#28: Information Security: Mythen, Fakten, Chancen

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Es freut mich, dass ihr alle wieder mit dabei seid und mit mir zusammen in die Tiefen des Kaninchenbaus Cybersicherheit einsteigt. Schön, dass ihr dabei seid. In der heutigen Folge steht die Entmystifizierung der Information Security auf dem Plan und darüber hinaus widmen meine Gäste Lia Fey und ich uns dem Thema, dass gleichzeitig eine Wahnsinnsherausforderung für die Branche ist, der Fachkräftemangel und falls wir es sozusagen noch schaffen, werfen wir einen Blick auf das Thema Awareness und wie das Ganze irgendwie Miteinander zusammenhängt, was man da tun kann. Doch bevor wir uns jetzt anschauen, was genau es mit Information Security auf sich hat und wie so ein typischer Arbeitstag in diesem Bereich aussieht, möchte ich kurz noch was zu Lia, meiner Gästin heute sagen. Lia Fey ist Team Lead für Information Security bei Kaufland E-Commerce und wie ich eine Querensteigerin in der IT-Sicherheit. Und wir haben uns auf einer Veranstaltung kennengelernt, wo wunderbare Cyberwürmer zu Gast waren. Und Lia hat da einen ganz tollen Vortrag gehalten. Und deswegen habe ich sie mir gleich unter den Nagel gerissen. Und Lia, bevor wir uns jetzt den spannenden Themen widmen, die wir uns vorgenommen haben, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Lia: Lia Ja, hallo erstmal. Ich bin Lia, Lia Fey, eigentlich zahnmedizinische Fachangestellte. Habe aber den Quereinstieg gewagt. bin Ende 30, bin ein sehr aktiver Mensch, sagt man mir nach, immer fröhlich. Ich bin Buddhistin. Ich bin Aquaristin, bin Musikerin, ich bin eigentlich für sehr viel zu begeistern und vor allem auch eben für meine Arbeit.

Lisa Fröhlich: Lisa Fröhlich Ja, super. Als wir gesprochen haben oder als wir uns kennengelernt haben, durfte ich schon sozusagen erfahren oder mitbekommen, dass du auf jeden Fall einen sehr vielfältigen Arbeitsalltag hast. Und ich möchte ja mit dir jetzt ein bisschen tiefer in die Welt der Information Security eintauchen. Und ja, vielleicht kannst du uns mal genauer beschreiben, wie so ein typischer Tag, ja, in deiner Rolle als Teamlead für Information Security aussieht. Viele Menschen glauben ja immer noch oder denken, dass man Programmierer sein muss, beispielsweise in der Information Security zu arbeiten oder auch in der IT Security. Doch ist dem tatsächlich so und womit beschäftigst du dich den ganzen Tag?

Lia: Lia Also tatsächlich gibt es keine typischen Tage, lustigerweise. Jeder Tag ist anders und das ist genau das, was ich halt so großartig finde. Dadurch wird es auch nicht langweilig. In der Regel beginnt so ein Tag natürlich immer mit der Selbstorganisation. Erstmal gucken, was habe ich heute überhaupt vor der Brust. Dann geht es auch ins Team, ins Team Meeting, auch erstmal da einen Daily Check-In sozusagen zu machen und gucken, dass alle Aufgaben in geordneten Bahnen laufen. Und in der Informationssicherheit haben wir so Felder, die einfach betreut sein müssen. So was wie das Information Security Management System, das ISMS nach ISO 27001, das Risikomanagement, dann das Audit Management, IT Compliance, Awareness. Und all diese Themen strukturieren dann den Tag, den Monat, das Jahr in wiederkehrenden Zyklen. je nachdem, wir hatten jetzt zum Beispiel auch gerade ein Audit. Dementsprechend waren die letzten Wochen eher mit der Vorbereitung des Audits geprägt und eben zu schauen, dass alle wichtigen Unterlagen vorhanden oder schon übergeben sind. Dann kann es auch mal...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia ganz unverhofft kommen. Man hat einen Incident und muss da einspringen, dann ist der Tag, egal wie du ihn dir morgens vorgestellt hast, am Ende ganz anders und der Tag drauf genauso. es können auch unvorhersehbare Dinge passieren.

Lisa Fröhlich: Lisa Fröhlich Wenn ich mir vorstelle, Information Security und IT Security, da gibt es ja sicherlich Unterschiede. Was ist denn für diejenigen, Information Security vielleicht noch nicht gehört haben oder noch nicht so genau sich was darunter vorstellen können? Was sind denn deiner Meinung nach die größten Unterschiede oder was kennzeichnet denn so eine Information Security bei einem Unternehmen wie zum Beispiel Kaufland e-Commerce?

