen, die am Ende des Tages dann auch vielleicht

Speaker0: die Wünsche, wie dieses Thema Viertagewoche, Dreitagewoche, ja theoretisch einfach

Speaker0: ein bisschen mehr in die greifbare Nähe bringen.

Speaker0: Also ich habe vor anderthalb, zwei Jahren auf einem Vortrag hier in Regensburg

Speaker0: in der Techbase einen sehr interessanten Beitrag gesehen von der Bäckereikette Jormas.

Speaker0: Kennt man, die sind an jedem Bahnhof gefühlt in Deutschland.

Speaker0: Und die haben eben durch Automatisierung und Prozessoptimierung es tatsächlich

Speaker0: geschafft, dass die halt schon seit Längerem das Thema vier Tage Woche,

Speaker0: einfach gibt es keine Diskussion darüber, das funktioniert, weil sie sich halt

Speaker0: so automatisiert haben. Da geht es eher darum, drei Tage Woche einzuführen.

Speaker0: Also so kann es halt auch gehen, aber halt dann natürlich, wie du sagst,

Speaker0: richtig, Security, Datenschutz, das muss halt alles Hand in Hand gehen.

Speaker0: Und dann kann man auch solche Reisen auch mal tatsächlich antreten.

Speaker1: Ich meine, sehr stark kommt es darauf an, wie das Mindset ist bei Security und Datenschutz.

Speaker1: Wenn es einen klaren Use Case gibt, wie du ihn gerade beschrieben hast,

Speaker1: dann ist es die Aufgabe von Security und Datenschutz, das zu ermöglichen.

Speaker1: Also da muss man auch mit diesem Mindset da rangehen. Und dann kann ich durchaus

Speaker1: Security und Mehrwert miteinander verbinden, wenn ich so rangehe.

Speaker1: Und nicht immer nur sehr, was kann da alles passieren, sondern es geht darum,

Speaker1: gemeinsam Lösungen zu schaffen.

Speaker0: Ja, aber mit Kopf. Nicht wie die Amerikaner aktuell, sondern halt mit Kopf.

Speaker0: Sorry, ich bin da einfach ein bisschen sehr vielleicht voreingenommen,

Speaker0: was da meine Meinung angeht. Aber es ist halt schwierig, vor allem als Deutscher

Speaker0: dazu zu gucken, ist sehr schwierig.

Speaker0: Ja, gut, du vermittelst dieses Wissen nicht nur in Mandaten,

Speaker0: sondern, das haben wir ja eingangs schon gesagt, du bist auch als Trainer für

Speaker0: die Q-Skills im Einsatz, bietest da an Schulungen für CISSP und CCSP unter anderem.

Speaker0: Also wenn ich mal da über das Trainingsprogramm so schaue, du hast auch Trainings

Speaker0: zum Thema DORA, MS Azure Security Technologies, ISO 27 017 18,

Speaker0: ISMS Auditor, Lead Auditor für ISO 27 01.

Speaker0: Was hat dich denn motiviert, da zusätzlich zu deinem mit Sicherheit doch erfüllenden

Speaker0: Arbeitsalltag auch noch als Trainer zu arbeiten?

Speaker1: Ja, ich finde das sehr motivierend, mit Menschen zusammenzuarbeiten.

Speaker1: Ich wäre fast Lehrer geworden, habe ich aber noch für die IT entschieden und

Speaker1: mag es einfach, nicht nur Wissen zu vermitteln, sondern wirklich Ideen zu vermitteln,

Speaker1: die Menschen weiterzubringen.

Speaker1: Ja, und deswegen habe ich mich entschieden, ebenfalls als Trainer zu arbeiten,

Speaker1: um einfach keine Folien schlagen, mit denen zu vollziehen, sondern wirklich

Speaker1: intensiv an dem Verständnis, an dem Weiterkommen von Themen zu arbeiten.

Speaker1: Dass ich da aufgrund meiner Tätigkeiten, meiner Erfahrung, kann ich da einiges einbringen.

Speaker1: Und das gebe ich dann entsprechend gerne weiter. Ja, das motiviert mich dazu.

Speaker0: Ja, kann ich verstehen. Ich bin selber auch als Trainer unterwegs von dem her.

Speaker0: Das kann ich absolut nachvollziehen. Merkst du denn, dass da eine erhöhte Nachfrage

Speaker0: in diesen Themengebieten in der letzten Zeit entstanden ist?

