#32: Cybersecurity ist Chefsache!

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und es freut mich natürlich, dass ihr auch heute wieder mit dabei seid und mit mir in den digitalen Kaninchenbau Cybersicherheit steigt. Mit meinem heutigen Gast Nico Werner, über den ich mich sehr freue, der sich hier die Zeit für mich genommen hat. In Sachen Cybersicherheit ist er nicht nur ein erfahrener Spezialist, sondern er ist auch ein leidenschaftlicher Podcast-Host. Er hat mir gerade verraten, dass er drei eigene Podcasts parallel laufen hat. Und natürlich sprechen wir heute über sein Herzensthema Cybersecurity ist Chefsache. Das ist auch mehr oder weniger eine Marke, die einfach zu Nico gehört. Ja, weltweit und das wissen wir alle, kosten Cyberangriffe-Unternehmen Milliarden und die Bedrohung durch Ransomware, DDoS-Angriffe, Phishing, Datendiebstahl und vielen, anderen cybervollen, Cyber-Vorfällen wächst im Grunde jeden Tag. Nicht nur das Internet wird monatlich fünf Prozent größer, auch damit die Angriffsflächen. Und ja, in einer solchen Zeit sollte eigentlich klar sein, dass Sicherheit oder Cybersicherheit im Speziellen nicht nur ein Thema ist, das man in die IT-Abteilung abschieben kann, sondern es betrifft vor allen Dingen auch die oberste Führungsebene. oft zeigt sich ja nach so erfolgreichen Angriffen, dass Führungskräfte die Sicherheitsrisiken auch unterschätzen. Und vieles macht einfach immer wieder deutlich, dass es enorm wichtig ist, die Verantwortung für Cybersecurity nicht zu delegieren, nicht in die IT abzuschieben, sondern dass sie direkt in der Chefetage verankert sein muss. Doch bevor wir weiter in dieses spannende Thema einsteigen, auf das ich mich wirklich sehr, freue, möchte ich Nico bitten, sich unseren Hörerinnen und Hörern vorzustellen. Nico, erzähl doch mal ein bisschen, wie hat sich das mit deiner Marke Cybersecurity ist Chefsache entwickelt?

Nico Werner: Nico Werner Ja, vielen dank erstmal dieser, dass ich heute mal an deinem Podcast dabei sein darf. Du hast ja schon erwähnt, ich bin selber auch Podcaster und du warst ja auch schon mal bei mir entsprechend im Podcast mit dabei, deswegen freut mich das umso mehr. Ja wie bin ich eigentlich zu dem Thema gekommen? Ich mache jetzt seit über elf Jahren Cybersecurity und habe vor acht Jahren die Marke gegründet Cybersecurity ist Chefsache. Warum habe ich diese Marke gegründet? Ich wollte damit nicht sagen, dass der Chef Cybersecurity machen soll, sondern ich habe immer wieder festgestellt, dass das gerade das Management, wie wir es ja so schön sagen in Deutschland der Chef wenig mit diesem Thema zu tun hatte. Das heißt, dass die die Relevanz

Lisa Fröhlich: Lisa Fröhlich Hmm.

Nico Werner: Nico Werner Relevanz von dem Thema. Das war dem Chef schon bewusst. Es gibt ja diverse regulatorische Themen, wo dann auch schon die Geschäftsführung, die Chefs wissen, dass es eben etwas geben muss. Aber dieses Thema, dieses mit reinzutragen ins Unternehmen, die Leute damit zu enablen, die Ressourcen dafür bereitzustellen oder auch sich den Thema anzugehen, das war immer ein schwieriges Thema. Deswegen habe ich damals diese Marke gegründet und bin immer zu den Geschäfts gegangen bzw. auch zu Unternehmen gegangen, habe ich gesagt, pass auf, ihr seid diejenigen, die das mit ins Unternehmen reintragen müssen. Ihr müsst diese Management Appearance an eure Leute weitergeben. Ihr müsst sagen, hey, das ist für mich ein Top-Thema. Lass uns das gemeinsam machen. Lass uns gemeinsam hier etwas tun. Denn wir wissen ja alle, es ist immer schön von oben drauf zu hauen auf die Leute. Das will ich damit nicht sagen, dass das das Chef machen soll. So jetzt müsst ihr Cybersecurity machen.

Lisa Fröhlich: Lisa Fröhlich Hmm. Hmm.

Nico Werner: Nico Werner sondern es ist schöner, als Team zu sehen, gemeinsam als Team. Und der Chef geht sozusagen voran, das ganze Thema voranzutreiben. Und dadurch ist diese Idee, diese Marke entstanden. Und vor zwei Jahren hab ich dann mich selber in dieses Podcastgame ge-, äh, bin ich dann in diesem Podcastgame gestartet, weil ich auch gemerkt hab, okay, ich möchte einmal den jungen Menschen mehr über das Thema Cybersecurity zeigen, wie divers das Thema ist, welche Möglichkeiten es gibt. Und zu anderen möchte ich aber auch