Lia: Lia Also ich finde, man kann relativ gut abgrenzen zwischen die IT-Security macht den technischen Part, die Information-Security macht den regulatorischen. Also wir machen die Schreib- und Fleißarbeit überwiegend, kümmern uns Kommunikation zu den Mitarbeitern, kümmern uns Guidelines und Policies, die Bedürfnisse der Informationssicherheit und die IT-Security, die geht dann eher systemisch vor, macht

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia Penetration Tests, schaut, dass die Systeme gehärtet sind, alle Firewall-Regeln sauber laufen, machen auch Projekte wie Bug Bounties oder Shift Left Security, das sind jetzt ganz viele Buzzwords. Bug Bounty steht für, man erlaubt auf einer Plattform Hackern, also White-Hat, ich glaube, es sind White-Hat-Hacker, das eigene System.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia anzugreifen oder zu schauen, wo sind denn die Angriffsvektoren, wo wir reinkämen und bekommen dann natürlich auch eine Bezahlung dafür, dass sie es uns melden. Und all solches Sachen, die eher dann hoch technischer Natur sind, sind in der IT-Security und die Informationssicherheit macht dann eher den regulatorischen und Gesetzesbücher wälzenden Part.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ist ja für den einen oder anderen sind das ja gerade die Dinge, mit denen man sich vielleicht gar nicht auseinandersetzen will. Also weil gerade so Gesetzestexte wälzen und sich in diese Risikomanagementanalysen reinfuchsen und Audits nach ISO 27001 machen. Das ist ja nichts, wo die meisten sagen, hey, da habe ich Riesenlust drauf. Nichtsdestotrotz musst du ja in deinem Alltag sowohl auch kreativ arbeiten als auch sehr analytisch und das ist ja eigentlich auch eine ganz gute Schnittstelle sozusagen zwischen den verschiedenen Ebenen, die ja im Grunde für eine gesamte Sicherheitsstrategie in einem Unternehmen vorhanden sein müssen. Also es geht ja das eine, IT Security, geht ja nicht ohne die Informationssicherheit, weil natürlich die Regularien ja je nachdem in welchem Bereich man unterwegs ist, entsprechend eng auch gefasst sind. Wenn du jetzt sozusagen auf Unternehmen blickst und diesen Bereich Information Security so in so einem täglichen Arbeitsablauf integriert werden muss. Du hast ja gesagt, es gibt so wiederkehrende Dinge, regelmäßige Audits, es gibt Regularien, die vielleicht angepasst werden müssen oder es gibt vielleicht irgendwie eine Geschäftseinheit, die dazu kommt, weil man ein anderes Unternehmen aufgekauft hat und schon muss man nochmal seine Risikoanalyse durchführen, etc., pp. Gibt es denn deiner Meinung nach sozusagen einfache alltagstaugliche Maßnahmen, in Unternehmen umgesetzt werden können oder muss da immer ein Riesen Information Security Bereich aufgebaut werden.

Lia: Lia Gerade der Information Security Part ist ja nun Compliance und seien wir ehrlich, Compliance ist weder beliebt bei Geschäftsführern, noch ist es eine Abteilung, die viel sichtbaren, monetären Zugewinn generiert.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia Dieser Return on Invest, gerade bei den regulatorischen Thematiken, aufzuzeigen, ist sehr, schwierig. Gleichzeitig jetzt mit NIS 2, mit der Datenschutzgrundverordnung, dann haben wir Änderungen im Telemediengesetz. Es gibt DORA jetzt für den Bankenbereich, was neu aufgezogen wird. Da braucht man einfach die Informationssicherheit. Und ich denke, die Größe der Abteilung sollte sich auch ein bisschen nach der Größe des Unternehmens richten. Wenn ich jetzt so ein 50-Mann-Unternehmen bin, dann reichen vielleicht eine Person, maximal zwei. Aber wenn ich

