Robert Wortmann: Herzlich willkommen zu einer neuen Folge von Breach FM! Heute haben wir eine etwas andere Konstellation. Kim ist leider erneut in einen Incident-Response-Fall geraten, der um 9:21 Uhr begonnen hat. Wir hatten eigentlich die Aufnahme für 9:30 Uhr geplant, also war das Timing wieder einmal perfekt. Das zeigt jedoch erneut, dass das Thema Incident-Response ein Leben unvorhersehbar macht und wahrscheinlich beruflich viel Arbeit mit sich bringt. Kim möchte allen herzliche Grüße ausrichten. Er wird hoffentlich in der nächsten Folge wieder dabei sein. Wie ich schon das letzte Mal erwähnt habe, wäre es alleine etwas einsam. Ich hatte schon länger die Idee, einen sehr geschätzten Gast einzuladen, und jetzt ist es endlich so weit. Philipp, es ist toll, dass du heute hier bist. Magst du dich unseren Zuhörern kurz vorstellen? Wer bist du und was machst du? Und warum sitzen wir heute hier zusammen?
Philipp Pelkmann: Vielen Dank für die Einladung Robert, und Kim, ich wünsche dir gleichzeitig viel Erfolg. Mein Name ist Philipp Pelkmann und ich arbeite bei Bosch CyberCompare, das ich mitgegründet habe. Einigen Hörern mag mein Name bereits bekannt sein, vielleicht kommen heute ein paar Neue dazu. Wie sind wir zusammengekommen? Das ergab sich vor einigen Wochen, als du ein tolles Interview mit Ben Bachmann geführt hast. Wir haben eine enge Zusammenarbeit und kennen uns schon seit einiger Zeit. Dadurch bin ich auf den Podcast aufmerksam geworden, und ich habe mich sehr darüber gefreut, eingeladen zu werden, um hier mit dabei zu sein.
Robert Wortmann: Ja, genau, das passt sehr gut. Wir haben bereits in den letzten Podcast-Folgen darüber diskutiert. Wie finden Unternehmen eigentlich die passenden Lösungen für ihre Anforderungen? In den letzten Jahren ist uns aufgefallen – und das hat nichts mit unserer Herstellerperspektive zu tun, Kim und ich arbeiten zwar für den Hersteller, aber das ist nicht der Fokus dieses Podcast – dass Anforderungskataloge oft wenig aussagekräftig sind. Fast jeder Hersteller kann selbstbewusst mit einem ‚Ja‘ antworten. Doch nach einiger Zeit wird klar, dass der Hersteller nicht passt und zu viel versprochen hat. Heute möchten wir darüber sprechen, wie das passieren kann und wie man bei der Auswahl vorsichtig sein sollte. Häufig liegt das Problem in der Anforderungsanalyse, und der Hersteller kann nur auf die gestellten Fragen antworten. Heute wollen wir darüber diskutieren, wie Plattformen wie Bosch CyberCompare dabei helfen können, den richtigen Anbieter zu finden. Wir möchten über unsere praktischen Erfahrungen sprechen – Dos and Don’ts sowie ein oder zwei Geschichten, bei denen etwas schiefgelaufen ist. Es wird ein interessanter Austausch. CyberCompare ist ein spannendes Thema. Ich habe eine längere Geschichte mit Bosch und weiß daher, dass Produkte dort gründlich getestet werden, manchmal sogar zu gründlich in der Vergangenheit. Es hat lange gedauert, bis Entscheidungen getroffen wurden, aber am Ende entstand kein Chaos von Applikationen oder Systemen wie bei anderen Unternehmen dieser Größe. Deshalb meine erste Frage: Was war die Idee hinter Bosch CyberCompare? Wie hat sich das Ganze entwickelt? Was ist die Geschichte bis heute?
Philipp Pelkmann: Ja, sehr interessante Fragestellung. Ich bin seit 18 Jahren dabei und habe 2005 bei Bosch begonnen. Ursprünglich war ich Wirtschaftsinformatiker und habe meine Karriere als Softwareentwickler bei einem Landmaschinenhersteller in Ostwestfalen gestartet. Früh in meiner Laufbahn kam ich zu Bosch, wo ich in der IT tätig war, unter anderem in der Werks-IT in der Region Asien-Pazifik. Dort beschäftigte ich mich intensiv mit Themen wie Digitalisierung in der Fertigung und Industrie 4.0. Später wechselte ich in die Bosch Konzernzentrale auf der Schillerhöhe, wo ich als Assistent eines Geschäftsführers arbeitete und meinen Kollegen und Freund Jannis Stemmann kennenlernte. Gemeinsam mit ihm und Simeon Mussler habe ich Bosch CyberCompare gegründet. Jannis und ich hatten ähnliche Aufgaben, unsere Schreibtische standen nebeneinander. Im Dialog mit einem Vorsitzenden eines Bosch-Geschäftsbereichs entstand die Idee für Bosch CyberCompare. Wir stellten fest, dass Cybersicherheit zunehmend an Bedeutung gewinnt und dass der Markt für Lösungsanbieter für Mittelständler undurchsichtig ist. Obwohl Bosch als Unternehmen selbst nicht dem Mittelstand zuzuordnen ist, agieren viele Divisionen ähnlich. Es wurde klar, dass typische IT-Leiter im Mittelstand den Druck verspüren, sich um Cybersicherheit zu kümmern, obwohl sie nicht auf große Sicherheitsteams zurückgreifen können. Diese Situation erfordert eine Art gefühltes Handeln, denn die meisten Security-Budgets sind Teil der IT-Kosten und stehen unter Druck. Es mangelt oft an klaren Anforderungen, und Hersteller können nur das beantworten, was gefragt wird. Deshalb fanden wir es interessant, einen neutralen Marktplatz für Cybersicherheit zu schaffen, der Mittelständlern hilft, die richtigen Maßnahmen zu priorisieren. Im Jahr 2020 haben wir das Konzept von Bosch CyberCompare im Rahmen einer Marktstudie validiert und sind auf viel Offenheit seitens der Anbieter und Kunden gestoßen. Es gibt viele Anbieter auf dem Cybersecurity-Markt, jedoch keine klare Dominanz. Unsere Plattform versteht sich als neutraler Einkaufsplatz für Cybersicherheit und hilft den Kunden dabei, ihre spezifischen Anforderungen zu verstehen. Manche Kunden haben klare Vorstellungen, andere benötigen Unterstützung bei der Bestandsaufnahme und Empfehlungen. Wir bieten Vergleiche zwischen verschiedenen Angeboten an und bewerten Stärken und Schwächen. Seit rund zwei Jahren ist Bosch CyberCompare formal gestartet.
Robert Wortmann: Was mich schon lange Zeit beschäftigt hat. Warum wurde Bosch CyberCompare unter der Marke Bosch entwickelt? Ich habe mir diese Frage für diesen Podcast aufgehoben, obwohl ich sie schon früher hätte stellen können, aber es war für mich immer ein interessanter Punkt. Als ich mit Bosch zu tun hatte, war das in ganz anderen Geschäftsbereichen, und ich habe mich gefragt, ob das eine allgemeine Strategie des Boschkonzerns ist, sich breiter aufzustellen. Vielleicht war es auch einfach die Absicht, den etablierten Namen zu nutzen, was nicht negativ gemeint ist. Ich würde wahrscheinlich genauso handeln. Mich interessiert einfach, was die Idee dahinter war, dieses Projekt unter der Marke Bosch zu positionieren.