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Nico Werner: Nico Werner Menschen, die jetzt vielleicht gerade mit diesem Thema sich auseinandersetzen, die Vielseitigkeit von Cybersecurity zeigen. Viele denken ja immer, es hat was mit Pentest zu tun, mit Consulting zu tun. Und daraus ist immer dann diese Idee des Podcasts Cybersecurity Chefsache entstanden.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm. Ja, das ist ja auch, wie du schon gesagt hast, dieses Thema Cybersecurity als Chefsache klingt ja erst mal logisch. Weil man sich ja vorstellt, Mensch, wenn ich mir jetzt so einen klassischen CEO anschaue, der vielleicht auch das Unternehmen selbst gegründet hat, mit dem Unternehmen gewachsen ist, ähm ... IT findet ja oft, außer natürlich in Start-ups, könnte es so stattfinden, dass man sie auf dem Reißbrett plant und auf der grünen Wiese mal alles ordentlich aufstellt. Aber in der Regel haben wir ja in puncto Digitalisierung und auch in puncto IT-Infrastrukturen eher das Thema, dass das eine gewachsene Struktur ist. dann werden Unternehmen dazu gekauft, dann kommen neue Systeme dazu, dann müssen Infrastrukturen integriert werden, etc., pp. Also ... Dieses ganze Thema IT ist ja vermeintlich sehr komplex und da ist es natürlich logisch, dass sich die die Chefs, wie du sagst, auch die Experten ins Haus holen. Jetzt ist es aber ja so, dass mit dieser Digitalisierung ja auch quasi die Gefahren, die damit einhergehen oder die Angriffsflächen für Kriminelle viel größer geworden sind, weil wir leben nicht mehr in einer analogen Welt, wir leben in einer digitalen Welt. wenn du jetzt sagst, verglichen mit vielleicht der Zeit, in der du in die Cybersecurity eingestiegen bist, warum ist denn heute mehr denn je Cybersecurity ist Chefsache ein Thema? Also warum muss das auf allen Vorstandsetagen oder in den Führungsebenen behandelt werden?

Nico Werner: Nico Werner Also ich glaube, ein wichtiges Thema hast du gerade schon angesprochen. Wir müssen wegkommen von dieser Denkweise, Cyber Security ist ein Thema aus der IT. Damit bin ich damals gestartet. als ich damals mit Cyber Security angefangen habe, da war es so, keiner wollte den Job machen. es war schlechter, da bezahlter als jetzt einen IT-Administrator. Die Leute haben gesagt, was will ich mit Security? Das brauche ich nicht. Security war immer so, ich habe eine Firewall, dann bin ich sicher. Oder ich habe einen Anti-Viren-Schutz, dann bin ich sicher.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Hahaha.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner Da sind wir inzwischen schon lange nicht mehr so. Die Leute haben verstanden, ok, Cybersecurity ist einfach nicht umsonst eins der größten Unternehmensrisiken. Ich möchte jetzt hier keine Angst machen. Das sage ich auch immer wieder in meinem Podcast. Aber es ist einfach in der Tat so. Cybersecurity ist das größte Unternehmensrisiko, was du heutzutage haben kannst. Also nicht Cybersecurity, sondern der Cyberangriff, so rum gesagt. Und die Folgen daraus. Und der andere Punkt ist, warum es jetzt noch mehr

Lisa Fröhlich: Lisa Fröhlich Ja, die Folgen.

Nico Werner: Nico Werner in die Chefregeln rein sollte, sitzt nicht das Thema Regulatorik. Ich finde, mit Regulatorik kannst du denjenigen erreichen, der bis heute immer noch nichts gemacht hat. Weil irgendwie musstest du vorher schon immer was machen. Nimm mal zum Beispiel den GmbH-Geschäftsführer, der haftet bei grober Fahrlässigkeit. Grobe Fahrlässigkeit ist, wenn du nichts machst, dich vor Cyberangriffen zu schützen. Aber wie gesagt, will ich jetzt gar nicht auf das Angstthema eingehen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Nico Werner: Nico Werner Das, was ich gemerkt habe oder das, was ich gesehen habe, diese Entwicklung war eben halt, dass viele verstanden haben, dass Cybersecurity eben nicht nur ein IT-Thema ist, sondern Cybersecurity ist ein ganzheitliches Thema. Da geht es das Thema Faktor Mensch, das Thema Awareness. Da können wir sicherlich gleich nochmal was dazu sagen, wie deine Meinung dazu ist. Für mich ist Awareness ein Thema, was seit Jahren tot ist, denn das Thema klassische Awareness

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Nico Werner: Nico Werner wie viele Leute es machen mit Phishing-Kampagnen und irgendwelchen Clicki-Bunti-Schulungen. Damit kommen wir einfach nicht weiter. Das andere Thema ist natürlich auch eine Technik. Klar, brauchst für ein sicheres Unternehmen auch technische Unterstützung. Du brauchst dafür Prozesse, gerade dieses Thema Governance Compliance. Und du brauchst aber das Ganze im Kontext des Unternehmens. Und da ist es eben so, dass der Chef als Ich nehme es immer wie eine Fußballmannschaft.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Nico Werner: Nico Werner Du hast eine Fußballmannschaft und jeder in Fußballmannschaft hat eine Aufgabe. Da gibt es einen Stürmer, der prescht vorne voran. Es gibt einen Torwart, der versucht, entsprechend das Tor sauber zu halten. Du hast ein Mittelfeld. Aber alle Spieler sind wichtig. Und genauso ist es in Cyber Security. Der Chef ist vielleicht dann der Trainer. Du hast die IT, die ist eben entsprechend in der Verteidigung unterwegs gewesen. Du hast jemanden aus der Informationssicherheit, der ist vorne als Stürmer und läuft mit voran. Du hast ein Team, was du benötigst und