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lia: Lia 1.000 Mann und mehr habe, dann brauche ich schon ein Team, weil ich sonst gar nicht Herr der Aufgaben werde oder Herr der Lage werde. Ich gebe ja Vorgaben oder erarbeite mit Kollegen aus anderen Teams zusammen Vorgaben, nach denen wir Sicherheit gestalten wollen. Und idealerweise mache ich mich dabei nicht kaputt.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja, das stimmt. Das ist ja auch ein Riesenthema, glaube ich, und das ist auch eine ganz gute Überleitung zu dem zweiten Thema, dem wir uns ja widmen. Wir wollen jetzt so ein bisschen raus aus deinem Mikrokosmos Information Security und so ein bisschen mal den Blick über den Tellerrand bekommen, weil du hast es ja schon gesagt, Information Security ist jetzt auch kein Bereich, den die Unternehmen und die Unternehmenslenker besonders attraktiv finden. Jetzt haben wir natürlich eine Wahnsinnsherausforderung in der Branche gerade generell, also in der IT, in der IT-Sicherheit, sicherlich auch in der Information Security. Und das ist nämlich sozusagen Fachkräftemangel. Und wir haben jetzt einen ganz guten Einblick bekommen, was du tagtäglich machst. Und das ist natürlich eine Schnittstelle ist. Es ist auf der einen Seite sehr analytisch, weil du dich mit Gesetzestexten beschäftigst, und auf der anderen Seite musst du aber auch in kürze kreative Lösungen finden, eben eine gesamte IT-Sicherheitsstrategie zu entwickeln oder mitzugestalten. Wenn wir uns mal diesen Fachkräftemangel in der IT-Sicherheit und auch in der Information Security anschauen, und das ist ja aktuell schon ein Riesenthema, das wird ja für Zukunft vermutlich noch ein viel größeres Thema. Welche Auswirkungen hat es deiner Meinung nach auf Unternehmen und wie kannst du beispielsweise auch Menschen für deinen Bereich, für die Information Security begeistern und sagen, das ist eben nicht nur stupide Gesetzestexte lesen oder Audits für die ISO 27001 vorbereiten, sondern auch ein Risikomanagement-Analyse kann total spannend sein. Also, wie schaffen wir es da, irgendwie Menschen zu gewinnen, die da in diesen Bereich einsteigen und damit Feuer und Flamme dabei sind?

Lia: Lia Ich glaube, dieses Modell der Stellenausschreibungen, die ein mit Buzzwords und Fachworten und kommt mir Spanisch vor, erschlagen, ist veraltet. Also ich denke, das ganze System

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia funktioniert nicht mehr. In meinen Augen sollten wir viel eher in die Richtung gehen, dass wir so eine Art Quiz machen, an dem ein Mensch teilnehmen kann und anhand der Antworten identifiziert eine Maschine wie einen Large Language Model. Hey, das hier wären Bereiche, für die du geeignet wärst. Schau doch mal über den Tellerrand, weil in der Informationssicherheit zu arbeiten, muss ich nicht tief technisch alles verstehen.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lia: Lia Da muss ich auch nicht zwingend studiert für haben. ist Wissen, das liegt eigentlich im Grunde auf der Straße. Das kann man sich erarbeiten. Es gibt so viele lehrreiche YouTube Webinare, die aufgezeichnet wurden von Firmen, die kostenlos zur Verfügung stehen. Es gibt ganz, ganz viele weitere kostenfreie Bildungsangebote, auch auf LinkedIn, auf diversen anderen Plattformen. Man muss es nur nutzen wollen. Und ich denke, dafür ist einfach mal eine ordentliche Erhebung deiner Fähigkeiten und wozu die dich führen könnten, sinnvoll. Und ich denke, das tun wir einfach nicht. Wir schauen nicht, zu was wäre ich fähig, sondern wir nehmen das, vor uns liegt, was wir schon kennen, auch aus so bisschen Angst heraus. Klar, wenn ich jetzt einen kompletten Spartenwechsel mache oder Berufszweigwechsel mache, da ist natürlich immer die Gefahr, dass ich scheitere. Aber das sollte nicht der Grund sein, dass ich deswegen weiter, keine Ahnung, an der Kasse sitze und unzufrieden damit bin, weil ich weiß, ich könnte mehr, aber ich traue mich nicht, weil Entwicklung findet nur statt, wenn ich mich traue zu scheitern.