Philipp Pelkmann: Die Entstehungsgeschichte ist eigentlich recht unspektakulär. Zu dem Zeitpunkt waren wir, und sind es immer noch, Angestellte bei Bosch. Selbst wenn ich bei einem anderen Unternehmen gearbeitet hätte, und Jannis genauso, hätten wir versucht, das Projekt auf der Basis unseres Kontextes zu gründen. Die Idee kam auf, als wir den Markt analysierten und einen interessanten Einstiegspunkt identifizierten. Zu der Zeit waren wir nah an der Bosch Geschäftsführung und konnten sie mit unseren Dialogen, der Marktstudie und dem positiven Feedback der ersten Kunden überzeugen, dass diese Idee ein interessantes Geschäftspotenzial mit hoher Innovationskraft hat. Die Kollegen waren bereit, uns dabei zu unterstützen und die Marke Bosch zu nutzen, was letztlich jedes Startup braucht – diesen sogenannten „unfair Advantage“. Wenn wir nur als CyberCompare aufgetreten wären, wäre es viel schwieriger gewesen, überhaupt die ersten Kundenkontakte herzustellen. Mit Bosch im Rücken war das anders. Wir gingen auf Kundensuche, sprachen gezielt Partnerunternehmen an und erklärten: „Wir entwickeln diesen Service gerade. Wir haben noch nicht viele Referenzen, aber wir wollen gute Arbeit leisten.“ So haben wir uns in den Markt eingearbeitet, und die Marke Bosch hat uns besonders beim Markteintritt geholfen. Bosch hatte keine übergeordneten strategischen Interessen. Es war eine Innovation, die von drei Bosch Mitarbeitern kam und von der Bosch Geschäftsführung unterstützt wurde, um die Idee am Anfang zu validieren. Aufgrund der schnellen und guten Ergebnisse durften wir das Projekt dann weiter ausbauen.
Robert Wortmann: Wie interpretierst du das Konzept der „unabhängigen Beratung“? Ich sehe dieses Schlagwort heutzutage auf fast jeder Website. Ich denke, in der Praxis hat jeder eine gewisse Abhängigkeit, wahrscheinlich auch ihr. Die Frage ist immer, wie manifestiert sich diese Abhängigkeit? Wie offen geht man damit um und wie spielt man mit dieser Thematik? Wie siehst du dieses Thema, und wie unabhängig seid ihr tatsächlich? Wovon seid ihr beispielsweise auf dem Markt abhängig?
Philipp Pelkmann: Ja, das ist ein wirklich wichtiger Punkt. Bei uns eine hundertprozentige Unabhängigkeit und Neutralität herzustellen, das ist schlicht nicht möglich. Wir sind ja keine Maschinen, sondern Menschen, und wir werden von vielen Einflüssen geprägt. Deshalb war es für uns von Anfang an wichtig, keine Reseller- oder ähnliche Verträge mit Herstellern oder Anbietern abzuschließen. Wir gehen Partnerschaften ein, aber ohne jeglichen Druck, bestimmte Produkte zu platzieren oder zu verkaufen. Das ist nicht unser Ziel und wird es auch nie sein. In Gesprächen mit Kunden betone ich stets, dass es mir völlig egal ist, für welchen Hersteller oder Anbieter sie sich entscheiden. Denn letztendlich liegt die Entscheidung beim Kunden, nicht bei uns. Mir ist es einfach wichtig, dass der Kunde sich mit seiner Entscheidung wohl fühlt. Das ist unser Credo und gleichzeitig unser moralischer Ansatz, der zwar durch unsere Arbeit mit Herstellern und Informationen beeinflusst wird, aber wir versuchen, offen damit umzugehen. Wir haben ein Vier-Augen-Prinzip, wenn es um Angebotsvergleiche geht. Wir bewerten Angebote anhand von harten Fakten, festen Kriterien und Scoring-Modellen. Aber auch weiche Faktoren wie der Gesamteindruck fließen mit ein. Oft sind Preise schwer eins zu eins vergleichbar, da verschiedene Ansätze dahinterstecken. Wir erstellen Szenarien und versuchen, ein stimmiges Gesamtbild abzuleiten. Es ist jedoch selten eine klare Entscheidung für oder gegen einen Anbieter, sondern eher ein Spielraum. In Kundenpräsentationen betonen wir das auch. Letzte Woche ging es zum Beispiel um einen Incident-Response-Retainer. Ein Anbieter wurde aufgrund der Anforderungen favorisiert, was der Kunde nachvollziehen konnte. Interessanterweise war dieser Anbieter sogar der teuerste. Das zeigt, dass es bei uns nicht immer nur um den günstigsten Preis geht. Unser Vier-Augen-Prinzip ermöglicht es, kritische Fragen zu stellen und die objektive Betrachtung zu gewährleisten.
Robert Wortmann: Ja, das ist ein wirklich wichtiger Punkt. In meinen früheren Positionen, als ich noch unabhängiger unterwegs war, habe ich auch Herstellervergleiche durchgeführt. Aber nicht auf der oberflächlichen Ebene, wo einfach fünf Features aufgelistet werden und der eine Hersteller überall grüne Haken hat, während der Konkurrent überall rote Xe hat. Nein, ich bin tiefer gegangen und habe individuell für jeden Kunden gearbeitet. Einige Kunden waren mehr an Soft-Facts interessiert. Für sie war es wichtiger, einen deutschsprachigen Ansprechpartner zu haben, der auch vor Ort unterstützen kann. Andere, wie zum Beispiel multinationale Kunden, waren anfangs überhaupt nicht daran interessiert. Sie wollten Lizenzen zum richtigen Zeitpunkt und mit vollem Funktionsumfang. Das zeigt, wie situativ die Anforderungen sein können. Viele Vergleiche berücksichtigen diese Vielfalt nicht. Gartner hat sich in den letzten Jahren sicherlich weiterentwickelt. Ihre Berichte außerhalb des Quadranten bieten mehr Tiefe. Dennoch ist es schwierig, wenn ein Mittelständler denselben Quadranten betrachtet wie ein Enterprise-Unternehmen.
Die Unterschiede sind einfach zu groß, als dass sie vollständig abgebildet werden könnten. Es ist für mich also kein direkter Vergleich, wie oft angenommen wird. Es dient eher als erste Orientierung. Das Thema der Abhängigkeit ist sehr wichtig. Wenn man nach „Cybersecurity-Vendors“ bei Google sucht, erscheinen unzählige Hersteller. Dieses Bild hat mittlerweile wahrscheinlich eine Größe von mindestens 10 MB, um alle darauf zu bekommen. Es ist unglaublich! Jedes Mal, wenn jemand sagt, dass ein Hersteller von einem anderen übernommen wurde und der Markt sich konsolidiert, entstehen wahrscheinlich vier neue Unternehmen aus den Leuten, die nicht übernommen wurden oder es nicht wollten. Wenn Kunden mich fragen, ob ich alle Hersteller einbezogen habe, sage ich, das ist unmöglich! Denn in der Zeit, in der wir diesen Vergleich durchführen, entstehen bereits wieder drei neue Hersteller. Deshalb habe ich jeden Hersteller selbst gesichtet und dann Interviews geführt. Dabei habe ich jede Antwort technisch überprüft. Es gab Fälle, bei denen ich sicher war, dass man mir ins Gesicht gelogen hat. Man gewöhnt sich hier und da an Antworten, die einfach akzeptiert werden. Aber oft merke ich, dass Mitarbeiter mancher Hersteller selbst nicht mehr so fest in ihren Lösungen stehen und einfach das Marketing ihrer Firma akzeptieren, ohne es tiefer zu hinterfragen. Bevor ich mich in diese Welt der Hersteller begeben habe, war meine größte Angst, dass ich von einem zum anderen hüpfe und jeden Arbeitgeber als den besten darstelle. Das versuche ich täglich zu vermeiden und mich an unsere Story zu erinnern, warum ich hier bin. Aber ich würde niemals behaupten, dass wir in jedem Bereich die Besten sind. Das wäre schlichtweg nicht wahr. Lang gesagt, man wird niemals eine vollständige Objektivität bewahren können, da man als vergleichendes Unternehmen und Berater belastbare Informationen benötigt. Es ist wie die Diskussion darüber, ob Messi oder Ronaldo der beste Fußballer der Welt ist. Es ist wahrscheinlich jemand, der nie professionell betrachtet wurde. Genauso kann es mit Security-Herstellern sein.