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Nico Werner: Nico Werner Das, was ich immer wieder feststelle, ist, dass das Thema Kommunikation auch dann zu irreführenden Themen führt. Denn alle in einem Unternehmen haben ja dasselbe Interesse. Wir wollen das Unternehmen vor Schaden schützen. Ich möchte meinen Arbeitsplatz sichern. Und da muss eine IT zusammen mit der Informationssicherheit, zusammen mit der OT, ich komme ja auch aus dem OT-Bereich, zusammen mit der OT zusammenarbeiten. Aber auch der Chef muss verstehen, pass auf.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Nico Werner: Nico Werner Es bringt jetzt nichts, einem Ransomware-Angriff der IT noch mehr auf die Finger zu hauen oder zu sagen, hey, ich hab doch eine IT-Abteilung, warum habt ihr das nicht gelöst? Sondern man muss zu einem Team zusammenwachsen. Und das ist mein Credo Cybersecurity Chefsache. Die Chefs müssen als Team zusammen mit ihren Spielern zusammen interagieren. Und das ist in letzten Jahren deutlich mehr geworden. Die Chefs haben es auch verstanden. Ich habe jetzt zum Beispiel auch in zwei Wochen ein Thema, wo wir über das Thema Dora sprechen, gerade im FSA-Bereich, ein super wichtiges Thema, wo ich mal vom Aussichtsrat sowas präsentieren soll. Was ist denn überhaupt die Dora? Weil das auch inzwischen schon so weit gekommen ist, dass auch ein Aufsichtsrat sich mit solchen Themen beschäftigt. Und das finde ich schön zu sehen, wo ich glaube, aber, und da kannst du auch nochmal deine Meinung dazu geben, wo wir mehr hinzukommen müssen, dass wir auch als Team agieren und nicht der Chef.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner delegiert und dann ist er raus, sondern der Chef muss als Team agieren.

Lisa Fröhlich: Lisa Fröhlich Ja, du hast es ja so schön gesagt, Awareness ist tot. Also ich finde, einen ist es halt, du hast den Faktor Mensch angesprochen, was ja unheimlich schwierig ist. da habe ich auch schon quasi mit Andreas Falk eine Podcast-Folge zugemacht zu diesem Thema Security versus Usability. Weil die Menschen, die in beispielsweise großen Konzernen arbeiten, die morgens an ihren Arbeitsplatz kommen. Die haben einfach vielleicht keine Zeit, vielleicht haben sie keine Lust, vielleicht sind sie genervt, wenn sie drei Passwörter, zwei Multifaktor-Authentifizierungen und dann noch irgendwo einen Token in der Hosentasche haben, den sie brauchen, oder ein Passkey oder... Also mittlerweile gibt es ja viele verschiedene Möglichkeiten, Sicherheit auch zu gewährleisten. ich finde, es ist halt unheimlich wichtig, wie du schon sagst... alle mitzunehmen, weil du darfst niemanden abhängen und ihm das Gefühl geben, das wird jetzt hier zu komplex für dich. Also ich meine, man muss ja auch immer mal schauen, wie sind beispielsweise die Altersstrukturen in Unternehmen, wie familiär sind die Leute mit Technik. zugegebenermaßen, ich wie gesagt, ich arbeite auch in der IT-Security-Branche bei einem IT-Sicherheits-Anbieter und es ist jetzt nicht so, dass ich quasi von Haus aus Techie bin und irgendwie zu Hause, die Leute fragen mich immer, was ich für technische Gerätschaften zu Hause habe und ich sage immer so, also unser Haus ist weder smart noch sonst irgendwas, wir fahren ein altes Auto, dass wir das selber reparieren können. Also aus Gründen, weil ich einfach sage, das bringt einfach Gefahren mit sich und das ist ja in Unternehmen und in Teams genauso. Du kannst ja nicht von dem, also von Menschen kannst du nicht jeden Tag 110 Prozent Leistung erwarten. Menschen sind fehlbar, schon immer gewesen. Den perfekten, den perfekten Mensch, das perfekte Team, das perfekte Unternehmen, das sehen wir da draußen nicht. Und wie du schon so schön gesagt hast, neben der Awareness ist es unheimlich wichtig, die ganze Mannschaft einzuschwören, dass alle

