#10: Being a CISO – Vom Traumjob zur Bedrohungslandschaft

Transkript #E10

Lisa Fröhlich:

Lisa Fröhlich: Hallo und willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin die Unternehmenssprecherin bei Link11. Und heute haben wir einen ganz besonderen Gast bei uns, auf den ich schon lange gefreute habe. Ich darf heute, Julia Dudenko, Group CISO bei Haniel bei mir als Gast begrüßen. Wir haben uns beide auf der ITSA 2023 kennengelernt.

Lisa Fröhlich: Dort waren wir beide beim Gründungsevent des deutschen Chapter Women4Cyber und haben über das Thema Cybersecurity und Frauen in der Branche diskutiert und über die Wichtigkeit von frühzeitiger Bildung, also Cybersecurity als edukatives Element für Schüler und Kinder, etc.

Lisa Fröhlich: Ich möchte unser Gespräch heute gerne weiterführen und mit Julia über ihre Aufgaben als Group CISO, über ihre Erfahrungen als Frau in der Branche sprechen. Mich interessiert auch, wie sie die aktuelle Bedrohungslage einschätzt und welche Trends und Entwicklungen sie für die Zukunft sieht und warum wir oder sie der Meinung ist, warum frühe Bildung im Kontext von Cybersecurity ein echtes Zukunftsthema ist. Aber bevor wir alle diese Themen behandeln, möchte ich Julia bitten, sich unsere Zuhörer kurz vorzustellen.

Julia Dudenko:

Julia Dudenko: Vielen Dank, Lisa, dass du mich zu diesem Podcast eingeladen hast. Ich finde, die Themen sind sehr relevant und ich freue mich darauf, mit dir in den Dialog zu treten. Ich bin nun seit einem Jahr Group CISO bei Haniel. Haniel ist nicht sehr bekannt, aber es ist eigentlich ein sehr altes Unternehmen, das es seit 1756 gibt. Und was mich zu Haniel gebracht hat, ist der Begriff Enkelfähigkeit.

Julia Dudenko: Haniel ist ein Purpose-driven Investor, der in Dinge investieren will, die unsere Welt ein bisschen besser machen. Und das hat mich wirklich gereizt, weil ich dreifache Mutter bin. Und natürlich möchte ich diese Welt in einem besseren Zustand hinterlassen, als sie ist. Und ich denke, Cybersicherheit passt unglaublich gut zu dem Begriff Enkelfähigkeit. Denn in der modernen Welt, können Unternehmen nur dann über Generationen hinweg überleben, wenn sie eine starke Cybersicherheit haben.

Lisa Fröhlich:

Lisa Fröhlich: Ja, ja. Das heißt, wie gesagt, Haniel gibt es seit mehr als 265 Jahren und ist seitdem als erfolgreiches Unternehmen im Ruhgebiet aktiv, das kleinere Unternehmen als Investor begleitet oder unterstützt. Das aktuelle Portfolio ist sehr vielfältig. Wie Du gesagt hast, Unternehmen, die man vielleicht nicht einmal auf den ersten Blick sieht, wahrnimmt, zum Beispiel Emma, die beste Matratze der Welt oder CWS. Das kennen wir wahrscheinlich alle von den Handtuchspendern. Und ja, wie würdest du deine Aufgaben und Verantwortlichkeiten in drei Sätzen beschreiben, die dich als Group CISO auszeichnen?

Julia Dudenko:

Julia Dudenko: Ich stütze mich auf mein Team wie auf die sieben CISOs der Mehrheitsbeteiligungen von Haniel. Meine Aufgabe ist es, die Gruppenstandards zu veröffentlichen und über die Zukunft dieser sieben Unternehmen in Bezug auf die Cybersicherheit nachzudenken. Aber zu der Zeit, zu unseren Kollegen eine Roadmap, wie wir Schritt bekommen.

Lisa Fröhlich:

Lisa Fröhlich: Mm -hmm.

Julia Dudenko:

Julia Dudenko: Was auch wichtig ist, ist die Vernetzung zwischen den Portfoliounternehmen. Denn teilweise haben wir großartige Benchmarks und wunderbare Lösungen erarbeitet. Und es hilft nur, wenn wir darüber sprechen, wenn wir voneinander lernen und sie dann anwenden.

Lisa Fröhlich:

Lisa Fröhlich: Gibt es bei deiner täglichen Arbeit besondere Herausforderungen. Ich persönlich finde es schwierig, sieben verschiedene Geschäftssysteme oder sieben verschiedene IT-Strategien unter einen Hut zu bekommen. Und wie Du gesagt hast, eine gemeinsame Gruppenstrategie zu implementieren, die für alle funktioniert und nutzbar und umsetzbar ist.