Philipp Pelkmann: Natürlich, da stimme ich dir vollkommen zu, Robert. Deshalb betonen wir immer, dass unser Ziel nicht unbedingt darin liegt, den besten Anbieter, das beste Angebot oder die beste Lösung zu finden. Wie können wir das auch garantieren? Im Gegensatz zu den großen Enterprise-Kunden, von denen du gesprochen hast, haben wir in den meisten Fällen Kunden im Mittelstand, irgendwo zwischen 250 Mitarbeitern bis hin zu vielleicht 15, 20.000 Mitarbeitern. Das bildet rund 80 Prozent unserer Kundenbasis ab. Wir arbeiten mit deutlich kleineren Kunden genauso gut wie mit größeren. Aber im Grunde ist es die Perspektive des Mittelstands, die oft darauf abzielt, eine bewährte Lösung zu einem fairen Preis zu implementieren. Hier geht es nicht darum, wie du schon erwähnt hast, den Vergleich zwischen verschiedenen Lösungen monatelang oder sogar über Jahre hinweg zu führen, sondern einfach zu sagen:
Welche Lösung passt grundsätzlich zu meinen Anforderungen und meinem Budget? Welcher Partner, Hersteller oder Anbieter bringt das ins Haus? Will ich mit diesem Partner zusammenarbeiten? Ist er mir sympathisch? Kann er das? Das ist oft die Grundlage, auf der wir arbeiten. Wenn wir über diese Vergleiche sprechen, betrachten wir auch im Ausschreibungsprozess und Auswahlverfahren, welche Anbieter möglicherweise zusätzliche Differenzierungsmerkmale bieten, und heben diese hervor. Aber wie ich bereits erwähnt habe, ist es letztlich das Gesamtbild, das den Kunden dazu bringt, sich für einen Anbieter zu entscheiden. Diese auf Features basierte Sichtweise ist nur ein Baustein. Wichtige Kriterien wie das Deployment-Szenario, falls ein Kunde beispielsweise eine On-Premises-Lösung benötigt, aber der Hersteller diese nicht anbietet, sind entscheidend. Auch bei anderen, detaillierteren Features sehen wir uns an, ob der Hersteller diese erfüllt und wie er sie erfüllt. Natürlich gibt es Hersteller, die immer alle Kästchen ankreuzen, und hier kommt der Vorteil unseres Plattformansatzes zum Tragen. Wir lernen mit jedem Kundenprojekt dazu, nehmen das Feedback auf und sehen, wie gut ein Dienstleister in seinem Incident-Response-Einsatz abschneidet. Wenn jemand wie Kim bei einem Kundenprojekt von uns tätig wäre, würden wir den Kunden fragen, wie gut Kim seine Arbeit gemacht hat und ob sie wieder mit ihm zusammenarbeiten würden. Natürlich gehen wir davon aus, dass die Antwort positiv ausfällt, aber für uns ist es eine Gelegenheit, dazuzulernen und dieses Wissen dann auch anderen Kunden zugänglich zu machen. Es gibt keine perfekte Auswahl. Auch wir können gemeinsam mit dem Kunden viel Arbeit hineinstecken, aber am Ende geht es immer darum, welchen Informationsstand wir bestmöglich erreichen können, um dann eine fundierte Entscheidung zu treffen.
Robert Wortmann: Natürlich, ich glaube, was wirklich wichtig ist und was ich im Markt häufig vermisse, wenn Herstellervergleiche an mich herangetragen werden – nicht von euch, sondern generell –, ist das Fehlen von echtem Projektmanagement. Ehrlich gesagt, oft sehe ich, dass die gegebenen Anforderungen einfach hingenommen und nicht hinterfragt werden, bevor sie an die Hersteller weitergegeben werden. Ich frage mich immer, wo da der Mehrwert liegt, außer vielleicht weniger E-Mails zu erhalten und nicht von den Herstellern im Nachhinein genervt zu sein. Das mag zwar noch als gültig erscheinen, aber ich finde, ein Berater sollte immer auch als aktiver Filter dienen. Zum Beispiel eine gute Anforderung wäre: „Ich möchte XDR und EDR On-Premises haben, usw.“ Natürlich ist das machbar, aber ich glaube, man muss immer darauf hinweisen, dass man dabei viele Abstriche in Kauf nehmen muss. Das ist legitim. Aber wenn man sich für diese Entscheidung entscheidet, dann sollten wir über Alternativen sprechen, zumindest zuhören und diskutieren. Wenn es immer noch nicht passt, und du sagst, es gibt immer noch Gegenargumente, dann können wir nach einem Anbieter suchen, der nur On-Premises bietet.
Aber lasst uns zuerst die Diskussion führen und nicht alles als gegeben hinnehmen. Ich glaube, das ist äußerst wichtig, weil das immer noch zu häufig vorkommt: Kunden oder Unternehmen haben Anforderungen festgelegt, ohne jemals eine Gegenüberstellung mit der Praxis zu haben. Das halte ich für äußerst wichtig, basierend auf meiner eigenen Erfahrung. In der Vergangenheit habe ich verschiedene europäische Länder betreut und festgestellt, besonders in UK funktioniert der Markt ganz anders. Es ist ein sehr kommerzieller Markt, wo Lösungen fast schon willkürlich für ein Jahr eingekauft werden, und manchmal werden diese Lösungen nicht einmal innerhalb dieses Jahres implementiert, und zwölf Monate später wird schon wieder etwas Neues erworben. Was denkst du, macht den deutschen Markt besonders? Ich bemerke das sogar in einem weltweit agierenden Unternehmen wie unserem, dass der deutsche Markt in einigen Bereichen anders funktioniert. Es ist nicht besonders agil in der Entscheidungsfindung, was nicht zwangsläufig schlecht ist und in vielen Fällen sogar Vorteile hat, wenn man andere Länder betrachtet. Aber welche sind für dich typisch deutsche Anforderungen? Manchmal, wenn ich mir Anforderungskataloge anschaue, denke ich mir, hier könnte ich geradezu ein deutsches Emoji setzen.