Speaker1: Also der Bedarf ist da, ja, definitiv.

Speaker1: Es gibt da eine erhöhte Nachfrage, nicht durchgehend.

Speaker1: Und deswegen bin ich da etwas zögerlich gerade. In einigen Themen sind es sehr stark gefragt.

Speaker1: In einigen Themen denke ich mir gerade, Dora, da könnte noch viel mehr passieren.

Speaker1: Da stehen wir irgendwie noch am Anfang. Da ist noch sehr viel Luft nach oben sozusagen.

Speaker1: Aber man merkt schon, dass die Unternehmen anfangen,

Speaker1: wie ist das mit dem Know-how, wie funktioniert das und doch so ein bisschen

Speaker1: da jetzt mehr investieren in die Ausbildung der Mitarbeiter.

Speaker1: Das als Wert sehen, wenn ich gut ausgebildete Mitarbeiter habe,

Speaker1: die dann auch wieder im Unternehmen als Multiparkatoren dienen, das wirklich zu nutzen.

Speaker1: So Schritt für Schritt findet da ein Umdenken statt, entsprechender Bedrohungslage.

Speaker0: Gerade bei DORA wundert es mich allerdings ehrlich gesagt ein bisschen,

Speaker0: weil es ist ja jetzt für den Bereich, den es betrifft, auch nichts Neues.

Speaker0: Es ist halt eine neue Anforderung, aber die ganze Bafin-Zertifiziererei,

Speaker0: die gab es ja vorher auch schon.

Speaker1: Ja, mit Dora ist aber dann auch mal sehr,

Speaker1: sehr umfangreich das große Thema Security und GRC auf entsprechend neue Beine gestellt worden.

Speaker1: Ja, die Unternehmen kämpfen sehr auch damit, das wirklich einzuführen,

Speaker1: die entsprechenden Schwerpunkte zu setzen und,

Speaker1: Ja, ich bin gespannt, wie es da weitergeht.

Speaker1: Das ist schon ein großes Delta zu dem, was vorher da war und was jetzt gefordert ist.

Speaker1: Aber ich denke, das wird Schritt für Schritt transparenter werden,

Speaker1: dass da eine Menge zu tun ist, nicht nur für die Finanzdienstleister,

Speaker1: sondern auch für die entsprechenden Drittanbieter von Finanzleistungen,

Speaker1: die ebenfalls von Dora mit betroffen sind.

Speaker0: Ja, richtig, richtig, ja. Das stimmt wohl. Ja, also auch da,

Speaker0: man muss halt da auch immer entsprechend gucken.

Speaker0: Am Ende des Tages muss man auch festhalten, wollen ja alle das Gleiche.

Speaker0: Wenn man da mal bei OpenCritus so drüber guckt, so Matching der verschiedenen

Speaker0: Regulatoriken, egal welche Regulatorik du jetzt nimmst, am Ende wollen eigentlich

Speaker0: alle das Gleiche. Es heißt halt in vielen Bereichen ein bisschen anders.

Speaker0: Klar, das eine geht ein bisschen tiefer.

Speaker0: Dora ist schon sehr high level an der Stelle auch. Nach unten geguckt ist es

Speaker0: halt mittlerweile Gott sei Dank auch so, dass das BSI eben auch angefangen hat

Speaker0: zu sagen, wir brauchen eigentlich den IT-Grundschutz in einfacher Sprache,

Speaker0: so wie man es bei der Tagesschau und Co.

Speaker0: Auch hat. dass es halt auch dann wirklich ein Unternehmen versteht,

Speaker0: das sich halt so überhaupt noch gar nicht mit der ganzen Nummer auseinandergesetzt hat.

Speaker0: Aus BSI-internen Kreisen habe ich gehört, dass es wohl 2026 auch eine Neufassung

Speaker0: des IT-Grundschutzes geben soll.

Speaker0: Insofern, also es an Informationen mangelt es auf jeden Fall nicht,

Speaker0: um rauszufinden, was man tun sollte.

Speaker1: Ja, genau. Es mangelt noch ein bisschen daran, das wirklich aktiv anzugehen.

Speaker1: Ja, da sind manche noch ein bisschen zögerlich.

Speaker1: Ich bin auch bei dir. Viele Dinge in den verschiedensten Werken sind doch sehr ähnlich.

Speaker1: Ein gewisses Grundmuster findest du da immer wieder.