Julia Dudenko:

Julia Dudenko: Ja, das ist eine gute Frage. In der Tat gehören alle sieben Unternehmen unterschiedlichen Branchen an. Sie haben auch unterschiedliche Reifegrade. Es gibt eine Reihe von IT-Implementierungen, Infrastrukturen, aber natürlich auch Cybersicherheitsstandards. Und in der Tat war es für mich anfangs nicht einfach zu verstehen, wie wir diese Mindeststandards erreichen können.

Julia Dudenko: Nach ein paar Monaten beschloss ich, einen Standard für alle festzulegen. Ich dachte, wir sollten die Unternehmen dort abholen, wo sie stehen, und sie Schritt für Schritt wachsen lassen. Es war wichtig zu verstehen, was unsere Risikobereitschaft ist, was unser Nordstern ist, was wollen wir erreichen? wollen. Diese Vision ist für alle die gleiche. Aber was sie dieses Jahr erreichen müssen, ist unterschiedlich. Denn was für einen Kindergartenbetreiber gilt, ist nicht dasselbe wie für eine Reifen-AG.

Lisa Fröhlich:

Lisa Fröhlich: Wir haben schon über die Digitalisierung im Mittelstand gesprochen. Man sieht halt den unterschiedlichen Reifegrad des Unternehmens, auch in Bezug auf IT-Sicherheit, was in den Unternehmen Standard ist oder weiter standardisiert wird oder auch ausgebaut und verstärkt werden wird... Wie gesagt, ich persönlich finde das total spannend. Aber Cybersecurity ist ein komplexes Thema und wir haben auch auf der Veranstaltung, die wir beide auf der ITSA besucht haben. Cybersecurity, und das hat auch Claudia Plattner in ihrer Einführungsrede gesagt, dass ist ein Teil dessen ist, wodurch sich Unternehmen auszeichnen können, wodurch Unternehmen wettbewerbsfähiger werden. Und oft ist die Einsicht, dass präventive Maßnahmen notwendig sind, um eine gewisse Resilienz gegen die immer mehr werdenden Cyberangriffe aufzubauen, ein großes Thema. Wie erlebst du das auf Unternehmensseite? Gibt es immer noch jemanden, der sagt, ach, das ist nicht so wichtig, wir sind nicht groß genug, wir sind nicht betroffen von, wir machen uns keine Sorgen oder wie ist dein Eindruck?

Julia Dudenko:

Julia Dudenko: Ja, das ist eine wunderbare Frage. Einerseits denke ich, dass Vertrauen die Währung der Zukunft sein wird. Und was du sagst, manche Kunden erwarten, dass wir bestimmte Standards im Bereich der Cybersicherheit erfüllen. Zum Beispiel ein Unternehmen aus dem Portfolio, BauWatch, das die Überwachungstürme für Baustellen vermietet. Natürlich erwarten die Kunden, dass dort die ISO 27001-Zertifizierung gilt.

Julia Dudenko: Ich denke, dass man das Thema Vertrauen noch weitergesehen werden sollte. Nicht nur in der Beziehung zwischen Kunde und Lieferant, sondern idealerweise vielleicht auch zwischen Unternehmen. Das wir bestimmte Prüfmaßnahmen vielleicht als Unternehmen miteinander teilen können. Und gerade im deutschen Mittelstand, sehne ich mich mit viel Ungeduld nach einer Zukunft, in der wir nicht alle einzeln 400 Fragen umfassende Fragebögen ausfüllen müssen, sondern vielleicht haben wir eine Stelle, wo wir sagen, wenn Siemens das geprüft hat, dann ist dieser Lieferant zu 99 % in Übereinstimmung mit unseren Standards. Und wir müssen die Arbeit nicht noch einmal machen. Stell‘ dir vor, wie viele Arbeitsstunden dadurch eingespart werden können. Dieses Vertrauen zwischen den Unternehmen wäre großartig. Und natürlich hast du mich nach der Perspektive innerhalb des Unternehmens gefragt.

Julia Dudenko: Das Vertrauen in die eigenen Leute ist absolut notwendig und auch das Vertrauen aufzubauen, zu sagen, dass Cybersicherheit kein IT-Thema ist, sondern dass es definitiv ein Thema auf der Geschäftsführungsebene ist. Mit den neuen Regulierungsmaßnahmen, NIS2, ist das Management natürlich noch stärker für Cybersicherheitsentscheidungen verantwortlich. Aber als ich vor 12 Monaten angefangen habe, wurde mir gesagt, Frau Dudenko, Cybersicherheit ist ein technisches Thema. Wir wollen nicht darüber auf der Ebene der Unternehmensführung sprechen.

Julia Dudenko: Das haben wir geändert, das ist nicht mehr so. Sie verstehen, dass Cybersicherheit eigentlich ein Hüter der Geschäftsprozesse ist. Und dass man die Unterbrechung von Geschäftsprozessen als eines der größten Geschäftsrisiken betrachten sollte. Was hilft dabei, dieses Vertrauen aufzubauen?

Julia Dudenko: Es hilft mir die gleiche Sprache wie die Geschäftsführung zu sprechen und die Risiken in Euros zu übersetzen. Und nicht zu diesen Risiken mit den neuesten CWEs und so weiter zu benennen, weil die schalten da ab und ich kann nicht dieses tiefe technische Verständnis erwarten von daher kann ich nur meine Kollegen raten, einen MBA abzuschließen und verstehen, was die wichtigsten Geschäftsprozesse sind.

Julia Dudenko: Was passiert, wenn diese Prozesse aufgrund von Cyberangriffen, aber auch aufgrund von Bränden nicht mehr funktionieren? Die Unterbrechungen können unterschiedlich sein. Und Cyber ist nur eine davon. Das sollten wir uns nicht zu ernst nehmen. Denn Prozesse können auch andere Sache, wie wir jetzt bei Tesla durch den Stromausfall gesehen haben, unterbrochen werden und einen großen Impact haben.

Julia Dudenko: Und eigentlich die Relevanz, die Relevanz zu erklären, warum wir die folgenden Patches durchführen sollten, was bringt es für bestimmte Geschäftsprozesse, was hat es für eine Relevanz oder für eine Auswirkung.

Lisa Fröhlich:

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: DDoS-Angriffe sind so alt wie das Internet selbst. Sind Unternehmen davon betroffen? Ja, jeden Tag. Wir haben eine unglaubliche Anzahl von Angriffen. In unserem neuen Bericht, den wir letztes Jahr veröffentlicht haben, haben wir 70 % mehr Angriffe als im Jahr zuvor.

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: Auch wenn DDoS so alt ist wie das Internet selbst, werden die Angriffe nicht verschwinden. Sie werden immer smarter, wie wir beobachten. Sie suchen sich ihren Weg. Inzwischen sehen wir mehr und mehr Angriffe auf der Ebene der Webanwendungen. Das ist eine Entwicklung, die ständig voranschreitet, auch auf der Seite der Angreifer. Und du hast den risikobasierten Ansatz angesprochen.

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: Und ich denke, es ist unglaublich wichtig, dass Unternehmen sich klar machen, welche Risiken mit einem Cyberangriff verbunden sind. Und das sind nicht nur Risiken wie, meine Website ist zwei Tage lang nicht erreichbar. Aber was bedeutet das? Wie dekliniere ich das durch, wenn meine Website fünf Tage lang nicht erreichbar ist? Denn das ist oft das, was viele Unternehmen mit DDoS-Angriffen in Verbindung bringen. Ja, dann ist meine Website nicht mehr erreichbar.

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: Aber viele Unternehmen, die eine hohe Intensität haben, oder für Unternehmen mit einer großen Webpräsenz, das macht etwas mit Ihnen, wenn der Webauftritt tagelang nicht erreichbar ist. Das bleibt auch im Gedächtnis der potenziellen Kunden hängen und wird ebenso von anderen Angreifern wahrgenommen.

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: Für Hacker ist das doch ein Indiz dafür, dass der Grundschutz schon fehlt. Ich bin kein Hacker, aber das wäre das erste Indiz, um nach Unternehmen zu suchen. Okay, wer hat einen DDoS-Angriff? Man kann alles relativ schnell mit fünf Klicks im Internet herausfinden, auch wenn man keine Hackerschule besucht oder IT, Security oder Informatik studiert hat.

Wir erleben das oft auf der Anbieterseite. Ich hatte ein kurzes Gespräch mit dem Tagesspiegel. Es ging um die DDoS-Angriffe. Die klassische Frage war: Und ich finde, es ist so wichtig, wie du gesagt hast, dass wir uns anschauen, was sind die Risiken, was sind die wirtschaftlichen Folgen für die Unternehmen und dass man sich auf das Wesentliche konzentriert. Worum geht es denn? Welche Geschäftsprozesse sind so wichtig oder Geschäftsprozesse sind so wichtig, dass sie doppelt so schützenswert sind?

Julia Dudenko:

Julia Dudenko: Genau, also das Thema DDoS, toll, dass du das erwähnst, weil viele verharmlosen das Thema. Eigentlich hatte ich letztes Jahr nur zwei Szenarien für die größten Risiken auf unserer Roadmap, das wäre Ransomware, typischerweise, und DataLeak, das ist auch klar, aber dieses Jahr würde ich DDoS dazu nehmen, weil was ich beobachte, die DDoS-Attacken sind viel intensiver, dass Unternehmen nicht mehr für einen Tag, sondern für Wochen lang lahmgelegt werden.

Julia Dudenko: Und man muss darauf vorbereitet sein und sich fragen, was ist auf dieser Website? Ist sie ein Kanal für meine Wertströme? Vielleicht ist es Ihr einziger Kanal für meine Wertströme. Vielleicht ist es mein Webshop, vielleicht habe ich meinen Kundenservice mit dem verbunden, was ist da? Was ist gestört? Denn es ist ja nicht nur eine Webpräsenz, wie du sagst, der Reputationsschaden ist ein Thema, sondern auch, was macht es mit meinen Prozessen?

Julia Dudenko: Kann ich noch liefern? Kann ich noch Kunden bedienen? Kann ich meine Kunden noch kontaktieren? Und was ich beobachte, ist eigentlich, dass man diesen Reputationsschaden bis jetzt nirgends feststellen kann. In allen Risikomanagementsystemen, die ich im Moment durchsehe, kann man den Reputationsschaden nicht ausschließen, aber das ist zum Teil der größte Punkt. Wie kann man Kunden zurückholen?

Julia Dudenko: Wie kommuniziert man in der Krise? Indem man Vertrauen aufbaut. Vertrauen ist die Währung. Indem man Vertrauen aufbaut, dass dieses Unternehmen das Risiko hat und vielleicht schon eine doppelte Website im Hintergrund hat, die im Fall des DDoS-Angriffs live geschaltet wird.

Julia Dudenko: Aber natürlich, wenn wir uns gegen DDoS wehren können, haben wir schon eine Menge gewonnen. Und wie man so schön sagt, oft ist der beste KPI, wie gut kann der CISO schlafen. Und da helfen uns die Maßnahmen und die Lösungen, die automatisiert gegen DDoS wirken.

Lisa Fröhlich: Wir haben uns ja beim Gründungsevent der Women4Cyber auf der itsa 2023 kennengelernt und ich habe die positive Energie und die bestärkende Eröffnungsrede von Claudia Plattner noch gut in Erinnerung. Für mich ist die BSI-Präsidentin, was das Thema Cybersicherheit angeht und wie sie die Dinge für Deutschland anpackt die richtige Frau am richtigen Ort. Und der Eindruck hat eine lange Zeit nachgewirkt und ich denke wirklich gerne zurück an die Veranstaltung und ich bin dieses Jahr auch dem Netzwerk beigetreten.

Lisa Fröhlich: Und ich merke oft, dass, wenn ich über meinen Job rede, viele Leute sagen, wie? Du bist in der Cybersicherheit tätig? Das ist noch abwegiger als Frauen in der Finanzbranche, in der ich vorher gearbeitet habe. Ich habe also den Eindruck, dass wir hier noch ein paar Exotinnen sind. Auch wenn ich nicht im technischen Bereich arbeite, sondern im Kommunikationsbereich bei Link11, beobachte ich, dass immer mehr Frauen in die Cybersicherheit gehen. Und es gibt auch Bestrebungen, Quereinsteigerinnen zu fördern, was absolut Sinn macht.

Lisa Fröhlich: Auf die Fachkräfte, die da draußen noch an anderen Dingen außerhalb arbeiten, weil sie vielleicht noch kleine Kinder haben, können wir in Zukunft nicht verzichten. Ich wollte dich fragen, wie deine Erfahrungen als Frau in der Cybersicherheitsbranche und in deinem beruflichen Umfeld sind, wie lange du dort arbeitest und wie du dich dorthin entwickelt hast?

Julia Dudenko:

Julia Dudenko: Ich glaube, ich kann nicht sagen, wie lange ich schon dabei bin, denn Sie wissen ja, wie alt ich bin. Aber ich habe eigentlich einen technischen Hintergrund. Ich habe Wirtschaftsinformatik studiert, und ich war eine von zwei Frauen in einem Kurs mit 28 jungen Männern. Das heißt also, diese Repräsentation, dass Frauen in solchen Bereichen immer noch als Exotinnen wahrgenommen werden, kann ich bestätigen.

Julia Dudenko: Ich bin seit mehr als 15 Jahren in der IT tätig, in führenden Positionen. Ich kenne nichts anderes als die Situation, dass ich die einzige Frau im Raum bin.

Lisa Fröhlich:

Lisa Fröhlich: Mmh. Das hat Claudia Plattner ja auch geschildert.

