#22: Daten-Chaos ade!

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Früllich, ich bin Unternehmenssprecherin bei Link11 und heute habe ich Dr. Kilian Schmidt, den CEO von Kertos, bei mir zu Gast. Es freut mich sehr, dass du da bist, äh, Christian, ich, und Kilian. Und ja, an euch da draußen, vielen Dank, dass ihr wieder mit dabei seid und mit uns heute in den Kaninchenbau steigt und ein mal genauer hinter die Automatisierung, Datenschutz, Compliance und Cybersicherheit euch anschaut. Wir wollen sozusagen mit Kilian oder ich will mit Kilian, der ein langjähriger Experte ist in Sachen Datenschutz und Recht, über die Zukunft automatisierter und datenschutzkonformer Datenverarbeitung und deren Rolle für Compliance -Themen sprechen. Selbstverständlich werfen wir natürlich auch einen Seitenblick auf das Thema IT -Sicherheit, weil das ist ja immer dabei, wenn wir über den Umgang mit sensiblen Daten sprechen. Christian. Wieso sage ich immer Christian? Kilian. nein. Das muss raus aus meinem Kopf heute. Kilian. Jetzt aber.

Kilian: Kilian Kein Problem.

Lisa Froehlich: Lisa Froehlich Kertos ist ja im Grunde ein Pionier für das, was ihr macht. Vielleicht stellst du dich einfach mal kurz vor und erklär doch mal bitte unseren Hörerinnen und Hörern, was genau Kertos macht, damit wir wissen, womit wir es hier zu tun haben.

Kilian: Kilian Sehr gerne. Erstmal vielen lieben Dank für die Einladung. Ich freue mich heute sehr dabei zu sein und auf unser Gespräch. ja, die Themen Datenschutz, Compliance und alle operativen Prozesse, die damit zusammenhängen, die treiben mich an. Warum? Ich bin zwar gelernter Jurist, habe aber den Großteil meiner Zeit in verschiedenen Unternehmen verbracht, also inhouse gearbeitet und dort am eigenen Leib erfahren dürfen, wie herausfordernd es ist, regulatorische Anforderungen, Compliance-Bedingungen, ob sich selbst auferlegt oder von Dritten wirklich in die Tat umzusetzen und selber festgestellt, dass es für mich keine passgenaue Lösung am Markt da draußen gab, die die Anforderungen, die wir definiert haben, bedienen konnte. Und so haben wir uns vor drei Jahren zu Dritt als Gründerteam entschieden, die Sache selbst in die Hand zu nehmen, die Kertos GmbH gegründet und haben es uns zum Ziel gesetzt, die operativen Prozesse in der Compliance mit Automatisierung zu unterlegen. Das erreichen wir insbesondere, indem wir tief in die IT -Infrastruktur unserer Kunden uns eingliedern, über Schnittstellen in Verbindung treten und dann Prozesse sehr technisch angehen und umsetzen und freue mich auf die Detailfragen, wie genau wir das machen und was unser Antrieb dahinter ist.

Lisa Froehlich: Lisa Froehlich Ja, klasse. Vielen lieben Dank, Kilian. Wie du schon gesagt hast, du bist Jurist und dich hat das Thema Datenschutz-Roundabout mindestens zehn Jahre lang schon beschäftigt und du hast dich intensiv damit auseinandergesetzt. Die Einhaltung der Datenschutz-Grundverordnung, also der DSGVO, ist für Unternehmen heutzutage immer noch oder ja immer wieder auch von entscheidender Bedeutung. Aber und du hast es auch schon angesprochen, damit ist ja auch ein erheblicher Aufwand teilweise auf Unternehmensseite verbunden. In meiner Wahrnehmung wird dieses Thema Datenschutz und auch die Verarbeitung der Daten und vor allen Dingen auch solche Dinge, ja auch sozusagen die Rechte der Betroffenen oder Internetnutzer auf ihre Daten oder auch die Auskünfte zu ihren Daten von vielen Unternehmen irgendwie noch so bisschen stiefmütterlich behandelt. Die regulatorischen Anforderungen alleine können dafür ja nicht Grund sein. Was ist denn deine oder eure Erfahrung, wenn ihr mit Unternehmen sprecht? Warum kommt denn dieses Thema Datenschutz und vor allen Dingen auch dieses Thema, wie reagiere ich als Unternehmen, wenn Leute nach ihren Daten Fragen und Auskünfte haben wollen, immer noch so ein bisschen überrascht, will ich es mal nennen, auf solche Anforderungen, tagtäglich doch auch gestellt werden.