Speaker1: Wird nicht so klar benannt, also gerade Dora ist da klasse drin,

Speaker1: Dinge zu verschleiern, aber wenn man da drunter schaut, erkennt man immer wieder

Speaker1: grundlegende Konzepte, die du auch in anderen Werken wieder findest.

Speaker1: Ja, das gilt es viel mehr, Transparenz zu machen.

Speaker0: Ja, absolut, ja. Ja, auch das Thema

Speaker0: verpflichtende Unterweisung für Geschäftsführer, das erleben wir auch.

Speaker0: Wir haben das bei uns selber auch

Speaker0: im Portfolio in unserer eigenen Schulungsorganisation in Richtung NES II.

Speaker0: Also bis jetzt ist es sehr verhalten, was die Buchungen angeht.

Speaker0: Also da, glaube ich, wird sich oft auch jetzt so ein bisschen mal abwartend

Speaker0: zurückgelehnt und mal geguckt, was passiert denn da jetzt eigentlich auf Seiten des Gesetzgebers.

Speaker0: Aber kleiner Spoiler, Leute, ihr kommt da nicht drum rum.

Speaker0: Also es ist eine europäische Gesetzgebung. Wir müssen sie einfach nur in deutsches

Speaker0: Recht umwandeln. Aber da gibt es keinen Weg dran vorbei.

Speaker1: Ja, bei der DSGVO ging es ja auch erst langsam los, bis dann die ersten größeren

Speaker1: Zahlungen zu leisten waren in Bezug auf DSGVO-Verstößen.

Speaker1: So ähnlich wird das auch bei den neuen Verordnungen jetzt passieren.

Speaker0: Ja, da hatte ich auf dem Heise-Security-Kongress 2024 in Stuttgart ein schönes

Speaker0: Gespräch mit dem Justiziar des Heise-Verlages, mit dem Jörg Heydrich.

Speaker0: Und dann hatte ich gesagt, du, jetzt haben wir so und so viele Jahre DSGVO.

Speaker0: Was hat es denn am Ende gebracht? Oder war das nur ein Papiertiger?

Speaker0: Und er hat dann nur so schön gesagt, also es wurde sehr viel Papier produziert

Speaker0: in Größe mehrerer Tiger.

Speaker0: Aber so richtig gezogen hat es nicht.

Speaker0: Ja, mal sehen, was mit uns zwei passiert.

Speaker0: Darf man gespannt sein. Aber jetzt mal so im Hinblick auf allgemeine weltpolitische Situationen.

Speaker0: Können wir es uns noch leisten, in den nächsten fünf bis zehn Jahren so weiter

Speaker0: zu hantieren, wie wir es aktuell tun in Deutschland?

Speaker0: Oder müssen wir vielleicht irgendwann auch mal eine Lanze für uns selber brechen

Speaker0: und sagen, okay, ja, die Datenschutzthemen rund um US-Cloud-Anbieter, ja, schön und gut.

Speaker0: Klar, es wird immer die Warner geben vor dieser ganzen Geschichte.

Speaker0: Wir haben aber aus Mangel von Alternativen und auch aus Mangel von Geldmitteln,

Speaker0: um es uns selber zu bauen, eigentlich keine Wahl.

Speaker0: Denkst du, es wird irgendwann einen Bruch geben, dass man sagt,

Speaker0: so wie es halt in den USA eh schon Standard ist, weil da spielt Datenschutz

Speaker0: auch keine wirkliche Rolle, dass man dann sagt, komm, alles egal,

Speaker0: Hauptsache wir können auf dem Weltmarkt weiter existieren?

Speaker1: Ich hoffe nicht, dass es dazu kommt. Ich hoffe, dass die Europäer da ihren Weg

Speaker1: finden, eine souveräne Datenwelt aufzubauen.

Speaker1: Ich denke auch, das wird ein entscheidender Schritt sein hier in Europa,

Speaker1: diesen Weg zu finden und KI dann auch wirklich im großen Stil zu nutzen,

Speaker1: dass man selbstbestimmt die Daten verwenden kann.

Speaker1: Ich hoffe und ich glaube auch daran, dass Europa den eigenen Weg findet,

Speaker1: eine souveräne AI-Datenstruktur hochzuziehen.

Speaker1: Ja, ich helfe jedenfalls mit, dass das passiert an der Stelle.