Julia Dudenko:

Ja, das ist richtig. Aber mir geht es nicht um die Herausforderung. Ich möchte gerne darüber reden, wie gut es manchmal ist, die einzige Frau im Raum zu sein. Und eigentlich gefallen mir die drei Argumente. Erstens: Die Branchen, in denen man sich als einzige Frau im Raum bewegt, entwickeln sich in der Regel unheimlich schnell. Es ist so aufregend, in diesen Branchen zu arbeiten. Also ich muss sagen, ich liebe meinen Job. Weil viel mehr passiert als in jeder Seifenoper.

Ja, das ist richtig. Aber mir geht es nicht um die Herausforderung. Ich möchte gerne darüber reden, wie gut es manchmal ist, die einzige Frau im Raum zu sein. Und eigentlich gefallen mir die drei Argumente. Erstens: Ich muss wirklich morgens beim ersten Kaffee über die Cybersicherheitsnachrichten lesen, über die neuesten Schwachstellen, über die Trends, über die Angriffe und so weiter, und das ist so spannend, weil es immer etwas gibt, wo man sich weiterbilden und sich weiterentwickeln kann. Das ist für jeden, der sich dafür interessiert und den Wunsch hat, sich mit technischen Berufen zu beschäftigen. Zweitens, wie soll ich das politisch korrekt ausdrücken? Ich sage es, wie es ist. In der Welt der Männer kommt das Feedback sofort. Ob es nun gut ist oder nicht. Es wird klar definiert und gesagt, ich mag das nicht, ich mag das. Und das finde ich großartig. Man merkt das, man weiß, wo man ist, wo man steht, und man kann aus dieser Situation etwas machen.

Ja, das ist richtig. Aber mir geht es nicht um die Herausforderung. Ich möchte gerne darüber reden, wie gut es manchmal ist, die einzige Frau im Raum zu sein. Und eigentlich gefallen mir die drei Argumente. Erstens: Man bekommt natürlich die Rückmeldungen und ich denke, was toll ist, sind die verschiedenen Perspektiven. Ich diese Offenheit. Und drittens, man wird automatisch sichtbar. Das heißt, im Positiven, wenn man gute Arbeit macht, hat man auch diese Sichtbarkeit. Weil man die einzige Frau ist, fällt man auf. Und wenn du diese drei Dinge zusammenbringst, kannst du es als Vorteil sehen. Aber ich wünsche mir natürlich - ich nenne sie Cyber-Schwestern, also mehr Frauen in unserem Beruf. Denn wenn man eine Frau in der Cybersicherheit trifft, entwickelt man ein Gefühl der Sympathie, weil man weiß, was dieser Beruf mit sich bringt, und man weiß, dass wir Frauen oft noch eine viel intensivere Arbeit zu Hause haben und wenn man das unter ein Dach und ein Fach bringt, dann hat man automatisch viel Respekt vor diesen Cybersisters.

Lisa Fröhlich:

Lisa Fröhlich: Ja, das ist richtig. Mir ist auch aufgefallen, dass du deine Reichweite auf LinkedIn nutzt und du jetzt auch ausgewählt bist und zu den Top 100 weiblichen Cyber-Experten gehörst. Ich denke, das ist großartig. Ich denke, der von Ihnen erwähnte Aspekt ist, dass sich die Branche weiterentwickelt. Man kann eine Menge lernen. Was ich in den letzten Jahren gelernt habe...

Lisa Fröhlich: Ich bin 2020 an die TU Darmstadt gekommen und habe Wissenschaftskommunikation bei Professor Ahmad Sadeghi für IT, IT-Sicherheit und Systemsicherheit gemacht. Mit diesen Themen hatte ich mich vorher noch nie beschäftigt. Das war eine ganz neue Welt für mich. Ich fand es unheimlich spannend. Ich bin sehr neugierig, ich versuche mich so weit wie möglich in unsere Produkte reinzufuchsen und mit unseren Solution Engineers zu diskutieren. Und ich versuche, ihre sehr technischen Blogartikel in eine verständliche Sprache und für unsere Website zu übersetzen.

Lisa Fröhlich: Es macht mir sehr viel Spaß, weil ich auch das Gefühl habe, dass ich in vielerlei Hinsicht gefordert bin und trotz allem finde ich zumindest von meinem Arbeitgeber, dass es ein sehr wertschätzender Umgang ist. Wie du sagst, gibt es ein klares Feedback, was ich persönlich sehr begrüße. Ich finde es unglaublich gut, dass es klar ist, sozusagen schnell klar ist, was eigentlich läuft und los ist. Wir reden nicht lange über den heißen Brei, weil wir alle dafür keine Zeit haben.

Lisa Fröhlich: Wir haben alle viel auf dem Tisch und ich kann es auch als Frau aushalten. Es ist ja nicht so, dass ich Handschuhe will. Was mir immer so wichtig ist, wenn ich Feedback bekomme und ich die Erfahrung hier und in anderen Bereichen habe, ist es immer sehr konstruktiv. Weil wir einfach wissen, dass wir nur im Team das Beste für unsere Kunden erreichen können und uns als Unternehmen voranbringen.

Lisa Fröhlich: Ich glaube es ist gut, wenn mehr weibliche Vorbilder in der Cybersicherheit im Rampenlicht stehen. Und ich kann mir vorstellen, dass das sukzessive mehr werden wird. Und wie gesagt, wir sind beide, oder es gibt verschiedene Initiativen, Frauennetzwerke, und da kann ich nur an unsere Zuhörerinnen appellieren, schaut euch an, was da los ist.

Lisa Fröhlich: Es gibt verschiedene Initiativen, sicherlich regional. Es lohnt sich immer, weil, wie gesagt, unser Gespräch heute geht im Grunde nur darum zustande, weil wir uns auf einer Frauenveranstaltung getroffen haben und ich dachte, wow, das ist eine spannende Persönlichkeit. Die möchte ich unbedingt in unserem Podcast haben. Und das ist so viel mehr, was sein kann, und ich denke, da ist eine Menge los. Es geht viel um den Austausch unter den Cybersisters.

Lisa Fröhlich: Um noch mal einen Blick auf die aktuelle Situation zu werfen und um deine Einschätzung als Group CISO zu hören, du hast gesagt, dein erstes Tagesritual ist, ich lese mich zum ersten Mal ein, was draußen in der Cyberlandschaft passiert, was ist neu, wo sind neue Schwachstellen, was sind die Angriffe, usw. Was sind für dich die größten Gefahren im Bereich der Cybersicherheit?

Julia Dudenko:

Julia Dudenko: Die größte Gefahr ist, ich würde sie in zwei Kategorien unterteilen. Einerseits die interne Gefahr, dass wir immer noch unterbesetzt sind und Fachkräfte fehlen, was ich als eine der größten Gefahren ansehe. Was ich von außen beobachte, ist natürlich das Thema KI, die jetzt in aller Munde ist, wie wir bereits besprochen haben. Teilweise nicht wertstifend, aber was wir beobachten, ist natürlich, dass mit KI-Tools greift man viel billiger und schneller an und implementiert sie dann.

Julia Dudenko: Und so beobachte ich eine Art KI-Aufrüstung auf beiden Seiten. Die Anbieter der Lösungen werben natürlich mit KI-unterstützten Features. Und auf der anderen Seite sehen wir, dass Ransomware als Bausätze verkauft werden, die dann auch verschiedene Varianten auf den Markt kommen. Diese Volumina sind enorm – 60.000 neue Ransomware-Varianten, die auf den Markt kommen. Das sind unglaubliche Zahlen. Und diese Mengen, das ist es, was mir Angst macht, ja, die Mengen, die wir als Menschen nicht mehr durchschauen können.

Julia Dudenko: Wir haben im Mittelstand Teams, die aus drei Personen bestehen. Sie können all diese Signale von den SIEMs nicht verarbeiten. Das ist das Problem, dass wir in Richtung KI, in Richtung Automatisierung sehen. Und idealerweise bauen wir die starken Partner wie MSSPs auf, die dann unsere Werkbank erweitern, so dass wir tatsächlich 24 -7 alle möglichen Alarme bearbeiten können.

Julia Dudenko: Ein anderer Trend, oder nicht unbedingt eine Gefahr, aber ein anderer Trend, den ich auf dem Markt sehe, ist, dass die Anbieter immer noch Lösungen haben, die ziemlich zerstückelt sind. Und manchmal überschneiden sie sich in bestimmten Bereichen, so dass es für uns, ja, ich würde jetzt sagen, manchmal schwer zu verstehen ist.

Julia Dudenko: Okay, was ist der tatsächliche Mehrwert der einen Lösung im Vergleich zur anderen? Ich möchte sehr gerne dazu aufrufen, mehr in Plattformen zu denken. Also auch ein bisschen in den Schuhen von uns zu denken, ja, von IT-Mitarbeitern oder CISOs, die sagen, kann mein Produkt mit einem Team von drei Leuten betrieben werden? Ist das realistisch oder sind die überfordert? Müssen die Funktionen auf einmal möglich sein? Oder können wir unser Produkt in Komponenten, in Legosteinen anbieten?

Julia Dudenko: Ich habe von verschiedenen Reifegraden gesprochen, an denen man vielleicht das Produkt anpasst. So, dass man sagt, wenn man Reifegrad 1 hat, dann sind diese beiden Module zunächst notwendig. Wenn du weiter in die Tiefe gehst, kannst du weitere Module ergänzen. Das würde ich begrüßen.

Julia Dudenko: Und vielleicht als Anbieter die Partnerschaft mit MSSP gleich von Anfang an pitchen und sagen, wir haben ein Produkt, aber wir haben auch jemanden, der da ist und hilft, das zu konfigurieren und zu betreiben und natürlich auch im Falle eines Ausfalls. Ich denke also, gebündelte Lösungen würden uns sehr guttun.

Lisa Fröhlich:

Lisa Fröhlich: Ja, wir arbeiten im Ruhrgebiet mit mehreren Partnern zusammen. Zum Beispiel ist Glasfaser Ruhr einer unserer Partner. Die Stadt Herne nutz unseren DDoS-Schutz, über den Partner Glasfaser Ruhr. Du hast es angesprochen, es gibt einen Fachkräftemangel in Deutschland an Und das ist nicht nur für Cybersecurity. Laut Bitkom fehlen in Deutschland rund 150.000 IT-Spezialisten. Du hast gesagt, dass es kleine Teams in mittelständischen Unternehmen von bis zu drei Leuten oder vielleicht bis zu zehn Leuten gibt, dann ist es ein großes Team.

Lisa Fröhlich: Was wichtig ist, ist Automatisierung, ist eine Plattform, die mehrere Lösungen auf einmal anbietet. Ich sehe es in diesem Podcast immer ab für Link11 Werbung zu machen, aber unsere Lösung ist tatsächlich automatisiert und es ist eine Plattform, also würde sie zumindest diese beiden Kriterien erfüllen.

Lisa Fröhlich: Und ich finde es nach wie vor sehr spannend, dass neben diesen automatisierten Plattform-Sicherheitslösungen, die mehrere Bereiche abdecken, werden wir noch mehr Experten brauchen. Du engagierst sich stark für die Ausbildung im Bereich der Cybersicherheit. Warum ist das dir so wichtig?

Julia Dudenko:

Julia Dudenko: Für mich ist es wichtig, dass Problem nicht im Jetzt zu lösen. Durch die Schaffung von Frauennetzwerken, durch die Ansprache in den sozialen Medien und so weiter, können wir die Fachleute, die jetzt zur Verfügung stehen, vielleicht in den Beruf zu führen und ihn attraktiv machen. Ich glaube was uns fehlt, ist das Verständnis, dass Cyber auch in unserem Privatleben eine wichtige Rolle spielen kann. Wenn ich in meinem Bekanntenkreis schaue oder wenn ich mich mit Kollegen austausche, gibt es sehr unangenehme Fälle, wo ältere Leute von verschiedenen Betrügereien betroffen sind, wo die Passwörter einfach nicht den Wert und die Stärke der Passwörter kennen, welche Auswirkungen das auf das Privatleben haben kann. Und natürlich, wie ich schon sagte, als Mutter von drei Kindern. Die Kinder sind absolut in dem Bereich, wo sie sich als Digital Natives auf allen möglichen Plattformen bewegen. Wo sie im Moment noch nicht das Gefühl haben, wie gefährlich das sein kann. Was gebe ich eigentlich auf solchen digitalen Plattformen über mich preis? Wie schütze ich mich? Mit wem kommuniziere ich über etwas?

Julia Dudenko: Ich glaube, das würde zu diesem Gefühl, zu sagen, was ist ein sicherer Umgang. Und natürlich, zweitens, ich habe eine Studie, wo sie die Traumberufe von Jungen und Mädchen in Deutschland diskutiert haben. Und an erster Stelle, ich glaube jetzt ist es Ende 2023, ist Wirtschaftsinformatik Für Mädchen ist Wirtschaftsinformatik nicht mal unter den Top Ten.

Julia Dudenko: Stattdessen stehen dort Berufe wie Erzieherin oder Lehrerinnen. Das sind wunderbare Berufe. Aber was mir zeigt, ist, dass dieser spannende Job, ich nenne es mal, für mich ein Traumjob ist, ein CISO zu sein. Er wird nicht erklärt und vielleicht missverstanden. Und es wäre toll, die Breite der Berufe in der Cyberwelt zu zeigen. Denn es ist nicht jeder, der ein SOC-Analyst ist oder du bist jeder, der an der Netzwerksicherheit arbeitet, wo du super tief und technisch hervorragend sein musst.

Julia Dudenko: Es gibt Berufe, wo wir Vorschriften schreiben, wo wir Richtlinien schreiben. Es gibt wunderbare Berufe, in denen man Repräsentant ist, in denen man über Cybersicherheit kommuniziert. Und dann braucht man ganz andere Fähigkeiten. Und das ist genau das, was fehlt.

Julia Dudenko: Also ich gehe in die Gymnasien, wo meine Kinder sind und erkläre, dass Cybersicherheit ein breites Spektrum ist. Cybersicherheit ist für jeden relevant. Es ist relevant für sie als Schüler, es ist relevant für Lehrer, aber es ist auch relevant für Oma und Opa. Und bitte sprecht darüber.

Lisa Fröhlich:

Lisa Fröhlich: Ich finde, das ist ein wichtiges Thema. Du hast das Passwortthema und meine Söhne haben innerhalb kürzester Zeit, dass Passwort meiner Mutter herausgefunden. Was denkst du, was passiert, wenn dein Internetkonto gehackt wird? Die Leute neigen dazu, für Online-Einkäufe und Online-Konten dasselbe Passwort zu verwenden.

Lisa Fröhlich: Es ist verrückt, und es passiert gerade jetzt und wird sich weiterentwickeln. Ich möchte nicht einmal an das Quantencomputing und an diese Entwicklung, die eine Geschwindigkeit mit sich bringen wird, die wir nicht einmal realisieren können. Schon jetzt gibt es einige Passwortgeneratoren, die auf der Grundlage von maschinellem Lernen, künstlicher Intelligenz usw. funktionieren.

Lisa Fröhlich: Das passiert in Sekunden, Minuten, Stunden, und bumm! Die Zugänge öffnen sich und man merkt nicht, welche Schwachstelle das mit sich bringt. Und natürlich kennt jeder jemanden, der sagt, hey, mein Facebook-Konto wurde gehackt. Ja, aber... Sei froh, dass es nur ein Facebook-Konto war. Aber was passiert wirklich, wenn jemand zum Beispiel deine komplette digitale Identität stiehlt und damit Unfug betreibt oder sich ausgibt als du. Und was das für Social Media etc. für Folgen haben kann, ich glaube, viele Menschen sind sich dessen bewusst, was dahinter steckt. Ja, wir sind jetzt am Ende unseres Gesprächs und zum Schluss möchte ich dich fragen, welche Trends und Entwicklungen in der Zukunft eine große Rolle spielen werden?

Julia Dudenko:

Julia Dudenko: Das Thema Quantencomputing, das du erwähnt hast, treibt mich ein bisschen, wo ich mich auf jeden Fall weiterbilden möchte und die Tiefe verstehen möchte. Unternehmen, die meisten haben eine IT-Strategie, die in die Cloud geht. Und an diesem Punkt sehe ich den Identitätsschutz als die Tür zum Königreich, zum Königreich. Das heißt, wir müssen uns noch mehr auf einen starken, idealerweise nicht hackbaren Identitätsschutzmechanismus konzentrieren. Ich bin ein großer Fan von FIDO2. Ich bin ein großer Fan von Passwordless.

Julia Dudenko: Und ich glaube, wenn wir eine Cloud-Strategie ausrufen, dann sollten wir parallel dazu eine starke Identifikationsstrategie ausrufen. Denn das eine und das andere geht nicht zusammen. Das wäre toll. Und das Thema Quantencomputing und Quantensicherheit, also mehr kryptographische Schlüssel statt Passwörter, ist etwas, was mich wirklich beschäftigt.

Julia Dudenko: Ich denke immer noch darüber nach, was mit der ganzen GenAI und Phishing-Kampagnen passieren wird. Ja, natürlich, wir sind auch bei KI, aber ich sehe, dass die Angriffe viel personalisierter werden, dass sie einfach auf allen Kanälen kommen. Wir können uns nicht nur auf E-Mail beschränken. Wir müssen uns auf QR-Codes und Anrufe einstellen, SMS werden auch generiert und zugeschnitten an die Person geschickt. Das heißt, wenn wir über unser Awareness-Training nachdenken, müssen wir wirklich Multi-Channel und wirklich Mitarbeiter auf allen Kanälen abholen. Das sind die beiden Trends, die ich als erstes nennen würde.

Lisa Fröhlich:

Lisa Fröhlich: Ja, super. Dann haben wir uns eben ein bisschen ausgetauscht über Cybersicherheit und Frauen in der Branche und natürlich auch über Bildung in Sachen Cybersicherheit. Ich fand das Gespräch superspannend. Es hat mir sehr viel Spaß gemacht. Ich bin froh, dass du mein Gast warst.

Julia Dudenko:

Julia Dudenko: Herzlichen Dank, Lisa. Vielen Dank.

Lisa Fröhlich:

Lisa Fröhlich: Bis dann. Tschüss!