Philipp Pelkmann: Es beginnt oft mit der Sprache, dem Interesse an deutschsprachigen Anbietern und Herstellern. Das ist definitiv ein klarer Fokus. Ich denke, dass wir nur in sehr wenigen Fällen, zum Beispiel im Bereich Pentesting, Anbieter außerhalb der DACH-Region platzieren oder vermitteln konnten. Am Ende gibt es einfach eine gute Auswahl im deutschsprachigen Raum. Der typische deutsche Mittelständler, den ich erlebt habe, fragt sich natürlich, warum er jemanden aus dem Vereinigten Königreich, Israel oder anderen Ländern beauftragen soll, wenn er das Gleiche hier in Deutschland bekommen kann. Das hatte ich auch öfter mit österreichischen Kunden, die sehr darauf bestanden haben, dass der Anbieter aus der Region stammt, maximal vielleicht aus Bayern. Natürlich ist das abhängig vom Kontext, insbesondere wenn man nach SIEM-Herstellern sucht. Ich denke, dass man dort in der Region oft lange suchen muss und nicht so viele Optionen findet. Aber Regionalität ist sicherlich ein wichtiger Punkt. Dann gibt es da noch etwas, und da muss ich ehrlich sein, ich bin mir nicht sicher, ob das typisch deutsch ist, aber es werden oft relativ hohe Anforderungen gestellt, ohne dass eine faire Einschätzung der eigenen Leistungsfähigkeit erfolgt. Ein typisches Beispiel sind die 24/7-Anforderungen, die fast immer in den Standardanforderungen für Serviceerbringung enthalten sind. Ja, natürlich, rund um die Uhr Support ist gefragt. Wir versuchen das in unseren Beratungspaketen, die Teil solcher Projekte sind, genauer zu hinterfragen und fragen dann beispielsweise: „24/7 verstanden. Wie sieht es jedoch mit deiner eigenen Aufstellung aus? Hast du einen Notfallplan? Ist das festgelegt?
Wer würde am Wochenende in deinem Unternehmen agieren, und welche Fähigkeiten hast du neben dem IT-Leiter, der sagt: ‚Im Notfall sollen sie mich einfach auf dem Handy anrufen,‘ um das Ganze zu prüfen?“ Mir fehlt hier ehrlich gesagt der direkte Vergleich, weil wir vor allem im deutschsprachigen Raum aktiv sind. Aber ich denke, manchmal mangelt es an Selbstreflexion. Es fehlt die Bewertung, auf welchem Niveau die eigene Leistungsfähigkeit wirklich ist, und oft wird die Implementierung bestimmter Lösungen überschätzt. Wir sind oft in Projekte eingestiegen, bei denen der Kunde zunächst eine SIEM-Lösung benötigte, aber letztendlich nicht die notwendigen Kapazitäten für deren Betrieb oder Überwachung hatte. Es fehlten Analysten oder Ressourcen für das Security Monitoring. Wenn beispielsweise nur 0,3 Prozent der Kapazität für diese Aufgaben vorhanden sind, stellt sich die Frage, wie das Tool wirklich genutzt werden kann. Einige Hersteller preisen ihre Lösungen als betreungsarm oder auf künstlicher Intelligenz basierend an. Bei genauerer Betrachtung wird jedoch deutlich, dass eine effektive SIEM-Lösung ein dediziertes Team erfordert, das kontinuierlich das Regelwerk anpasst, die Alerts überwacht und darauf reagiert. Ohne diese fortlaufende Aufmerksamkeit enden solche Projekte oft in einem Managed-Service oder Security Operation Center Ansatz. Es ist wichtig zu reflektieren, welchen Beitrag man selbst in solchen Projekten leisten kann. Ein weiterer wichtiger Aspekt ist die Entscheidungsfreudigkeit. Jeder, der in diesem Markt aktiv ist, wird sicherlich zustimmen, dass Projekte oft unter großem Druck starten. Trotz monatelanger Diskussionen muss dann alles schnell gehen. Die vorgegebene Zeit ist von Anfang an viel zu knapp bemessen, und im Projektverlauf treten Verzögerungen genau dann auf, wenn der Kunde etwas liefern müsste, sei es eine Entscheidung oder ein Go für die nächste Phase. Wir versuchen daher, realistischere Projektpläne zu entwerfen, um allen Beteiligten mehr Realismus zu vermitteln. Wenn beispielsweise Tausende von Anforderungen existieren und den Herstellern nur eine kurze Zeit für die Angebotseinreichung bleibt, versuchen wir, eine Plattform zu schaffen, die sowohl die Hersteller als auch die Anbieter schützt. Das gelingt natürlich nicht immer, aber wir bemühen uns, einen realistischen Ansatz für alle Beteiligten zu finden, denn der Kunde ist König.
Robert Wortmann: Das sind wichtige Punkte, die ich oft in meiner Praxiserfahrung beobachte. In Deutschland neigen Unternehmen dazu, sich sehr viele Gedanken zu machen und sich in Details zu verlieren. Im Gegensatz dazu passiert das in UK oft viel zu wenig. Weder das eine noch das andere ist ideal – kopfloses Handeln aufgrund von Marketingtrends oder aber das Überanalysieren. Viele deutsche Firmen haben wenig bis keine qualitativen Daten. Ohne Daten fehlt ihnen die Grundlage für Untersuchungen, was wiederum zu mangelnder Transparenz und Betriebsfähigkeit führt.
Oft versuchen sie, jede Subdomäne perfekt zu handhaben, ohne ihre grundlegenden Datenmanagement-Strukturen zu festigen. Deshalb betone ich Unternehmen gerne, dass es wichtig ist, das Asset Management in den Griff zu bekommen, bevor sie sich mit hochtrabenden Zielen befassen. Allerdings ist es auch wichtig, nicht in einen endlosen Prozess zu verfallen, bei dem man sich sechs Jahre lang auf die Perfektion des Asset Managements konzentriert. Stattdessen sollten Prioritäten gesetzt werden, ohne dabei stehen zu bleiben. Das passiert in Deutschland häufig: Unternehmen haben mehrere Projekte laufen und zögern, neue Initiativen zu starten. Ich verstehe die Situation, aber wenn es um grundlegende Themen wie den Aufbau von Sicherheitsstrukturen oder die Schaffung von Transparenz im Unternehmen geht, müssen diese möglicherweise priorisiert werden. Ein weiteres Thema, das eine wichtige Rolle spielt, ist das 24/7-Konzept. Sicherheit muss zweifellos rund um die Uhr gewährleistet sein. Aber wenn Kunden von uns verlangen, dass auch ihr Arbeitgeber 24/7 erreichbar ist, frage ich mich, wen könnten wir nachts kontaktieren, wenn ein Vorfall auftritt? Wir können zwar grundlegende Gegenmaßnahmen ergreifen, aber wir sind nicht in der Lage, Ihre Kunden zu informieren, wenn Ihre Systeme ausfallen oder Ihre Website anzupassen – das ist nicht unser Aufgabenbereich. Wir bilden nur einen kleinen Teil des Ganzen ab. Kunden sagen dann, dass nachts niemand erreichbar ist. Arbeitsschutzrechtlich ist es für uns nicht möglich, eine permanente Rufbereitschaft zu etablieren – das erfordert Monate, Abstimmungen mit dem Betriebsrat und dergleichen. Ich verstehe das deutsche System, das sich oft langsam bewegt, insbesondere in Bezug auf Betriebsräte. Aber dann lass uns doch zumindest nachts grundlegende Gegenmaßnahmen ergreifen. Das würde uns ermöglichen, Hosts netzwerkseitig zu isolieren, um zumindest etwas zur Eindämmung von Schäden zu unternehmen. Das ist zwar nicht unsere bevorzugte Vorgehensweise, aber es könnte helfen. Nein, das können wir nicht machen, denn wenn etwas schief geht und ein Server beeinträchtigt wird, kann das das gesamte Projekt dauerhaft ruinieren. Dann sage ich: Gut, aber dann handelt es sich eben nicht um ein 24/7-Security-Operations-Setup. Es mag sein, dass jemand rund um die Uhr überwacht, aber das ist nicht das, was wir unter einem 24/7-Security-Betrieb verstehen. Das ist ein Beispiel dafür, wo es tatsächlich manchmal schwierig ist. Es ist ein Streben nach dem Besten aus allen Welten. Es werden hohe Anforderungen gestellt, aber oft fehlt die Bereitschaft, einen Schritt weiterzugehen. Leider ist das etwas, das ich häufig erlebe. Meine Erfahrung zeigt, dass in den seltensten Fällen eine einzige Partei die Schuld trägt. Es ist nicht ausschließlich der Kunde, der unangemessene Anforderungen stellt. Manchmal verspricht der Hersteller mehr als er liefern kann und verkauft sein Produkt aufgrund einer überoptimistischen Roadmap. Ich habe aber auch selten erlebt, dass allein der Hersteller übertriebene Versprechungen gemacht und gelogen hat. Oftmals liegen die tatsächlichen Bedürfnisse irgendwo dazwischen, wenn Projekte scheitern.
