goCIO Podcast „Cybersecurity ohne Kopfweh“ mit Jannis Stemmann

Sprecher: Sie ist überall. Sie bedroht die Menschheit. Sie bedroht Regierungen. Sie bedroht Unternehmen. Die Cybersicherheit ist extrem wichtig in den heutigen Zeiten und deswegen dreht sich dieser Podcast genau um dieses heikle Thema. Hier ist goCIO, der Podcast für den CIO und alle Digitalisierungsinteressierte von und mit Mathias Hess und in dieser heutigen Folge geht es um den Titel „Cybersecurity ohne Kopfweh. Warum es sich lohnt, Ruhe zu bewahren.“ Mathias, bewahrst du heute die Ruhe?

Mathias Hess: Aber unbedingt. Cybersecurity ist heute das Thema sicherlich extrem wichtig und vielleicht auch schon etwas in der Überhitzung. Um darüber zu sprechen habe ich heute Jannis Stemmann eingeladen, Co-Founder und CEO von CyberCompare. Hallo Jannis, grüß dich!

Jannis Stemmann: Hallo Mathias, vielen Dank für die Einladung. Es freut mich sehr, heute dabei sein zu dürfen.

Mathias Hess: Jannis, vielleicht könntest du dich und deine Firma kurz vorstellen, damit die Zuhörer ein besseres Verständnis bekommen können.

Jannis Stemmann: Gerne, mein Name ist Jannis Stemmann. Ich bin 45 Jahre alt, verheiratet und habe zwei Kinder. Ich bin Ingenieur vom Hintergrund und habe bereits zwei von unseren Standorten geleitet. Zudem habe ich Erfahrung in der Beratung und kenne die Themen IT und OT sowohl aus der Perspektive des Betreibers als auch aus der Sicht des Herstellers im Bereich IoT. Eine Zeit lang war ich auch Referent in unserer Geschäftsführung. Vor etwas mehr als zwei Jahren haben wir nach einer ausführlichen Markstudienphase CyberCompare gegründet, ein Tochterunternehmen von Bosch.

Mathias Hess: Das Thema heute lautet „Cybersecurity ohne Kopfweh. Warum es sich lohnt, Ruhe zu bewahren.“ Wie schätzt du den aktuellen Markt für Cybersecurity ein? Grundsätzlich, würdest du sagen, dass er bereits überhitzt ist und zu viel Geld in Bereiche fließt, die möglicherweise nicht unbedingt notwendig sind?

Jannis Stemmann: Teils, teils. Ich glaube, das Thema ist wichtig. Das hat mittlerweile wahrscheinlich auch der Letzte erkannt. Allerdings sind wir der Meinung, dass man die Kirche im Dorf lassen muss. Es handelt sich in erster Linie um wirtschaftliche Risiken, die verantwortungsvoll und angemessen gemanagt werden müssen. Wir erkennen jedoch, dass es erhebliches Einsparpotenzial gibt, um ein bestimmtes Sicherheitsniveau mit einem begrenzten Budget zu erreichen. Die Budgets werden nicht unbedingt größer. Dies ist das Hauptthema, mit dem wir uns beschäftigen.

Mathias Hess: Ich habe die Erfahrung gemacht, dass bei Sicherheitsfragen Geld oft keine Rolle spielt. Hast du ähnliche Erfahrungen gemacht?

Jannis Stemmann: Das entspricht eigentlich nicht unseren bisherigen Erfahrungen. Wir haben mittlerweile über 300 Kunden, darunter auch einige, die starken regulatorischen Anforderungen unterliegen, wie zum Beispiel Banken, Versicherungen, Versorgungsunternehmen und kritische Infrastrukturen. In diesen Fällen kann es durchaus vorkommen, dass hohe Budgets notwendig sind, insbesondere wenn gesetzliche Vorschriften erfüllt werden müssen. Im Allgemeinen stehen jedoch die meisten Budgets unter Druck, und es geht darum, die bestmögliche Sicherheit für das verfügbare Budget zu gewährleisten. Ich kenne eigentlich keinen IT-Leiter, der sich nicht mit dem Thema Kostendruck auseinandersetzen muss.

Mathias Hess: Siehst du immer noch eine Zunahme in diesem Bereich? Kommen auch Kunden zu euch, die bisher noch wenig in dieser Hinsicht unternommen haben? Oder ist es eher so, dass die meisten Kunden bereits solide Sicherheitsmaßnahmen getroffen haben und es nur noch um Feintuning geht? Wie würdest du die aktuelle Situation einschätzen und was sind deine Erfahrungen dazu?

Jannis Stemmann: Die Situation ist gemischt. Wir haben ein breites Spektrum an Kunden aus verschiedenen Branchen im DACH-Raum, darunter Unternehmen mit 300 Mitarbeitern bis hin zu mehr als 50.000 Mitarbeitern. Daher ist es schwer, pauschale Aussagen zu treffen. Kunden kommen in der Regel zu uns, wenn sie zwei Hauptfragen haben. Erstens, welche Sicherheitsmaßnahme sollte als nächstes umgesetzt werden und wo sollte der nächste Euro investiert werden? Zweitens, es gibt konkrete Projekte, die umgesetzt werden müssen. Hier geht es oft um Angebotsvergleiche, bei denen es darum geht, das beste Preis-Leistungs-Verhältnis bei welchem Anbieter, mit welcher Lösung oder welchem Service zu finden.

Mathias Hess: Eine Möglichkeit besteht darin, zu überprüfen, welche IT-Sicherheitsmaßnahmen der Kunde bereits grundlegend umgesetzt hat. Führt ihr eine Art Bestandsaufnahme durch?

Jannis Stemmann: Bestandsaufnahme ist ein passendes Stichwort, wir nennen es auch Diagnostik. Wir haben dies bereits über 200-mal durchgeführt und können es gut bewerten. Wir gehen dabei pragmatisch vor, indem wir Workshop basiert das gesamte Thema IT-Sicherheit aus einer 360-Grad-Perspektive betrachten. Im Anschluss daran leiten wir Handlungsempfehlungen auf Grundlage gängiger Frameworks ab. Wir evaluieren, was aus unserer Sicht sinnvoll ist und wie wir dies zeitlich in eine Roadmap integrieren können.

Mathias Hess: Schaut ihr euch bei dieser Diagnostik nur die technischen Aspekte an, oder berücksichtigt ihr auch organisatorische Maßnahmen? Gibt es im Unternehmen einen Chief Information Security Officer (CISO)? Verfügt dieser möglicherweise über ein Team? Sind die Mitarbeiter in Sicherheitsfragen geschult und ähnliche Themen?

Jannis Stemmann: Wir nutzen dabei selbstverständlich bestehende Frameworks, was auch für die Unternehmen hilfreich ist, insbesondere wenn sie beispielsweise mit Cyber-Versicherungsträgern sprechen. Bei dieser Diagnostik geht es wirklich um alle Aspekte, also um Technik, Prozesse und die organisatorische Ebene. Wenn man sich die Handlungsempfehlungen ansieht, ist es oft nicht das neueste technische Tool, das aus unserer Sicht an oberster Stelle stehen sollte, sondern die Einstellung eines zusätzlichen Mitarbeiters, der sich speziell um das Thema Sicherheit kümmern kann. Manchmal kommt es auch vor, dass Unternehmen für bestehende Lizenzen bereits bezahlen, diese aber nicht vollständig nutzen.

Mathias Hess: Im zweiten Abschnitt unterstützt ihr eure Kunden dabei, die passenden Tools auszuwählen und die besten Verträge sowie Konditionen zu erhalten. Habt ihr euch auf bestimmte Bereiche spezialisiert, oder kümmert ihr euch um alle Empfehlungen, die in der Diagnostik enthalten sind? Kümmert ihr euch also um den Einkauf dieser Lösungen? Könnte man das so formulieren?

Jannis Stemmann: Ich erläutere das vielleicht noch einmal genauer. Unser Name „Compare“ deutet bereits darauf hin, dass Vergleichen ein zentraler Aspekt unserer Dienstleistungen ist. Der erste Aspekt, den ich gerade in Bezug auf die Diagnostik angesprochen habe, bezieht sich auf den Vergleich von Sicherheitsmaßnahmen. Das bedeutet, wir analysieren, welche Maßnahmen aus unserer Sicht am sinnvollsten für den Kunden sind und wo er den größten Sicherheitsnutzen pro investiertem Euro erhält. Im nächsten Schritt geht es dann um den Vergleich von technischen Lösungen, Services und Anbietern. Dies schließt auch den Vergleich von Angeboten in den Bereichen Inhalt, Technik und Konditionen ein. Unser Ziel ist es dabei immer, das beste Preis-Leistungs-Verhältnis zu erzielen. Du hattest vorhin gefragt, ob wir uns auf bestimmte Segmente spezialisiert haben. Tatsächlich haben wir mittlerweile eine breite Palette von Security-Kategorien abgedeckt, sowohl im Bereich IT, OT als auch IoT.

Mathias Hess: Das bedeutet, ihr unterstützt auch im klassischen RFP-Prozess. Ihr helft dabei, Anforderungen zu klären und identifiziert die Unternehmen, die diese am besten erfüllen können. Anschließend werden diese Unternehmen miteinander verglichen. Kann man sich das so vorstellen?

Jannis Stemmann: Ganz genau. Am Anfang unterstützen wir beim Requirements Engineering, das bedeutet die Erstellung von Anforderungskatalogen, Lastenheften und Leistungsbeschreibungen. Wir beginnen nicht mit einem leeren Blatt Papier, sondern greifen auf bewährte Praktiken zurück, sei es bei Bosch oder einem unserer 300 externen Kunden. Im Anschluss begleiten wir den gesamten RFP-Prozess und können diesen auch managen. Das kann eine europaweite Ausschreibung für eine große Behörde sein, aber auch genauso gut ein unkomplizierter Angebotsvergleich oder eine Marktrecherche.

Mathias Hess: Das bedeutet, ihr startet nicht von Grund auf neu. Das unterscheidet euch von der klassischen Beratermentalität, ohne hier negativ sein zu wollen.

Klassische Berater verdienen ihr Geld natürlich damit, dass sie umfassende Unterstützung bieten. Ihr hingegen greift auf bewährte Erfahrungen und Ansätze aus der Vergangenheit zurück, was es ermöglicht, eine erhebliche Menge an Aufwand zu sparen. Richtig?

Jannis Stemmann: Wenn du mir gestattest, hole ich etwas weiter aus. Du kannst mich gerne unterbrechen, wenn es zu langweilig wird. Aber es ist genauso, wie du beschreibst. Aus unserer Sicht ist der Cybersecurity-Markt, um es umgangssprachlich auszudrücken, völlig bekloppt. Das gilt sowohl für die Anbieterseite als auch für die Kundenseite. Auf der Anbieterseite liegt der größte Kostenblock nicht in der Produktentwicklung oder der künstlichen Intelligenz, sondern im Marketing und Vertrieb. Bei fast der Hälfte der Umsätze im Bereich Cybersecurity, wie man in den Jahresberichten von großen Unternehmen nachlesen kann, handelt es sich um Ausgaben für Marketing und Vertrieb. Dies betrifft weltweit etwa 7000 Anbieter.

Auf der Kundenseite ist es aus unserer Sicht ebenfalls nicht optimal. Dort haben wir Mitarbeiter, die bereits in der IT völlig überlastet sind. Dies liegt daran, dass Unternehmen heutzutage kein Projekt mehr durchführen können, dass keine Verbindung zur IT hat. In solch einer Situation erwirbt der Mitarbeiter zusätzlich zu seinen täglichen Aufgaben ein neues EDR-Tool oder einen Managed-SOC-Service. Dies ist in der Regel das erste Mal in seinem Leben, dass er so etwas tut. Wie geht er dabei vor? Er sucht in Google nach Informationen, liest Gartner Magic Quadrant und Peer-to-Peer-Reviews, lädt Systemhäuser ein und erstellt schließlich eine Excel-Tabelle. Die Systemhäuser bringen natürlich immer ihre bevorzugten Lösungen mit, bei denen sie die höchsten Margen haben. Anschließend wird im Unternehmen Kompetenz im Zusammenhang mit diesem Projekt aufgebaut, jedoch wird nie wieder darüber gesprochen, da es sich um Cybersecurity handelt und als streng geheim angesehen wird. Wenn wir aus gesamtgesellschaftlicher Perspektive darauf schauen, haben wir erkannt, dass dies keinen Sinn ergibt. Wir müssen den größten Kostenblock angehen, und das tun wir als Partner im Einkauf. Dort bündeln wir die Nachfrage und das Wissen, genau wie du es gerade beschrieben hast.

Mathias Hess: Wie kann man sich den Einkaufsprozess genauer vorstellen?

Jannis Stemmann: Ganz pragmatisch, unser Vorgehen richtet sich nach der Ausgangssituation des Kunden. Es gibt Kunden, die bereits ein Angebot vorliegen haben. In solchen Fällen benötigen sie einfach zwei Vergleichsangebote. Sie interessieren sich dafür, welche Anbieter wir empfehlen können, welche Optionen aus unserer Sicht kostspielig oder nicht unbedingt erforderlich sind und auf welche Kriterien sie achten sollten. Unser Ziel ist es immer, dass der Kunde eine klare Entscheidungsgrundlage erhält, um fundierte Entscheidungen treffen zu können.

Mathias Hess: Ich kenne das eher aus dem Bereich Softwareeinkauf, beispielsweise bei CRM- oder ERP-Systemen, wo es aus verschiedenen Gründen oft schwer ist, die Angebote miteinander zu vergleichen. In solchen Fällen ist es natürlich von großer Bedeutung, über Erfahrung zu verfügen, um Ausschreibungen optimal durchzuführen und eine bessere Vergleichbarkeit zu gewährleisten. Wie sieht das bei euch aus?

Jannis Stemmann: Uns fällt dies naturgemäß leichter, da es bestimmte Projektkategorien gibt, die wir bereits bis zu 30-mal begleitet haben. Dies ermöglicht es uns, besser zu verstehen, wie ein bestimmter Leistungsumfang bei Anbieter A benannt wird und ob es sich bei Anbieter B um eine zusätzliche Option handelt oder bereits enthalten ist. Im Bereich Cybersecurity gibt es keine Normen und jeder kann neue Begriffe wie „Advanced Threat Hunting“ und „Threat Intelligence“ erfinden. Inhaltlich hängt dies immer damit zusammen, wie teuer es letztendlich wird. Wir bauen daher schrittweise Preisdatenbanken auf und können die angebotenen Preise sehr gut einschätzen. Dies hängt stark von Vertriebskanälen und der Wettbewerbssituation ab.

Sprecher: Der Markt scheint verrückt zu sein. Das definiert hier heute unser Gast im Podcast. Hier ist goCIO, der Podcast für den CIO und alle Digitalisierungsinteressierte und unser Gast ist Jannis Stemmann von CyberCompare. Er sagt fast die Hälfte aller Ausgaben im Bereich dieser Cybersecurity Anbieter weltweit wird für Marketing und Sales ausgegeben. Wie sind da wirklich glaubhafte Produktinvestitionen abgebildet. Er sagt, dass ganz viele im Markt anbieten und dabei auf überlastete Mitarbeiter im Einkauf treffen. Hier gilt es heute, neue Ideen zu finden. Mathias Hess hat ganz bestimmt eine nächste.

Mathias Hess: Kommen wir mal zu den Kollegen aus dem Einkauf und IT. So wie ich es erlebe werden die da gerne mal außen vorgelassen und sind auch gar nicht so unglücklich, weil sie sich damit eh nicht auskennen. Wie ist dazu eure Erfahrung?

Jannis Stemmann: Am besten wird das Ergebnis, wenn man es zusammen macht. Also wenn man frühzeitig Einkauf und Fachabteilung einbindet. Häufig gibt es ja auch auf der Anwenderseite, also von der Fachabteilung Mitarbeiter, die man mit ins Boot holen sollte. Es macht einfach Sinn, das zusammen zu machen und nicht allein. Das ist auch die Grundidee bei CyberCompare. Man könnte ganz altmodisch sagen, wir sind so eine Art Einkaufsgenossenschaft, wo sich jetzt eben mehr als 300 Unternehmen und öffentliche Stellen zusammengeschlossen haben.

Mathias Hess: Ja, das macht absolut Sinn. Ich erlebe das immer wieder, wenn man ein ERP- oder CRM-System oder welches System auch immer ausschreibt. In der Regel geschieht dies nur einmal oder vielleicht höchstens ein paar Mal in seiner Karriere. Oft versucht man, diesen Prozess zu vermeiden, indem man den Ruhestand sucht, zum Beispiel bei der Einführung eines ERP-Systems. Der Erfahrungsschatz in diesem Bereich ist oft sehr begrenzt, insbesondere für diejenigen, die dies zum ersten Mal tun. Ich finde mich in dieser Situation immer wieder, denn wenn man etwas zum ersten Mal macht, dauert es länger, man macht Fehler, es ist teurer. Daher halte ich die Idee und Umsetzung, wie ihr es macht, für großartig. Ihr helft Unternehmen mit eurer Erfahrung und tut dies offensichtlich zum Wohl des Kunden. Wenn ich das richtig verstehe, geht ihr auch in Richtung Standardisierung, obwohl dies im IT-Bereich sehr schwierig ist, wie du gesagt hast. Generell versuchen alle, dieses Ziel mit mehr oder weniger Erfolg zu erreichen, wie du auch erwähnt hast. Es gibt keine Norm wie in anderen Branchen, sondern jeder entwickelt seine eigenen Ansätze. Daher ist der Vergleich oft schwierig.

Jannis Stemmann: Ganz genau, die Standardisierung ist wirklich ein wichtiger Aspekt. Interessant ist auch, wie du gerade erwähnt hast, dass wir die Interessen des Kunden vertreten. Da hilft uns die Unabhängigkeit von den Anbietern.

Mathias Hess: Das würden die anderen aber auch sagen, oder?

Jannis Stemmann: Was wir aus dem Markt erfahren, deutet darauf hin, dass wir derzeit die Einzigen sind, die das behaupten können. Das finde ich schon ziemlich interessant. Bei uns ist es so geregelt, dass die Kunden uns Projekt-Pauschalen zahlen und wir erhalten keine Provisionen von den Anbietern, keine Rabatte auf Listenpreise oder ähnliches. Wir kennen dieses Spiel, aber wir nehmen nicht daran teil. Stattdessen zahlt der Kunde bei uns eine Pauschale. Dies ermöglicht es uns natürlich, die Interessen der Kunden bestmöglich zu vertreten.

Mathias Hess: Aber du hast vorhin auch erwähnt, dass ihr die Nachfrage in gewisser Weise bündelt und dadurch bessere Einkaufskonditionen erzielen könnt.

Jannis Stemmann: Ja, das ist teilweise richtig. Wir tun dies insbesondere im Zusammenhang mit der Datenbank, wodurch wir Price Benchmarking durchführen können. Es müssen sowohl die Leistungsumfänge als auch die Kosten für bestimmte Umfänge berücksichtigt werden.

Mathias Hess: Und wenn wir jetzt noch einmal auf den Titel „Cybersecurity ohne Kopfweh. Warum es sich lohnt, Ruhe zu bewahren“ zurückkommen. Das Thema „Kopfweh“ ist ja auch eines eurer Schlagworte, wenn ich das mal etwas locker ausdrücken darf. Erlebst du tatsächlich, dass die Leute in diesem Markt ein gewisses Maß an Verzweiflung oder Hilflosigkeit verspüren? Vielleicht ist das etwas übertrieben, aber fühlen sie sich zumindest in diesem unübersichtlichen Markt draußen ein wenig hilflos?

Jannis Stemmann: Der Markt ist definitiv intransparent und es ist sicherlich hilfreich, wenn man jemanden an seiner Seite hat, der einem in gewisser Weise den Weg weisen kann. Ich denke, Panikmache oder Verzweiflung sind nicht der richtige Weg. Unsere Ansicht ist, dass man ruhig und pragmatisch vorgehen sollte. Es handelt sich um wirtschaftliche Risiken, die angemessen gemanagt werden können.

Mathias Hess: Bisher ist meines Wissens niemand durch die Vernachlässigung dieses Themas verletzt worden und es ist mir ebenfalls nicht bekannt, dass ein Unternehmen aufgrund von mangelnder Cybersecurity in die Insolvenz gegangen ist, richtig?

Jannis Stemmann: Ja, das muss man immer ein Stück weit relativieren. Aber Stand heute kennen wir kein gesundes Unternehmen, das allein durch einen Cyberangriff in die Insolvenz getrieben wurde. Wie du bereits gesagt hast, sterben allein auf Deutschlands Straßen jedes Jahr 2000 bis 3000 Menschen bei Verkehrsunfällen. Ich glaube, durch Cyberangriffe ist bisher niemand ernsthaft verletzt oder getötet worden. Zum Glück. Hoffen wir, dass das so bleibt.

Mathias Hess: Du hattest zuvor in unseren Gesprächen erwähnt, dass man das Thema der Lösegeldzahlungen und dieser Art von Kriminalität relativ einfach beenden könnte.

Jannis Stemmann: Tatsächlich beenden können, das kann ich nicht mit Sicherheit sagen. Aber ich glaube schon, dass, wenn wir uns andere Branchen anschauen, es Konzepte gibt, wie zum Beispiel Auffangfonds in der Versicherungs- oder Bankenbranche. Ich denke, ein ähnliches Konzept könnte im Bereich Ransomware durchaus Sinn machen. Denn meiner Meinung nach ist die Strafverfolgung in diesem Bereich schwierig. Man hört gelegentlich von Erfolgen, die die Behörden erzielen, und ich finde es beeindruckend, wie die Polizei länderübergreifend zusammenarbeitet. Das ist wirklich lobenswert. Dennoch habe ich oft den Eindruck, dass es für die Angreifer sehr risikoarm ist, Lösegeld zu erpressen. Wenn wir einen solchen Auffangfonds hätten und gleichzeitig die Verwendung von Kryptowährungen zur Bezahlung von Lösegeldern untersagen würden, könnte ich mir vorstellen, dass es für die meisten Angreifer wirtschaftlich unattraktiv würde, es überhaupt zu versuchen.

Mathias Hess: Ja, insbesondere die Zahlung von Lösegeld in Kryptowährung scheint sehr beliebt zu sein, um es mal so auszudrücken. Es gibt wahrscheinlich schon recht eingeschränkte Möglichkeiten, das zu verfolgen oder zu unterbinden.

Jannis Stemmann: Ich bin kein Experte auf diesem Gebiet und ich verstehe, dass Kryptowährungs-Enthusiasten empört sein könnten. Ich verstehe auch, dass es gute Anwendungsfälle für Bitcoin, Monero, Ethereum und andere Kryptowährungen gibt und ich bin selbst technikbegeistert. Aber ich denke, das Internet existierte schon lange vor Bitcoin, und vernetzte Computer in Unternehmen gab es auch schon viel länger. Mein Eindruck ist, dass das Thema Ransomware erst mit dem Aufkommen von Kryptowährungen so richtig Fahrt aufgenommen hat. Wenn man Lösegeldzahlungen verbieten oder die Verwendung von Kryptowährungen für solche Zwecke einschränken würde, glaube ich nicht, dass dies keinen Einfluss auf die Angriffe hätte. Sicherlich gibt es immer noch staatliche Akteure und andere Gründe, Daten zu stehlen. Aber ich denke, im Bereich räuberischer Erpressung könnten wir einen Schritt nach vorne machen.

Mathias Hess: Begleitet ihr den Kunden auch, wenn sie euch kontaktieren und sagen, dass sie gehackt wurden und um Hilfe bitten?

Jannis Stemmann: Wenn ein Kunde uns kontaktiert und angibt, dass er gehackt wurde, versuchen wir, schnellstmöglich einen geeigneten Dienstleister zu finden. Zum Beispiel gibt es eine Liste zertifizierter Dienstleister für Incident Response im Notfall vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und wir kennen auch noch einige andere. Wir müssen prüfen, welcher Anbieter tatsächlich Kapazitäten hat. Unser Ansatz liegt jedoch eher darin, unsere Kunden dabei zu unterstützen, im Vorfeld Notfallübungen durchzuführen und sich auf den Ernstfall vorzubereiten. Hierbei kann man viel lernen und im Notfall viel Zeit sparen. Dies ist eine Maßnahme, die häufig vernachlässigt wird, aber im Vergleich zu den potenziellen Schäden wenig kostet und viel Nutzen bringt. Wir legen auch Wert auf den Abschluss eines Vertrags für Incident Response Retainer mit einem Dienstleister, der Kapazitäten vorhält. Auf diese Weise müssen wir im Notfall nicht damit beginnen, nach einem geeigneten Dienstleister zu suchen, der möglicherweise keine Kapazitäten hat. Stattdessen klären wir dies bereits im Voraus vertraglich.

Mathias Hess: Ich unterstütze das Thema Notfallübungen auf jeden Fall. Ich hatte auch Kunden, die teure Backup-Systeme hatten, aber als sie diese im Ernstfall nutzen wollten, stellten sie fest, dass die Backups nicht richtig funktionierten und sie im Grunde genommen kein funktionierendes Backup hatten. Das ist wirklich ärgerlich und zeigt, dass es wichtig ist, solche Systeme zu testen, wenn man sie einführt. Aber ich denke, Notfallübungen sind ebenfalls entscheidend. Sie dienen nicht nur dazu, technische Tests durchzuführen, sondern auch, um sicherzustellen, dass man im Ernstfall nicht von vorne anfangen muss und sich fragt, wie man vorgehen soll. Das ist der eigentliche Sinn und Zweck von Übungen.

Ich denke, es ist ratsam, sich die verschiedenen möglichen Szenarien anzusehen und zu überlegen, wie man in diesen Fällen handeln sollte. Eine Notfallübung ist eine gute Möglichkeit, dies zu tun. Man muss dies auch nicht verheimlichen, sondern kann offen sagen: „Wir machen dieses Wochenende eine Notfallübung, um zu sehen, wie gut unsere Abläufe funktionieren und wo es eventuell Lücken gibt, die wir beheben müssen.“ Lücken gibt es oft, und es ist besser, sie in einer Übung zu entdecken, als im Ernstfall überrascht zu werden.

Jannis Stemmann: Genau, das ist der Sinn dahinter. Man lernt aus solchen Übungen und kann dann daran arbeiten, um ständige Verbesserungen zu erzielen. Wie du bereits angesprochen hast, ist es wichtig, alle relevanten Beteiligten an einen Tisch zu bringen, darunter auch Vertreter der Rechtsabteilung und der Kommunikation. Im Ernstfall muss man Mitarbeiter, Lieferanten und Kunden benachrichtigen sowie mit Behörden kommunizieren. Man kann bereits im Vorfeld die gesamten Meldewege und Entscheidungswege überprüfen. Dies sind alles Prozesse und Abläufe, die im Voraus durchdacht werden können. Zusätzlich zu den technischen Aspekten, die du bereits angesprochen hast, wie Backups und Wiederherstellung, ist die Priorisierung im Notfall entscheidend. Hierbei haben wir mittlerweile Vorlagen entwickelt, die bei vielen Unternehmen bereits Anwendung finden.

Mathias Hess: Wie siehst du die Entwicklung in den nächsten Jahren? Gibt es bestimmte Bereiche, auf die sich die Aufmerksamkeit verstärkt richten wird?

Jannis Stemmann: In Bezug auf die Vorbereitung auf den Notfall oder generell?

Mathias Hess: Generell zum Thema Sicherheit. Ich erinnere mich, dass vor ein paar Jahren die allgemeine Meinung war, dass die größte Sicherheitsgefahr von den Mitarbeitern ausgeht und es wurde betont, wie wichtig es ist, sie vernünftig zu schulen, um sicherzustellen, dass sie nicht auf verdächtige Links klicken. Meiner Meinung nach hat sich in dieser Hinsicht viel getan. Die Frage ist nun, was als nächstes kommt. Gibt es Bereiche, in denen du einen steigenden Bedarf siehst?

Jannis Stemmann: Die einfache Antwort wäre natürlich, dass es immer kundenabhängig ist. Aber ich denke, es gibt einige Themen, über die wir nachdenken können. Zum Beispiel ist das gesamte Thema Outsourcing der 24/7-Überwachung, was als Managed Detection Response oder Managed Security Operations Center für die 24/7-Überwachung bezeichnet wird, ein Trend, der meiner Meinung nach deutlich zunimmt. Hier gibt es auch wirtschaftliche Gründe, da Skalierung über viele Unternehmen hinweg möglich ist und es viele Anbieter auf dem Markt gibt, aus denen man auswählen kann. Darüber hinaus sehen wir, dass Unternehmen, die eine eigene Produktion oder Logistik betreiben oder Maschinen und vernetzte Geräte herstellen, verstärkt in den Bereich OT Security (Operation Technology Security) und IoT Security (Internet of Things Security) investieren. Das bedeutet, dass sie ihren Fokus und ihre Prioritäten auf das Thema Büro-IT-Sicherheit oder Enterprise-IT-Sicherheit legen, was vernünftig ist und wir immer empfehlen würden, aber auch verstärkt im Bereich OT und IoT Security aktiv werden.

Mathias Hess: Cybersecurity ohne Kopfweh. Warum es sich lohnt, Ruhe zu bewahren? Das war heute unser Thema im Podcast mit Jannis Stemann. Jannis, vielen Dank für deinen Input.

Jannis Stemmann: Vielen Dank an Dich, Mathias und alles Gute weiterhin.

Sprecher: Es gibt also keine Normen der Vergabe und eine Vergleichbarkeit ist kaum gegeben. Cybercompare sagt Wir sind vorne, weil wir Marken unabhängig beraten können, Cybersecurity herstellen können für die vielen 100 Unternehmen aller Branchen, die man betreut. Das war GoCIO, der Podcast für den CIO und alle Digitalisierungsinteressierte von und mit Mathias Hess mit dem Podcasttitel „Cybersecurity ohne Kopfweh. Warum es sich lohnt, Ruhe zu bewahren“. Heute mit Jannis Stemmann von CyberCompare.

Auf der Suche nach dem originalen Podcast?

Spotify: https://open.spotify.com/show/2PN4l5io6QIBIXtkOxqgc5

Tage
Stunden
Minuten
Cyber Summit- Bridging IT & OT Security
18. April 2024 | 08:30 - 12:15 Uhr | Virtuelles Event
231219_BoschCC_Logo_White