Lisa Fröhlich: Lisa Fröhlich im Grunde das gleiche Ziel haben und das hast du so schön formuliert, das Unternehmen am Laufen zu halten und damit auch meinen Arbeitsplatz zu sichern. Also es müsste eigentlich jeder Einzelne ja eine intrinsische Motivation haben, dafür zu sorgen, dass er eben nicht auf irgendeinen Link klickt oder in irgendeine Falle tappt. Und die werden ja immer perfider. Und das ist eben das, was meiner Meinung nach auch eine große Rolle spielt in puncto Sicherheit ist einfach, du musst ja auch immer up to date bleiben, was sozusagen die aktuellen Angriffsvektoren und Gefahren angeht. Und oft ist es so, gerade in vielen Unternehmen sind Prozesse einfach auch entsprechend langsam. Und wenn du am Ende des Tages, du kommst ja auch auf Schnelligkeit und Reaktionsfähigkeit an. und was für mich auch enorm wichtig ist bei diesem Thema Cybersicherheit und dem Faktor Mensch ist halt einfach auch die Fehlerkultur. Wie wird Fehlerkultur im Unternehmen gelebt? Weil wenn ich eine offene Fehlerkultur pflege, dann ist auch der Mitarbeiter der XY oder die Mitarbeiterin XY bereit, rechtzeitig zu sagen, ich glaube, ich habe hier einen Fehler gemacht. ich hab hier einen Link geklickt oder ich bin hier auf einer Webseite gelandet oder beim, wie gesagt, ich hab mein Passwort verlegt oder ich, ne, was auch immer. Wenn eine offene Fehlerkultur gelebt wird, in der es auch vollkommen okay ist, dass man mal einen Fehler macht und dass man dann nicht irgendwie hingestellt wird und an den Pranger gestellt wird, dann sind ja Menschen auch viel eher bereit, bestimmte Dinge vielleicht auch früher zu melden oder auch mal eine Frage zu stellen. Oft ist es ja so, Menschen haben ja Angst, Fragen zu stellen, weil sie glauben, das ist eine dumme Frage, das fällt auf mich zurück. Ich sage immer, nein, es gibt keine dummen Fragen, weil wie, wie, ne? Also wie erlebst du das in deiner, in sozusagen, du bist ja auch in Unternehmen unterwegs und machst, machst da Schulungen, wie erlebst du das? Sind da, gibt es da eine Offenheit dafür oder? Hast du so das Gefühl, dass eine Sicherheitskultur im Unternehmen eigentlich nur top down, also von oben nach unten etabliert werden kann oder wie ist da so deine Erfahrung? Hast du das auch schon mal anders erlebt?

Nico Werner: Nico Werner Ich glaube, einen wichtigen Punkt hast du gerade schon mehr mitgegeben, dieses Thema Faktor Mensch. Da stürzen sich ja auch alle aus unserer Bubble immer drauf und sagen Faktor Mensch, Human Firewall und welche tollen Begriffe es dafür gibt. Ja, ein Mensch ist einfach fehleranfällig. Und ich glaube, das Allerwichtigste ist, wir müssen alle mal einen Schritt zurückgehen. Und das geht nicht nur für Cyber Security, sondern für alle Dinge. Menschen machen Fehler. Menschen machen einfach Fehler und das ist auch gut so. Denn wir sind Menschen, sind keine Roboter, sind keine Maschinen. Und das ist ja auch ein Riesengut, was wir haben, denn wir machen Fehler und somit haben wir ja auch ein Gewissen, wir haben Gefühle, wir können Dinge, wo wir uns auch verleiten lassen können, was eben halt eine KI eben halt nicht hat. Das bietet ja auch viele Vorteile. Und ich glaube, hier muss man einfach sich Gedanken machen und sagen, okay, einen Schritt zurücknehmen. Ja, Menschen machen Fehler.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm, ja.

Nico Werner: Nico Werner Was können wir jetzt dafür tun? Am Anfang hatte ich schon gesagt, diese klassische Awareness funktioniert in meinen Augen einfach nicht. Wir machen es seit Jahren. Seitdem ich mit Cybersecurity angefangen habe, gibt es immer tolle Anbieter, die irgendwelche Schulungen machen. Ja, die werden jetzt mit Gamification gemacht und da gibt es statt Bilder, es Videos und so weiter. Alles schön und gut. Aber sind wir doch mal ehrlich, ein Mitarbeiter hat meistens nicht die Aufgabe, sich jetzt Fishing E-Mails oder was auch immer Gedanken zu machen, sondern der hat einen Job.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Nico Werner: Nico Werner wo er irgendwas zu erledigen hat und Phishing ist einfach nur Bestandteil davon, weil er dann mal so eine E-Mail kriegt. Das heißt, was muss ich denn schaffen bei so einem Mitarbeiter, dass er das versteht? Und meiner Definition nach oder meiner Empfindung nach ist das einfach, dass man die Leute auf deren Level abholt. Und du hast zum Beispiel so was gebracht wie Multifaktor. Wie häufig kriege ich das in Unternehmen mit, dass Leute abkotzen, jetzt muss ich noch mal einen zweiten PIN eingeben und so weiter und so fort. Gerade im Außendienst.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Ja klar. Ja, exakt.