Ein wichtiges Thema, das ich ansprechen möchte, ist: Woher kommen diese Narrativen und warum gleichen sich manchmal die Anforderungen? Meine These ist immer noch, dass das Konzept eines Herstellers oft gewinnt, wenn es als erstes dem Kunden präsentiert wird und als das Marktkonzept etabliert wird. Das klingt wertend, ist es aber nicht. Natürlich versuchen wir als Anbieter immer, das Mindset des Kunden auf das von uns vertretene Konzept zu lenken, da die Unterschiede in den Funktionen oft gering sind. Was ich bemerke, ist, dass es vor einigen Jahren normal war, drei Monate vor Vertragsverlängerung mit dem Kunden zu sprechen. Heute, selbst wenn wir sechs Monate im Voraus anfragen, hören wir manchmal: „Ah, wir gehen in eine ganz andere Richtung.“ Man bekommt den Eindruck, dass das Konzept des Herstellers nicht mehr passt, auch ohne, dass explizit genannt wird, welcher andere Hersteller in Betracht gezogen wird. Es wird immer das eigene Konzept betont, obwohl man bereits eine Idee impliziert bekommen hat. Bemerkst du auch, dass selbst wenn Anfragen gestellt werden, oft schon viele vorgefertigte Marketingideen im Kopf der Kunden stecken?
Philipp Pelkmann: Ganz genau! Wir beginnen natürlich auch nicht immer auf der grünen Wiese. Das tun wir zwar gerne und auch häufig, indem der Kunde quasi noch völlig uninformiert ist und wir ihn basierend auf einer Initialberatung bei der Entwicklung einer Roadmap unterstützen, um das Thema anzugehen. Jedoch sieht die Realität oft anders aus. Der Kunde hat bereits Angebote eingeholt, möglicherweise schon Einblicke in das SOC erhalten und findet das alles toll. Er holt uns im Grunde genommen ins Boot, um das zu validieren, einen Realitätscheck zu machen und vielleicht zu überprüfen, ob die Anforderungen wirklich passen oder ob es Vergleichsangebote gibt, und so weiter. Ich glaube, einer der Gründe, warum wir gegründet haben, war die Erkenntnis, dass Hersteller im Durchschnitt 41 Prozent ihres Budgets für Marketing und Vertrieb ausgeben. Besonders bei amerikanischen börsennotierten Unternehmen lässt sich das in den Bilanzen ablesen – teilweise bis zu 80 Prozent fließen in diesen Bereich, 10 Prozent in das Atmen und weitere 10 Prozent ins Produkt. Dadurch entsteht, ich nenne es jetzt mal boshaft, ein Marketing-Overhead. Das meine ich nicht negativ, denn wir betreiben auch Marketing und investieren dafür Geld. Aber, ja, Entscheider werden dadurch auch ein Stück weit geblendet und bewusst in eine bestimmte Richtung gelenkt. Aus der Sicht des Anbieters ist das völlig legitim. Doch das führt zu einer großen Unsicherheit bei vielen Entscheidungsträgern. Die Frage, welchen Monitoring-Ansatz man wählen soll, ist häufig unklar. Soll man sich beispielsweise, wenn man ein produzierendes Unternehmen ist, auf das OT-Monitoring konzentrieren, da es der neue Angriffsvektor der Zukunft ist? Oder sollte man das tun, weil man möglicherweise ein KRITIS-Unternehmen ist und das IT-Sicherheitsgesetz 2.0 das erfordert?
Oder soll man weiterhin auf Basis von Endpunkten agieren, wo bereits eine Bestandslösung besteht und über ein moderneres Setup nachgedacht wird? Oder sollte man eher den Netzwerktraffic über eine NDR-Lösung betrachten? Abhängig davon, welches Konzept zuerst da war, neigt man natürlich auch dazu, in diese Richtung zu denken. Da stimme ich dir voll und ganz zu: Es kann den Kunden oft in eine bestimmte Richtung lenken. Und hier ist es meiner Meinung nach wichtig, neutral zu bleiben und dem Kunden zu sagen: ‚Natürlich, du bist der König, du bestimmst die Richtung am Ende. Aber ehrlich gesagt würden wir vielleicht sogar anfänglich eine ganz andere Priorität setzen.‘ Bevor du über das Monitoring nachdenkst und einen sechsstelligen Jahresbetrag investierst, setz dich doch erstmal ein Vierteljahr hin und entwirf ein Notfallkonzept, denn momentan hast du keines. Danach kannst du es im Rahmen eines Programms hochziehen. Ich denke, besonders das Thema Marketing spielt hier eine große Rolle. Wir sehen das auch auf Messen, auf denen wir präsent sind, wie beispielsweise auf der ITSA letztes Jahr in Nürnberg. Robert, warst du dort auch?
Robert Wortmann: Nein, mir wurde nachgesagt, dass ich extra in den Urlaub gefahren bin. Leute, die mich kennen, wissen, wie sehr ich Messen hasse. Vielleicht hätte ich ein bisschen mehr Zeit für den Urlaub gehabt, aber Dänemark bot sich in dieser Woche einfach sehr gut an.
Philipp Pelkmann: Es wäre für mich auch wesentlich erholsamer gewesen, denn die drei Messetage waren wirklich extrem anstrengend. Diese Veranstaltung ist mittlerweile eher eine Art Spaßveranstaltung. Es darf gelacht werden, es darf auch mal ein Bier getrunken werden – aber aus meiner Sicht steht der Marketingaspekt etwas zu sehr im Vordergrund. Es wird alles herausgeholt, was möglich ist. Jeder Stand bietet Popcorn, Kaffee und so weiter. Wahrscheinlich machen wir das nächstes Jahr auch. Dadurch bleiben jedoch objektive, faktenbasierte Gespräche leider etwas auf der Strecke.
Robert Wortmann: Ja, es ist schwierig, wenn nicht sogar unmöglich, gerade als Mitarbeiter eines Herstellers. Man kann noch so viel über die Ausgaben für Marketing und ähnliches kritisieren, aber am Ende sind es Wirtschaftsunternehmen. In den meisten Fällen sind das wirklich Unternehmen, die ihren Kunden in großen Teilen wirklich helfen wollen. Aber natürlich müssen sie auch Geld verdienen. Wenn sie an der Börse gelistet sind, sind sie nicht nur sich selbst, sondern auch ihren Aktionären gegenüber verantwortlich. Das ist einfach die Realität. Und jeder, der behauptet, er sei nur da, um euch vor den Bösen zu schützen, lügt. Wir alle wollen Geld verdienen! Ich möchte Geld verdienen, und auch ein Kunde, der diese Lösung administriert, erwartet am Ende des Monats ein Gehalt.