Kilian: Kilian gestellt werden und vor allem nicht weggehen. Ich glaube, das ist ja immer, kann es aussitzen, aber das funktioniert in der Regel nicht sehr lange. Ich glaube, die große Herausforderung im Bereich Compliance ist, dass das Thema Compliance alle betrifft. Das ist keine Einzelaufgabe von einer bestimmten Person, die das Thema dann für sich

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian verantworten kann, auch durchsetzen kann, sondern das ist auch ein Grundprinzip unserer Plattform. Es ist ein sehr kollaborativer Ansatz, den man verfolgen muss, die Compliance tatsächlich auch durchsetzen zu können. Warum ist das so? Und warum sehen wir dann auch die Dinge etwas anders? Oftmals möchte man das Thema dann auslagern und sagt halt, ich suche mir jemanden, der da die Verantwortung übernimmt, der mir hilft, das Ganze zu koordinieren und auch die Leute zusammenzubringen. Da fängt das Problem schon so bisschen an, denn diese Berater oder Personen, außerhalb sitzen, können nur einen ganz, ganz kleinen Teil davon übernehmen. das sehr bildlich zu machen, wenn man sich eine Strecke von irgendwie 100 Prozent vorstellt, dann ist es in Regel so, dass die ersten 40 Prozent sind erstmal Informationsgewinnung. ist etwas, was wir Juristen Tag ein, Tag aus kennen und auch bedienen müssen. können nur unterstützen, wenn wir genau wissen, worum es eigentlich gerade geht. Also wir müssen herausfinden, was möchten die Parteien, was möchte die einzelne Partei. Und in der Compliance und im Datenschutz ist es genauso. erstmal arbeiten zu können, muss ich wissen, was passiert im Unternehmen. Ich muss die Informationen herbeitragen und das passiert in der Regel über Frage-Antwort -Spiele, Excel -Listen, ausgefüllt werden, Interviews und Fragebürgen, die ausgefüllt werden müssen. Und dann kann man sich hinsetzen und den kleineren Teil, und wir sagen in der Regel, es 20%, die eigentliche Rechtsfindung, beziehungsweise die klassische Beratung dessen, was jetzt gut, schlecht läuft oder anders gemacht werden muss. Und dann kommt eigentlich der große zweite Teil, das sind die letzten 40%, und das ist dann die Umsetzung und Implementierung. Diese Bereiche sind in der klassischen Beratung komplett ausgeklammert. Sondern man geht zum Berater und der stellt dann genau die Frage, ja, ich helfe gerne, aber sag mir doch erstmal, was bei euch passiert. Und diesen Bereich zusammen halt auch mit der Umsetzung, das bedienen halt wir auch mit der Plattform, beziehungsweise dort steckt so bisschen der Teufel im Detail, weil sich damit keiner auseinandersetzen möchte. Jeder geht davon aus, wenn ich das an jemanden abgebe, dann wird das schon erledigt werden. Ach wie, da muss ich jetzt doch selber noch einen Beitrag leisten und Informationen zusammentragen.

Lisa Froehlich: Lisa Froehlich Hmm.

Kilian: Kilian das Ganze halt so ein unliebsames Thema, was von A nach B geschoben wird. als letzter zuckt oder wer als erster zuckt, ist irgendwie dran und darf sich irgendwie mit einbringen. Und das macht das Ganze halt so herausfordernd. Das ist über viele Abteilungen verteilt. Zuständige Personen gibt, die sich damit auseinandersetzen müssen. Viele Fachbereiche, zusammenkommen. Es gibt die rechtlichen Anforderungen, es gibt die operative Umsetzung. Es gibt irgendwie die Ziele aus dem Marketing oder Sales Team, die ganz anders gelagert sind als das, was vielleicht der Compliance Officer gerne möchte. Und so ziehen immer verschiedene Interessen stark aneinander. Verschiedene Ziele, die vielleicht auch gesetzt wurden. Der eine muss den Umsatz erreichen, der andere muss die Compliance steigern. Das beißt sich eigentlich schon mal per se. Und wenn man das zusammenbringen, wenn man es zusammenzubringen, dann hat man schon mal einen großen Schritt getan. Das fällt vielen sehr schwer. Dadurch klar etwas stimuliert durch die Regulierung. Aber am Ende sind es doch die Koordinations und Abstimmungsprobleme, die das Ganze so herausfordernd machen und für viele es so schwer erscheinen lassen.