Lisa Fröhlich: Lisa Fröhlich Das stimmt. Du hast ja auch gesagt, du bist Quereinsteigerin sozusagen in diese IT-Welt. Ich komme ja ursprünglich eigentlich auch aus der Germanistik, habe dann eine Runde über den Finanzplatz Frankfurt gedreht, habe da lange Kommunikationen für Asset Manager und Finanzkommunikation gemacht und bin jetzt über die TU Darmstadt und den Professor Sadeghi, für den ich da gearbeitet habe, irgendwie in dieser Cyberwelt gelandet. Und ich muss sagen, ich finde es mega spannend. es ist einfach was, das ist ein Thema, was in Zukunft noch deutlich wachsen wird, weil wir einfach zunehmend auch unsere Welt digitalisieren und sei es jetzt die smarte Waschmaschine und irgendwie der smarte Staubsaugerroboter etc. pp. Und sei es aber ja auch unser ganzes Leben auf einem Mobiltelefon, was wir in der Hosentasche tragen. Also mittlerweile, ich kenne so viele Leute, sagen, ey, wenn ich mein Handy verliere, da geht gar nichts mehr, weil ich hab noch nicht mal irgendwie mehr meine, sag ich jetzt mal, Kontonummer im Kopf oder geschweige denn die Telefonnummer von irgendwelchen anderen Menschen, während ich ja noch so aus einer ziemlich analogen Zeit stamme in Anführungsstrichen und tatsächlich noch Telefonzellen kenne und diese ganzen Dinge und wie das Modem so geklungen hat, wenn man sich ins Internet eingewählt hat und dann von unten einer gerufen hat, ey, mach mal, geh mal raus aus dem Internet, ich will jetzt telefonieren, weil man eben noch nicht irgendwie 43 Möglichkeiten hatte, irgendwie da Zugriff zu haben. Und du hast es gesagt, es ist einfach die Frage, wie können wir Menschen befähigen, ihre eigenen sozusagen ihre eigenen Fähigkeiten auch zu entdecken. Und ich finde die Idee zu sagen, hey, du musst eigentlich einen Quiz machen, wo du mit Hilfe von einer künstlichen Intelligenz, und das kann ja eine künstliche Intelligenz ziemlich gut, diese Parameter, die du da eingibst, auswertet und sagst, hey, ich habe hier irgendwie fünf, sozusagen, Ideen, die du machen könntest. Weil ich persönlich wäre jetzt nicht auf die Idee gekommen in, ich sag mal so, für meine zweite Berufs-Lebenshälfte noch mal in die Cybesecurity oder in die IT-Branche einzusteigen, da wäre ich jetzt von alleine, wenn es mich da jetzt nicht irgendwie auf verschlungenen Faden hingeführt hätte, wäre ich von alleine nie drauf gekommen, weil ich mir gesagt hätte, da muss man bestimmt irgendwie gut Mathe können oder da muss man am Ende noch irgendwie coden können. Ich kann weder programmieren noch bin ich irgendwie gut, besonders gut in Mathe. Aber was ich gut kann, ist lesen und wie du schon gesagt hast, es gibt auch super viele Angebote, die die Leute wahrnehmen können. Und ein wichtiger Aspekt ist ja einfach auch so dieses Thema, wie schaffe ich es denn als Unternehmen auch Interesse bei denjenigen zu wecken, die vielleicht diesen Bereich gar nicht auf der vorderen Rille haben? Und ich glaube, da ist es halt auch ganz wichtig und das hast du ja auch eben gerade kurz erwähnt und das war ja auch Teil deines Vortrags auf der Cyber Women Veranstaltung im September 24 in Frankfurt, dass wir uns einfach auch die Art und Weise anschauen müssen, wie wir auf Leute zugehen, wie wir die für ein Berufsfeld begeistern wollen. Weil natürlich Hätten die typischen Dinge in so einer Stellenanzeige gestanden, hätte ich mich da nicht drauf beworben. Da ich aber angesprochen wurde, so nach dem Motto, hey, wir glauben dein Profil passt auf unsere Stelle, habe ich gesagt, gut, ich schaue es mir an und kann euch folgende Kernkompetenzen anbieten. Wie meinst du, können Unternehmen da noch mal eine Schippe drauflegen? Was müsste denn deiner Meinung nach in so einer idealen Stellenanzeige drinstehen? Wie sehe das denn für dich aus?

Lia: Lia Also ich möchte noch mal ganz kurz zu einem anderen Punkt. Es ist ja nicht nur, dass die Unternehmen die Leute anziehen sollten, sondern dann wenn ich einen Quereinsteiger anziehe, muss ich auch bereit sein als Unternehmen, dem Quereinsteiger eine Chance zu geben. Das ist ja auch häufig, dass man dann sagt, ja aber gut, Erfahrung, nur das, hier auf dem Papier steht, wer sagt mir, dass die Person das wirklich kann? Und da ist halt wirklich meine Erfahrung mit Quereinsteigern, wenn einer will und kann, dann Quereinsteiger, weil die haben schon mal ausprobiert und sind

Lisa Fröhlich: Lisa Fröhlich Mmh, exakt.

Lia: Lia zu dem Schluss gekommen, das mag ich jetzt nicht und haben dann als erwachsener und gereifter Mensch sich die Zeit genommen, sich umzuorientieren. Was bedeutet, dass ich jetzt viel gesettelter in meinem Beruf bin und viel sicherer sagen kann, das ist der Job, für den ich brenne. Deswegen würde ich immer empfehlen, Quereinsteiger einzustellen. Und dann wiederum. Wenn ich jemanden in der Informationssicherheit suche, ich meine

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lia: Lia Ich habe die Fehler Anfang letzten Jahres auch gemacht und habe eine Buzzword-Schlacht in Stellenausschreibung engemacht. im Grunde der Mitarbeiter, der sich angesprochen fühlen soll oder die Mitarbeiterin weiß ja, was in der Informationssicherheit auf einen zukommt.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lia: Lia weil man sucht ja spezifisch nach Stellenausschreibung für die Informationssicherheit. Dann kann ich auch reinschreiben so klar, müssen nach folgenden gesetzlichen Regulatoriken werden wir bewertet. Das heißt, wir brauchen dieses Grundwissen. Wenn nicht, schulen wir es. Auch immer eine Möglichkeit. Und dann vor allem eben auch beschreiben, welche Soft Skills möchte ich im Team haben? Als Beispiel, ich habe ADHS und ich

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lia: Lia bin da sehr stolz drauf, weil mich das zu der Person macht, die ich bin, die auf Bühnen steht, die keine Angst hat, Dinge zu wagen. Ich brauche entsprechend ein Team, das energetisch so aufgeladen ist, dass es von mir nicht überfahren wird, sondern dass es mit meiner Energie mitschwingt. Und wenn ich jetzt dann aber rein eine stopptrockene Stellenausschreibung mache und gar nicht den Menschen Typ beschreibe, den ich suche.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia Dann finde ich auch nicht.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist schwierig. Es ist ja immer so die Kunst, der einen Seite jemand zu finden, der sagt, hey, ich hab da wirklich Bock drauf, weil das ist im Grunde ja das A und das O. Du brauchst ja jemand, motiviert ist. Und ich hab mich auch im Rahmen von der Konferenz auch kürzlich mit einer Frau unterhalten, die hat mir dazu eine super schöne Geschichte erzählt, die passt eigentlich zu dem Thema wie die Faust aufs Auge. Und zwar gab's die bieten noch Ausbildungsplätze in dem Bereich an. Also jetzt nicht Information Security, aber im Bereich IT. Und die hatten einen sehr jungen Bewerber. Der hatte aber unglücklicherweise keine so reine Weste, weil er Jugend sind. Der hatte die natürlich auch entsprechend im polizeilichen Führungszeugnis nachzulesen waren. Die konnten den aufgrund dieser Geschichte nicht einstellen, bzw. mussten sagen, ey, sorry, können dich jetzt hier nicht weiter beschäftigen. Die haben aber weiterhin Kontakt gehalten. Und natürlich werden solche Jugendsünden nach einer gewissen Zeit einfach aus diesen polizeilichen Führungszeugnissen gelöscht. Und dann haben die so lange quasi Kontakt gehalten, bis diese Dinge aus diesen Führungszeugnissen rausgelöscht waren. Und der ist jetzt einer der motiviertesten Azubis, die die haben. Weil einfach klar war, dieser Mensch hat Lust auf die Stelle, der ist motiviert, ja, der hat vielleicht irgendwann mal Mist gebaut, aber ist da irgendwie rausgewachsen und hat selbst irgendwie die Chance ergriffen, da rauszuwachsen und hat vor allen Dingen seitens des Unternehmens die Chance bekommen, da raus zu wachsen. Und das fand ich, habe ich auch gesagt, ich finde das großartig, dass ihr ihm die Möglichkeit gegeben habt zu sagen, ey komm in zwei Jahren wieder, wenn der Mist aus diesem polizeilichen Führungszeugnis draus ist, weil wir haben dich ja kennengelernt als verlässlichen, zuverlässigen und motivierten Menschen, der hier sich einbringen will und unser Leben vorantreiben will. Also ich glaube, es ist halt auch wichtig, dass in bestimmten Bereichen man einfach auch rechtzeitig sozusagen mal die die Scheuklappen öffnet und sagt, hey, Wie du schon gesagt hast, welchen Fit brauche ich denn eigentlich für mein Team und wie kann ich denn auch Leute langfristig gegebenenfalls auch an Unternehmen binden, indem ich sie weiterentwickle und indem ich ihnen einfach auch sukzessive entsprechende Verantwortung übergebe und sie mit in diese Bereiche reinziehe, weil das macht es ja auch einfacher. Ich meine, ich sage mal neue Mitarbeitende einzustellen, deutlich teurer als die Mitarbeitenden, die in deinem Unternehmen sind und gut sind, weiterzuentwickeln und die in bestimmte Positionen zu bringen und zu befähigen, dass sie am Ende Teamleads sind oder andere verantwortungsvolle Jobs machen können. Also ich glaube, dass das sind so viele verschiedene Aspekte, die dann eine Rolle spielen, wie wir eigentlich dem Fachkräftemangel entgegenwirken können. Und ich bin sicher, wir werden sich in Zukunft auch, wenn künstliche Intelligenz den ein oder anderen Jobbereich quasi, ich will jetzt nicht sagen, komplett nicht dick macht, aber durchaus die Manpower sich verringert durch künstliche Intelligenz und dadurch einfach Menschen wieder frei werden, dass wir da eine Chance haben, auch nochmal die Würfel neu zu werfen für jeden. Und das sollten meines Erachtens die Leute sich auch einfach überlegen, ob sie nicht vollkommen was Neues machen und sagen, ich bin, weiß ich nicht, Mitte 40 und habe Lust, nochmal was anderes zu machen. Jetzt würde ich gerne nochmal zum Thema Fachkräftemangel und sozusagen, weil das ja ein Riesenproblem ist auch für die IT-Sicherheit und sicherlich auch in der Information Security und das hängt ja alles sehr eng Miteinander zusammen. Jetzt haben wir auf der einen Seite einen ziemlich großen Fachkräftemangel. haben auf der anderen Seite aber einen unheimlich großen Bedarf an Ressourcen, die sicherstellen, dass die Unternehmen abgesichert sind auf mehreren Ebenen. Du hast nicht nur die regulatorische Seite, die ihr in der Information Security beackert, sondern du hast ja auch die technische Seite angesprochen. Und du hast das Thema Awareness vorhin angesprochen. Welche Rolle spielt denn die Sensibilisierung der Mitarbeitenden für das Thema Information Security? Auch für das Thema IT-Security im weitesten Sinne und welche Maßnahmen haben sich denn in der Praxis bewährt bei euch, sozusagen die Mitarbeitenden für mögliche Gefahren da draußen zu sensibilisieren.

Lia: Lia Da sind jetzt viele Fragen in der einen Frage, wo fange ich nur an? Ganz vorne. Ich denke, die Grundlage von einem sicherheitsbewussten Mitarbeitenden ist immer, die Unternehmenskultur. Weil wenn mein Unternehmen keine Kultur hat, die ich positiv bewerte oder der ich folgen möchte, wenn mein Unternehmen mir wenig Wertschätzung entgegenbringt, warum sollte ich dann auch nur ein Fingerchen krümmen, das Unternehmen zu sichern? Gleichwohl, wenn man Unternehmen hat, bei denen Mitarbeiter wertschätzend behandelt werden, bei denen es

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia ein Miteinander gibt, kollegiales und freundschaftliches Miteinander auch teilweise, dann habe ich, das ist mein Warum. Warum möchte ich mein Unternehmen beschützen? Weil ich meine Kollegen beschützen möchte, weil ich meinen Job natürlich erhalten möchte, aber auch weil ich die Kultur erhalten möchte, weil ich gerne hier arbeite, weil ich großartig finde, wofür wir einstehen und das schützenswert empfinde. Und das finde ich der Startpunkt für das Sicherheitsbewusstsein von Mitarbeitern.

Lisa Fröhlich: Lisa Fröhlich Na klar.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lia: Lia ich mein Unternehmen als schützenswert empfinden muss. Und dafür hat halt das Unternehmen auch ein bisschen was zu tun. Ich meine, wir haben wahrscheinlich beide schon die eine oder andere Stelle durch und wissen, es nicht sein sollte. Aber wir wissen auch, wie es sein sollte. Und damit hast du schon einen großen Grundbaustein für die Informationssicherheit geschaffen, weil dann kommen auch die Leute automatisch auf dich zu und fragen, du, ich bin mir hier unsicher. Darf ich das so schreiben? Oder ja, hat ein Kunde eine Anfrage gestellt?

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lia: Lia Ist das Phishing? Kann ich dem helfen? Also so kommen dann automatisch die Leute zu dir. Gleichzeitig kannst du dann natürlich sozusagen Security Champions oder Roundtables, diverse Namen, dir rauspicken, die Menschen, diese Early Adopter, kann man sagen, wenn man jetzt marktwirtschaftlich sprechen möchte, die schon am Anfang zu dir kommen und kannst die nehmen, das zu vervielfältigen.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia Du kannst die Informationssicherheit aus so vielen Ebenen interessant gestalten. Im Grunde gilt es herauszufinden, welchen Punkt du ansprechen musst bei einem Mitarbeiter oder bei der Mitarbeiterschaft, damit es spannend wird. Ich gebe ein Beispiel. Wenn du eine Kampagne planst, zum Beispiel, wie schütze ich meine Familie? Ich meine, wer

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia außer vielleicht Psychopathen, möchte nicht seine Familie schützen. Und damit kannst du durch die Wirbelsäule, subkutan, in die Nebenhirnrinde all das Security-Wissen rein infusen, das du brauchst, das sie zum einen einsetzen können, um ihre Familien zu schützen, aber gleichzeitig dann eben auch, um ihre Arbeitsfamilie zu schützen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Exakt.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Ja klar. ist ja auch so bisschen, hängt ja auch ein bisschen was da. Also ich denke, was es bei Unternehmen auch braucht, ist eine offene Fehlerkultur. Also auch sozusagen, wenn mal was schiefgegangen ist, nicht so ein Riesen-Blaming zu betreiben, weil natürlich ist es, wie du schon gesagt hast, du brauchst die Early Adapter. Du brauchst diejenigen, die früh genug zu dir kommen, weil sie keine Sorge haben, dass sie ja vielleicht eine blöde Frage stellen oder aus Sorge vielleicht belächelt zu werden, weil sie dir jetzt eine E-Mail zeigen, bei der sie sich nicht sicher sind, ob es Phishing ist oder nicht. gerade in diesem Bereich Artist Security ist es ja immer, immer, immer besser, lieber einmal mehr gefragt als auf den Link geklickt. Also am Ende des Tages ist es halt einfach super wichtig, alle Dinge dreimal lieber umzudrehen. Aber das kannst du ja nur machen als Mitarbeitender oder als Mitarbeitende, wenn du dir sicher bist, dass das nicht in Anführungsgründen negativ auf dich zurückfällt und nicht so der Kollege hinter vorgehaltener Hand sagt, hast du schon gemerkt und die hat es nicht gecheckt und so. Also ich glaube, es braucht, wie du schon sagtest, auch die entsprechende Unternehmenskultur, die das eben fördert. Dann kannst du auch mit guten Ideen und das Familienbeispiel ist ja eine gute Idee, weil wie du sagst, jeder will seine Familie schützen. Also ich habe zwei Kinder. Mir liegt sehr viel an der Sicherheit meiner Kinder. Deswegen müssen die auch immer Fahrradhelm tragen und immer im Winter, wenn sie Fahrrad fahren, das Licht anhaben. Und manchmal rufe ich ihnen auch noch hinterher. Guckt bitte nochmal über die Straße, weil hier rasen sie ganz gerne. Also ich bin natürlich an der Sicherheit meiner Familie extremst interessiert. Und wenn du Information Security und Awareness-Kampagnen damit verbinden kannst, ist ja im Grunde eine Win-Win-Situation. Du hast sie alle eingebunden, du hast sie zu einem Thema eingebunden, das jeden betrifft, also nicht jeden betrifft, weil nicht jeder hat natürlich Kinder, aber jeder hat irgendwie eine Form von Familie. Also ich glaube, das kann man schon sagen und das sind natürlich einfach, dann werden die Angriffsflächen automatisch ja auch kleiner. Weil wir geschlossener die Leute füreinander auch einstehen, weil wie du hast es so schön gesagt, ich arbeite ja auch damit, ich schütze ja auch meinen Kollegen. Also ich schütze ja nicht nur das Unternehmen, sondern wir schützen uns ja gegenseitig. Und ich glaube schon auch, dass die Menschheit auch nur so weit gekommen ist, weil am Ende des Tages die Menschen Miteinander kooperiert haben und zusammengearbeitet haben. Und nur so können wir uns diesen wachsenden Gefahren, die sozusagen in dieser Cyberwelt drohen und ja auch nicht weniger werden. Es wird einfach nicht weniger. Das können wir, glaube ich, feststellen, dass wir uns da gemeinsam quasi einen guten Weg suchen, da füreinander, Miteinander dann sozusagen das erste Bollwerk zu sein, weil oft wird ja immer noch so gesagt, na ja, der Mensch ist eben das schwächste Glied in der Kette und natürlich hat irgendeiner irgendwo mal wieder auf den Link geklickt und da gibt es unfassbar viele Beispiele. Gleichwohl, und das hast du auch so schön gesagt, ist es ja unheimlich wichtig, die trotzdem ins Boot zu holen, damit sie eben beim nächsten Mal finden, nicht auf den Link klicken, sondern es eben verinnerlichen, dass ich Dinge dreimal checke oder noch lieber einmal zu meiner IT-Abteilung gehen, frage oder sag, hey, ich bin mir da nicht sicher, ich lasse es nochmal checken. Und von daher finde ich, ist im Grunde schon ein sehr, sehr schöner und irgendwie auch, ja, positiver, könnte ein positiver Ausblick sein, wenn Unternehmen es hinkriegen, eine entsprechende Unternehmenskultur zu etablieren. Und das ist natürlich auch eine Verantwortung, die jetzt nicht unbedingt in unsere beiden Bereiche liegt.

Lisa Fröhlich: Lisa Fröhlich Bereichen fällt, da können wir ja trotzdem was dafür tun, indem wir einfach für entsprechende Offenheit etc. pp. einstehen. Jetzt würde ich gern zum Abschluss von unserer Folge nochmal sozusagen auf den Online-Marktplatz kommen, weil das liegt ja nahe, dass Online-Marktplätze sind ein super beliebtes Ziel für Cyberkriminelle. Wir sehen das ja auch bei unseren Kunden und immer wieder, das eigentlich ganz oft stehen die da im Visier oder im Fokus der Angreifer. Welche besonderen Herausforderungen siehst du denn gerade bei solchen Plattformen, was auch Informationssicherheit angeht und vielleicht auch IT-Sicherheit und wie können sich Unternehmen effektiv schützen, die solche Plattformen betreiben?