Nico Werner: Nico Werner Oder ich muss jetzt mein Privathandy dafür nutzen, weil ich habe kein Firmenhandy. Und meiner Erfahrung nach ist es einfach so, man muss den Leuten das verständlich erklären, nicht irgendwie auf Techie-Ebene. Ja, wir machen das jetzt, sicher zu sein, sondern erklär doch mal, warum ist denn Multifaktor so wichtig, sicher zu sein? Gib den doch mal Beispiele, warum das so ist. Oder macht das eben halt auch in kleineren Gruppen, damit ihr das...besser kontrollieren können und nicht über das ganze Unternehmen. Und hier muss ich auch ganz klaren Appell an die Manager setzen. Ihr seid genauso mit im Boot. Häufig sehe ich das leider im Unternehmen, dass dann so gerade sich das Management aus solchen Sicherheitsmaßnahmen gerne rausnimmt, weil sie sagt, na Usability technisch ist, das will ich gar nicht. Bei mir zählt das Ganze nicht. Nein, ihr seid natürlich auch wichtig dafür, weil wenn ein Angreifer gezielt euch angreift.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner dann seid ihr eben halt auch die, angegriffen werden sollen, weil nichts besseres ist, sich in den Account vom Geschäftsführer zu holen. Das heißt, auch hier muss man wieder ganz klar sagen, zählt dieses Teamgedanke. Ihr müsst es machen. Ich muss das genauso machen. Ich bin jetzt nichts Besseres oder ich bin jetzt nichts anderes, sondern ich bin genauso dran. Und ich glaube, das zeigt auch so ein bisschen dieses Management Commitment, wovon wir alle sprechen. Auch das Management sagt, hey, pass auf, wir gemeinsam machen das. Wir sind davon genauso betroffen.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Nico Werner: Nico Werner Wenn es vielleicht manchmal nervig ist, da zweimal mehr zu klicken. Aber ich mache es genauso, damit wir gemeinsam sicher sind. Und der andere Punkt ist, wo ich immer wieder sehe, ist, dass die Menschen, dann in dem Unternehmen arbeiten, die wollen sicherlich nicht auf den Link klicken. Die wollen auch sicherlich nicht den USB-Stick einstecken. Die brauchen aber ein bisschen mehr Relevanz dazu oder ein bisschen mehr Hintergrundwissen. Und mit Hintergrundwissen meine ich jetzt nicht einen technischen Vortrag über eine halbe Stunde, was denn tolles passieren kann mit einem USB-Stick.

Lisa Fröhlich: Lisa Fröhlich Hm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Nico Werner: Nico Werner sondern wenn ich so Live-Hackings mache, dann gehe ich immer auf die Privatperson ein. Ich zeige dann immer so, pass auf, wie du schon gesagt hast, zu Hause mal eine Überwachungskamera, klassisches Beispiel, findest du dann im Internet oder ein smartes Türschloss oder eben halt dein WLAN-Router. All diese Themen, die irgendwie was mit dem Privaten zu tun, weil das interessiert die Leute, dann verstehen die, pass auf, genau, es schafft Betroffenheit und es schafft eben halt auch

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, und schafft ja auch Betroffenheit.

Nico Werner: Nico Werner die Relevanz für dich privat, weil privat ist nochmal was ganz anderes. Du kommst nach Hause, schließt sozusagen die Tür und bist dann in deinem Privatleben und hast eine ganz andere Resonanz wie zum Unternehmen. Und ich glaube, da müssen wir auch mehr hinkommen, den Leuten auch mehr zuzutrauen. Aber denen mehr zutrauen zu können,

Lisa Fröhlich: Lisa Fröhlich Ja.

Nico Werner: Nico Werner oder auch in Anführungsstrichen, dafür bereit zu bekommen, muss man denen aber auch mehr Wissen teilen. Ich sehe das ganz häufig im Unternehmen. Man will die Mitarbeiter immer dumm stehen lassen. Was sollen die denn damit? Das verstehen die sowieso nicht oder das brauchen die sowieso nicht. Warum geht ihr damit so Genauso auch bei dem Thema Fishing zum Beispiel. Warum belohnt ihr nicht die Mitarbeiter, wenn die euch dann doch mal einen Link schicken, oder der vielleicht falsch ist? Dann belohnt ihr doch. Sagt doch vielen Dank, dass du dich gemeldet hast. Ist zwar ein falscher Link gewesen.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja. Mhm.

Nico Werner: Nico Werner Aber wir sehen, du hast es gemacht. Und ich glaube, da müssen wir dazu hinkommen, den Leuten mehr zuzutrauen und dieses mehr Zutrauen zu bekommen, auch mehr Informationen zu geben, mehr mit einzubeziehen und eben halt, dass das Management auch nicht von oben herab sozusagen drüber ist, sondern als ein Team agiert und das gemeinsam mit umsetzen. Und das ist, glaube ich, das, wo ich sehe, in den Unternehmen das auch zum Erfolg führt, dass man

Lisa Fröhlich: Lisa Fröhlich Mmh.

Nico Werner: Nico Werner wirklich auf einer Ebene ist, dass man gemeinsam durch das Thema durchgeht und das auch in guten wie in schlechten Tagen. Früher habe ich das ganz häufig gesehen. Ein Unternehmen ist angegriffen worden, Ransomware mäßig und die erste Reaktion von den Mitarbeitern war so, ich kann nicht arbeiten, ich gehe nach Hause. Also das hat mich damals immer total geschockt, sozusagen das Unternehmen gerade vor dieser Geschichte steht, vor dieser Herausforderung steht, hey, wir haben einen Ransomware-Angriff.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Nico Werner: Nico Werner Es kann jetzt unseren Arbeitsplatz kosten, kann was auch immer damit passieren. Und viele haben sich gedacht, ist ja IT, was soll ich denn da machen? Ich gehe einfach nach Hause. So nach dem Motto. Da muss ich sagen, das hat sich in den letzten Jahren extrem gewandelt, weil Cybersecurity auch so ein Thema geworden ist, was in den breiten Medien vertreten wird. Leider muss ich aber auch sagen, falsch häufig in den Medien vertreten wird. Also auch da wieder dieses Angstthema gemacht wird. Und auch hier nochmal der Appell an alle,

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Danke, Kommes.

Lisa Fröhlich: Lisa Fröhlich Ja.

Nico Werner: Nico Werner Hört auf mit diesem Angstthema. Wir wissen alle, was passiert, wenn ich jemanden verängstige. Dann macht er einfach nichts mehr. Oder dann hat er eben Angst, nächsten Schritt zu tun. Und lieber einen Schritt mehr zu tun, einen zu weniger zu tun, ist in Cybersecurity enorm wichtig. Und das wird meiner persönlichen Meinung nach in den Medien leider immer noch breitgetreten, diese Angstwelle. Aber wenn man das wirklich klar kommuniziert, die Leute mitnimmt ...

Lisa Fröhlich: Lisa Fröhlich Ja, das stimmt.

Nico Werner: Nico Werner Dann sehe ich auch große Veränderungen in den Unternehmen, gerade auch was Thema Sicherheit angeht. Denn dann ist Cybersecurity nicht irgendwie so ein Hemmnis für viele. Cybersecurity ist ja nur blöde und ärgerlich und ich muss jetzt fünf Sachen da eingeben. Sondern dann ist Cybersecurity einfach der Bestandteil im Alltag und wird auch so akzeptiert.

Lisa Fröhlich: Lisa Fröhlich Ja, du hast es so schön angesprochen. Also Sicherheit ist halt ein menschliches Grundbedürfnis. Es gibt Original 3. Es gibt das Autonomiebedürfnis, das kennen alle Eltern, die sich schon mal einen Dreijährigen betreut haben. Es gibt das Sicherheitsbedürfnis und es gibt das Bedürfnis nach Verbindung. Und Menschen funktionieren dann gut, wenn alle diese drei Bedürfnisse erfüllt sind und nicht irgendwo ein Mangel herrscht. Ich finde es super, dass du sagst, man muss die Leute eben da cashen oder da abholen, wo sie stehen. Und dann ist natürlich die, sag ich mal, smarte Steckdose oder die smarte Heizung oder die Waschmaschine, die per Handy angeschmissen werden kann von überall, ein viel einfacheres Bild für Leute als vielleicht die Zwei-Faktor-Authentifizierung und die nötigen Sicherheitsmaßnahmen im Unternehmen, weil sind wir ehrlich. Es gibt natürlich viele Leute, die sich mit ihren Arbeitgebenden oder mit den Unternehmen identifizieren, für die sie arbeiten. Ich glaube aber, dass das, ich will jetzt nicht sagen, rückläufig ist. Also ich sage mal so, es gibt ja immer weniger Leute, die ihr komplettes Arbeitsleben bei ein und demselben Unternehmen verbringen, weil sie, sage ich jetzt mal, ne und

Nico Werner: Nico Werner Ja, ich weiß, man jetzt diese, diese Realität, die verändert sich eben halt, dieser Zusammenhalt.

Lisa Fröhlich: Lisa Fröhlich Genau. Und das ist ja sowieso so, ich glaube auch, dass nach wie vor Corona auch was so die Verbindung des Bedürfnisses nach Verbindungen angeht, einfach da hat Corona schon eine ziemlich starke Kerbe reingeschlagen und das ist natürlich auch so. Mittlerweile arbeiten in vielen Unternehmen viele Menschen im Homeoffice. Da ist es auch bisschen schwieriger, auch so diesen Teamzusammenhalt, dieses Gemeinschaftsgefühl zu etablieren und auch so dieses Thema zu sensibilisieren. Auch zu Hause bitte den Bildschirm sperren, wenn du deinen Arbeitsplatz verlässt, weil wenn du es zu Hause nicht machst... und dir das angewöhnen, drei Tage im Homeoffice, dann bist du zwei Tage im Office und dann lässt du vielleicht deinen Bildschirm an. Und jeder kann vermeintlich in der Sekunde darauf zugreifen. Also es gibt ja viele, die so Live-Hacking machen und es ist ein einfaches sich im Internet irgendwie Lieferandoklamotten zu bestellen und als Lieferando-Boote irgendwie irgendwo reinzukommen. also am Ende des Tages wird ja auch ...die menschliche Schwäche von denjenigen immer ausgenutzt, die auf der Angreiferseite sitzen. Und wie du schon sagst, ich glaube, es ist unheimlich wichtig, dass man von Anfang an auch eine transparente Kommunikation macht, die halt eben auch so funktioniert, dass sich die Leute gesehen, gehört fühlen und in ihrem, in ihrem Arbeitseifer auch nicht unterbrochen werden oder permanent unterbrochen werden. Also, das fängt ja davon an, dass Menschen, sag ich jetzt mal, wie meine Mutter, die jetzt in Rente ist, aber die war so der Klassiker. Meine Kinder hatten innerhalb von, weiß ich nicht, 30 Sekunden ihr Handypasswort oder ihren Handypin rausgefunden, weil die zweimal da drauf geguckt haben und meine Mutter so diesen Klassiker hatte so 0000 und ich hab nur gesagt, so, Mama, was ich mein, wenn meine fünfjährigen Jungs dein Telefon knacken können. Was glaubst du denn, was passiert, wenn du deine Passwörter auf dem Post-it an deinem Schreibtisch kleben hast? Also das sind natürlich aber auch so Sachen. Das ist ja eine völlig andere Generation. Die sind, also ich kenne die Telefonzellen noch. So, aber wenn du nur digital noch lebst, dann kannst du dir ja gar nicht vorstellen, dass trotzdem ja noch analoges Wissen genutzt wird, eine Lücke zu finden, in das Unternehmen einzusteigen und sei es das Lieblingsessen vom Restaurant nebenan, das mir zu einer bestimmten Zeit immer in die Mittagspause an die Pforte geliefert wird und so weiter und so fort. Also da gibt es ja schon auch Dinge, die man ausnutzen kann. Jetzt würde ich gerne von dir nochmal wissen, weil ich das ja auch angeteasert hatte, was gibt es denn für Risiken, wenn Unternehmen trotz allem, was wir bisher wissen und trotzdem, ob auch der Bedeutung Cybersecurity als Chefsache. Was gibt's denn für Risiken, wenn sozusagen das Thema Cybersecurity allein an die IT-Abteilung delegiert wird? Was ist denn das, wenn das quasi so eine, ich will jetzt nicht sagen die Enklave der Glücksseligen ist, aber wenn das irgendwo hingepackt wird, wo es eigentlich alleine gar nicht zu bewerkstelligen ist?