Lisa Froehlich: Lisa Froehlich Ja, ich kann mir vorstellen und ich glaube, das ist für viele Unternehmen ja auch problematisch, dass eben auch die Datenlage sehr fragmentiert ist. Also ich kann mir vorstellen, also wenn ich mir jetzt beispielsweise so ein klassisches Online -Shop -Konzept vorstelle, da gibt es ja verschiedene Stellen, an denen meine Daten liegen. Die liegen da in der Rechnungsabteilung, weil ich habe ja meine Kreditkartendaten oder meine Paypal -Daten oder Klana, whatever hinterlegt, damit ich in dem Shop bezahlen kann. Gegebenenfalls habe ich ein Kundenkonto. Also dann liegen meine Daten vielleicht in einem Customer Success Management Team oder in einem Marketingteam, damit ich ein Newsletter bekomme mit den neuesten Produktempfehlungen und irgendwelchen Sonderrabattaktionen. Also ich glaube, und das sind ja nur die offensichtlichen Daten, sage ich jetzt mal, Datenplätze, wo ich von außen meine Daten vermute. Und ich kann mir durchaus vorstellen, dass eben einfach in dieser starken Fragmentierung, dass es auch Unternehmen gibt, die an zig verschiedenen Stellen mit Daten, persönlichen Daten, sensiblen Daten, etc., pp., von ihren Kunden und Kundinnen arbeiten. Und natürlich führt es gerade glaube ich auch in Unternehmen, die sozusagen vielleicht auch schnell wachsen dazu, dass ja im Grunde vielleicht auch eher improvisierte Prozesse da gewachsen sind und plötzlich kommen vielleicht neue Anforderungen, sei es jetzt seitens der Regulatorik oder seitens einer Skalierung im Unternehmenswachstum hinzu, wo sich die Unternehmen im Klaren darüber sein müssen, dass natürlich jede Anfrage von Betroffenen ja auch mit Kosten verbunden ist, die ich zu bewältigen habe, mal ganz davon abgesehen, dass eben solche Prozesse ja auch Zeit brauchen. Und Kertos, und das hast du ja gerade sozusagen geschildert, hat ja diese Prozesse im Grunde automatisiert und neben diesen, sag ich mal, fragmentierten

Lisa Froehlich: Lisa Froehlich Datenquellen spielt ja auch nochmal eine ganz große Rolle bei dem Thema Compliance, auch dieses Thema Shadow IT. Also es ist natürlich zum einen ja auch wichtig zu wissen, wo liegen die Daten, aber wo sind denn gegebenenfalls weitere Applikationen, die auf die Daten zugreifen können und wir wissen ja, mittlerweile sind ja sozusagen auf einer normalen Webseite schon unfassbar viele vielleicht auch Applikationen vorhanden, die sozusagen ja auch ein Stückchen vom Datenkuchen abhaben wollen. Und kannst du uns da mal einen genaueren Überblick geben, welche Zusammenhänge da bestehen oder wo da sozusagen der Hase bei den meisten oder bei vielleicht einigen Unternehmen im Pfeffer.

Kilian: Kilian Ja, genau, was wir in den letzten Jahren beobachten konnten, eine starke Verbreitung von SaaS -Anwendungen, also Software-as-a-Service, alles wandert in die Cloud. Für jede kleine Dienstleistung gibt es mittlerweile eine Anwendung, die einem irgendwie hilft, Dinge zu optimieren, zu beschleunigen oder überhaupt erst bestimmte Prozesse zu ermöglichen. Es gibt immer wieder unterschiedliche Studien. Teilweise wird im Schnitt von über 120 Softwareanwendungen gesprochen, die jedes Unternehmen im Einsatz hat. Das sind theoretisch 120 Datensilos, in denen sich verschiedene Datensätze verstecken können. Wenn man dann weiß, dass im Schnitt 40 bis 60 Prozent davon personenbezogene Daten enthalten, dann ist man sehr schnell bei einigen Dutzend Applikationen, die man sich theoretisch aus Compliance -Sicht kümmern muss. Und das Problem wächst, also es wird leider aktuell oder zum Glück immer die Perspektive sich überlegen, nicht weniger, sondern es wird immer komplexer. Gleichzeitig steigt die Anzahl der Nutzer, die Anzahl der Daten, die gesammelt werden.

Lisa Froehlich: Lisa Froehlich Mmh.

Kilian: Kilian wächst immer weiter. Das macht es extrem schwierig, das Ganze zu managen, zu überwachen. Auch ganz banale Themen, hoher Fluktuationswechsel in der Belegschaft. Früher sind Menschen 15 bis 25 Jahre in einem Job geblieben oder bei einem Unternehmen. Heutzutage bleiben Mitarbeiter vielleicht anderthalb, zwei oder drei Jahre. Dann geht wahnsinnig viel Wissen wieder verloren. Jeder nutzt die eigene Kreditkarte, Themen zu zahlen. Oder man muss überhaupt nichts zahlen, sondern hat eine kostenlose Variante, mit der

Lisa Froehlich: Lisa Froehlich Mmh.