Wir können immer über die Höhen streiten und eine grundsätzliche Diskussion führen, aber das bringt nichts. Ich glaube dennoch, dass beides möglich ist. Ich denke, dass ein Hersteller bis zu einem gewissen Grad einen objektiven Ansatz verfolgen kann. Natürlich hat dieser seine Grenzen. Aber ich habe auch schon genug Kunden gesagt, dass das Konzept, was wir hier haben, nicht passt, dass es einfach nicht funktioniert. Ihr würdet euch damit keinen Gefallen tun. Passiert das fünfmal pro Woche? Nein, aber es ist schon vorgekommen, und ich bin froh, dass das ab und zu passiert. Was mich interessiert ist, dass ich derzeit auf dem Markt immer wieder Hersteller sehe, die mal für sechs Monate oder acht Monate das Nonplusultra sind. Jeder spricht über sie. Ob sie dann wirklich einen durchschlagenden Erfolg auf dem deutschen Markt haben, sei mal dahingestellt, denn dafür sind oft die Verkaufszyklen zu lang. Dann verschwinden sie einfach wieder mehr oder weniger komplett. Plötzlich sitzen nur noch zwei Vertriebler in Deutschland, alles ist anders in anderen Ländern. Man sieht sie nicht mehr als Konkurrenz in keiner Situation. Seht ihr das auch oft und wie geht ihr mit solchen Themen in eurer Beratung um? Ich sehe es ja bei deutschen Unternehmen, wenn ich mit Kollegen aus dem UK telefoniere. Sie sind immer erstaunt darüber, dass wir nur drei Jahres-Deals machen und Kunden oft alle Sicherheitssoftware auf drei, manchmal sogar auf fünf Jahre abschließen. Wie geht ihr damit um? Denn das sollten ja langfristige Konzepte sein, denn wenn es nicht langfristig wäre, würden wir uns nicht zusammensetzen, um so etwas auszuarbeiten.
Philipp Pelkmann: Das sehe ich genauso. Es ist einer unserer Hauptaufgaben, den Markt zu analysieren, zu beobachten, wo neue interessante Anbieter auftauchen, dann führen wir Gespräche, schauen uns die Lösungen an, lassen uns Demos zeigen und so weiter. Das ist sehr wichtig. Ich denke, eine Einschränkung besteht darin, dass unser klassischer Kunde oft nicht in diesen Bahnen denkt, sondern immer nach bewährten, funktionierenden Lösungen sucht. Im Idealfall möchte er mit anderen Kunden sprechen, die diese Lösung bereits einsetzen, und das Ganze zu einem fairen Preis erwerben. Dadurch haben wir in unseren typischen Projekten dieses Problem nicht so stark, weil wir nicht ständig neue Marktteilnehmer vergleichen und in einer Grauzone landen, wo ein neues Produkt von einem Unternehmen aus Israel auf den deutschen Markt drängt. Es mag eine großartige Lösung sein, aber ehrlich gesagt wissen wir nicht, ob sie sich durchsetzen wird oder ob das Unternehmen noch in anderthalb Jahren existiert. Wir hatten solche Projekte und versuchen dann, basierend auf den uns vorliegenden Informationen, das transparent zu machen. Das kann dann auch ein Entscheidungskriterium sein, zu sagen: „Dieser Hersteller ist seit 20, 25 Jahren auf dem Markt, hat viele Analysten und Mitarbeiter hier im deutschsprachigen Raum. Und dann gibt es diese neue, innovative Lösung. Sie verspricht noch mehr künstliche Intelligenz und State-of-the-Art-Technologie, aber genauso wie du es beschreibst, gibt es vielleicht noch keinen deutschen Support und keine vorhandenen Kundenreferenzen.“ Wir haben natürlich keine grundlegend andere Sicht auf den Markt. Wir arbeiten uns auch durch, und am Ende versuche ich immer, so zu reagieren, wie es der Unternehmenseinkauf tun würde, wenn er genug Zeit hätte, um auf Basis der Informationen die bestmögliche Entscheidung zu treffen. Aber grundsätzlich ist es eine große Herausforderung, die du kurz angesprochen hast: das ständige Wechseln der Vertriebsmitarbeiter von einem Hersteller zum nächsten. Das sehe ich auch als ein großes Problem, denn das führt oft dazu, dass die Kollegen in den Projekten beim Kunden nicht wirklich aussagekräftig sind. Wir haben ja eben kurz über die Hersteller gesprochen, und ich stimme vollkommen zu: Es gibt einen Business Case dahinter. Wir müssen Umsatz machen, wir wollen Geld verdienen, das ist völlig legitim. Gleichzeitig machen sich meiner Meinung nach viele Anbieter das Leben oft selbst schwer, indem sie Vertriebsmitarbeiter einsetzen, die ihr eigenes Produkt nicht richtig erklären können oder durch Systemhäuser gehen, deren Vertreter nicht wirklich wissen, welche Vor- und Nachteile oder Alleinstellungsmerkmale das Produkt hat. Wir stellen immer eine einfache Frage: Was hebt Ihr Produkt hervor? Was ist der Verkaufspunkt? Wenn wir darauf keine klare Antwort erhalten, denken wir, da läuft etwas schief. Außerdem fällt uns oft auf, dass viele Vertriebsmitarbeiter nicht ausreichend auf das Gespräch vorbereitet sind, gerade in unseren Projekten, obwohl die Informationen meist sehr ausführlich vorliegen. Oft gibt es keine vorherige Absprache mit uns, um zu verstehen, was der Kunde will und warum. Ich habe schon viele Anbieter-Pitches miterlebt, bei denen ich denke: Hätte man nur vorher die Zeit investiert, um zu verstehen, was der Kunde wirklich braucht. Dann müssten wir nicht wieder von Null anfangen.
Robert Wortmann: Ja, das stimmt natürlich oft mit meinen Erfahrungen überein, auch wenn ich jetzt im Auftrag des Herstellers unterwegs bin. Manchmal ist es sogar haarsträubend, wenn wir sehen, was bei Ausschreibungen so eingereicht wird. Das fällt besonders auf, wenn eine gewisse Lokalität fehlt. Das ist deutschen Kunden wichtig, und das spiegelt sich oft in den Ergebnissen wider. Ich spreche hier nicht nur von der Sprache, ob es nun Englisch oder Deutsch ist, sondern vielmehr von der Art und Weise, wie auf die Anforderungen eingegangen wird. Es ist manchmal wirklich schwierig. Wenn du mich als Hersteller fragen würdest, was unser USP ist, würde ich vermutlich sagen: keine Ahnung. In anderen Märkten oder Technologiebereichen mag es das noch geben, aber im breiten Markt wie XDR glaube ich, dass jeder USP, den ich nenne, nichtig wäre, weil es sicherlich einen anderen Anbieter gibt, der dasselbe bietet. Wenn mich ein Kunde danach fragt, sage ich vielleicht: Ich weiß es nicht, es mag einen geben, es mag keinen geben. Aber ich präsentiere dir unser Konzept für die kommenden drei Jahre, technologisch und operativ. Mir geht es darum, dass du dich gut dabei fühlst, dass es deinen Anforderungen entspricht und dass wir der richtige Partner sind. Ich möchte, dass dir die Idee hinter unserem Konzept gefällt, wie wir es darstellen, wie ich es gerade erkläre. Wenn dir diese Idee gefällt und wenn wir dir Demodaten zeigen können – noch besser, wenn wir das mit deinen eigenen Daten über vier Wochen tun -, dann brauche ich keinen USP, und diese Diskussion verliert an Bedeutung.