Nico Werner: Nico Werner Bevor ich darauf antworte, weil du ein Herzensthema von mir angesprochen hast, ganz kurz noch ein Kommentar zu deinem Satz, weil ich finde das super wichtig. Du hast nämlich das Thema angesprochen, gerade mit der Jugend, die ein ganz anderes Wissen hat, damit umzugehen, aber auch eben das Thema, zum Beispiel, privaten Rechner zu sperren. Ein super wichtiges Thema, und das predige ich auch ganz häufig im Podcast, ist für mich auch dieses Thema Medienkompetenz.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner Immer wieder sage ich es wieder, ich meine, ich bin selber auch Vater, ich sehe das immer wieder. Wir alle wachsen heutzutage mit den Medien auf. Aber wir alle reden über Medien, Umgang mit Medien. Aber wir reden nicht darüber, wie gehe ich denn sicher mit Medien oder was kann mit Medien passieren? Und das sehe ich auch häufig immer noch als ein Thema an, warum das auch nicht immer bei vielen Menschen passiert. Wir sagen dann so simple Beispiele.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Nico Werner: Nico Werner Jeder ist in Facebook oder jeder ist in WhatsApp. Aber in der Firma haben wir Problem, auf einen Link draufzuklicken oder den Datenschutz zu akzeptieren. Da ist Datenschutz immer nervig. Aber privat nutzen wir Facebook oder was auch immer. Und da sehe ich auch immer wieder das Problem, und das meine ich auch am Ende mit dieser Darstellung in den Medien. Ich bin zum Beispiel ein Mensch, du hast es vorhin angesprochen, zu Hause hast du gar nichts, man das oder so. Ich habe alles, man. Ich habe ein Smart Home gebaut vor Jahren, das alles smart, ich habe Alexa, habe dies, ich habe das, ich habe jenes. Und ganz häufig wird dir aus dieser Security-Pappe angesprochen, so der Motto, ja, du bist doch Security-Experte, warum nutzt du solche Dinge? Die sind doch unsicher und die hören doch mit und so weiter. Und da kommen wir wieder auf dieses Thema, du hast es auch angesprochen, Usability versus Security. Mir ist die Usability deutlich wichtiger wie die Sicherheit. Klar kann ich jetzt sagen, dann hört Alexa mir zu und klar.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner hab ich vielleicht auch das ein oder andere Sicherheitstool, was der autonormale Verbraucher nicht zu Hause hat, hab ich bei mir auch, weil ich eben näher an der Branche dran bin. Aber ich hab mir eben halt die Frage gestellt, was möchte ich mehr? Usability und Security. Und ich glaube, das, und das trifft auch auf dieses Thema Cybersecurity-Chefsache, ist ein ganz wichtiger Punkt. Es gibt kein richtig oder falsch. Es ist eine Waage zwischen Usability und Security. Und die muss jeder selber für sich definieren und selber finden. Und das ist, glaub ich, was ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Ja.

Nico Werner: Nico Werner was wir auch viel mehr in diese Medienkompetenz bei den Kindern mit reinlegen müssen. Ich finde das immer toll, wie dann Schulen erklären, was TikTok ist, was Instagram ist und was man da posten darf, aber eben halt nicht erklären, was wirklich Medienkompetenz auch im Umgang mit Medien funktioniert und auch was Sicherheit angeht. Und das wollte ich nur dazu sagen, weil du es erwähnt hast. Und jetzt deine Frage zurückzukommen, was ist denn so wichtig oder was könnte passieren, wenn man nur auf die IT bezieht?

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja,

Nico Werner: Nico Werner Zu einem ist es immer so, Cybersecurity ist nicht IT. Und das möchte ich auch nochmal ganz exklusiv sagen. Früher, als ich angefangen habe, war es zum Beispiel so, jeder ISB oder jeder CISO saß in der IT-Abteilung. Wo ich schon damals gesagt habe, Leute, hört damit auf, weil der CISO oder ISB muss Dinge definieren gegen seinen Chef. Und was passiert in den meisten Firmen? Der Chef sagt dann immer so, ja, ist vielleicht mal ganz nett, aber ...