Kilian: Kilian außer dass es über den Browser irgendwie aufgerufen wird, gibt es überhaupt keine Nachweise mehr und das ist schon der Anfang der ganzen Problematik. Wenn ich nämlich nicht weiß, was passiert, dann kann ich auch nichts regeln, dann kann ich auch nichts kontrollieren, dann kann ich auch nicht schauen, ob dort irgendwie ordentlich gearbeitet wird oder nicht. Gleichzeitig sind die Informationen aber trotzdem alle vorhanden. Man muss sie nur sichtbar machen. Und das ist zum Beispiel ein Weg, wir gehen. Wo wir halt sagen, über bestimmte Scanner, die wir in die tägliche Arbeit integrieren. Entweder als Browser Plugin, als Scanner der Website, der Applikation. Wir können uns anbinden an Single Sign-on Lösungen wie Google, Okta oder Microsoft. Wir sind in der Lage, Kreditkartenabrechnungen auszulesen oder über Dativ eine Integration herzustellen. Wir nutzen also vielfältige Datenquellen, erst mal überhaupt herauszufinden, was in der Organisation passiert. Wo wir da beim ersten Thema wären. Ansonsten müsste ich rumgehen, jede Abteilung fragen, was passiert eigentlich bei euch und irgendwie die Sachen, da jetzt mal blöd gesagt der Praktikant irgendwie in letzten drei Monaten gemacht hat, der gar nicht mehr da ist, der kann mir auch nicht mehr erzählen, was er gemacht hat. Sondern zwei für zwei Stunden nummern jetzt irgendwelche Kundendaten auf irgendeinem Server in den USA, weil man halt ein Marketing Tool ausprobiert hat. Und da

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian Das hat mich auch damals angetrieben, als ich verantwortlich war für die Prozesse, erst mal herauszufinden, was hier eigentlich passiert. Das ist die allergrößte Herausforderung. Und dann natürlich auch kontinuierlich das Ganze nachzuhalten. ich glaube, damit kann auch jeder sich irgendwie in Verbindung setzen. Wenn ich eine etwas größere Organisation habe, dann fange ich heute bei der Abteilung A an, frage dort, was passiert, arbeite mich über BCDEF bis irgendwie in die Vertriebsabteilung durch. Es sind sechs Monate rum und ich kann eigentlich in dem Moment, ich denke, dass ich fertig bin, schon wieder von vorne anfangen, weil sich in den letzten sechs Monaten bei der ersten Abteilung wahrscheinlich wieder die Hälfte an Prozessen geändert hat oder zumindest neue Tools eingeführt wurden. Und man kommt aus diesem ewigen Loop eigentlich gar nicht raus und das geht heute anders. Man kann die Informationen, die da sind technisch sichtbar machen. Wie gesagt, über die Integration sind wir dazu in der Lage, das am Anfang natürlich eines größeren Audits zu erstellen, aber dann auch kontinuierlich monatlich das Ganze wieder aufzubereiten. Und was wir damit erreichen, ist, sind eigentlich genau die beiden Sachen, die man halt in der Compliance möchte, nämlich…Jeder möchte, also setze ich jetzt einfach mal voraus, jeder möchte per se compliant sein. Also möchte im Einklang mit den regulatorischen Vorschriften und betrieblichen Bestimmungen sein Tagesgeschäft erfüllen. Das aber nur zu einem gewissen Preis, nämlich Kosten nutzen. Wenn man halt

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian einen hohen Preis zahlen muss für eine vermeintlich Banalität im Bereich Compliance, dann fällt das wieder auseinander und man fängt an abzuwägen und zu entscheiden, so genau nehme ich es dann vielleicht nicht, hätte ich zwar gerne die Compliance, aber die ist mir jetzt zu teuer, das steht nicht im Verhältnis zu dem, was am Ende dann herauskommt. Beide Sachen können wir bedienen. können durch die technische Integration für mehr Genauigkeit, für kürzere Zeitabstände der Informationsgewinnung sorgen und kontinuierlich eine hohe Compliance halten. Und das wiederum für einen deutlich günstigeren Preispunkt, weil wir nicht auf manuelle Tätigkeiten oder manuellen Input der Mitarbeiter angewiesen sind. Und so sind wir in der Lage, direkt zwei...Themen zu bedienen und so insgesamt die Compliance zu steigern und idealerweise halt auch die Kosten zu drücken, beziehungsweise zumindest auf dem Level zu halten, auf dem sie bisher waren, aber dann mit einer deutlich höheren, deutlich höherem Level an der Compliance.

Lisa Froehlich: Lisa Froehlich Jetzt ist es natürlich auch so, was ich mich frage, wie sieht es mit der Sicherheit der Daten aus? Weil wenn ich sozusagen an personenbezogene Daten denke oder sensible Daten, dann muss ich natürlich als allererstes Mal an deren Sicherheit denken. nicht umsonst geistern ja gefühlt aktuell wöchentlich irgendwelche Nachrichten durch die Medien nach dem Motto: hier wurden wieder Kundenkonten gehackt aus dem Portal, sind, weiß ich nicht, vier Millionen Kundendaten im Darknet aufgetaucht. Daten sind ja auch eine Währung. Und zwar, je nachdem, was es für Daten sind, auch eine sehr teure Währung. Wie stellt ihr denn sicher, dass eben diese sensiblen Kundendaten datenschutzkonform, aber vor allen Dingen eben auch sozusagen IT-sicher oder sicher? Bei der Datenautomatisierung verarbeitet werden? Also habt ihr da bestimmte Konzepte implementiert oder wie stellt ihr sicher, dass es da nicht noch sozusagen zusätzliche Sicherheitslücken gibt, weil ihr ja auch über gegebenenfalls Schnittstellen wie APIs arbeitet?