Philipp Pelkmann: Ich verstehe deinen Standpunkt. Ich sehe das ein wenig anders, denn für mich beschränkt sich der USP nicht nur auf die technische Lösung an sich, sondern auf das Gesamtbild, dass du genau ansprichst. Wir sind in der Lage, ein Gesamtkonzept zu erstellen, das vielleicht einzigartig ist im Vergleich zu anderen. Abhängig von der vorhandenen Kundenlandschaft im Status quo kann ein Hersteller bestimmte Vorteile haben, da bereits viele seiner Komponenten im Einsatz sind. Dadurch könnte die Integrationsfähigkeit höher sein oder das Wissen der Mitarbeiter des Kunden besser passen. Meiner Meinung nach sollte man immer in der Lage sein, aus diesen Gesamtszenarien heraus darzulegen, warum wir uns hier besonders eignen. Natürlich gibt es immer harten Wettbewerb im Bereich der Funktionen, und es ist fair, wenn der Kunde sich letztendlich für Anbieter A oder Hersteller B entscheidet, weil sie praktisch genauso gut sind. Aber oft gibt es auch eine Geschichte hinter einem besonders großen Partnernetzwerk oder einem hervorragenden Support. Aus diesem Mix kann man Stärken herausarbeiten, die zwar keine eindeutigen Alleinstellungsmerkmale, aber dennoch relevant sind. Mir fehlt oft in Gesprächen, in denen ein Systemhaus den Hersteller vertritt, einfach der Inhalt. Man spürt, dass sie nur das Produkt vertreten, es gibt ein Vertriebsabkommen, und da kommt nicht viel mehr. Ein wenig mehr Substanz wäre schon hilfreich.
Robert Wortmann: Hast du schon einmal missglückte Erfahrungen im Bereich Vergleiche und Herstellerauswahl erlebt? Es muss nicht unbedingt etwas sein, wo ihr selbst ins Fettnäpfchen getreten seid, aber generell, was hast du schon erlebt? Wir haben viel über allgemeine Situationen gesprochen, in denen etwas schiefgegangen ist. Hast du vielleicht eine oder zwei Geschichten, in denen etwas richtig schiefgelaufen ist? Kannst du erklären, warum das passiert ist und welche Lektionen der Kunde daraus gelernt hat? Vielleicht hat auch ein Hersteller daraus etwas gelernt.
Philipp Pelkmann: Bevor ich ein oder zwei Beispiele nenne, möchte ich klarstellen, dass unsere Absicht nicht darin besteht, Hersteller oder Anbieter zu kritisieren. Es ist wichtig, dies mit einem Augenzwinkern zu betrachten, da auch wir täglich Fehler machen, hoffentlich meistens kleine. Es kommt einfach vor. Einmal habe ich mich bei der Preiskalkulation in einem Projekt verrechnet, was mir leider erst nach der Präsentation aufgefallen ist. Natürlich musste ich dann dem Kunden erklären, dass sich die Preise anders gestalten als zuvor besprochen.
Aus diesem Grund haben wir ein Vier-Augen-Prinzip eingeführt, um sicherzustellen, dass wichtige Kriterien immer doppelt überprüft werden. Dennoch gibt es gelegentlich Fehlinterpretationen oder Fehler. Es gab Projekte, die äußerst attraktiv waren, von der Kundengröße und den klaren Anforderungen her, Projekte, auf die die ganze Branche abzielen würde. Der Vertrieb hat es jedoch nicht geschafft, innerhalb von vier Monaten auf zwei E-Mails zu reagieren und hat erst später, während meines Urlaubs, darauf reagiert. Zu diesem Zeitpunkt war es leider zu spät, da sich der Kunde bereits auf der Grundlage der Shortlist entschieden hatte. Das ist eine Geschichte, über die man schmunzeln kann. Was ich bereits erwähnt habe, bezieht sich auch auf den unreflektierten Umgang des Anbieters. Wir hatten ein größeres Projekt im Bereich ISMS GRC Governance Risk Compliance mit einem großartigen Kunden. Der Anbieter hat sich jedoch für ein kleineres Unternehmen entschieden, das noch als Startup bezeichnet werden kann. Sie waren flexibel und agil. Als ich dem Tool-Hersteller die Absage mitteilte, hat er sich extrem negativ darüber geäußert, dass der Kunde sich gegen sie entschieden hat. Das war unreflektiert und zeigte, dass sie nicht verstehen wollten, warum der Kunde sich für einen kleineren Anbieter entschieden hat. Es scheint offensichtlich Gründe dafür zu geben, die man hätte berücksichtigen müssen
Philipp Pelkmann: Ein weiterer Punkt, den ich gerne den Anbietern nahebringen möchte und hoffe, dass sie ihn umsetzen, betrifft die Komplexität der Angebote. Wir bieten selbst ein recht einfaches Paket an. Unsere Dienstleistungen sind auf acht Seiten Word dokumentiert, einschließlich einer Einleitung und rechtlicher Bestimmungen. Wir schicken normalerweise innerhalb von 24 Stunden ein Angebot raus. Aber wenn ich mir die Angebote anderer Anbieter anschaue, sehen wir oft, dass sie enorm viel Zeit in komplexe Angebote investieren. Am Ende schicken sie vielleicht nur den Preis per E-Mail, indem sie sagen, ‚Das ist vorläufig, da ich den Kundennamen nicht kenne und erst registrieren muss.‘ Aber das könnte in etwa die Kosten sein. Dann schicken sie jedoch ein ZIP-Archiv mit zwölf Dokumenten, insgesamt 90 Seiten auf Englisch. Das ist zwar nicht verboten, aber wenn du einen Kunden gewinnen möchtest, wäre das deine erste Reaktion? Im Privatbereich würdest du vermutlich denken: ‚Das ist zu kompliziert, ich fürchte, ich übersehe etwas.‘ Wir haben dafür bereits unsere Expertise, aber selbst wir können nicht jede Zeile im Detail lesen. Das führt manchmal zu einem Punkt, an dem wir denken, ‚Das wird schwierig!‘
Robert Wortmann: Ja, das ist in der Tat etwas heikel, das kenne ich auch. Es ist wirklich ein Problem, wenn man mit vielen Herstellern zusammenarbeitet. Manchmal liegt das am Individuum, aber oft auch an den komplizierten Prozessen im Hintergrund – mit Preislisten, Bundles und Lizenzen, die innerhalb dieser Unternehmen so unglaublich komplex gestaltet sind, dass es schwierig ist, einen verlässlichen Preis zu nennen.
Da muss ich oft das Individuum in Schutz nehmen und nicht das Unternehmen. Eine persönliche Geschichte zeigt, wie wichtig es ist, langfristig Partnerschaften und Konzepte zu betrachten. Vor einigen Jahren, als ich noch für ein Beratungsunternehmen arbeitete, hatte ich einen Kunden, der mehr Visibilität wollte und die Grundlage für ein zukünftiges SOC schaffen wollte. Es wurde ein Budget festgelegt, das nicht überschritten werden durfte, und für die benötigte Technologie, laut Gesetz, ein Ziel erforderlich war. Wir haben nach SIEM-Anbietern gesucht, aber ich betonte ständig, dass das Budget niemals ausreichen würde, um die gewünschte Datenqualität und Visibilität mit einem SIEM zu erreichen. Ich habe immer gesagt, dass sie mit einem Faktor von drei bis vier über ihrem Budget liegen würden. Obwohl es keinen Vergleich zwischen den Herstellern gab und ich lediglich in dieser Hinsicht beriet, wurden dann jedoch vor der Einstellung des technischen Personals eine SIEM-Lösung auf Basis von IPS, also Events pro Sekunde, gewählt. Der Anbieter kalkulierte und sagte: ‚Wir haben einen Konfigurator, und das Ergebnis lag sogar unter eurem Budget, plus 15 Prozent Puffer für die nächsten drei Jahre – damit seid ihr fertig.‘ Es war tatsächlich noch unter dem Budget, vielleicht sogar 10 Prozent weniger, und alle waren zufrieden.
Robert Wortmann: Als ich ihnen sagte, dass es nicht ausreichen würde, haben sie gemeint, ‚Das ist in unserem dreijährigen Plan eingerechnet.‘ Doch was geschah? Die ersten beiden Analysten kamen, einer mit reichlich Erfahrung. Er stellte fest, dass die Firewall-Logs im Blockmodus wenig aussagten. Windows Event Logs sind interessant. Bitte liefern Sie Telemetrie über ein EDR-Tool, sagte er. Das wurde kalkuliert, und plötzlich bekamen sie das Achtfache Volumen an Logs. Es kam, wie ich vorhergesagt hatte, auf das dreifache bis Vierfache heraus. Der Finanzvorstand, der das Projekt unterschreiben sollte, war außer sich, als er sechs Monate nach Vertragsabschluss plötzlich einen Antrag für eine dreifache oder vierfache Summe bekam. Der Hersteller sagte daraufhin sofort etwas in der Art von: ‚Scheint, als würde er Sicherheit nicht ernst nehmen.‘ Ich erklärte: ‚Natürlich nimmt er das ernst, aber stell dir vor, du bist der Finanzvorstand! Dein Kind bittet um 50 Euro für die nächsten drei Monate, verspricht, es reicht aus, aber eine Woche später sagt es: ‚Papa, ich brauche 400 Euro mehr und es war nicht meine Schuld!‘ Das ist wirklich passiert. Der erfahrene Analyst ist gegangen, er hatte genug Angebote. Er sagte: ‚Was soll ich hier machen, wenn ich keine Datenbasis habe? Und die Art und Weise, wie hier mit Projekten umgegangen wird, passt nicht zu mir.‘ Er hatte das Glück, sich den Arbeitgeber aussuchen zu können. Das war in der Probezeit, und es hat fast vier Jahre gedauert, bis sie ein vernünftiges Konzept hatten.
Philipp Pelkmann: Ich erkenne diese Geschichte in einigen unserer Projekte wieder. Deshalb hier noch einmal ein expliziter Aufruf an alle Hersteller: Weg vom Volumen-basierten Abrechnungsmodell hin zu anderen Faktoren wie der Anzahl der Clients oder Mitarbeiter. Dieser Schritt wäre wirklich entscheidend, da das Volumenmodell oft nicht realistisch kalkulierbar ist. Wir unterstützen hierbei immer gerne. Jedoch sind am Ende Vergleichswerte wichtig, um eine bessere Einschätzung zu ermöglichen. Vergleichbare Unternehmen mit ähnlichem Setup, Anzahl an Nutzern oder Systemvielfalt bewegen sich ungefähr in diesem Bereich. Aber ich kann vollkommen nachvollziehen, dass es frustrierend ist, viel Zeit zu investieren und am Ende die Lösung doch nicht umsetzen zu können. Das ist wirklich der Worst-Case für alle Beteiligten.
Robert Wortmann: Bei dem Anbieter gab es tatsächlich eine Menge Unehrlichkeit bei den Antworten, und sie haben nicht einmal mehr Umsatz gemacht, sondern die Lösung einfach auslaufen lassen. Das sind so ein paar der missglückten Erfahrungen, von denen ich erzählen kann. Nun, wir kommen langsam zum Ende. Wir haben heute eine Vielzahl von Themen besprochen, und ich hoffe, es hat dem einen oder anderen von euch geholfen oder vielleicht sogar zum Schmunzeln gebracht. Mit den bevorstehenden Osterfeiertagen könnte man sich ja vielleicht irgendwo in einer dieser Geschichten wiederfinden. Ich denke, das muss man heutzutage sogar gesetzlich erwähnen: Das hier war keine Werbung oder Ähnliches. Ich finde dieses Konzept wirklich sehr interessant. Philipp hat bereits darüber gesprochen, dass es immer Einschränkungen, in die eine oder andere Richtung geben wird und dass man ohne eigene Anforderungen nicht weiterkommt. Ihr könnt aus der Praxis lernen, das ist das Wichtigste, um Betriebsblindheit zu vermeiden, aber letztendlich müsst ihr entscheiden und ein gutes Gefühl dabeihaben, nicht jemand anderes.
Philipp Pelkmann: Wenn ich das noch kurz unterstreichen darf. Wir haben viel über uns gesprochen, was natürlich einen gewissen werblichen Charakter hat. Mir ist es jedoch wichtig zu betonen, dass es neben uns auch andere Anbieter und Beratungshäuser gibt, oder man kann sich selbst das Wissen aufbauen. Der Vergleich an sich ist sinnvoll, nicht mit dem Ziel, Anbieter oder Hersteller gegeneinander auszuspielen, sondern um herauszufinden, was ich wirklich benötige und welcher Ansatz für mich der Richtige ist. Denn es geht nicht immer nur darum, die beste EDR-Lösung zu finden, sondern auch zu überlegen, ob es nicht noch drei andere Themen gibt, die ich als mittelständisches Unternehmen vorrangig angehen sollte. Vielleicht die Einführung eines zweiten Faktors, wenn das noch nicht vorhanden ist, oder die Aktualisierung der Passwortlänge, solche Dinge sind mir besonders wichtig.
Das alles kann natürlich auch unabhängig von unserer Unterstützung erfolgen, das möchte ich betonen. Es hat mir wirklich viel Spaß gemacht, Robert.
Robert Wortmann: Wie gesagt, mir auch. Wir wünschen euch allen ein hoffentlich langes Osterwochenende oder hört einfach mal wieder rein. Beim nächsten Mal sind wieder spannende Gäste dabei. Wir planen auch eine neue Folge mit aktuellen Neuigkeiten, da hat sich doch einiges angesammelt. Ich bedanke mich wie immer für das sehr positive Feedback und möchte euch dazu aufrufen, den Podcast zu teilen und gerne bei eurem bevorzugten Podcast-Player zu bewerten. Erzählt es euren Kindern, euren Großeltern oder jedem anderen – der Podcast ist für alle interessant. Nochmal, vielen Dank und vielleicht bis zum nächsten Mal.
Philipp Pelkmann: Meine Familie wird sich das auf dem Weg in den Osterurlaub anhören dürfen. Ich bin gespannt auf ihr Feedback zum Podcast. Es hat mir total Spaß gemacht. Grüße auch an Kim und bis zum nächsten Mal!
Robert Wortmann: Danke dir, tschüss.
Jetzt den Podcast nachhören
Podcast nachhören unter:
BREACH FM: https://breachfm.transistor.fm/episodes/alle-11-minuten-verliebt-sich-ein-unternehmen-in-marketing
Apple Podcasts: https://podcasts.apple.com/de/podcast/breach-fm-der-infosec-podcast/id1641279793
Spotify: https://open.spotify.com/show/4ooV9mM8Qiyfkj9jUkdZjj
Google Podcast: https://podcasts.google.com/feed/aHR0cHM6Ly9mZWVkcy50cmFuc2lzdG9yLmZtL2JyZWFjaC1mbS1kZXItaW5mb3NlYy1wb2RjYXN0?sa=X&ved=0CAMQ4aUDahcKEwjQ5JG8hZ38AhUAAAAAHQAAAAAQAQ