Lia: Lia Ich glaube, die Herausforderung, Online-Marktplatz oder nicht, ist immer die gleiche. Wir müssen uns Gehör verschaffen, wir müssen unsere Kunden sichern. Wir müssen bei unseren Kunden auch ein gewisses Verständnis für Awareness und Sicherheitsbewusstsein generieren auf irgendeine Art und Weise. Wir müssen schauen, dass unsere Produkte sicher sind. Wir müssen schauen, dass sie den gesetzlichen Anforderungen entsprechen und die richtigen Kennzeichnungen aufweisen, wie es gefordert wird. Ich glaube, das ist unabhängig davon, ob ich jetzt im E-Commerce bin oder ob ich Schraubendreher herstelle.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Lia: Lia Am Ende ist es immer das Gleiche. muss meine Produkte sichern, meine Kunden sichern. Ich muss meine Verkäufer sichern und denen ein größtmögliches Verständnis für Sicherheit vermitteln. Ich muss die Plattform, die ich anbiete, zum Kaufen, Verkaufen sicher gestalten. Auch wenn es da manchmal unbequem ist. meine, wer mag schon Multifaktor-Authentifizierung gleichzeitig? Ich meine, wie häufig werden zum Beispiel Instagram-Accounts gehackt,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia weil jemand zu faul war, einen Multifaktor anzustellen. Ich meine, da beißt sich die Katze in den Schwanz sozusagen. Und deswegen ist es, denke ich, branchenunabhängig. ist nur der Finanzsektor zum Beispiel oder der Energiesektor hat noch mal schärfere Anforderungen als einen Einzelhändler oder die E-Commerce-Bereiche. Sonst ist es, egal welches Unternehmen du hast, sind immer die gleichen Voraussetzungen, die gleichen Rahmenbedingungen und da ist wirklich die Empfehlung, mach Security nicht so, dass es ätzend wird. Denkt mal über Security-as-a-Service nach. Wenn ich jetzt eine Policy schreibe für zum Beispiel Vulnerability Management, was für ein schönes Wort, Schwachstellen Management, dann kann ich die natürlich rein aus IT Security Sicht schreiben.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lia: Lia und sagen so und wir wollen, dass das dann und dann gefixt ist, dass es zwei Stunden offen sein darf und die Kritischen sowieso sofort und das kann ich aufschreiben, dann ist es aber so viel wert, wie das Papier auf das steht. Oder ich überlege mir, welche von meinen Fachabteilungen müsste ich involvieren, eine Policy zu schreiben, die umsetzbar wird, die mit den Abteilungen zusammengeschrieben wurde und damit eine viel höhere Akzeptanz findet. Was möchte der Mensch? Der Mensch möchte wahrgenommen werden. Und wenn ich die Bedürfnisse von den Kollegen miteinbeziehe und die KollegInnen mit ins Boot hole, natürlich ist da auch ein bisschen, wie heißt das Wort, Beeinflussung dabei, weil wir versuchen, natürlich auch die gesetzlichen Rahmenbedingungen da mit reinzufuchteln oder anderen in den Mund zu legen, damit die Idee eben nicht von uns kommt.

Lisa Fröhlich: Lisa Fröhlich Hm, ja. Mhm.

Lia: Lia sondern von wem anders, aber immer alles zusammen machen. Nicht sagen, wir sind Security, wir leben auf einem anderen Stern und von oben kommt der Sternenstab runtergefallen, ihr mögt ihn nur nicht, sondern die Kollegen mit einbinden, die Kolleginnen mit einbinden, Ideen sammeln. Es gibt so viele kluge Köpfe in den Firmen, die gar nicht in der Security arbeiten, aber total spannende Ideen haben. Einfach mal fragen.

Lisa Fröhlich: Lisa Fröhlich Das ist ein gutes Schlusswort. Einfach mal fragen. Also ich nehme auf jeden Fall heute mit. Macht IT Security nicht ätzend. Macht's zusammen. Wir haben uns tatsächlich auch mal ein bisschen in die Information Security vorgewühlt und mal geguckt, was ist denn eigentlich, was steht denn da dahinter und sind das nur Gesetzestexte, die man hin und her wählt. Lia, vielen, vielen Dank, dass du mir und sozusagen den Zuhörern den Einblick in deinen Tag und die Information Security bei Kaufland eCommerce gegeben hast. Das war super spannend. Wir könnten jetzt sicherlich noch drei, vier, fünf Stunden weiter quatschen zu dem Thema. Da bin ich ganz sicher, weil es einfach spannend ist. Du hast, und das nehme ich jetzt für mich heute auch mit, noch gesagt, ja, Menschen wollen gesehen werden. Und ich finde, das ist einfach unfassbar wichtig, weil wenn alle Menschen gesehen werden, dann wird es auch irgendwie sicherer. Das ist zumindest mein Gefühl. Ich weiß nicht, ob sich das irgendwann mal bestätigt, aber vielen, vielen Dank, dass du da warst. An der Stelle bleibt mir wie immer nur zu sagen, schön, dass ihr dabei wart, schön, dass ihr zugehört habt. Ja, passt auf euch auf. An der Stelle sage ich immer, keep calm and get protected. Also bis zum nächsten Mal. Ciao.

Lia: Lia Danke für die Einladung.