Speaker0: Das ist gut, ja. Das wäre tatsächlich zu wünschen, zumal wir ja tatsächlich

Speaker0: in Europa ein paar fähige KI-Unternehmen haben.

Speaker1: Ja.

Speaker0: Solange die nicht verkauft werden nach China oder USA, könnte man es ja damit mal versuchen.

Speaker0: Hast du so gegen Ende von unserem Interview denn vielleicht noch eine Nachricht

Speaker0: oder Botschaft, welche du unseren Hörerinnen und Hörern mit auf den Weg geben möchtest?

Speaker1: Ja, welche Botschaft habe ich noch? Training, hatten wir eben schon besprochen,

Speaker1: ist für mich ein wichtiges Thema.

Speaker1: Und mit Q-Skills habe ich da einen hervorragenden Partner, mit dem es auch möglich

Speaker1: ist, solche Schulungen auf dem hohen Niveau, qualitativ hohen Niveau anbieten

Speaker1: zu können, wie es notwendig ist für die Zukunft.

Speaker1: Also damit startet oft ganz etwas, dass man entsprechendes Training hat.

Speaker1: Ja, und darauf aufbauend kann man dann die weiteren Themen angehen.

Speaker0: Das kann ich auf jeden Fall unterstützen und unterschreiben.

Speaker0: Ich werde natürlich deine Kurse, die du so gibst, auch unten in den Show Notes

Speaker0: verlinken. Da könnt ihr euch das mal angucken.

Speaker0: Ich verlinke dann auch unseren NES2-Kurs für Geschäftsführer natürlich auch mal mit rein.

Speaker0: Falls ihr da jetzt sagt, oh ja, stimmt, da war ja noch was, könnt ihr das Ganze

Speaker0: natürlich auch gerne mal bei uns euch angucken. und vielleicht sieht man sich

Speaker0: ja dann in dem einen oder anderen Training nochmal wieder.

Speaker0: Wunderbar. Ralf, ich würde sagen, das war jetzt mal wieder eine sehr spannende, knappe Stunde.

Speaker1: Okay. Ich habe kein Gefühl dafür.

Speaker0: Ja, ich sehe die Uhr laufen.

Speaker1: Ich meine auch kein Gefühl, ob es gut oder nicht gut ist.

Speaker0: Achso, nee, nee, das war fantastisch.

Speaker1: Da dachte ich, oje, ist das wirklich gut, was du hier machst? Keine Ahnung.

Speaker0: Das ist super und Und falls du da unsicher bist, ihr Zuhörerinnen und Zuhörer, ihr wisst das.

Speaker0: Ihr könnt uns überall Nachrichten hinterlassen. Ihr könnt uns auch mit Speedpipe

Speaker0: eine Nachricht hinterlassen.

Speaker0: Wenn die von Ralf ist, dann leite ich ihm die gerne auch weiter.

Speaker0: War wirklich fantastisch. Und ich glaube, eine angenehmere und bereicherndere

Speaker0: Folge für unsere Folge 99 hätte ich mir gar nicht wünschen können.

Speaker0: Insofern an der Stelle nochmal kleiner Hinweis. In zwei Wochen ist es soweit.

Speaker0: Dann haben wir unser Jubiläum. Dann ist Folge 100.

Speaker0: Das wird mal ein bisschen eine andere Folge, aber da dürft ihr euch dann natürlich

Speaker0: noch überraschen lassen.

Speaker0: Wie immer, ihr kennt das, teilt uns, empfehlt uns gerne in euren Bekanntenkreisen,

Speaker0: Kollegenkreisen gerne weiter.

Speaker0: Ich freue mich über jeden Zuhörer und jede Zuhörerin. Wenn ihr das Ganze auf

Speaker0: YouTube gerade hört, dann vergesst natürlich nicht, die Glocke zu abonnieren,

Speaker0: um kein weiteres Video zu verpassen.

Speaker0: Und damit sind wir tatsächlich für heute durch.

Speaker0: Ralf, vielen Dank nochmal und es war mir ein Vergnügen.

Speaker1: Ganz herzlichen Dank. Mir war es auch vergnügen. Die Zeit ist wirklich wie im Flug vorbeigegangen.

Speaker0: Alles klar. Dann mach's gut. Euch auch noch einen schönen Tag oder eine gute

Speaker0: Nacht, wann auch immer ihr uns hört.

Speaker1: Ciao.

Music: