#15: Jenseits der Firewall

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem IT -Security -Podcast von Link11. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Heute habe ich die Ehre, mit Annika Wägenbauer zu sprechen. Annika ist derzeit als International Stakeholder Relations Officer beim Institute for Security and Safety tätig und ganz nebenbei noch eine hoch motivierte Tech-Feministin. Wir haben uns 2023 beim Gründungsevent des Women4Cyber Deutschland Chapters auf der ITSA kennengelernt. Und ich freue mich sehr, dass sie heute zu Gast ist und wir zwei spannende Themen auf der Agenda haben, denen wir nachgehen. Vielen Dank Annika, dass du heute meine Gästin bist. Also, erstens wollen wir uns mal anschauen, was hat es mit dem Job der CISOs auf sich? Wie sieht die Rolle eines CISOs aus und welche Skills und Talente sind besonders wichtig? Warum ist eventuell die Fluktuationsrate ein bisschen zu hoch und wie können wir dem Entgegenwirken? Und zweitens, was sich an dieses Thema so ein bisschen anschließt und mit auch da zusammenhängt, ist das Thema Fachkräftemangel in der Cybersecurity. Und wir wollen einen Blick darauf werfen, was hat es damit eigentlich auf sich und wie kann dem begegnet werden für die Zukunft. Doch bevor ich jetzt weiter in die Themen einsteige, möchte ich mich erstmal bei euch bedanken, dass ihr wieder zuhört. Und ja, wenn euch der Podcast gefällt, dann empfehlt ihn gerne weiter. Ich würde mich sehr freuen. Das ist wirklich eine Herzblutsache von mir. Ich lerne jedes Mal dazu und ja, ihr vielleicht hoffentlich auch. Also abonniert gerne unseren Podcast. Und jetzt darf ich das Wort erstmal Annika übergeben, damit sie sich unseren Hörerinnen und Hörern vorstellen kann.

Annika Wägenbauer: Annika Wägenbauer Vielen, vielen Dank, Lisa. Also, erstmal freut es mich natürlich unglaublich, als Gast an deinem Podcast sein zu dürfen. Du hast ja schon ein bisschen was erzählt, aber first things first, wer bin ich denn eigentlich? Ich habe da mal geguckt, was sagt meine LinkedIn-Bio über mich? Und zwar mehr oder minder scherzhaft, building bridges and shattering glass ceilings. Das heißt so, ich bin Brückenbauerin, aber auch Glasdecken-Einreißerin. Und ich mag halt so genau diese Antithese, irgendwo zwischen Kreation und Destruktion, also Sachen erschaffen, aber auch Sachen kaputt machen, wobei das eine und das andere auch ganz oft bedingt werden wir wahrscheinlich auch noch zukommen im Verlauf der Folge. Ja, wer bin ich? Ich bin so ein klassischer Millenial, habe einen Hintergrund in europäischer und internationaler Politik, Wirtschaft, Recht, Sicherheit. Ich habe bisher in neun Ländern gelebt, vor allem in Europa, bin Europäerin durch und durch. Mein akademischer Sweet Spot ist also die Rechtsphilosophie. Und in den letzten Jahren war ich hauptsächlich in der Automobilbranche tätig, bevor ich dann in die Cybersicherheit gewechselt bin. Bin also eine Quereinsteigerin. Wie du schon gesagt hast, mittlerweile beim Institute for Security and Safety, bin aber auch bei der VICCON. Das Institut ist ...ein an Institut an der Hochschule Mannheim. Wir beschäftigen uns ganz viel mit Forschung, aber auch internationaler Gremienarbeit auf europäischer Ebene, aber auch UN-Ebene, Weltwirtschaftsforum, sind aber auch beratend tätig, alles Mögliche. Und die VICCON ist da die Schwester des Instituts und da bieten wir hauptsächlich Consulting an, also BCM, ESMS, you name it, solche Sachen.

Lisa Froehlich: Lisa Froehlich Das klingt auf jeden Fall sehr, sehr spannend. Und was uns beide in jedem Fall verbindet, ist der verschlungene Pfad in die Cybersecurity. Ich bin ja auch quasi von Haus aus was ganz anderes, nämlich Germanistin, und bin über die Finanzbranche, über die Universität dann letztendlich bei einem IT-Sicherheitsanbieter wie Link11 gelandet. Ja, uns verbindet darüber hinaus natürlich auch die Neugier für die spannenden Themen, mit denen wir uns tagtäglich beschäftigen dürfen. Und außerdem scheuen wir beide keine Herausforderungen, haben wir schon festgestellt. Auch CISOs dürfen Herausforderungen nicht scheuen, denn sie sind mit einigen besonders großen tagtäglich oder hoffentlich nicht tagtäglich, aber sehr häufig doch konfrontiert. Die Sorge, Opfer eines Cyberangriffs zu werden, war in den vergangenen Jahren in internationalen Umfragen über die weltweit bedeutendsten Risiken immer auf den vordersten Rängen zu finden. Und ein Blick in unsere Realität zeigt, dass Unternehmen täglich und nahezu immer häufiger Ziel von Cyberangriffen werden. Neben den steigenden Gefahren durch beispielsweise KI und sozusagen die kriminellen Machenschaften, die damit verbunden sein können, gehören auch Themen wie die zunehmende Professionalisierung der Cyberkriminellen dazu. Also der Druck in diesem Bereich ist enorm. Annika, wie hat sich deiner Meinung nach die Rolle des CISOs in den vergangenen Jahren verändert?

Annika Wägenbauer: Annika Wägenbauer Ja, ganz klar, wie du schon gesagt hast, alle reden plötzlich über Cyber. Das heißt, wir haben eine super hohe Visibilität. Und Cyber ist ja mittlerweile viel, viel mehr als IT. Das passiert nicht mehr, wie ja auch die Angriffe, nicht irgendwo im Keller, sondern auf einem Präsentierteller. Und das heißt, auch das CISO von dieser sehr stark technisch fokussierten Rolle wegschiften. Das zeigen dann auch die Quereinstiege, Leute wie wir, die plötzlich in Cyber arbeiten. Und CISOs die sind dann jetzt nicht mehr die, die ganz alleine fürs Patching zuständig sind oder die so ein Gesamtrisiko tragen oder noch schlimmer so die allein Verantwortlichen, wenn es zu einem Breach kommt, sondern CISOs sind mittlerweile in erster Linie Führungskräfte. Die sind Leader und die sind Executives. Und genau wie so alle anderen Executives in der Organisation sind die nicht mehr maximal operativ. Das heißt CISOs...die müssen mittlerweile einen Business Case aus ihrem Geschäft machen und den dann in den eigenen Reihen nach oben, aber auch nach unten und durch die Organisation hindurch kommunizieren und verankern. Das schafft dann, dass du gewappnet gegenüber Cyberangriffen bist.

Lisa Froehlich: Lisa Froehlich Ja, das heißt also, während früher sozusagen der CISO ja vor allem für die technische Sicherheit zuständig war, so wie ich das verstehe, ist die Position ja heutzutage deutlich strategischer und geschäftsorientierter. Also wie du schon gesagt hast, der CISO muss quasi seine Cases als Business innerhalb der Organisation in sämtliche Richtung, auf sämtliche Hierarchiestufen verteilen und damit einfach auch die Sicherheitsmaßnahmen, ja auch das gesamte Universum, sag ich schon, die Sicherheitsmaßnahmen des gesamten Unternehmens sozusagen beeinflussen und vor allen Dingen eng mit anderen Führungskräften zusammenarbeiten, sicherzustellen, dass die Sicherheitsstrategie eben mit den gesamten Geschäftszielen übereinstimmt, weil das kann ja nicht mehr isoliert voneinander betrachtet werden. Ich habe mich ein bisschen umgeschaut und

Annika Wägenbauer: Annika Wägenbauer Im schlimmsten Fall.

Lisa Froehlich: Lisa Froehlich einen CISO-Report von Dynatrace gefunden aus 2024 und in der Umfrage gaben fast neun von zehn der befragten CISOs an, dass CEOs für Anwendersicherheit blind seien und mehr als ein Drittel der CEOs sind wiederum der Meinung, dass die Kommunikation mit CISOs zu technisch ist. Also ich hatte ja bereits das Vergnügen mit einer CISO zu sprechen, nämlich mit Julia Dudenko, der Group CISO von Haniel hier im Podcast. Das ist unsere Juni-Folge gewesen. Und sie hat in unserem Gespräch beschrieben, dass sie sehr eng mit dem Team des Sieben CISO, der Mehrheitsbeteiligung von Haniel, zusammenarbeitet, dass sie sich auf dieses Team stützt und dass sie gemeinsam eine Gesamtstrategie für das Unternehmen oder für die Unternehmen entwickeln und dass es dabei vor allem ihr auf eine ganz enge Vernetzung und einen offenen Austausch einkommt. Das heißt, hier kommen natürlich ihre ausgesprochen guten Kommunikationsskills zum Einsatz und für mich persönlich als Kommunikatorin gehören definitiv Kommunikationsfähigkeiten zu den Kernkompetenzen in diesem Job. Und wie es scheint, und das zeigt ja die Dynatrace-Umfrage von 2024, gibt es wie üblich in diversen Situationen und in diversen Geschäfts-Hierarchien Nachholbedarf, was Kommunikation angeht. Und ich erinnere immer, mein Chef in der Agentur, in der ich sozusagen die Kommunikation von der Pike auf gelernt hat, der hat immer zu mir gesagt, Frau Fröhlich, Kommunikation ist ein schwieriges Geschäft und das habe ich oft in meinem beruflichen Werdegang oder in meiner beruflichen Praxis erlebt und ich gehe mal davon aus, dass das eben auch so eines der Kerntalente sein sollte, die ein CISO mitbringt. Aber abgesehen von hervorragenden Kommunikationsfähigkeiten über alle Ebenen hinweg, welche Skills und Talente sind deiner Meinung nach für einen erfolgreichen CISO heute noch besonders wichtig? Muss denn deiner Meinung nach ein CISO unbedingt coden können oder programmieren?

Annika Wägenbauer: Annika Wägenbauer Ja, das ist eine sehr schöne Frage. Also, ähm, wie du ja schon in der Studie, mit der Studie so ein bisschen gezeigt hast, haben wir oft vielleicht nicht ganz ideale Ausgangssituationen für CISOs, ne? Die sind total oft auch ein Sündenbock oder nur so eine Checkbox-Geschichte, ne? So, Cybersecurity, klar haben wir einen CISO. Das heißt, ich finde, ein CISO muss in erster Linie eine gewisse Resilienz mitbringen. Und das macht Julia ja zum Beispiel auch ganz gut. So, Thema Checkbox. Da hört es, finde ich, dann irgendwie auch schon auf. Weil genauso vielfältig wie Cybersicherheit mittlerweile betrachtet wird, ist, glaube ich, auch die Workforce. Und das auf allen Ebenen. Auch auf dieser C-Level -Ebene. Und ich glaube, ganz grundsätzlich müssen wir dazwischen so zwei Tendenzen unterscheiden. Wir haben einmal die CISOs, die quasi horizontal in den Job kommen und die, die das Vertikal tun, sprich. Entweder ich bin irgendwie IT-lerin und werde dann CISO.

Lisa Froehlich: Lisa Froehlich Hmm... Ja.

Annika Wägenbauer: Annika Wägenbauer Das sind dann vielleicht die, die nicht so optimal kommunizieren, weil das nicht ihr Kerngeschäft war bisher. Oder ich bin Managerin und werde irgendwann CISO. Gehe da dann halt horizontal rein. Und das wäre dann vergleichbar mit so ein bisschen so einem Minister-Hopping im öffentlichen Sektor. Ich kann managen, deswegen mache ich das jetzt. Und beide müssen natürlich versuchen, so ihre Defizite auszugleichen. Das heißt, ich finde, ein IT-CISO sollte Management erlernen und Kommunikationsskills. und der Management CISO sollte aber auch sich über IT informieren, so ganz platt ausgedrückt. Ich finde nicht, dass CISOs alles können müssen und die haben schon super viel Druck und wenn wir da jetzt nur in diese Wunsch-Checkliste von irgendwie Coden können, jahrelange Erfahrung hier und da auch noch klassische Management- und Kommunikations-Skills oben drauf packen, dann wird diese Liste einfach noch länger.

Lisa Froehlich: Lisa Froehlich Hmm.

Annika Wägenbauer: Annika Wägenbauer Und der Job noch schwieriger. Und wir reden ja auch noch über, warum CISOs kündigen, warum es da so eine große Fluktuation gibt. Und das hilft dann nicht. Ich glaube, wir müssen eher ein bisschen Druck rausnehmen und anerkennen, dass es ganz unterschiedliche Arten von CISOs gibt und dass das auch voll okay und wichtig ist.

Lisa Froehlich: Lisa Froehlich Ja, ich meine, der Druck ergibt sich ja auch qua ihrer Aufgaben. Also wenn man sich mal überlegt, mit was sie sich tagtäglich beschäftigen müssen. Und also ich habe mit einer Frau gesprochen, die sich mit Security Operations Centers beschäftigt und da auch Paper veröffentlicht hat. Sie wird auch mal Gast hier im Podcast sein und mit mir darüber sprechen. Und ich weiß gar nicht mehr genau die Zahl, die sie genannt hat, aber wie viele tagtägliche Meldungen da einflattern in so einem Security Operations Center. Und das muss ja alles mal gesichtet, verstanden, bewertet werden. Und am Ende muss ja der CISO darauf basierend Entscheidungen treffen. Also wie du schon sagtest. Und das ist einfach der Druck, der diesem Job sozusagen der ist ja schon riesig. Und wenn wir dann noch, wie du schon sagtest, so eine Wünsch-dir-was-Liste oben drauf legen, natürlich hätten wir gerne alle die idealen Kandidatinnen für den Job. Gleichwohl müssen wir ja auch schauen, wie können wir mit denjenigen arbeiten, die im Grunde da sind. Und vielleicht können wir auch Menschen dazu ermutigen und insbesondere Frauen empowern, einfach auch den Schritt zu wagen und vielleicht ...auf ihre Managementfähigkeit noch Sicherheitsfähigkeiten draufzusatteln und zu sagen, hey, ich gehe da in die Richtung. Ich will mit dir jetzt nochmal mir ein Ernstfallbeispiel angucken, weil das nochmal ganz gut auch so ein bisschen die Arbeit eines CISOs oder überhaupt eines IT-Sicherheitsverantwortlichen oder CEOs in Unternehmen verdeutlicht und auch zeigt, wie das aussieht, wenn es tatsächlich mal zu einem Angriff gekommen ist. Und es gibt ein sogenanntes MIRA-Phasen-Modell. Und das heißt übersetzt, das ist quasi das Mental Impact of Ransomware Attacks Model. Und in dem geht es einfach darum, dass sich Unternehmen in drei Phasen befinden, während sie sich von einem Angriff wieder erholen. Und natürlich ist der CISO und auch anderer IT -Sicherheitsverantwortliche und der CEO, der ist natürlich in allen Phasen stets involviert. Und das Modell, also das MIRA-Modell, das teilt sich in folgende Phasen. Also das ist die erste Woche nach dem Angriff, das ist der erste Monat nach dem Angriff und das sind dann die mehreren Monate bis zu einem Jahr nach dem Angriff. Und ich habe mir das rausgesucht und werde es mal kurz skizzieren, was da so mit ...den Folgen eines Ransomware-Angriffs verbunden ist. Das ist natürlich jetzt hier nur ganz oberflächlich, weil wir leider nicht die Zeit haben, da in die Tiefe einzusteigen. Aber in der ersten Woche steht im schlimmsten Fall der komplette Betrieb still. Und allein dadurch ist der Druck besonders auf die I -Abteilung immens. Und auch das gesamte Management steht unter Druck, weil natürlich die Belastung und der Betriebsausfall enorme Schäden mit sich bringen für das ganze Unternehmen. 12 -16 -Stunden-Tage sind in so einer Phase keine Seltenheit und das kann natürlich die Situation noch verschärfen, weil, wie wir alle wissen, nicht umsonst ist Schlafentzug eine Foltermethode. Also die sind dann wirklich alle vermutlich ziemlich am Anschlag und da sind sie ja noch lange nicht über den Berg, was den Angriff und die Wiederherstellung der Systeme angeht. In der zweiten Phase, das heißt von Woche 2 bis 6, laufen zumindest in dem fiktiven Beispiel, was ich mir überlegt habe, zumindest mal wieder die Basissysteme. Die IT-Abteilung hat eine super Arbeit gemacht, die Basissysteme laufen wieder. Allerdings ist sozusagen der volle Betrieb noch nicht so wieder möglich, wie er mal war. Denn die IT-Abteilung ist immer noch damit beschäftigt, die Ransomware aus den Systemen rauszukriegen. Ein Hoch hoffentlich auf das aktuelle Backup, was sie kurz vorher aufgespielt haben oder erstellt haben und selbstverständlich hat das Management auch unterschiedliche Aufgaben. Der CEO beispielsweise, der hat sich entschieden, kein Lösegeld zu zahlen und ist im Nachgang vermutlich mit Ermittlungsbehörden damit auch beschäftigt, vor allen Dingen finanzielle Schadensbegrenzungen zu betreiben, während natürlich der CISO immer noch damit beschäftigt ist, die Ransomware aus dem System zu bekommen, seine IT -Abteilung bei Laune zu behalten und irgendwie in Anführungsstrichen sämtliche Systeme wieder hochzufahren. Nach einigen Monaten, also in Phase 3, laufen die Systeme wieder so, dass der Betrieb nach dem Ausfall wieder richtig anlaufen kann. Und wir reden hier nicht von irgendwie zwei Monaten oder drei Monaten. Also wir hatten ja im vergangenen Jahr einen relativ großen IT -Sicherheitsvorfall in Nordrhein -Westfalen bei einem IT -Dienstleister und ich glaube, die sind immer noch beschäftigt, alles wieder herzurichten, damit es einwandfrei wieder funktioniert. Also es dauert wirklich, wirklich sehr lange. Und natürlich, obwohl die allermeisten Mitarbeitenden wieder ihren täglichen To-do's nachgehen können, ist die IT-Abteilung von Normalität ja immer noch weit entfernt. Also die haben jetzt, sag ich mal, vordergründig das ganze Ding wieder hochgefahren und es läuft. Aber natürlich der CISO, der CEO und die anderen IT-Sicherheitsverantwortlichen sind natürlich jetzt an dem Punkt, wo sie anfangen, in die Lessons learned zu gehen und zu gucken, wo an welcher Stelle müssen wir vielleicht nochmal an unserer Cyber-Sicherheitsstrategie feilen, wo müssen wir Maßnahmen verschärfen, wo müssen wir vielleicht noch Automatisierungsprozesse einbauen, wo müssen wir vielleicht noch die eine oder andere IT -Sicherheitslösung implementieren etc. Das klingt natürlich nach einem super Drehbuch für einen Hollywood-Streifen, aber das ist ja doch für sehr, sehr viele Unternehmen bereits zu einem Echtzeitszenario geworden. Also das BKA spricht im Bundeslagebild davon, dass 2023 800 Unternehmen einen Ransomware-Vorfall zur Anzeige gebracht haben. Und da sprechen wir jetzt nicht von der tatsächlichen Anzahl der eigentlichen Ransomware -Attacken, die meiner Meinung nach sicher noch viel, viel höher ist, weil natürlich nicht jedes Unternehmen gleich den Vorfall zur Anzeige bringt. Und, ja, was mir auch noch untergekommen ist bei der Recherche, und das führt mich jetzt zur nächsten Frage an dich. Laut einer Gartner Prognose wird bis 2025, also quasi bis nächstes Jahr, die Hälfte aller Cybersecurity Verantwortlichen den Job wechseln und ein Viertel will bis dahin nach einem komplett anderen Job Ausschau halten. Also, Annika, was sind deiner Meinung nach die Hauptgründe, warum CISOs ihren Job aufgeben und können wir das in irgendeiner Form aufhalten?

Annika Wägenbauer: Annika Wägenbauer Ja, ich glaube, wir müssen da mal ganz klar unterscheiden zwischen einmal dem Mensch CISO und der Position CISO. Ist ja nicht das Gleiche. Und ich glaube, es ist wichtig, beide ganzheitlich zu betrachten. Und auch im Kontext einer generellen Employee-Retention oder Mitarbeiterbindung. Das heißt, wenn du auf den CISO als Menschen guckst, dann arbeitet der als eine, als ein, ein, ein, ein, ein Human Resource. aber als eine sehr menschliche Human Resource in dieser Firma. Und dann kommt es darauf an, wie wir vorhin schon gesagt haben, wo ist denn der angesiedelt? Ist das ein CISO mit einem wirklich ganz groß geschriebenen C? Also das meint der CISO, der wirklich ein Seat at the Table hat, sprich, ein CISO on the Board. Oder ist das jemand, der irgendwo ganz unten den Blame für alles einstecken muss? Und genau was du ja auch gesagt hast, überleg mal...In 2022, da war die Durchschnittsanstellung von einem CISO weltweit betrachtet, bei 18 Monaten. Stell dir das mal vor. Das heißt, es ist so Peak Consulting, Bilderbuchrotation. Du kommst, versuchst irgendwas zu verändern, was aufzubauen, und dann gehst du wieder. Ist das nachhaltig? Glaub jetzt nicht. Und dann stell dir das noch mal in, ist auch wieder so ein geopolitisches Thema, in Entwicklungs- und Schwellenländern vor, dass es dann noch mal maximal potenziert. Wir reden ja auch immer mit so einem sehr eurozentrischen Blick darüber. Aber wie du gefragt hast, warum ist das denn so, warum gehen die Leute? Ich glaube nicht, dass natürlich bringt der Job viel Druck mit sich. Aber es ist eine schlechte Ausrede zu sagen, ja, es ist nun mal so viel Druck, wir können da jetzt gar nichts machen. So, erst mal glaube ich, dass wir da generell damit aufhören müssen, ungesunde Arbeitskulturen zu leben und dann sogar noch zu glorifizieren. Wie du ja auch mit diesem Hollywood-Filmbeispiel ein bisschen...angebracht hast. Wir brauchen eine gute Work-Life -Balance und ja, CISOs, die sind meistens die totalen High-Performer. Wie du auch gesagt hast, gibt auch Studien dazu, dass irgendwie sogar 99 Prozent aller CISOs generell Überstunden leisten, also immer, egal ob ein Vorfall oder nicht da ist und bis zu 20 Stunden die Woche. Das sind so richtige Firefighters und die müssen sich dazu ja auch noch kontinuierlich weiterbilden. Das heißt,

Lisa Froehlich: Lisa Froehlich Ja.

Annika Wägenbauer: Annika Wägenbauer brauchen wir das vielleicht gesplittet auf mehrere Leute. Muss das wirklich einer machen? Dann das Thema, wie du ja auch gesagt hast, Stress, Stress, Stress, Stress, der verschlechtert die individuelle Performance und führt dann im schlimmsten Fall zu einem Burnout. Wenn du diese drei Phasen vom Mira-Modell anguckst, das Burnout kommt dann ja vielleicht irgendwann in oder nach der dritten Phase, wenn dieser Cortisol-Pik wieder runtergeht. Und das ist rein menschlich gesehen natürlich total schlimm, wirkt sich aber auch auf die Produktivität aus.

Lisa Froehlich: Lisa Froehlich Ja. Ja, ja.

Annika Wägenbauer: Annika Wägenbauer Wir haben weniger produktive CISOs und dann im schlechtesten Falle noch mehr Breaches. Und dann fangen wir wieder von vorne an mit der ganzen Rotation. Dann hast du aber diesen CISO, der da irgendwo in diesem Mira-Modell sich vielleicht in Phase 2 befindet, aber viel zu wenig Wertschätzung und Anerkennung für seine Erfolgserlebnisse bekommt. Und damit meine ich nicht so einen über einen grünen Klee loben, was bist du für ein Held, sondern ein normales Maß an Lob.

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Annika Wägenbauer: Annika Wägenbauer was die Person und Abteilung braucht und an Sichtbarkeit. Und authentische Wertschätzung. Ja, und das hängt auch damit zusammen, dass wir passende Budgets brauchen. Wir reden über den Fachkräftemangel bestimmt noch. Und CISOs müssen dem Markt entsprechend entlohnt werden. Das sind einfach hochbezahlte Leute, weil es so wenige gibt. Aber der CISO, der hat ja auch noch ein Team. Und das Team sollte im besten Fall eben auch aus qualifizierten Performern bestehen. Sonst bleibt dann noch mehr Workload beim CISO.

Lisa Froehlich: Lisa Froehlich Ja, genau. Ja, authentische Wertschätzung.

Lisa Froehlich: Lisa Froehlich Mhm.

Annika Wägenbauer: Annika Wägenbauer Das steht und fällt ja nicht mit dem oder der. Und dann das Team zu finden anhand der Cyber-Skills-Shortage ist dann auch noch mal eine Aufgabe für sich. Weil je mehr Köpfe du hast, desto leichter kannst du diesen Stress verteilen. Und als Team dem ganzen bisschen was entgegensetzen. Als wenn du allein auf weiter Flur bist und am Ende auch noch immer schuld bist. Thema Schuld. Das sind super irrationale Erwartungen, die wir oft an das haben, was ...

Lisa Froehlich: Lisa Froehlich Ja, exakt.

Annika Wägenbauer: Annika Wägenbauer die Cybersecurity an sich und dann im speziellen der CISO überhaupt leisten kann. Wenn ein CEO eine Idee von einer maximalen Sicherheit hat, dann ist er total enttäuscht, wenn so ein Ransomware -Angriff stattfindet. Und da kommt dann genau das, was du vorhin gesagt hast, dazu, wie kommuniziert der CISO und was ist seine oder ihre Rolle im Gesamtgefüge. Das ist einfach so ein gesamtes Rad.

Lisa Froehlich: Lisa Froehlich Ja, das stimmt.

Annika Wägenbauer: Annika Wägenbauer was wir ein bisschen neu erfinden müssen, damit der Druck da rausgeht. und damit wir nicht sagen, klar, Cisus kündigen ist ja ganz natürlich, weil ist so viel Druck drauf, weil wir retten keine Menschenleben. Das ist schon mal, finde ich, deutlich weniger Druck. Okay, ich nehme es zurück. Wenn wir über OT-Sicherheit reden, vielleicht schon und physische Auswirkungen von Cyberangriffen, aber wenn wir bei einem rein monetär motivierten Ransomware-Angriff bleiben, na, dann müssen wir das so ein kleines bisschen relativieren und dann auf mehrere Köpfe verteilen. Und dann ist da glaube ich schon mal ganz schön bei geholfen, die Leute länger zu halten.

Lisa Froehlich: Lisa Froehlich Ja, also ich hatte bei der Veranstaltung vom Eco auch mit einem CISO gesprochen und der war ganz happy, weil der kommt ursprünglich aus der Beratung, also der war als Consultant tätig und wurde eben jetzt CISO bei einem Unternehmen und der war total happy, weil er gesagt hat, Mensch, ich kann es gar nicht glauben, aber mein Chef, in dem Fall der Unternehmensgeschäftsführer, hat einfach die Wichtigkeit meiner Themen verstanden und ich bekomme das entsprechende Budget und kann die Maßnahmen, die erforderlich sind, eine umfassende Cybersecurity Strategie zu implementieren, kann ich umsetzen. Also das kommt ja auch noch dazu, das hast du ja angesprochen, dass es einfach auch wichtig ist, dass die quasi, dass das Thema, das es bei CIOS geht, im unternehmens-, im unternehmerischen Sinn die entsprechende Bedeutung bekommt. Also ich habe für ein Paper gerade gelesen, dass das IBM Institute for Business Values, die haben Zahlen veröffentlicht, dass Unternehmen, die beispielsweise fortschrittliche Automatisierungs- und KI -Technologien im Bereich Cybersicherheit einsetzen, bis zu 3 Millionen Dollar durchschnittlich einsparen können in der Zeit, sozusagen in der Recovery-Zeit, und dass die Recovery -Zeit auf roundabout 100 Tage runtergekürzt werden kann. Also das finde ich schon erstaunlich. Natürlich bringt das Kosten mit sich, die vielleicht der ein oder andere Unternehmenslenker noch nicht so wahrhaben oder noch nicht so sehen möchte. Aber das würde jetzt an dieser Stelle unser Thema sprengen und zu weit führen. Ja, ich hoffe, wir machen hier jetzt nicht die Anti -Werbung für die IT-Security -Branche, weil ich bin total begeistert. Ich liebe meinen Job. Ich finde das Thema unfassbar wichtig. Ich brenne für diese Dinge. Ich lerne jeden Tag was dazu. Ich hatte gestern einen Call mit einem Techie-Kollegen, der mir was über APIs und API-Security erklärt hat und ich fand es total gut, weil ich gerne die Dinge auch technisch ein bisschen tiefer verstehe. Gleichzeitig möchte ich jetzt noch mal auf das zweite Thema zu sprechen kommen, nämlich den Fachkräftemangel. Du hast es eben gerade schon angesprochen, CISOs sind ja keine One Men- oder One-Women -Show, besonders nicht auf dem Hot -Seat, auf dem sie vermeintlich sitzen, was die Fluktuationsraten angeht und die Verbleibezeit sozusagen eines CISOs. Und jetzt ist es so, weil ein einzelner Akteur dieses Problem des Cybersicherheits-Fachkräftemangels ja nicht effektiv lösen oder bewältigen kann, hat das Weltwirtschaftsforum die Initiative „Bridging the Cyber Skills Gap“ ins Leben gerufen. Diese Initiative vereint mehr als 50 öffentliche und private Organisationen und hat ein strategisches Cybersecurity Talent Framework entwickelt, das praktikable Ansätze bereitstellt, Organisationen beim Aufbau nachhaltiger Talent Pipelines zu unterstützen. Du hast bei dieser Initiative mitarbeiten dürfen und im April 2024 ist das Framework erschienen. Kannst du uns ein bisschen mehr dazu erzählen und vielleicht auch unseren Hörerinnen und Hörern eine Einschätzung dazu geben, wie sich der Mangel an Fachkräften auf die Cyber-Sicherheitsbranche auswirkt und wie wir dagegen in Zukunft irgendwas tun können?

Annika Wägenbauer: Annika Wägenbauer Ja, du hast es ja schon gesagt, wir haben einen Fachkräftemangel. Aber das ist immer so ein Buzzword. Und es kursieren ja super wilde Zahlen darüber, wie viele Fachkräfte jetzt wirklich fehlen. Deswegen packen wir das mal an die Seite. Aber Fakt ist, wir haben auf jeden Fall zu wenig ausgebildete Leute, den Bedarf zu decken. Punkt. Und das ist überall so. Und das ist aber auch in der Cyber-Sicherheit so. Und das Ding ist hier aber, da noch mal ein bisschen zurückrudern, wir fangen mit der Ausbildung viel zu spät an. Wenn überhaupt.

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Annika Wägenbauer: Annika Wägenbauer Wie wäre es denn mit Cybersicht in Grundschulen? Gut, das hilft uns jetzt nicht akut. Genau, aber auf lange Sicht hilft das. Das heißt, wir brauchen einen Quick-Fix. Und der ist, wir brauchen Quereinsteiger und Quereinsteigerinnen. Der Anteil der Frauen in der Cybersicht weltweit ist nämlich wirklich gering. Der ist jetzt immer noch nur bei 24 Prozent so. Das ist absolut zu wenig. Und das ist auch ein sehr deutsches Problem. Sogar das Bundeswirtschaftsministerium sagt, irgendwie ist größte Beschäftigung...

Lisa Froehlich: Lisa Froehlich Ja, oder in Kindergärten.

Annika Wägenbauer: Annika Wägenbauer Potenzial zur Fachkräftesicherung sind Frauen. Aber was kann dagegen unternommen werden? Das ist das, womit wir uns beim Weltwirtschaftsforum beschäftigt haben. Wir müssen so mutig sein, Quereinsteigern Jobs in der Branche zuzutrauen. Und sie dann aber auch befähigen, gute Arbeit leisten zu können. Natürlich wirst du kein Top -Notch -Pentester in einer einwöchigen Schulung. Aber wenn der Unternehmensansatz eher higher for talent als higher for skills ist ...Dann kann man ganz schön viele Fliegen mit einer Klappe schlagen. Und das ist dann wieder das Thema Business Case. Lass uns einen Beginner einstellen, der kostet weniger und dessen Potenzial dann richtig nutzen. Und du brauchst Techies, aber du brauchst eben auch die ganzen anderen Leute. Und das hängt dann damit zusammen, was für CISOs wir brauchen. Brauchen wir CISOs, die interdisziplinär denken und Themen global betrachten. Das spricht dann dafür, dass wir Strategien brauchen und Leute die Muster erkennen.

Lisa Froehlich: Lisa Froehlich Ja klar.

Annika Wägenbauer: Annika Wägenbauer und die rauszoomen können. Das hast du vielleicht auch schon mitbekommen, bei amerikanischen Tech -Unternehmen, zum Beispiel dem mit dem großen ist es gerade der totale Trend, Philosophen und Mathematiker einzustellen, wegen der Mustererkennung. Da müssen wir hingehen. Wir müssen gucken, dass auch Diversität in sich ein Wert ist für die Boards. Und wenn wir das schaffen, Quereinsteiger und Quereinsteigerinnen einstellen, die befähigen und die auch hochpushen. Weil ich hoffe, dass gerade in Europa die Zukunft der CISOs nicht nur aus mittelalten weißen Thorsten besteht, sondern aus einer Zeynep mit irgendwie wie du im Hintergrund in Linguistik. Weil dann haben wir nur gewonnen. Und die Techies sind trotzdem wichtig. Das ist ja auch immer so ein Thema. Ja, aber, aber natürlich brauchen wir Experten und Spezialisten. Wir brauchen Techies. Die sind unersetzbar, aber die sind ergänzbar. Mit ganz vielen anderen Puzzleteilen. Das glaube ich.

Lisa Froehlich: Lisa Froehlich Was ich halt auch festgestellt habe, also ich meine, wie gesagt, ich spreche ja sehr gerne mit meinen Techie-Kollegen. Ich habe da einfach Spaß dran. Ich frage mich, ob Sie immer Spaß dran haben, aber das steht auf einem anderen Papier, weil natürlich sozusagen die gemeine Vorstellung von so einem Techie ist ja, dass sie irgendwie im Keller sitzen und irgendwie komisches Licht haben und vor ihren Code-Zeilen sitzen. Die Erfahrung kann ich jetzt nicht teilen und die Menschen sind vielleicht ein bisschen introvertierter als ich es bin, aber man hat auch immer die Möglichkeit eben an Themen anzuknüpfen, die interessant sind. Und ich bin halt einfach furchtbar neugierig und ich merke einfach, ich möchte gerne die Dinge auch verstehen, über die ich spreche. Und das ist ja auch genau das, ne? Also dieses Thema, was du angesprochen hast. Befähigt doch einfach Menschen, die richtig Bock darauf haben, dazu, dass sie Fuß fassen können in der Cybersecurity-Branche, weil einfach das ist ein Riesenfeld und da braucht es einfach so viele verschiedene Facetten und Talente und Fähigkeiten, die zum Einsatz kommen können an den ganz unterschiedlichen Punkten. Also wenn wir jetzt nochmal auf unseren Ernstfall Ransomware-Attacke zurückgehen, dann ist es doch so, wir brauchen da Leute, die irgendwie in der ersten Woche vielleicht im Unternehmen erstmal alle beruhigen. Also die Troubleshooter, die erstmal so hier Ruhe bewahren. Also Leute, die unfassbar resilient sind, die einfach eine Ruhe ausstrahlen und eine Souveränität mitbringen, dass sie das Gefühl vermitteln den Mitarbeitenden, hey macht euch keine Gedanken, wir kriegen das wieder hin, alles ist safe. Also weil das ist ja auch wichtig, welche Signale werden denn intern an die Mitarbeitenden ausgesendet. Es ist ja unheimlich wichtig, dass wenn ich in einem großen Unternehmen auch solche Angriffe habe, dass die Leute nicht erschrecken oder nicht in Sorge geraten, Arbeitsplatzsicherheit etc. pp. Ich meine Sicherheit ist ein menschliches Grundbedürfnis und deswegen reagieren wir ja auch alle so empfindlich, wenn wir irgendwie in der S -Bahn sitzen und feststellen, nein, ich habe die Haustür nicht abgeschlossen, ja, so. Also oder ich habe ein Fenster aufgelassen. Das löst ja schon nahezu bei der Hälfte der Menschheit massive Panikattacken aus. Also, ich glaube, es ist einfach, wie du schon sagtest, wichtig, dass wir mal den Blick schweifen lassen und gucken, wie können wir vielleicht auch eine CISO-Position auf mehrere Köpfe verteilen, weil dann kann ich mir nämlich für jede, sage ich mal, Kernkompetenz vielleicht jemanden suchen, der exakt diese Kernkompetenz mitbringt. Und was wir ja gelernt haben und was auch Studien bestätigen ist, diverse Teams bringen effizientere, effektivere und wertvollere Ergebnisse am Ende des Tages. Und ja, ich finde, wie denkst du, wenn du jetzt so nochmal in eine Glaskugel blicken könntest, was sind deiner Meinung nach so die wichtigsten Maßnahmen, die wir so im Bereich CISOs, Fachkräftemangel, ja...ins Laufen oder in die Welt bringen können, damit die Cybersicherheitslandschaft nachhaltig gestärkt und verbessert wird.

Annika Wägenbauer: Annika Wägenbauer Vielleicht noch mal ganz kurz zu deinem Thema des Sicherheitsbedürfnisses. Ich glaube, was da auch total wichtig ist, dass wir mal versuchen zu unterscheiden, und das hängt auch mit dem Druck auf dem CISO und dem Anspruch an Sicherheit zusammen. Was ist Sicherheit? Was ist ein Sicherheitsgefühl? Was ist Kontrolle? Und wie hoch ist meine Risikobereitschaft? Und ich glaube, das müssen wir einmal...

Lisa Froehlich: Lisa Froehlich Na, genau.

Annika Wägenbauer: Annika Wägenbauer relativ unrisikobereit als irgendwie, als eine deutsche Gesellschaft. Das sieht woanders vielleicht ganz anders aus. Da hast du irgendwie in den USA „Fuck-up-Nights“. Es ist okay, wenn du einen Fehler machst. Das wird offen zelebriert, dann lernst du, machst was Neues. Das ist so ein Thema Fehlerkultur, glaube ich. Und eben das Gefühl, das Sicherheitsgefühl ist viel wichtiger als die de facto Sicherheit.

Lisa Froehlich: Lisa Froehlich Hmmmm.

Annika Wägenbauer: Annika Wägenbauer weil das ist, was die Leute am Laufen hält, weil sonst hast du so einen Flee-Modus bei den Menschen und Mitarbeitern. Das wollte ich nur noch mal kurz dazu. Aber was war jetzt deine Frage? Cybersicherheitslandschaft in Deutschland.

Lisa Froehlich: Lisa Froehlich Meine Abschlussfrage wäre einfach, was sind sozusagen die wichtigsten Maßnahmen jetzt im Hinblick auf das, worüber wir gesprochen haben, also der CISO, die Fachkräfte, die fehlen. Was wären so aus deiner Perspektive mal so die drei Top-Maßnahmen, die wir umsetzen müssen, damit es in Zukunft bergauf geht und wir nicht weiter abgehängt werden.

Annika Wägenbauer: Annika Wägenbauer Ja, okay. Nee, also was wir dafür so ein bisschen nahe verstehen müssen und im Hinterkopf haben müssen, ist, dass Cybersicherheit total dynamisch ist und sich immer weiterentwickelt. Und das ist einfach die perfekte Steilvorlage, in Bezug auf Gleichberechtigung, Vielfalt, Integration, Diversität, Spitzenleistung zu bringen. Die Bedrohungen, mit denen wir konfrontiert sind, sind total vielfältig. Das heißt, wir brauchen einmal Diversität auf allen Ebenen, da innovativ zu bleiben. Punkt. So. Und zweitens glaube ich, wir haben gerade so ein richtiges Momentum, das nicht so negativ, diese Folge werden zu lassen. Cyber-Security ist super sichtbar in der Gesellschaft und auch in Unternehmen. Und da hilft zynischerweise die derzeitige geopolitische Situation auch so. Das heißt, wir müssen nur noch den Business Case verkaufen.

Lisa Froehlich: Lisa Froehlich Ja, exakt. Mhm.

Annika Wägenbauer: Annika Wägenbauer Sicherheit funktioniert am besten da, wo man sie nicht sieht. Wenn sie smooth in die bestehenden Abläufe irgendwie eingebettet ist, benutzerfreundlich, alle fühlen sich sicher, niemanden fällt es auf. Wir müssen also an zweiter Stelle diese Unsichtbarkeit sichtbar werden lassen. Dann bekommen wir auch mehr Geld dazu. Weil am Ende, da müssen wir Geld ausgeben, Geld zu sparen. Weil das ist der Business Case und den brauchen wir nicht verkomplizieren. Sprich, invest in präventive Cybersicherheit, dann am Ende nicht da zustehen mit ab, wo ist jetzt noch mal das Notfallhandbuch, was müssen wir machen, keine Ahnung. So, also Sichtbarkeit. Und drittens, nicht gegeneinander, sondern miteinander arbeiten. In diesen Netzwerken, die du angesprochen hast, es gibt ja auch ganz viele verschiedene Netzwerke. Tauscht euch unter anderem CSOS aus, mit anderen CSOS, auch auf europäischer oder internationaler Ebene. Als zum Beispiel, wir sind ja in dem Women4Cyber-Netzwerk beide dabei, tauscht euch mit anderen Leuten aus, die irgendwie so sind wie ihr selber. Du redest ja gern mit Menschen, die irgendwas haben, wo du dich dran festhalten kannst, weil das dich spiegelt. Bei dem CISO ist es dann vielleicht die Position, der andere ist auch CISO. In dem Frauennetzwerk ist, guck mal, die ist auch Mutter, können wir uns da drüber unterhalten, du brauchst so ein, das ist auch wieder so ein Sicherheitsgefühlthema spiegelt dich, das heißt ich erkenne mich in dir wieder und wir können uns auf einer guten Ebene austauschen. Ich glaube das ist super super wichtig. Nicht dieses Geheimnis-krämerische, wir reden lieber nicht drüber was wir machen, weil alles ist dann gleich direkt gefährlich, sondern ein wirklich gut informiertes irgendwie Informationsaustausch in trusted communities. Natürlich muss ich nicht jedem alles erzählen. Aber mehr Austausch, mehr meaningful Austausch und dann aber auch auf ganz persönlicher Ebene. Das sind, glaub ich, die drei Sachen. Und das kann, weil das gilt auch für immer, finde ich, weil das sehr unspezifisch ist. Genau wie, ne? Wie sieht Cyber-Sicherheit in zehn Jahren aus? Ich weiß nicht, was für technische Entwicklungen wir da haben, gerade mit KI, etc., etc. Aber das sind so Grundsätze, die einfach überdauern, die kannst du anpassen.

Lisa Froehlich: Lisa Froehlich Ja, der Blick in die Glaskugel ist ja immer schwierig, aber ich glaube, die drei Punkte, die du gemacht hast, sind ein wunderbarer Abschluss für unsere heutige Folge. Und ja, vielen, vielen Dank Annika, dass du heute mein Gast warst. Ich finde es super spannend. Es ist ein breites Feld, Cybersicherheit, IT-Security. Uns bleibt nur zu sagen, schaut, ob euch das Thema interessiert und ihr irgendwo quer einsteigen könnt. Wir beide können es...vermutlich nur empfehlen oder wir würden es nur empfehlen. Und ja, an der Stelle bleibt mir nur noch einmal Danke zu sagen und mich von euch zu verabschieden. Und ja, wenn es euch gefallen hat, dann empfehlt den Podcast gerne weiter, abonniert ihn gerne und an der Stelle bleibt mir erst mal nur zu sagen, Keep calm and get protected.