{"id":14924,"date":"2023-04-06T08:00:00","date_gmt":"2023-04-06T08:00:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=14924"},"modified":"2024-03-14T17:13:03","modified_gmt":"2024-03-14T17:13:03","slug":"alle-11-minuten-verliebt-sich-ein-unternehmen-in-marketing-mit-philipp-pelkmann","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/alle-11-minuten-verliebt-sich-ein-unternehmen-in-marketing-mit-philipp-pelkmann\/","title":{"rendered":"„Alle 11 Minuten verliebt sich ein Unternehmen in Marketing“ mit Philipp Pelkmann"},"content":{"rendered":"\n

Robert Wortmann:<\/strong> Herzlich willkommen zu einer neuen Folge von Breach FM! Heute haben wir eine etwas andere Konstellation. Kim ist leider erneut in einen Incident-Response-Fall geraten, der um 9:21 Uhr begonnen hat. Wir hatten eigentlich die Aufnahme f\u00fcr 9:30 Uhr geplant, also war das Timing wieder einmal perfekt. Das zeigt jedoch erneut, dass das Thema Incident-Response ein Leben unvorhersehbar macht und wahrscheinlich beruflich viel Arbeit mit sich bringt. Kim m\u00f6chte allen herzliche Gr\u00fc\u00dfe ausrichten. Er wird hoffentlich in der n\u00e4chsten Folge wieder dabei sein. Wie ich schon das letzte Mal erw\u00e4hnt habe, w\u00e4re es alleine etwas einsam. Ich hatte schon l\u00e4nger die Idee, einen sehr gesch\u00e4tzten Gast einzuladen, und jetzt ist es endlich so weit. Philipp, es ist toll, dass du heute hier bist. Magst du dich unseren Zuh\u00f6rern kurz vorstellen? Wer bist du und was machst du? Und warum sitzen wir heute hier zusammen?<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Vielen Dank f\u00fcr die Einladung Robert, und Kim, ich w\u00fcnsche dir gleichzeitig viel Erfolg. Mein Name ist Philipp Pelkmann und ich arbeite bei Bosch CyberCompare, das ich mitgegr\u00fcndet habe. Einigen H\u00f6rern mag mein Name bereits bekannt sein, vielleicht kommen heute ein paar Neue dazu. Wie sind wir zusammengekommen? Das ergab sich vor einigen Wochen, als du ein tolles Interview mit Ben Bachmann gef\u00fchrt hast. Wir haben eine enge Zusammenarbeit und kennen uns schon seit einiger Zeit. Dadurch bin ich auf den Podcast aufmerksam geworden, und ich habe mich sehr dar\u00fcber gefreut, eingeladen zu werden, um hier mit dabei zu sein.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Ja, genau, das passt sehr gut. Wir haben bereits in den letzten Podcast-Folgen dar\u00fcber diskutiert. Wie finden Unternehmen eigentlich die passenden L\u00f6sungen f\u00fcr ihre Anforderungen? In den letzten Jahren ist uns aufgefallen \u2013 und das hat nichts mit unserer Herstellerperspektive zu tun, Kim und ich arbeiten zwar f\u00fcr den Hersteller, aber das ist nicht der Fokus dieses Podcast \u2013 dass Anforderungskataloge oft wenig aussagekr\u00e4ftig sind. Fast jeder Hersteller kann selbstbewusst mit einem ‚Ja‘ antworten. Doch nach einiger Zeit wird klar, dass der Hersteller nicht passt und zu viel versprochen hat. Heute m\u00f6chten wir dar\u00fcber sprechen, wie das passieren kann und wie man bei der Auswahl vorsichtig sein sollte. H\u00e4ufig liegt das Problem in der Anforderungsanalyse, und der Hersteller kann nur auf die gestellten Fragen antworten. Heute wollen wir dar\u00fcber diskutieren, wie Plattformen wie Bosch CyberCompare dabei helfen k\u00f6nnen, den richtigen Anbieter zu finden. Wir m\u00f6chten \u00fcber unsere praktischen Erfahrungen sprechen \u2013 Dos and Don’ts sowie ein oder zwei Geschichten, bei denen etwas schiefgelaufen ist. Es wird ein interessanter Austausch. CyberCompare ist ein spannendes Thema. Ich habe eine l\u00e4ngere Geschichte mit Bosch und wei\u00df daher, dass Produkte dort gr\u00fcndlich getestet werden, manchmal sogar zu gr\u00fcndlich in der Vergangenheit. Es hat lange gedauert, bis Entscheidungen getroffen wurden, aber am Ende entstand kein Chaos von Applikationen oder Systemen wie bei anderen Unternehmen dieser Gr\u00f6\u00dfe. Deshalb meine erste Frage: Was war die Idee hinter Bosch CyberCompare? Wie hat sich das Ganze entwickelt? Was ist die Geschichte bis heute?<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ja, sehr interessante Fragestellung. Ich bin seit 18 Jahren dabei und habe 2005 bei Bosch begonnen. Urspr\u00fcnglich war ich Wirtschaftsinformatiker und habe meine Karriere als Softwareentwickler bei einem Landmaschinenhersteller in Ostwestfalen gestartet. Fr\u00fch in meiner Laufbahn kam ich zu Bosch, wo ich in der IT t\u00e4tig war, unter anderem in der Werks-IT in der Region Asien-Pazifik. Dort besch\u00e4ftigte ich mich intensiv mit Themen wie Digitalisierung in der Fertigung und Industrie 4.0. Sp\u00e4ter wechselte ich in die Bosch Konzernzentrale auf der Schillerh\u00f6he, wo ich als Assistent eines Gesch\u00e4ftsf\u00fchrers arbeitete und meinen Kollegen und Freund Jannis Stemmann kennenlernte. Gemeinsam mit ihm und Simeon Mussler habe ich Bosch CyberCompare gegr\u00fcndet. Jannis und ich hatten \u00e4hnliche Aufgaben, unsere Schreibtische standen nebeneinander. Im Dialog mit einem Vorsitzenden eines Bosch-Gesch\u00e4ftsbereichs entstand die Idee f\u00fcr Bosch CyberCompare. Wir stellten fest, dass Cybersicherheit zunehmend an Bedeutung gewinnt und dass der Markt f\u00fcr L\u00f6sungsanbieter f\u00fcr Mittelst\u00e4ndler undurchsichtig ist. Obwohl Bosch als Unternehmen selbst nicht dem Mittelstand zuzuordnen ist, agieren viele Divisionen \u00e4hnlich. Es wurde klar, dass typische IT-Leiter im Mittelstand den Druck versp\u00fcren, sich um Cybersicherheit zu k\u00fcmmern, obwohl sie nicht auf gro\u00dfe Sicherheitsteams zur\u00fcckgreifen k\u00f6nnen. Diese Situation erfordert eine Art gef\u00fchltes Handeln, denn die meisten Security-Budgets sind Teil der IT-Kosten und stehen unter Druck. Es mangelt oft an klaren Anforderungen, und Hersteller k\u00f6nnen nur das beantworten, was gefragt wird. Deshalb fanden wir es interessant, einen neutralen Marktplatz f\u00fcr Cybersicherheit zu schaffen, der Mittelst\u00e4ndlern hilft, die richtigen Ma\u00dfnahmen zu priorisieren. Im Jahr 2020 haben wir das Konzept von Bosch CyberCompare im Rahmen einer Marktstudie validiert und sind auf viel Offenheit seitens der Anbieter und Kunden gesto\u00dfen. Es gibt viele Anbieter auf dem Cybersecurity-Markt, jedoch keine klare Dominanz. Unsere Plattform versteht sich als neutraler Einkaufsplatz f\u00fcr Cybersicherheit und hilft den Kunden dabei, ihre spezifischen Anforderungen zu verstehen. Manche Kunden haben klare Vorstellungen, andere ben\u00f6tigen Unterst\u00fctzung bei der Bestandsaufnahme und Empfehlungen. Wir bieten Vergleiche zwischen verschiedenen Angeboten an und bewerten St\u00e4rken und Schw\u00e4chen. Seit rund zwei Jahren ist Bosch CyberCompare formal gestartet.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Was mich schon lange Zeit besch\u00e4ftigt hat. Warum wurde Bosch CyberCompare unter der Marke Bosch entwickelt? Ich habe mir diese Frage f\u00fcr diesen Podcast aufgehoben, obwohl ich sie schon fr\u00fcher h\u00e4tte stellen k\u00f6nnen, aber es war f\u00fcr mich immer ein interessanter Punkt. Als ich mit Bosch zu tun hatte, war das in ganz anderen Gesch\u00e4ftsbereichen, und ich habe mich gefragt, ob das eine allgemeine Strategie des Boschkonzerns ist, sich breiter aufzustellen. Vielleicht war es auch einfach die Absicht, den etablierten Namen zu nutzen, was nicht negativ gemeint ist. Ich w\u00fcrde wahrscheinlich genauso handeln. Mich interessiert einfach, was die Idee dahinter war, dieses Projekt unter der Marke Bosch zu positionieren.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Die Entstehungsgeschichte ist eigentlich recht unspektakul\u00e4r. Zu dem Zeitpunkt waren wir, und sind es immer noch, Angestellte bei Bosch. Selbst wenn ich bei einem anderen Unternehmen gearbeitet h\u00e4tte, und Jannis genauso, h\u00e4tten wir versucht, das Projekt auf der Basis unseres Kontextes zu gr\u00fcnden. Die Idee kam auf, als wir den Markt analysierten und einen interessanten Einstiegspunkt identifizierten. Zu der Zeit waren wir nah an der Bosch Gesch\u00e4ftsf\u00fchrung und konnten sie mit unseren Dialogen, der Marktstudie und dem positiven Feedback der ersten Kunden \u00fcberzeugen, dass diese Idee ein interessantes Gesch\u00e4ftspotenzial mit hoher Innovationskraft hat. Die Kollegen waren bereit, uns dabei zu unterst\u00fctzen und die Marke Bosch zu nutzen, was letztlich jedes Startup braucht \u2013 diesen sogenannten „unfair Advantage“. Wenn wir nur als CyberCompare aufgetreten w\u00e4ren, w\u00e4re es viel schwieriger gewesen, \u00fcberhaupt die ersten Kundenkontakte herzustellen. Mit Bosch im R\u00fccken war das anders. Wir gingen auf Kundensuche, sprachen gezielt Partnerunternehmen an und erkl\u00e4rten: „Wir entwickeln diesen Service gerade. Wir haben noch nicht viele Referenzen, aber wir wollen gute Arbeit leisten.“ So haben wir uns in den Markt eingearbeitet, und die Marke Bosch hat uns besonders beim Markteintritt geholfen. Bosch hatte keine \u00fcbergeordneten strategischen Interessen. Es war eine Innovation, die von drei Bosch Mitarbeitern kam und von der Bosch Gesch\u00e4ftsf\u00fchrung unterst\u00fctzt wurde, um die Idee am Anfang zu validieren. Aufgrund der schnellen und guten Ergebnisse durften wir das Projekt dann weiter ausbauen.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Wie interpretierst du das Konzept der „unabh\u00e4ngigen Beratung“? Ich sehe dieses Schlagwort heutzutage auf fast jeder Website. Ich denke, in der Praxis hat jeder eine gewisse Abh\u00e4ngigkeit, wahrscheinlich auch ihr. Die Frage ist immer, wie manifestiert sich diese Abh\u00e4ngigkeit? Wie offen geht man damit um und wie spielt man mit dieser Thematik? Wie siehst du dieses Thema, und wie unabh\u00e4ngig seid ihr tats\u00e4chlich? Wovon seid ihr beispielsweise auf dem Markt abh\u00e4ngig?<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ja, das ist ein wirklich wichtiger Punkt. Bei uns eine hundertprozentige Unabh\u00e4ngigkeit und Neutralit\u00e4t herzustellen, das ist schlicht nicht m\u00f6glich. Wir sind ja keine Maschinen, sondern Menschen, und wir werden von vielen Einfl\u00fcssen gepr\u00e4gt. Deshalb war es f\u00fcr uns von Anfang an wichtig, keine Reseller- oder \u00e4hnliche Vertr\u00e4ge mit Herstellern oder Anbietern abzuschlie\u00dfen. Wir gehen Partnerschaften ein, aber ohne jeglichen Druck, bestimmte Produkte zu platzieren oder zu verkaufen. Das ist nicht unser Ziel und wird es auch nie sein. In Gespr\u00e4chen mit Kunden betone ich stets, dass es mir v\u00f6llig egal ist, f\u00fcr welchen Hersteller oder Anbieter sie sich entscheiden. Denn letztendlich liegt die Entscheidung beim Kunden, nicht bei uns. Mir ist es einfach wichtig, dass der Kunde sich mit seiner Entscheidung wohl f\u00fchlt. Das ist unser Credo und gleichzeitig unser moralischer Ansatz, der zwar durch unsere Arbeit mit Herstellern und Informationen beeinflusst wird, aber wir versuchen, offen damit umzugehen. Wir haben ein Vier-Augen-Prinzip, wenn es um Angebotsvergleiche geht. Wir bewerten Angebote anhand von harten Fakten, festen Kriterien und Scoring-Modellen. Aber auch weiche Faktoren wie der Gesamteindruck flie\u00dfen mit ein. Oft sind Preise schwer eins zu eins vergleichbar, da verschiedene Ans\u00e4tze dahinterstecken. Wir erstellen Szenarien und versuchen, ein stimmiges Gesamtbild abzuleiten. Es ist jedoch selten eine klare Entscheidung f\u00fcr oder gegen einen Anbieter, sondern eher ein Spielraum. In Kundenpr\u00e4sentationen betonen wir das auch. Letzte Woche ging es zum Beispiel um einen Incident-Response-Retainer. Ein Anbieter wurde aufgrund der Anforderungen favorisiert, was der Kunde nachvollziehen konnte. Interessanterweise war dieser Anbieter sogar der teuerste. Das zeigt, dass es bei uns nicht immer nur um den g\u00fcnstigsten Preis geht. Unser Vier-Augen-Prinzip erm\u00f6glicht es, kritische Fragen zu stellen und die objektive Betrachtung zu gew\u00e4hrleisten.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Ja, das ist ein wirklich wichtiger Punkt. In meinen fr\u00fcheren Positionen, als ich noch unabh\u00e4ngiger unterwegs war, habe ich auch Herstellervergleiche durchgef\u00fchrt. Aber nicht auf der oberfl\u00e4chlichen Ebene, wo einfach f\u00fcnf Features aufgelistet werden und der eine Hersteller \u00fcberall gr\u00fcne Haken hat, w\u00e4hrend der Konkurrent \u00fcberall rote Xe hat. Nein, ich bin tiefer gegangen und habe individuell f\u00fcr jeden Kunden gearbeitet. Einige Kunden waren mehr an Soft-Facts interessiert. F\u00fcr sie war es wichtiger, einen deutschsprachigen Ansprechpartner zu haben, der auch vor Ort unterst\u00fctzen kann. Andere, wie zum Beispiel multinationale Kunden, waren anfangs \u00fcberhaupt nicht daran interessiert. Sie wollten Lizenzen zum richtigen Zeitpunkt und mit vollem Funktionsumfang. Das zeigt, wie situativ die Anforderungen sein k\u00f6nnen. Viele Vergleiche ber\u00fccksichtigen diese Vielfalt nicht. Gartner hat sich in den letzten Jahren sicherlich weiterentwickelt. Ihre Berichte au\u00dferhalb des Quadranten bieten mehr Tiefe. Dennoch ist es schwierig, wenn ein Mittelst\u00e4ndler denselben Quadranten betrachtet wie ein Enterprise-Unternehmen.<\/p>\n\n\n\n

Die Unterschiede sind einfach zu gro\u00df, als dass sie vollst\u00e4ndig abgebildet werden k\u00f6nnten. Es ist f\u00fcr mich also kein direkter Vergleich, wie oft angenommen wird. Es dient eher als erste Orientierung. Das Thema der Abh\u00e4ngigkeit ist sehr wichtig. Wenn man nach „Cybersecurity-Vendors“ bei Google sucht, erscheinen unz\u00e4hlige Hersteller. Dieses Bild hat mittlerweile wahrscheinlich eine Gr\u00f6\u00dfe von mindestens 10 MB, um alle darauf zu bekommen. Es ist unglaublich! Jedes Mal, wenn jemand sagt, dass ein Hersteller von einem anderen \u00fcbernommen wurde und der Markt sich konsolidiert, entstehen wahrscheinlich vier neue Unternehmen aus den Leuten, die nicht \u00fcbernommen wurden oder es nicht wollten. Wenn Kunden mich fragen, ob ich alle Hersteller einbezogen habe, sage ich, das ist unm\u00f6glich! Denn in der Zeit, in der wir diesen Vergleich durchf\u00fchren, entstehen bereits wieder drei neue Hersteller. Deshalb habe ich jeden Hersteller selbst gesichtet und dann Interviews gef\u00fchrt. Dabei habe ich jede Antwort technisch \u00fcberpr\u00fcft. Es gab F\u00e4lle, bei denen ich sicher war, dass man mir ins Gesicht gelogen hat. Man gew\u00f6hnt sich hier und da an Antworten, die einfach akzeptiert werden. Aber oft merke ich, dass Mitarbeiter mancher Hersteller selbst nicht mehr so fest in ihren L\u00f6sungen stehen und einfach das Marketing ihrer Firma akzeptieren, ohne es tiefer zu hinterfragen. Bevor ich mich in diese Welt der Hersteller begeben habe, war meine gr\u00f6\u00dfte Angst, dass ich von einem zum anderen h\u00fcpfe und jeden Arbeitgeber als den besten darstelle. Das versuche ich t\u00e4glich zu vermeiden und mich an unsere Story zu erinnern, warum ich hier bin. Aber ich w\u00fcrde niemals behaupten, dass wir in jedem Bereich die Besten sind. Das w\u00e4re schlichtweg nicht wahr. Lang gesagt, man wird niemals eine vollst\u00e4ndige Objektivit\u00e4t bewahren k\u00f6nnen, da man als vergleichendes Unternehmen und Berater belastbare Informationen ben\u00f6tigt. Es ist wie die Diskussion dar\u00fcber, ob Messi oder Ronaldo der beste Fu\u00dfballer der Welt ist. Es ist wahrscheinlich jemand, der nie professionell betrachtet wurde. Genauso kann es mit Security-Herstellern sein.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Nat\u00fcrlich, da stimme ich dir vollkommen zu, Robert. Deshalb betonen wir immer, dass unser Ziel nicht unbedingt darin liegt, den besten Anbieter, das beste Angebot oder die beste L\u00f6sung zu finden. Wie k\u00f6nnen wir das auch garantieren? Im Gegensatz zu den gro\u00dfen Enterprise-Kunden, von denen du gesprochen hast, haben wir in den meisten F\u00e4llen Kunden im Mittelstand, irgendwo zwischen 250 Mitarbeitern bis hin zu vielleicht 15, 20.000 Mitarbeitern. Das bildet rund 80 Prozent unserer Kundenbasis ab. Wir arbeiten mit deutlich kleineren Kunden genauso gut wie mit gr\u00f6\u00dferen. Aber im Grunde ist es die Perspektive des Mittelstands, die oft darauf abzielt, eine bew\u00e4hrte L\u00f6sung zu einem fairen Preis zu implementieren. Hier geht es nicht darum, wie du schon erw\u00e4hnt hast, den Vergleich zwischen verschiedenen L\u00f6sungen monatelang oder sogar \u00fcber Jahre hinweg zu f\u00fchren, sondern einfach zu sagen:<\/p>\n\n\n\n

Welche L\u00f6sung passt grunds\u00e4tzlich zu meinen Anforderungen und meinem Budget? Welcher Partner, Hersteller oder Anbieter bringt das ins Haus? Will ich mit diesem Partner zusammenarbeiten? Ist er mir sympathisch? Kann er das? Das ist oft die Grundlage, auf der wir arbeiten. Wenn wir \u00fcber diese Vergleiche sprechen, betrachten wir auch im Ausschreibungsprozess und Auswahlverfahren, welche Anbieter m\u00f6glicherweise zus\u00e4tzliche Differenzierungsmerkmale bieten, und heben diese hervor. Aber wie ich bereits erw\u00e4hnt habe, ist es letztlich das Gesamtbild, das den Kunden dazu bringt, sich f\u00fcr einen Anbieter zu entscheiden. Diese auf Features basierte Sichtweise ist nur ein Baustein. Wichtige Kriterien wie das Deployment-Szenario, falls ein Kunde beispielsweise eine On-Premises-L\u00f6sung ben\u00f6tigt, aber der Hersteller diese nicht anbietet, sind entscheidend. Auch bei anderen, detaillierteren Features sehen wir uns an, ob der Hersteller diese erf\u00fcllt und wie er sie erf\u00fcllt. Nat\u00fcrlich gibt es Hersteller, die immer alle K\u00e4stchen ankreuzen, und hier kommt der Vorteil unseres Plattformansatzes zum Tragen. Wir lernen mit jedem Kundenprojekt dazu, nehmen das Feedback auf und sehen, wie gut ein Dienstleister in seinem Incident-Response-Einsatz abschneidet. Wenn jemand wie Kim bei einem Kundenprojekt von uns t\u00e4tig w\u00e4re, w\u00fcrden wir den Kunden fragen, wie gut Kim seine Arbeit gemacht hat und ob sie wieder mit ihm zusammenarbeiten w\u00fcrden. Nat\u00fcrlich gehen wir davon aus, dass die Antwort positiv ausf\u00e4llt, aber f\u00fcr uns ist es eine Gelegenheit, dazuzulernen und dieses Wissen dann auch anderen Kunden zug\u00e4nglich zu machen. Es gibt keine perfekte Auswahl. Auch wir k\u00f6nnen gemeinsam mit dem Kunden viel Arbeit hineinstecken, aber am Ende geht es immer darum, welchen Informationsstand wir bestm\u00f6glich erreichen k\u00f6nnen, um dann eine fundierte Entscheidung zu treffen.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Nat\u00fcrlich, ich glaube, was wirklich wichtig ist und was ich im Markt h\u00e4ufig vermisse, wenn Herstellervergleiche an mich herangetragen werden \u2013 nicht von euch, sondern generell \u2013, ist das Fehlen von echtem Projektmanagement. Ehrlich gesagt, oft sehe ich, dass die gegebenen Anforderungen einfach hingenommen und nicht hinterfragt werden, bevor sie an die Hersteller weitergegeben werden. Ich frage mich immer, wo da der Mehrwert liegt, au\u00dfer vielleicht weniger E-Mails zu erhalten und nicht von den Herstellern im Nachhinein genervt zu sein. Das mag zwar noch als g\u00fcltig erscheinen, aber ich finde, ein Berater sollte immer auch als aktiver Filter dienen. Zum Beispiel eine gute Anforderung w\u00e4re: „Ich m\u00f6chte XDR und EDR On-Premises haben, usw.“ Nat\u00fcrlich ist das machbar, aber ich glaube, man muss immer darauf hinweisen, dass man dabei viele Abstriche in Kauf nehmen muss. Das ist legitim. Aber wenn man sich f\u00fcr diese Entscheidung entscheidet, dann sollten wir \u00fcber Alternativen sprechen, zumindest zuh\u00f6ren und diskutieren. Wenn es immer noch nicht passt, und du sagst, es gibt immer noch Gegenargumente, dann k\u00f6nnen wir nach einem Anbieter suchen, der nur On-Premises bietet.<\/p>\n\n\n\n

Aber lasst uns zuerst die Diskussion f\u00fchren und nicht alles als gegeben hinnehmen. Ich glaube, das ist \u00e4u\u00dferst wichtig, weil das immer noch zu h\u00e4ufig vorkommt: Kunden oder Unternehmen haben Anforderungen festgelegt, ohne jemals eine Gegen\u00fcberstellung mit der Praxis zu haben. Das halte ich f\u00fcr \u00e4u\u00dferst wichtig, basierend auf meiner eigenen Erfahrung. In der Vergangenheit habe ich verschiedene europ\u00e4ische L\u00e4nder betreut und festgestellt, besonders in UK funktioniert der Markt ganz anders. Es ist ein sehr kommerzieller Markt, wo L\u00f6sungen fast schon willk\u00fcrlich f\u00fcr ein Jahr eingekauft werden, und manchmal werden diese L\u00f6sungen nicht einmal innerhalb dieses Jahres implementiert, und zw\u00f6lf Monate sp\u00e4ter wird schon wieder etwas Neues erworben. Was denkst du, macht den deutschen Markt besonders? Ich bemerke das sogar in einem weltweit agierenden Unternehmen wie unserem, dass der deutsche Markt in einigen Bereichen anders funktioniert. Es ist nicht besonders agil in der Entscheidungsfindung, was nicht zwangsl\u00e4ufig schlecht ist und in vielen F\u00e4llen sogar Vorteile hat, wenn man andere L\u00e4nder betrachtet. Aber welche sind f\u00fcr dich typisch deutsche Anforderungen? Manchmal, wenn ich mir Anforderungskataloge anschaue, denke ich mir, hier k\u00f6nnte ich geradezu ein deutsches Emoji setzen.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Es beginnt oft mit der Sprache, dem Interesse an deutschsprachigen Anbietern und Herstellern. Das ist definitiv ein klarer Fokus. Ich denke, dass wir nur in sehr wenigen F\u00e4llen, zum Beispiel im Bereich Pentesting, Anbieter au\u00dferhalb der DACH-Region platzieren oder vermitteln konnten. Am Ende gibt es einfach eine gute Auswahl im deutschsprachigen Raum. Der typische deutsche Mittelst\u00e4ndler, den ich erlebt habe, fragt sich nat\u00fcrlich, warum er jemanden aus dem Vereinigten K\u00f6nigreich, Israel oder anderen L\u00e4ndern beauftragen soll, wenn er das Gleiche hier in Deutschland bekommen kann. Das hatte ich auch \u00f6fter mit \u00f6sterreichischen Kunden, die sehr darauf bestanden haben, dass der Anbieter aus der Region stammt, maximal vielleicht aus Bayern. Nat\u00fcrlich ist das abh\u00e4ngig vom Kontext, insbesondere wenn man nach SIEM-Herstellern sucht. Ich denke, dass man dort in der Region oft lange suchen muss und nicht so viele Optionen findet. Aber Regionalit\u00e4t ist sicherlich ein wichtiger Punkt. Dann gibt es da noch etwas, und da muss ich ehrlich sein, ich bin mir nicht sicher, ob das typisch deutsch ist, aber es werden oft relativ hohe Anforderungen gestellt, ohne dass eine faire Einsch\u00e4tzung der eigenen Leistungsf\u00e4higkeit erfolgt. Ein typisches Beispiel sind die 24\/7-Anforderungen, die fast immer in den Standardanforderungen f\u00fcr Serviceerbringung enthalten sind. Ja, nat\u00fcrlich, rund um die Uhr Support ist gefragt. Wir versuchen das in unseren Beratungspaketen, die Teil solcher Projekte sind, genauer zu hinterfragen und fragen dann beispielsweise: „24\/7 verstanden. Wie sieht es jedoch mit deiner eigenen Aufstellung aus? Hast du einen Notfallplan? Ist das festgelegt?<\/p>\n\n\n\n

Wer w\u00fcrde am Wochenende in deinem Unternehmen agieren, und welche F\u00e4higkeiten hast du neben dem IT-Leiter, der sagt: ‚Im Notfall sollen sie mich einfach auf dem Handy anrufen,‘ um das Ganze zu pr\u00fcfen?“ Mir fehlt hier ehrlich gesagt der direkte Vergleich, weil wir vor allem im deutschsprachigen Raum aktiv sind. Aber ich denke, manchmal mangelt es an Selbstreflexion. Es fehlt die Bewertung, auf welchem Niveau die eigene Leistungsf\u00e4higkeit wirklich ist, und oft wird die Implementierung bestimmter L\u00f6sungen \u00fcbersch\u00e4tzt. Wir sind oft in Projekte eingestiegen, bei denen der Kunde zun\u00e4chst eine SIEM-L\u00f6sung ben\u00f6tigte, aber letztendlich nicht die notwendigen Kapazit\u00e4ten f\u00fcr deren Betrieb oder \u00dcberwachung hatte. Es fehlten Analysten oder Ressourcen f\u00fcr das Security Monitoring. Wenn beispielsweise nur 0,3 Prozent der Kapazit\u00e4t f\u00fcr diese Aufgaben vorhanden sind, stellt sich die Frage, wie das Tool wirklich genutzt werden kann. Einige Hersteller preisen ihre L\u00f6sungen als betreungsarm oder auf k\u00fcnstlicher Intelligenz basierend an. Bei genauerer Betrachtung wird jedoch deutlich, dass eine effektive SIEM-L\u00f6sung ein dediziertes Team erfordert, das kontinuierlich das Regelwerk anpasst, die Alerts \u00fcberwacht und darauf reagiert. Ohne diese fortlaufende Aufmerksamkeit enden solche Projekte oft in einem Managed-Service oder Security Operation Center Ansatz. Es ist wichtig zu reflektieren, welchen Beitrag man selbst in solchen Projekten leisten kann. Ein weiterer wichtiger Aspekt ist die Entscheidungsfreudigkeit. Jeder, der in diesem Markt aktiv ist, wird sicherlich zustimmen, dass Projekte oft unter gro\u00dfem Druck starten. Trotz monatelanger Diskussionen muss dann alles schnell gehen. Die vorgegebene Zeit ist von Anfang an viel zu knapp bemessen, und im Projektverlauf treten Verz\u00f6gerungen genau dann auf, wenn der Kunde etwas liefern m\u00fcsste, sei es eine Entscheidung oder ein Go f\u00fcr die n\u00e4chste Phase. Wir versuchen daher, realistischere Projektpl\u00e4ne zu entwerfen, um allen Beteiligten mehr Realismus zu vermitteln. Wenn beispielsweise Tausende von Anforderungen existieren und den Herstellern nur eine kurze Zeit f\u00fcr die Angebotseinreichung bleibt, versuchen wir, eine Plattform zu schaffen, die sowohl die Hersteller als auch die Anbieter sch\u00fctzt. Das gelingt nat\u00fcrlich nicht immer, aber wir bem\u00fchen uns, einen realistischen Ansatz f\u00fcr alle Beteiligten zu finden, denn der Kunde ist K\u00f6nig.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Das sind wichtige Punkte, die ich oft in meiner Praxiserfahrung beobachte. In Deutschland neigen Unternehmen dazu, sich sehr viele Gedanken zu machen und sich in Details zu verlieren. Im Gegensatz dazu passiert das in UK oft viel zu wenig. Weder das eine noch das andere ist ideal \u2013 kopfloses Handeln aufgrund von Marketingtrends oder aber das \u00dcberanalysieren. Viele deutsche Firmen haben wenig bis keine qualitativen Daten. Ohne Daten fehlt ihnen die Grundlage f\u00fcr Untersuchungen, was wiederum zu mangelnder Transparenz und Betriebsf\u00e4higkeit f\u00fchrt.<\/p>\n\n\n\n

Oft versuchen sie, jede Subdom\u00e4ne perfekt zu handhaben, ohne ihre grundlegenden Datenmanagement-Strukturen zu festigen. Deshalb betone ich Unternehmen gerne, dass es wichtig ist, das Asset Management in den Griff zu bekommen, bevor sie sich mit hochtrabenden Zielen befassen. Allerdings ist es auch wichtig, nicht in einen endlosen Prozess zu verfallen, bei dem man sich sechs Jahre lang auf die Perfektion des Asset Managements konzentriert. Stattdessen sollten Priorit\u00e4ten gesetzt werden, ohne dabei stehen zu bleiben. Das passiert in Deutschland h\u00e4ufig: Unternehmen haben mehrere Projekte laufen und z\u00f6gern, neue Initiativen zu starten. Ich verstehe die Situation, aber wenn es um grundlegende Themen wie den Aufbau von Sicherheitsstrukturen oder die Schaffung von Transparenz im Unternehmen geht, m\u00fcssen diese m\u00f6glicherweise priorisiert werden. Ein weiteres Thema, das eine wichtige Rolle spielt, ist das 24\/7-Konzept. Sicherheit muss zweifellos rund um die Uhr gew\u00e4hrleistet sein. Aber wenn Kunden von uns verlangen, dass auch ihr Arbeitgeber 24\/7 erreichbar ist, frage ich mich, wen k\u00f6nnten wir nachts kontaktieren, wenn ein Vorfall auftritt? Wir k\u00f6nnen zwar grundlegende Gegenma\u00dfnahmen ergreifen, aber wir sind nicht in der Lage, Ihre Kunden zu informieren, wenn Ihre Systeme ausfallen oder Ihre Website anzupassen \u2013 das ist nicht unser Aufgabenbereich. Wir bilden nur einen kleinen Teil des Ganzen ab. Kunden sagen dann, dass nachts niemand erreichbar ist. Arbeitsschutzrechtlich ist es f\u00fcr uns nicht m\u00f6glich, eine permanente Rufbereitschaft zu etablieren \u2013 das erfordert Monate, Abstimmungen mit dem Betriebsrat und dergleichen. Ich verstehe das deutsche System, das sich oft langsam bewegt, insbesondere in Bezug auf Betriebsr\u00e4te. Aber dann lass uns doch zumindest nachts grundlegende Gegenma\u00dfnahmen ergreifen. Das w\u00fcrde uns erm\u00f6glichen, Hosts netzwerkseitig zu isolieren, um zumindest etwas zur Eind\u00e4mmung von Sch\u00e4den zu unternehmen. Das ist zwar nicht unsere bevorzugte Vorgehensweise, aber es k\u00f6nnte helfen. Nein, das k\u00f6nnen wir nicht machen, denn wenn etwas schief geht und ein Server beeintr\u00e4chtigt wird, kann das das gesamte Projekt dauerhaft ruinieren. Dann sage ich: Gut, aber dann handelt es sich eben nicht um ein 24\/7-Security-Operations-Setup. Es mag sein, dass jemand rund um die Uhr \u00fcberwacht, aber das ist nicht das, was wir unter einem 24\/7-Security-Betrieb verstehen. Das ist ein Beispiel daf\u00fcr, wo es tats\u00e4chlich manchmal schwierig ist. Es ist ein Streben nach dem Besten aus allen Welten. Es werden hohe Anforderungen gestellt, aber oft fehlt die Bereitschaft, einen Schritt weiterzugehen. Leider ist das etwas, das ich h\u00e4ufig erlebe. Meine Erfahrung zeigt, dass in den seltensten F\u00e4llen eine einzige Partei die Schuld tr\u00e4gt. Es ist nicht ausschlie\u00dflich der Kunde, der unangemessene Anforderungen stellt. Manchmal verspricht der Hersteller mehr als er liefern kann und verkauft sein Produkt aufgrund einer \u00fcberoptimistischen Roadmap. Ich habe aber auch selten erlebt, dass allein der Hersteller \u00fcbertriebene Versprechungen gemacht und gelogen hat. Oftmals liegen die tats\u00e4chlichen Bed\u00fcrfnisse irgendwo dazwischen, wenn Projekte scheitern.<\/p>\n\n\n\n

Ein wichtiges Thema, das ich ansprechen m\u00f6chte, ist: Woher kommen diese Narrativen und warum gleichen sich manchmal die Anforderungen? Meine These ist immer noch, dass das Konzept eines Herstellers oft gewinnt, wenn es als erstes dem Kunden pr\u00e4sentiert wird und als das Marktkonzept etabliert wird. Das klingt wertend, ist es aber nicht. Nat\u00fcrlich versuchen wir als Anbieter immer, das Mindset des Kunden auf das von uns vertretene Konzept zu lenken, da die Unterschiede in den Funktionen oft gering sind. Was ich bemerke, ist, dass es vor einigen Jahren normal war, drei Monate vor Vertragsverl\u00e4ngerung mit dem Kunden zu sprechen. Heute, selbst wenn wir sechs Monate im Voraus anfragen, h\u00f6ren wir manchmal: „Ah, wir gehen in eine ganz andere Richtung.“ Man bekommt den Eindruck, dass das Konzept des Herstellers nicht mehr passt, auch ohne, dass explizit genannt wird, welcher andere Hersteller in Betracht gezogen wird. Es wird immer das eigene Konzept betont, obwohl man bereits eine Idee impliziert bekommen hat. Bemerkst du auch, dass selbst wenn Anfragen gestellt werden, oft schon viele vorgefertigte Marketingideen im Kopf der Kunden stecken?<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ganz genau! Wir beginnen nat\u00fcrlich auch nicht immer auf der gr\u00fcnen Wiese. Das tun wir zwar gerne und auch h\u00e4ufig, indem der Kunde quasi noch v\u00f6llig uninformiert ist und wir ihn basierend auf einer Initialberatung bei der Entwicklung einer Roadmap unterst\u00fctzen, um das Thema anzugehen. Jedoch sieht die Realit\u00e4t oft anders aus. Der Kunde hat bereits Angebote eingeholt, m\u00f6glicherweise schon Einblicke in das SOC erhalten und findet das alles toll. Er holt uns im Grunde genommen ins Boot, um das zu validieren, einen Realit\u00e4tscheck zu machen und vielleicht zu \u00fcberpr\u00fcfen, ob die Anforderungen wirklich passen oder ob es Vergleichsangebote gibt, und so weiter. Ich glaube, einer der Gr\u00fcnde, warum wir gegr\u00fcndet haben, war die Erkenntnis, dass Hersteller im Durchschnitt 41 Prozent ihres Budgets f\u00fcr Marketing und Vertrieb ausgeben. Besonders bei amerikanischen b\u00f6rsennotierten Unternehmen l\u00e4sst sich das in den Bilanzen ablesen \u2013 teilweise bis zu 80 Prozent flie\u00dfen in diesen Bereich, 10 Prozent in das Atmen und weitere 10 Prozent ins Produkt. Dadurch entsteht, ich nenne es jetzt mal boshaft, ein Marketing-Overhead. Das meine ich nicht negativ, denn wir betreiben auch Marketing und investieren daf\u00fcr Geld. Aber, ja, Entscheider werden dadurch auch ein St\u00fcck weit geblendet und bewusst in eine bestimmte Richtung gelenkt. Aus der Sicht des Anbieters ist das v\u00f6llig legitim. Doch das f\u00fchrt zu einer gro\u00dfen Unsicherheit bei vielen Entscheidungstr\u00e4gern. Die Frage, welchen Monitoring-Ansatz man w\u00e4hlen soll, ist h\u00e4ufig unklar. Soll man sich beispielsweise, wenn man ein produzierendes Unternehmen ist, auf das OT-Monitoring konzentrieren, da es der neue Angriffsvektor der Zukunft ist? Oder sollte man das tun, weil man m\u00f6glicherweise ein KRITIS-Unternehmen ist und das IT-Sicherheitsgesetz 2.0 das erfordert?<\/p>\n\n\n\n

Oder soll man weiterhin auf Basis von Endpunkten agieren, wo bereits eine Bestandsl\u00f6sung besteht und \u00fcber ein moderneres Setup nachgedacht wird? Oder sollte man eher den Netzwerktraffic \u00fcber eine NDR-L\u00f6sung betrachten? Abh\u00e4ngig davon, welches Konzept zuerst da war, neigt man nat\u00fcrlich auch dazu, in diese Richtung zu denken. Da stimme ich dir voll und ganz zu: Es kann den Kunden oft in eine bestimmte Richtung lenken. Und hier ist es meiner Meinung nach wichtig, neutral zu bleiben und dem Kunden zu sagen: ‚Nat\u00fcrlich, du bist der K\u00f6nig, du bestimmst die Richtung am Ende. Aber ehrlich gesagt w\u00fcrden wir vielleicht sogar anf\u00e4nglich eine ganz andere Priorit\u00e4t setzen.‘ Bevor du \u00fcber das Monitoring nachdenkst und einen sechsstelligen Jahresbetrag investierst, setz dich doch erstmal ein Vierteljahr hin und entwirf ein Notfallkonzept, denn momentan hast du keines. Danach kannst du es im Rahmen eines Programms hochziehen. Ich denke, besonders das Thema Marketing spielt hier eine gro\u00dfe Rolle. Wir sehen das auch auf Messen, auf denen wir pr\u00e4sent sind, wie beispielsweise auf der ITSA letztes Jahr in N\u00fcrnberg. Robert, warst du dort auch?<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Nein, mir wurde nachgesagt, dass ich extra in den Urlaub gefahren bin. Leute, die mich kennen, wissen, wie sehr ich Messen hasse. Vielleicht h\u00e4tte ich ein bisschen mehr Zeit f\u00fcr den Urlaub gehabt, aber D\u00e4nemark bot sich in dieser Woche einfach sehr gut an.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Es w\u00e4re f\u00fcr mich auch wesentlich erholsamer gewesen, denn die drei Messetage waren wirklich extrem anstrengend. Diese Veranstaltung ist mittlerweile eher eine Art Spa\u00dfveranstaltung. Es darf gelacht werden, es darf auch mal ein Bier getrunken werden \u2013 aber aus meiner Sicht steht der Marketingaspekt etwas zu sehr im Vordergrund. Es wird alles herausgeholt, was m\u00f6glich ist. Jeder Stand bietet Popcorn, Kaffee und so weiter. Wahrscheinlich machen wir das n\u00e4chstes Jahr auch. Dadurch bleiben jedoch objektive, faktenbasierte Gespr\u00e4che leider etwas auf der Strecke.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Ja, es ist schwierig, wenn nicht sogar unm\u00f6glich, gerade als Mitarbeiter eines Herstellers. Man kann noch so viel \u00fcber die Ausgaben f\u00fcr Marketing und \u00e4hnliches kritisieren, aber am Ende sind es Wirtschaftsunternehmen. In den meisten F\u00e4llen sind das wirklich Unternehmen, die ihren Kunden in gro\u00dfen Teilen wirklich helfen wollen. Aber nat\u00fcrlich m\u00fcssen sie auch Geld verdienen. Wenn sie an der B\u00f6rse gelistet sind, sind sie nicht nur sich selbst, sondern auch ihren Aktion\u00e4ren gegen\u00fcber verantwortlich. Das ist einfach die Realit\u00e4t. Und jeder, der behauptet, er sei nur da, um euch vor den B\u00f6sen zu sch\u00fctzen, l\u00fcgt. Wir alle wollen Geld verdienen! Ich m\u00f6chte Geld verdienen, und auch ein Kunde, der diese L\u00f6sung administriert, erwartet am Ende des Monats ein Gehalt.<\/p>\n\n\n\n

Wir k\u00f6nnen immer \u00fcber die H\u00f6hen streiten und eine grunds\u00e4tzliche Diskussion f\u00fchren, aber das bringt nichts. Ich glaube dennoch, dass beides m\u00f6glich ist. Ich denke, dass ein Hersteller bis zu einem gewissen Grad einen objektiven Ansatz verfolgen kann. Nat\u00fcrlich hat dieser seine Grenzen. Aber ich habe auch schon genug Kunden gesagt, dass das Konzept, was wir hier haben, nicht passt, dass es einfach nicht funktioniert. Ihr w\u00fcrdet euch damit keinen Gefallen tun. Passiert das f\u00fcnfmal pro Woche? Nein, aber es ist schon vorgekommen, und ich bin froh, dass das ab und zu passiert. Was mich interessiert ist, dass ich derzeit auf dem Markt immer wieder Hersteller sehe, die mal f\u00fcr sechs Monate oder acht Monate das Nonplusultra sind. Jeder spricht \u00fcber sie. Ob sie dann wirklich einen durchschlagenden Erfolg auf dem deutschen Markt haben, sei mal dahingestellt, denn daf\u00fcr sind oft die Verkaufszyklen zu lang. Dann verschwinden sie einfach wieder mehr oder weniger komplett. Pl\u00f6tzlich sitzen nur noch zwei Vertriebler in Deutschland, alles ist anders in anderen L\u00e4ndern. Man sieht sie nicht mehr als Konkurrenz in keiner Situation. Seht ihr das auch oft und wie geht ihr mit solchen Themen in eurer Beratung um? Ich sehe es ja bei deutschen Unternehmen, wenn ich mit Kollegen aus dem UK telefoniere. Sie sind immer erstaunt dar\u00fcber, dass wir nur drei Jahres-Deals machen und Kunden oft alle Sicherheitssoftware auf drei, manchmal sogar auf f\u00fcnf Jahre abschlie\u00dfen. Wie geht ihr damit um? Denn das sollten ja langfristige Konzepte sein, denn wenn es nicht langfristig w\u00e4re, w\u00fcrden wir uns nicht zusammensetzen, um so etwas auszuarbeiten.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Das sehe ich genauso. Es ist einer unserer Hauptaufgaben, den Markt zu analysieren, zu beobachten, wo neue interessante Anbieter auftauchen, dann f\u00fchren wir Gespr\u00e4che, schauen uns die L\u00f6sungen an, lassen uns Demos zeigen und so weiter. Das ist sehr wichtig. Ich denke, eine Einschr\u00e4nkung besteht darin, dass unser klassischer Kunde oft nicht in diesen Bahnen denkt, sondern immer nach bew\u00e4hrten, funktionierenden L\u00f6sungen sucht. Im Idealfall m\u00f6chte er mit anderen Kunden sprechen, die diese L\u00f6sung bereits einsetzen, und das Ganze zu einem fairen Preis erwerben. Dadurch haben wir in unseren typischen Projekten dieses Problem nicht so stark, weil wir nicht st\u00e4ndig neue Marktteilnehmer vergleichen und in einer Grauzone landen, wo ein neues Produkt von einem Unternehmen aus Israel auf den deutschen Markt dr\u00e4ngt. Es mag eine gro\u00dfartige L\u00f6sung sein, aber ehrlich gesagt wissen wir nicht, ob sie sich durchsetzen wird oder ob das Unternehmen noch in anderthalb Jahren existiert. Wir hatten solche Projekte und versuchen dann, basierend auf den uns vorliegenden Informationen, das transparent zu machen. Das kann dann auch ein Entscheidungskriterium sein, zu sagen: „Dieser Hersteller ist seit 20, 25 Jahren auf dem Markt, hat viele Analysten und Mitarbeiter hier im deutschsprachigen Raum. Und dann gibt es diese neue, innovative L\u00f6sung. Sie verspricht noch mehr k\u00fcnstliche Intelligenz und State-of-the-Art-Technologie, aber genauso wie du es beschreibst, gibt es vielleicht noch keinen deutschen Support und keine vorhandenen Kundenreferenzen.“ Wir haben nat\u00fcrlich keine grundlegend andere Sicht auf den Markt. Wir arbeiten uns auch durch, und am Ende versuche ich immer, so zu reagieren, wie es der Unternehmenseinkauf tun w\u00fcrde, wenn er genug Zeit h\u00e4tte, um auf Basis der Informationen die bestm\u00f6gliche Entscheidung zu treffen. Aber grunds\u00e4tzlich ist es eine gro\u00dfe Herausforderung, die du kurz angesprochen hast: das st\u00e4ndige Wechseln der Vertriebsmitarbeiter von einem Hersteller zum n\u00e4chsten. Das sehe ich auch als ein gro\u00dfes Problem, denn das f\u00fchrt oft dazu, dass die Kollegen in den Projekten beim Kunden nicht wirklich aussagekr\u00e4ftig sind. Wir haben ja eben kurz \u00fcber die Hersteller gesprochen, und ich stimme vollkommen zu: Es gibt einen Business Case dahinter. Wir m\u00fcssen Umsatz machen, wir wollen Geld verdienen, das ist v\u00f6llig legitim. Gleichzeitig machen sich meiner Meinung nach viele Anbieter das Leben oft selbst schwer, indem sie Vertriebsmitarbeiter einsetzen, die ihr eigenes Produkt nicht richtig erkl\u00e4ren k\u00f6nnen oder durch Systemh\u00e4user gehen, deren Vertreter nicht wirklich wissen, welche Vor- und Nachteile oder Alleinstellungsmerkmale das Produkt hat. Wir stellen immer eine einfache Frage: Was hebt Ihr Produkt hervor? Was ist der Verkaufspunkt? Wenn wir darauf keine klare Antwort erhalten, denken wir, da l\u00e4uft etwas schief. Au\u00dferdem f\u00e4llt uns oft auf, dass viele Vertriebsmitarbeiter nicht ausreichend auf das Gespr\u00e4ch vorbereitet sind, gerade in unseren Projekten, obwohl die Informationen meist sehr ausf\u00fchrlich vorliegen. Oft gibt es keine vorherige Absprache mit uns, um zu verstehen, was der Kunde will und warum. Ich habe schon viele Anbieter-Pitches miterlebt, bei denen ich denke: H\u00e4tte man nur vorher die Zeit investiert, um zu verstehen, was der Kunde wirklich braucht. Dann m\u00fcssten wir nicht wieder von Null anfangen.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Ja, das stimmt nat\u00fcrlich oft mit meinen Erfahrungen \u00fcberein, auch wenn ich jetzt im Auftrag des Herstellers unterwegs bin. Manchmal ist es sogar haarstr\u00e4ubend, wenn wir sehen, was bei Ausschreibungen so eingereicht wird. Das f\u00e4llt besonders auf, wenn eine gewisse Lokalit\u00e4t fehlt. Das ist deutschen Kunden wichtig, und das spiegelt sich oft in den Ergebnissen wider. Ich spreche hier nicht nur von der Sprache, ob es nun Englisch oder Deutsch ist, sondern vielmehr von der Art und Weise, wie auf die Anforderungen eingegangen wird. Es ist manchmal wirklich schwierig. Wenn du mich als Hersteller fragen w\u00fcrdest, was unser USP ist, w\u00fcrde ich vermutlich sagen: keine Ahnung. In anderen M\u00e4rkten oder Technologiebereichen mag es das noch geben, aber im breiten Markt wie XDR glaube ich, dass jeder USP, den ich nenne, nichtig w\u00e4re, weil es sicherlich einen anderen Anbieter gibt, der dasselbe bietet. Wenn mich ein Kunde danach fragt, sage ich vielleicht: Ich wei\u00df es nicht, es mag einen geben, es mag keinen geben. Aber ich pr\u00e4sentiere dir unser Konzept f\u00fcr die kommenden drei Jahre, technologisch und operativ. Mir geht es darum, dass du dich gut dabei f\u00fchlst, dass es deinen Anforderungen entspricht und dass wir der richtige Partner sind. Ich m\u00f6chte, dass dir die Idee hinter unserem Konzept gef\u00e4llt, wie wir es darstellen, wie ich es gerade erkl\u00e4re. Wenn dir diese Idee gef\u00e4llt und wenn wir dir Demodaten zeigen k\u00f6nnen – noch besser, wenn wir das mit deinen eigenen Daten \u00fcber vier Wochen tun -, dann brauche ich keinen USP, und diese Diskussion verliert an Bedeutung.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ich verstehe deinen Standpunkt. Ich sehe das ein wenig anders, denn f\u00fcr mich beschr\u00e4nkt sich der USP nicht nur auf die technische L\u00f6sung an sich, sondern auf das Gesamtbild, dass du genau ansprichst. Wir sind in der Lage, ein Gesamtkonzept zu erstellen, das vielleicht einzigartig ist im Vergleich zu anderen. Abh\u00e4ngig von der vorhandenen Kundenlandschaft im Status quo kann ein Hersteller bestimmte Vorteile haben, da bereits viele seiner Komponenten im Einsatz sind. Dadurch k\u00f6nnte die Integrationsf\u00e4higkeit h\u00f6her sein oder das Wissen der Mitarbeiter des Kunden besser passen. Meiner Meinung nach sollte man immer in der Lage sein, aus diesen Gesamtszenarien heraus darzulegen, warum wir uns hier besonders eignen. Nat\u00fcrlich gibt es immer harten Wettbewerb im Bereich der Funktionen, und es ist fair, wenn der Kunde sich letztendlich f\u00fcr Anbieter A oder Hersteller B entscheidet, weil sie praktisch genauso gut sind. Aber oft gibt es auch eine Geschichte hinter einem besonders gro\u00dfen Partnernetzwerk oder einem hervorragenden Support. Aus diesem Mix kann man St\u00e4rken herausarbeiten, die zwar keine eindeutigen Alleinstellungsmerkmale, aber dennoch relevant sind. Mir fehlt oft in Gespr\u00e4chen, in denen ein Systemhaus den Hersteller vertritt, einfach der Inhalt. Man sp\u00fcrt, dass sie nur das Produkt vertreten, es gibt ein Vertriebsabkommen, und da kommt nicht viel mehr. Ein wenig mehr Substanz w\u00e4re schon hilfreich.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Hast du schon einmal missgl\u00fcckte Erfahrungen im Bereich Vergleiche und Herstellerauswahl erlebt? Es muss nicht unbedingt etwas sein, wo ihr selbst ins Fettn\u00e4pfchen getreten seid, aber generell, was hast du schon erlebt? Wir haben viel \u00fcber allgemeine Situationen gesprochen, in denen etwas schiefgegangen ist. Hast du vielleicht eine oder zwei Geschichten, in denen etwas richtig schiefgelaufen ist? Kannst du erkl\u00e4ren, warum das passiert ist und welche Lektionen der Kunde daraus gelernt hat? Vielleicht hat auch ein Hersteller daraus etwas gelernt.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Bevor ich ein oder zwei Beispiele nenne, m\u00f6chte ich klarstellen, dass unsere Absicht nicht darin besteht, Hersteller oder Anbieter zu kritisieren. Es ist wichtig, dies mit einem Augenzwinkern zu betrachten, da auch wir t\u00e4glich Fehler machen, hoffentlich meistens kleine. Es kommt einfach vor. Einmal habe ich mich bei der Preiskalkulation in einem Projekt verrechnet, was mir leider erst nach der Pr\u00e4sentation aufgefallen ist. Nat\u00fcrlich musste ich dann dem Kunden erkl\u00e4ren, dass sich die Preise anders gestalten als zuvor besprochen.<\/p>\n\n\n\n

Aus diesem Grund haben wir ein Vier-Augen-Prinzip eingef\u00fchrt, um sicherzustellen, dass wichtige Kriterien immer doppelt \u00fcberpr\u00fcft werden. Dennoch gibt es gelegentlich Fehlinterpretationen oder Fehler. Es gab Projekte, die \u00e4u\u00dferst attraktiv waren, von der Kundengr\u00f6\u00dfe und den klaren Anforderungen her, Projekte, auf die die ganze Branche abzielen w\u00fcrde. Der Vertrieb hat es jedoch nicht geschafft, innerhalb von vier Monaten auf zwei E-Mails zu reagieren und hat erst sp\u00e4ter, w\u00e4hrend meines Urlaubs, darauf reagiert. Zu diesem Zeitpunkt war es leider zu sp\u00e4t, da sich der Kunde bereits auf der Grundlage der Shortlist entschieden hatte. Das ist eine Geschichte, \u00fcber die man schmunzeln kann. Was ich bereits erw\u00e4hnt habe, bezieht sich auch auf den unreflektierten Umgang des Anbieters. Wir hatten ein gr\u00f6\u00dferes Projekt im Bereich ISMS GRC Governance Risk Compliance mit einem gro\u00dfartigen Kunden. Der Anbieter hat sich jedoch f\u00fcr ein kleineres Unternehmen entschieden, das noch als Startup bezeichnet werden kann. Sie waren flexibel und agil. Als ich dem Tool-Hersteller die Absage mitteilte, hat er sich extrem negativ dar\u00fcber ge\u00e4u\u00dfert, dass der Kunde sich gegen sie entschieden hat. Das war unreflektiert und zeigte, dass sie nicht verstehen wollten, warum der Kunde sich f\u00fcr einen kleineren Anbieter entschieden hat. Es scheint offensichtlich Gr\u00fcnde daf\u00fcr zu geben, die man h\u00e4tte ber\u00fccksichtigen m\u00fcssen<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ein weiterer Punkt, den ich gerne den Anbietern nahebringen m\u00f6chte und hoffe, dass sie ihn umsetzen, betrifft die Komplexit\u00e4t der Angebote. Wir bieten selbst ein recht einfaches Paket an. Unsere Dienstleistungen sind auf acht Seiten Word dokumentiert, einschlie\u00dflich einer Einleitung und rechtlicher Bestimmungen. Wir schicken normalerweise innerhalb von 24 Stunden ein Angebot raus. Aber wenn ich mir die Angebote anderer Anbieter anschaue, sehen wir oft, dass sie enorm viel Zeit in komplexe Angebote investieren. Am Ende schicken sie vielleicht nur den Preis per E-Mail, indem sie sagen, ‚Das ist vorl\u00e4ufig, da ich den Kundennamen nicht kenne und erst registrieren muss.‘ Aber das k\u00f6nnte in etwa die Kosten sein. Dann schicken sie jedoch ein ZIP-Archiv mit zw\u00f6lf Dokumenten, insgesamt 90 Seiten auf Englisch. Das ist zwar nicht verboten, aber wenn du einen Kunden gewinnen m\u00f6chtest, w\u00e4re das deine erste Reaktion? Im Privatbereich w\u00fcrdest du vermutlich denken: ‚Das ist zu kompliziert, ich f\u00fcrchte, ich \u00fcbersehe etwas.‘ Wir haben daf\u00fcr bereits unsere Expertise, aber selbst wir k\u00f6nnen nicht jede Zeile im Detail lesen. Das f\u00fchrt manchmal zu einem Punkt, an dem wir denken, ‚Das wird schwierig!‘<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Ja, das ist in der Tat etwas heikel, das kenne ich auch. Es ist wirklich ein Problem, wenn man mit vielen Herstellern zusammenarbeitet. Manchmal liegt das am Individuum, aber oft auch an den komplizierten Prozessen im Hintergrund \u2013 mit Preislisten, Bundles und Lizenzen, die innerhalb dieser Unternehmen so unglaublich komplex gestaltet sind, dass es schwierig ist, einen verl\u00e4sslichen Preis zu nennen.<\/p>\n\n\n\n

Da muss ich oft das Individuum in Schutz nehmen und nicht das Unternehmen. Eine pers\u00f6nliche Geschichte zeigt, wie wichtig es ist, langfristig Partnerschaften und Konzepte zu betrachten. Vor einigen Jahren, als ich noch f\u00fcr ein Beratungsunternehmen arbeitete, hatte ich einen Kunden, der mehr Visibilit\u00e4t wollte und die Grundlage f\u00fcr ein zuk\u00fcnftiges SOC schaffen wollte. Es wurde ein Budget festgelegt, das nicht \u00fcberschritten werden durfte, und f\u00fcr die ben\u00f6tigte Technologie, laut Gesetz, ein Ziel erforderlich war. Wir haben nach SIEM-Anbietern gesucht, aber ich betonte st\u00e4ndig, dass das Budget niemals ausreichen w\u00fcrde, um die gew\u00fcnschte Datenqualit\u00e4t und Visibilit\u00e4t mit einem SIEM zu erreichen. Ich habe immer gesagt, dass sie mit einem Faktor von drei bis vier \u00fcber ihrem Budget liegen w\u00fcrden. Obwohl es keinen Vergleich zwischen den Herstellern gab und ich lediglich in dieser Hinsicht beriet, wurden dann jedoch vor der Einstellung des technischen Personals eine SIEM-L\u00f6sung auf Basis von IPS, also Events pro Sekunde, gew\u00e4hlt. Der Anbieter kalkulierte und sagte: ‚Wir haben einen Konfigurator, und das Ergebnis lag sogar unter eurem Budget, plus 15 Prozent Puffer f\u00fcr die n\u00e4chsten drei Jahre \u2013 damit seid ihr fertig.‘ Es war tats\u00e4chlich noch unter dem Budget, vielleicht sogar 10 Prozent weniger, und alle waren zufrieden.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Als ich ihnen sagte, dass es nicht ausreichen w\u00fcrde, haben sie gemeint, ‚Das ist in unserem dreij\u00e4hrigen Plan eingerechnet.‘ Doch was geschah? Die ersten beiden Analysten kamen, einer mit reichlich Erfahrung. Er stellte fest, dass die Firewall-Logs im Blockmodus wenig aussagten. Windows Event Logs sind interessant. Bitte liefern Sie Telemetrie \u00fcber ein EDR-Tool, sagte er. Das wurde kalkuliert, und pl\u00f6tzlich bekamen sie das Achtfache Volumen an Logs. Es kam, wie ich vorhergesagt hatte, auf das dreifache bis Vierfache heraus. Der Finanzvorstand, der das Projekt unterschreiben sollte, war au\u00dfer sich, als er sechs Monate nach Vertragsabschluss pl\u00f6tzlich einen Antrag f\u00fcr eine dreifache oder vierfache Summe bekam. Der Hersteller sagte daraufhin sofort etwas in der Art von: ‚Scheint, als w\u00fcrde er Sicherheit nicht ernst nehmen.‘ Ich erkl\u00e4rte: ‚Nat\u00fcrlich nimmt er das ernst, aber stell dir vor, du bist der Finanzvorstand! Dein Kind bittet um 50 Euro f\u00fcr die n\u00e4chsten drei Monate, verspricht, es reicht aus, aber eine Woche sp\u00e4ter sagt es: ‚Papa, ich brauche 400 Euro mehr und es war nicht meine Schuld!‘ Das ist wirklich passiert. Der erfahrene Analyst ist gegangen, er hatte genug Angebote. Er sagte: ‚Was soll ich hier machen, wenn ich keine Datenbasis habe? Und die Art und Weise, wie hier mit Projekten umgegangen wird, passt nicht zu mir.‘ Er hatte das Gl\u00fcck, sich den Arbeitgeber aussuchen zu k\u00f6nnen. Das war in der Probezeit, und es hat fast vier Jahre gedauert, bis sie ein vern\u00fcnftiges Konzept hatten.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Ich erkenne diese Geschichte in einigen unserer Projekte wieder. Deshalb hier noch einmal ein expliziter Aufruf an alle Hersteller: Weg vom Volumen-basierten Abrechnungsmodell hin zu anderen Faktoren wie der Anzahl der Clients oder Mitarbeiter. Dieser Schritt w\u00e4re wirklich entscheidend, da das Volumenmodell oft nicht realistisch kalkulierbar ist. Wir unterst\u00fctzen hierbei immer gerne. Jedoch sind am Ende Vergleichswerte wichtig, um eine bessere Einsch\u00e4tzung zu erm\u00f6glichen. Vergleichbare Unternehmen mit \u00e4hnlichem Setup, Anzahl an Nutzern oder Systemvielfalt bewegen sich ungef\u00e4hr in diesem Bereich. Aber ich kann vollkommen nachvollziehen, dass es frustrierend ist, viel Zeit zu investieren und am Ende die L\u00f6sung doch nicht umsetzen zu k\u00f6nnen. Das ist wirklich der Worst-Case f\u00fcr alle Beteiligten.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Bei dem Anbieter gab es tats\u00e4chlich eine Menge Unehrlichkeit bei den Antworten, und sie haben nicht einmal mehr Umsatz gemacht, sondern die L\u00f6sung einfach auslaufen lassen. Das sind so ein paar der missgl\u00fcckten Erfahrungen, von denen ich erz\u00e4hlen kann. Nun, wir kommen langsam zum Ende. Wir haben heute eine Vielzahl von Themen besprochen, und ich hoffe, es hat dem einen oder anderen von euch geholfen oder vielleicht sogar zum Schmunzeln gebracht. Mit den bevorstehenden Osterfeiertagen k\u00f6nnte man sich ja vielleicht irgendwo in einer dieser Geschichten wiederfinden. Ich denke, das muss man heutzutage sogar gesetzlich erw\u00e4hnen: Das hier war keine Werbung oder \u00c4hnliches. Ich finde dieses Konzept wirklich sehr interessant. Philipp hat bereits dar\u00fcber gesprochen, dass es immer Einschr\u00e4nkungen, in die eine oder andere Richtung geben wird und dass man ohne eigene Anforderungen nicht weiterkommt. Ihr k\u00f6nnt aus der Praxis lernen, das ist das Wichtigste, um Betriebsblindheit zu vermeiden, aber letztendlich m\u00fcsst ihr entscheiden und ein gutes Gef\u00fchl dabeihaben, nicht jemand anderes.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Wenn ich das noch kurz unterstreichen darf. Wir haben viel \u00fcber uns gesprochen, was nat\u00fcrlich einen gewissen werblichen Charakter hat. Mir ist es jedoch wichtig zu betonen, dass es neben uns auch andere Anbieter und Beratungsh\u00e4user gibt, oder man kann sich selbst das Wissen aufbauen. Der Vergleich an sich ist sinnvoll, nicht mit dem Ziel, Anbieter oder Hersteller gegeneinander auszuspielen, sondern um herauszufinden, was ich wirklich ben\u00f6tige und welcher Ansatz f\u00fcr mich der Richtige ist. Denn es geht nicht immer nur darum, die beste EDR-L\u00f6sung zu finden, sondern auch zu \u00fcberlegen, ob es nicht noch drei andere Themen gibt, die ich als mittelst\u00e4ndisches Unternehmen vorrangig angehen sollte. Vielleicht die Einf\u00fchrung eines zweiten Faktors, wenn das noch nicht vorhanden ist, oder die Aktualisierung der Passwortl\u00e4nge, solche Dinge sind mir besonders wichtig.<\/p>\n\n\n\n

Das alles kann nat\u00fcrlich auch unabh\u00e4ngig von unserer Unterst\u00fctzung erfolgen, das m\u00f6chte ich betonen. Es hat mir wirklich viel Spa\u00df gemacht, Robert.<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Wie gesagt, mir auch. Wir w\u00fcnschen euch allen ein hoffentlich langes Osterwochenende oder h\u00f6rt einfach mal wieder rein. Beim n\u00e4chsten Mal sind wieder spannende G\u00e4ste dabei. Wir planen auch eine neue Folge mit aktuellen Neuigkeiten, da hat sich doch einiges angesammelt. Ich bedanke mich wie immer f\u00fcr das sehr positive Feedback und m\u00f6chte euch dazu aufrufen, den Podcast zu teilen und gerne bei eurem bevorzugten Podcast-Player zu bewerten. Erz\u00e4hlt es euren Kindern, euren Gro\u00dfeltern oder jedem anderen \u2013 der Podcast ist f\u00fcr alle interessant. Nochmal, vielen Dank und vielleicht bis zum n\u00e4chsten Mal.<\/p>\n\n\n\n

Philipp Pelkmann:<\/strong> Meine Familie wird sich das auf dem Weg in den Osterurlaub anh\u00f6ren d\u00fcrfen. Ich bin gespannt auf ihr Feedback zum Podcast. Es hat mir total Spa\u00df gemacht. Gr\u00fc\u00dfe auch an Kim und bis zum n\u00e4chsten Mal!<\/p>\n\n\n\n

Robert Wortmann:<\/strong> Danke dir, tsch\u00fcss.<\/p>\n\n\n\n

Jetzt den Podcast nachh\u00f6ren<\/h3>\n\n\n\n

Podcast nachh\u00f6ren unter:<\/p>\n\n\n\n

BREACH FM<\/strong>: https:\/\/breachfm.transistor.fm\/episodes\/alle-11-minuten-verliebt-sich-ein-unternehmen-in-marketing<\/a>
Apple Podcasts<\/strong>: https:\/\/podcasts.apple.com\/de\/podcast\/breach-fm-der-infosec-podcast\/id1641279793<\/a>
Spotify<\/strong>: https:\/\/open.spotify.com\/show\/4ooV9mM8Qiyfkj9jUkdZjj<\/a>
Google Podcast<\/strong>: https:\/\/podcasts.google.com\/feed\/aHR0cHM6Ly9mZWVkcy50cmFuc2lzdG9yLmZtL2JyZWFjaC1mbS1kZXItaW5mb3NlYy1wb2RjYXN0?sa=X&ved=0CAMQ4aUDahcKEwjQ5JG8hZ38AhUAAAAAHQAAAAAQAQ<\/a><\/p>\n\n\n\n