Lisa Froehlich: Lisa Froehlich Ja?

Kilian: Kilian Ja, sorry, eben warst du kurz weg.

Lisa Froehlich: Lisa Froehlich kein Problem. Wie gesagt, ja, die... Dann fange ich einfach mit der Frage nochmal an und dann wird das so zusammengeschnitten, dass sie passt.

Kilian: Kilian Mit der Sicherheit, genau. habe glaube ich auch den Anfang gehört, nur am Ende war leider, ich weiß nicht, bei mir war Uploading die ganze Zeit auf 99 Prozent. Ich weiß nicht, ob es irgendwie an mir oder dir lag. Das tut mir leid.

Lisa Froehlich: Lisa Froehlich Kein Problem. Ja, wie gesagt, wenn ich an personenbezogene Daten denke, dann muss ich natürlich als erstes auch an deren Sicherheit denken. Und da geht es ja auch darum, dass man wirklich häufig in den Medien liest, dass sensible Kundendaten in Darknet-Foren auftauchen, dass irgendwelche Kundendatenbanken gehackt wurden, sei es jetzt von Hotels, Ticketservices, etc., pp. Da tauchen ja quasi wöchentlich neue News auf. Wie stellt ihr denn sicher, dass eben bei dieser Verarbeitung oder bei der Datenautomatisierung oder bei euren Automatisationsprozessen die Daten zum einen datenschutzkonform, aber vor allen Dingen auch sicher verarbeitet werden? Also habt ihr da bestimmte IT -Sicherheitskonzepte implementiert oder schützt ihr Schnittstellen besonders. Wie sieht es aus, wenn wir uns jetzt nochmal die IT -Sicherheitskomponente da mit rein denken.

Kilian: Kilian Genau, also es sind immer zwei Dinge, die man betrachten muss. Natürlich, wir selber legen höchsten Wert auf Sicherheit unserer eigenen Systeme. Wir sind ISO 27001 zertifiziert und erlaufen uns selbst regelmäßigen Pen -Tests und auch simulieren Hacker -Angriffe, halt sicherzugehen, dass dort nichts passiert. Das ist aber eigentlich schon eher das zweite oder dritte Sicherheitsnetz. Es fängt schon viel früher an, was auch die Infrastruktur betrifft und die Art und Weise, wie wir Daten generieren, sind wir minimal invasiv. Viele Themen lesen wir nicht aus, beziehungsweise die werden nicht an uns übertragen, weil sie uns gar nicht interessieren, sondern Dinge, die wir halt nur auf oberster Ebene sichtbar machen und auf die eigentlichen Daten zum Beispiel gar nicht Bezug nehmen müssen. sondern erst mal die Infrastruktur selbst anzeigen und auf der Grundlage schon für viel mehr Transparenz.

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian auch die Art und Weise, wie wir Befehle austauschen, in Anführungszeichen zwischen den Systemen. Die sind sehr minimal invasiv, die durchlaufen verschiedene Prüfprozesse und müssen dann gecheckt werden. im nächsten Schritt dann halt auch der Umgang sozusagen mit den Daten, wenn sie übertragen werden, die werden über unsere sogenannte Gateway- und Zero-Trust-Architektur auch verbreitet, heißt, wir sind in der Lage, diese Daten verschlüsselt zu übertragen an verschiedene Gateways, sodass die klaren Daten eigentlich gar nicht sichtbar sind. Das einmal vorangestellt ist der eigentliche Mehrwert und den Aha-Effekt, wir insbesondere erzielen, ist auch die Beispiele, die du eben genannt hast.

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian Die Sicherheitsvorfälle basieren, in der Regel über 90 Prozent der Fälle, basieren sie auf menschlichen Fehlern. Entweder wir haben in der Umsetzung Fehler gemacht bei der Architektur oder dann auch einfach im täglichen Umgang mit den Daten, sodass dies eigentlich die größte Fehlerquelle ist, die es gilt auszuschließen. Und genau das schaffen wir mit unserer Automatisierung. Also wenn man sich überlegt, dass sonst Daten, die über 20, 30 Datensilos verteilt sind, für eine

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian Anfrage entsprechend oft angefasst werden müssen. Das bedeutet, 30-mal muss sich jemand einloggen in ein System, das Kundenprofil ausfindig machen, dieses Projekt identifizieren, löschen, die Bestätigung weiter schicken und gleichzeitig sicherstellen, dass man kein anderes Datum gelöscht hat und auch das korrekte Datum gelöscht hat. Und wenn man das dann multipliziert mit vielleicht 10, 20, 50 Anfragen hat man auf einmal 150, 500, 1.000 Touchpoints sozusagen in einem einzigen Monat, in einer einzigen Woche

Lisa Froehlich: Lisa Froehlich Hmm.

Kilian: Kilian Und da kann man die Uhr nachstellen, dass dann irgendwann die Fehler passieren. dass diese Daten irgendwo aufzufinden sind, wo sie vielleicht nicht sein sollen, dass Schnittstellen oder Zugänge öffentlich zugänglich gemacht werden. Weil das haben wir auch oft schon gesehen. Dann versucht man sich mit improvisierten Prozessen zu behelfen. Es werden irgendwie Dinge zusammengefrickelt, die eigentlich so nicht zusammengehören. Dadurch entstehen wieder Sicherheitslücken. sind Daten. Also die größten Abenteuer, die man da, glaube ich, schon entdecken konnte.

Lisa Froehlich: Lisa Froehlich Hmm.

Kilian: Kilian Und deswegen ist per se das, was wir machen, gerade darauf aus, die Sicherheit und den Umgang mit Daten massiv zu erhöhen und eigentlich Datenmissbrauch oder Datenschutzvorfälle, ein Vielfaches zu verringern, weil man halt einen Computer schlecht belügen kann oder einen Computer sieht, wenn etwas nicht funktioniert und entsprechende Warnhinweise gibt. Und das ist eigentlich schon der größte Mehrwert. Klar, wir selber müssen darauf achten, dass nicht zum Potenzialen irgendwie Target werden und das Ziel von Angriffen dritter. Aber das betrifft ja auch jedes Marketing Tool, jede ERP-Software, jede Shopware. Klar, jetzt haben wir irgendwie gesehen, was passieren kann, wenn auch menschliche Fehler im Rahmen von Crowdstrike oder Vinted war gerade ein sehr prominentes Beispiel, Marktplatz für gebrauchte Kleidungsstücke.

Lisa Froehlich: Lisa Froehlich Mhm.

Kilian: Kilian Es wird immer wieder passieren, mit einer Lösung wie wir es sind, man zumindest dafür sorgen, dass diese stupiden, repetitiven Prozesse nicht das nächste Einfallstor für den nächsten Jahr

Lisa Froehlich: Lisa Froehlich Ja, vor allen Dingen glaube ich, es halt auch wichtig, weil wir hatten das ja kurz angeteasert, auch mit dem Thema Shadow-IT. so, soweit ich das in der Recherche sehen konnte, macht ihr ja auch solche Scans, einfach mal zu gucken, was ist denn überhaupt vorhanden? Wo habe ich denn Systeme oder

Kilian: Kilian Mhm.

Lisa Froehlich: Lisa Froehlich die gegebenenfalls Daten von A nach B schicken oder mit anderen Schnittstellen interagieren. Also das ist ja auch ein großer Vorteil, wenn man sich einmal sozusagen seine Architektur und die Infrastruktur, die ja auch mit einem Unternehmen wächst, auch irgendwie an einem bestimmten Punkt nochmal vor Augen führt und sagt, okay, wir gehen jetzt auch wirklich mal alle Wege entlang und schauen mal alle Prozesse durch. Gibt es da nicht noch irgendwo eine Hintertür, die uns bis jetzt nicht aufgefallen ist? Oder gibt es irgendeinen Prozess, über den wir lange nicht mehr nachgedacht haben, weil da vielleicht nur einmal bei jeder tausendsten Anfrage vorkommt, etc., pp.? Also da gibt es ja ganz, ganz viele verschiedene Dinge, wo einfach sozusagen der Angreifer oder die Angreifer am Ende des Tages ja auch nur Nadelöhr brauchen und wie du schon sagtest, da ist natürlich ein automatisierter Prozess, der sozusagen Mitarbeitende ja auch entlastet und eben die menschliche Fehlerquellenquote sozusagen minimieren kann, weil du kannst eben bestimmte Automatisierungsprozesse laufen lassen, die, sag ich mal, ja deutlich konzentrierter und deutlich zielorientierter und ergebnisorientierter sind, als das

Kilian: Kilian Hm.

Lisa Froehlich: Lisa Froehlich Menschen sind, die im Zweifel am Nachmittag noch abgelenkt sind oder dann wieder ein anderes to-do dazwischenkommt, dann hat man vielleicht irgendwie doch was vergessen beim Abschließen eines Prozesses oder... Also da gibt es ja unfassbar viele verschiedene Möglichkeiten. Ich bin sozusagen auch darauf gestoßen bei meiner Recherche, dass ihr sozusagen viel auch mit euch mit dem Thema Zero-Trust-Architektur beschäftigt. Welchen Mehrwert bietet denn eine Zero-Trust-Architektur deiner Meinung nach Unternehmen und wieso folgt ihr gerade auch diesem Sicherheitskonzept?

Kilian: Kilian Ja, Zero Trust hat den großen Vorteil, auch da wieder die größte, das größte Gefahrenpotenzial ist der Transport. Also wenn man Daten einfach da lässt, wo sie sind, kann in der Regel auch nicht so viel damit passieren, wenn sie denn gut geschützt sind und weggesperrt wurden. Umso öfter man Daten anfasst, umso eher man oder umso öfter man sie transportiert, umso eher hat man natürlich wieder Einfallstüre und Toren, die es dritten möglich machen, sich unberechtigt Zugriff zu verschaffen oder Missbrauch. An anderer Stelle möglich werden. Und Zero Trust verhindert genau das. Also wir sorgen halt mit den Gate Keepern dafür, dass Daten in einem sicheren Bereich verschlüsselt werden, verschlüsselt übertragen werden. Auch in der weiteren Verarbeitung von uns nicht Entschlüsse, sondern wir verarbeiten die verschlüsselten Daten, in Anführungszeichen, und können dann das Ergebnis auch verschlüsselt wieder zurückschicken, sodass erst beim Kunden, bei ihm zu Hause, in Anführungszeichen, das Reinergebnis dann auch umgesetzt wird und somit man halt die gesamte Angriffsfläche ein Vielfaches minimiert, gegebenenfalls eigentlich sogar komplett eliminiert und überhaupt keine Angriffsfläche mehr bietet. Und dadurch erreichen wir halt auch genau das, dass wir als potenzielles Target selbst gar nicht so interessant sind, weil das, bei uns liegt, weder für uns noch für Dritte von Interesse ist, weil man es halt nicht verstehen kann und wir gleichzeitig aber den gleichen Mehrwert bei den Kunden schaffen können und so einfach noch mehr Argumente natürlich auch kreieren für eine Lösung unserer Art oder die letzten Zweifler und Grübler auch damit zufriedenstellen, wenn man das dann so präsentieren kann.

Lisa Froehlich: Lisa Froehlich Ja, also ich persönlich finde das ja sehr smart, sozusagen, diese ganzen vielen verschiedenen manuellen Prozesse, die oftmals eben auch improvisiert sind. Wie gesagt, ich stelle mir das einfach nur vor, wenn ein Start-up wächst und plötzlich sozusagen auch in der Geschwindigkeit wächst, wo gerade solche Prozesse einen vielleicht auch quasi hindern, weiter voranzugehen oder man dann an irgendeiner Stelle vielleicht über den ein oder anderen improvisierten Prozess stolpert. Und ja, ich persönlich finde das ja sehr, sehr interessant, dass ihr da eine Lösung entwickelt habt, die das zum einen datenschutzkonform macht und mit der das auch sicher funktioniert. Abschließend würde ich gern von dir wissen, wie lange, denkst du, wird es dauern, bis ich Automatisierung in diesem Bereich gegenüber den bisherigen Lösungen durchgesetzt hat, weil tatsächlich ist ja Kertos eines der wenigen Unternehmen in Europa, die automatisierte Datenschutzprozesse anbieten oder eben eine Lösung für Unternehmen anbieten, solche improvisierten Prozesse zu professionalisieren und automatisieren. Was ist da so deine Prognose, wenn du in die Glaskugel schaust?

Kilian: Kilian Wenn ich in die Glaskugel gucke, dann bin ich der Meinung, dass es deutlich schneller passieren wird, als wir wahrscheinlich alle Beteiligten heute denken. Warum? Zum einen, natürlich die Geschwindigkeit, mit der Innovation voranschreitet, exponentiell steigt und dementsprechend auch die Herausforderungen an die internen Prozesse exponentiell steigen und man von Update zu Update nicht mehr drum herumkommt, Dinge signifikant anders zukünftig zu denken. Und genau in so einer Phase bewegen wir uns auch jetzt gerade. Wenn man sich überlegt, der moderne Datenschutz ist ja noch sehr, jung. 2018 wurde die Datenschutzgrundverordnung eingeführt. Ich finde es extrem spannend, diese Historie seitdem anzugucken. hatten dann zwei Jahre, dann kam Corona, also eigentlich eine Zeit, der man gerade so die ersten Schritte gegangen ist. Auf einmal gab es aus allen Ecken und Enden ganz andere Herausforderungen, denen man sich stellen musste. Dann geopolitische Kriege, die dazugekommen sind, Stress in den Handlungs- und auch den Logistikketten. Jedenfalls auch gerade für Compliance und Rechtsabteilung, also Compliance-Teams und Rechtsabteilungen eine sehr, sehr herausfordernde Zeit, die mit vielen unterschiedlichen Anpassungen verbunden war. Und jetzt kommen halt viele wieder vor den Punkt, wo sie sagen, naja, was wir jetzt die letzten sechs Jahre hier gemacht haben, das war soweit noch ganz in Ordnung. Aber ehrlicherweise haben wir jetzt in den letzten drei, vier Jahren nur Dinge vor uns hergeschoben und nicht wieder angefasst. Was wir sehen, ist, dass jedes Unternehmen, das einen Prozess heute anfasst und modernisieren, verändern möchte, auf Automatisierung setzt. Zum einen, weil es heute Lösungen wie wir es anbieten, Markt erhältlich sind. Aber zum anderen, weil man Fachkräftemangel, allgemeiner Ressourcendruck, Restrukturierung der Teams, technische Komplexität oder Herausforderungen sehr schnell merkt, dass man

Lisa Froehlich: Lisa Froehlich Hmm.

Kilian: Kilian nicht mehr drum herum kommt, bestimmte Prozesse grundsätzlich anders zu denken und zu automatisieren. Und dann bleibt eigentlich nur noch die Alternative, entwickle ich das ganze Inhouse und belaste damit die eigenen Teams, die eigentlich ganz andere Herausforderungen gerade haben, nämlich die, sag ich mal, Kernthemen eines jeden Unternehmens, ob es E-Commerce ist, Hospitality, Mobilität oder etwas anderes. Oder, und das sehen wir halt, suche ich mir gezielt Dienstleister. Softwareanwendungen, Plattformen, die mich in diesem Bereich unterstützen können. Und wenn man dann nicht auf den klassischen Berater setzt, der einen irgendwie versucht, wieder zusammengefrickelte Lösungen zu verkaufen, dann landet man sehr schnell bei den klassischen Plattformen, wie wir es sind. Und dementsprechend bin ich fest davon überzeugt, dass wir in den nächsten fünf Jahren genauso integral ein Bestandteil der SaaS-Anwendungen sein werden, wie das heute ein CRM-System, ein Shop-System, eine Buchhaltung, eine HR-Software sein wird. Man wird zukünftig eine Plattform, System für seine Compliance-Prozesse im Unternehmen integriert haben müssen, weil man sonst einfach mit den Dynamiken nicht mehr mithalten kann und dann ganz andere Risiken, nämlich neben den klassischen Bußgeldern oder auch ... Maßnahmen von Kunden auch damit rechnen muss, dass unternehmerische Prozesse darunter leiden, die Agilität und die Entwicklungsgeschwindigkeit insgesamt davon in Mitleidenschaft gezogen wird. Und das sind halt Risiken, die eigentlich kein Unternehmer dann zukünftig mehr eingehen kann. Also ich gehe davon aus, dass wir da sehr viel sehen werden in nächsten Jahren.

Lisa Froehlich: Lisa Froehlich Ja, spannend. Also ich meine, es ist ja immerhin so, dass laut Statista 20, 24, 28 Prozent der Internetnutzer von ihrem Recht Gebrauch machen, Datenschutzanfragen an Unternehmen zu stellen und viele der Unternehmen, also ein Drittel der Unternehmen bekommen auch regelmäßig solche Anfragen und sind natürlich damit konfrontiert und wie du schon gesagt

Kilian: Kilian Mhm.

Lisa Froehlich: Lisa Froehlich Das alles beflügelt natürlich auch die Entwicklung der Automatisierung in diesem Prozess, weil wir oder die Unternehmen es sich einfach nicht mehr leisten können, auf Automatisierung in diesen Bereichen zu verzichten. Denn manuelle und improvisierte Prozesse sind einfach an dieser Stelle am Ende des Tages für Unternehmen doch teurer und gefährlicher als eine Software oder eine Lösung, die einfach funktioniert und nebenbei läuft, während der Mitarbeitende sich doch mit anderen Dingen beschäftigen kann, das Unternehmen weiter voranzubringen. Kilian, vielen, vielen Dank für den Einblick in das spannende Thema, was es auf sich hat mit datenschutzkonformer Verarbeitung und vor allen Dingen mit automatisierten Prozessen im Bereich Compliance und Datenschutz. Und ja, an dieser Stelle bleibt mir für euch nur zu sagen, wenn euch die Folge oder unser Podcast gefällt, dann lasst gerne ein Like da, abonniert den Podcast und empfehlt das weiße Kaninchen gerne weiter. An dieser Stelle wie immer ein Keep Calm and Get Protected von mir, Kilian, vielen Dank, dass du da warst und einen schönen Tag dir noch. Danke, bis dann. Ja, tschüss.

Kilian: Kilian Vielen Dank, liebe Lisa, hat viel Spaß gemacht. Tschüss.