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Nico Werner: Nico Werner lasst es mal so und so machen. Das heißt, gab ja schon alleine Interessenkonflikte. Natürlich kannst du sowas auch machen, dass du einen ISB, ein CISO, was auch immer in die IT setzt. Aber dann braucht er eben halt eine dotted line zum Management, ihm halt auch mal was für die IT zu sagen oder auch gegen die IT zu sagen. Und ich glaube, das ist eben halt so ein Thema, wenn man Cybersicherheit nur in der IT macht, dann ist es einfach sehr stark technisch. Und du hast diesen Thema mit Menschen zum Beispiel, hast du gar nicht mit dabei.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner Weil klar kannst du eine Phishing-Kampagne machen, klar kannst du auch irgendwie technische Maßnahmen implementieren. Du kannst auch Guidelines aus der IT machen. Aber das große Ganze schaffst du damit eben halt nicht. Und somit hast du für mich ganz klar einfach eine Lücke in deinem Sicherheitskonzept, die du hast, wenn du... Sorry, wenn du nur über die IT gehst. Also gehst du nur über die IT, bist du sehr technisch unterwegs und gehst sehr viel auf die technischen Umsetzungen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner und vergisst aber die weiteren Sicherheitspunkte, in einem oder weiteren Punkte in einem Sicherheitskonzept, die viel wichtiger sind, nämlich Menschen, Prozesse und das Ganze im Umfeld des Unternehmens.

Lisa Fröhlich: Lisa Fröhlich Ja, also ich finde, das ist eigentlich ein ganz guter Schlusspunkt für unsere Folge. Ich habe jetzt noch eine Frage, die mir so bisschen unter den Nägeln brennt, als Abschluss. Wir haben darüber gesprochen, dass der Mensch eigentlich im Kern eines der wichtigsten Themen oder eines der wichtigsten Themen ist im Hinblick auf Cybersicherheit. Wir wissen, die Verantwortung darf eben nicht in die IT abgeschoben werden, sondern muss quasi auf der Chefetage bleiben oder beziehungsweise vom Trainer, wie du gesagt hast, muss die Fußballmannschaft da eingeschworen werden, dass alle eben im Grunde das gleiche Ziel haben. Und entsprechend wichtig wäre es mir, hast du zum Abschluss unseres Gesprächs so ein Beispiel, wo du gesehen hast, dass das tatsächlich auch einen Unterschied machen kann. so ein Leuchtturm im Grunde, wo du sagst, Mensch, die haben das da richtig gut umgesetzt. Du musst jetzt hier auch keine Unternehmen nennen, aber so einfach mal aus dem Praxis-Nähkästchen quasi geplaudert. Wie lässt sich das tatsächlich so umsetzen, dass es einen Unterschied am Ende des Tages macht und die Unternehmen eben deutlich resilienter dastehen als vielleicht Unternehmen, bei denen das noch nicht kommunikativ und kulturell durchgedrungen ist, das Cybersecurity-Chefsache ist?

Nico Werner: Nico Werner Ich glaube, Cybersecurity-Chefsache, das ist schon bei fast jedem Unternehmen angekommen. Allein durch die Regulatorik. Ich glaube, den Unterschied machst du, und da habe ich ein positives Beispiel, worüber ich auch sprechen kann, ist zum Beispiel ein Unternehmen, wo das Management aus der Regulatorik natürlich immer schon Cybersecurity gesehen hat, wo ich dann aber reingegangen bin und gesagt habe, lass uns doch mal gemeinsam schauen, was es denn überhaupt bedeutet, einem Unternehmen Cybersecurity durchzuführen. Also sprich, was es bedeutet ... Cybersecurity im Unternehmen zu nutzen. der Mischung der IT, der Informationssicherheit und so weiter. Und dann haben wir uns zusammengesetzt und haben uns angeschaut, was passiert alles im Unternehmen? Wo sind die Prozesse da? Welche Technologien gibt es? Und dann hat das Management erst mal verstanden, das machen wir jetzt alles. Und hat auch gesehen, wie hoch der Aufwand ist. Oder hat auch mal verstanden, auf der einen Seite gibt es Kosten.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Nico Werner: Nico Werner die ich sozusagen dafür bezahlen muss, damit das umgesetzt werden kann. Aber auf der anderen Seite gibt es eben halt ja dann auch Dinge, die dadurch passieren. Man hat dann gesehen, Angriffe konnten abgewährt werden und so weiter und so fort. Und das, ich eigentlich jedem Manager ans Herz lege, macht doch mal ein Blue und Red Team mit einem Team zusammen. Also wir haben wir haben das tatsächlich dann auch mal bei einem Unternehmen gemacht. Weil warum sage ich das?

Lisa Fröhlich: Lisa Fröhlich Na klar.

Lisa Fröhlich: Lisa Fröhlich Ach cool, ja das ist gute Idee.

Nico Werner: Nico Werner Ein Management hat natürlich tausend andere Themen auf dem Tisch. Der Cybersecurity nur ein kleines Thema davon. Aber wenn jetzt ein Cyberangriff passiert, dann sollte das Management verstehen, wie tickt denn überhaupt mein Unternehmen und wie schwierig ist das? Und da spreche ich schon wieder dieses Thema an, auf die Leute drauf zu hauen. IT, irgendetwas funktioniert nicht scheiße. Was ist jetzt hier wieder passiert mit der IT? Muss ich mir da draufhauen. Aber dass der, dass der Management mal versteht,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Jaja, dann wird wieder geschimpft. Ja.

Nico Werner: Nico Werner Was macht denn die IT überhaupt in so einem Ransomware? Und dass es zum Beispiel Dinge gibt, die eine IT nicht beeinflussen kann, wie zum Beispiel Recovery, also ein Backup wieder einspielen, also zur Rücksicherung von Backups, dass das nicht mit Schnupf funktioniert, weil es eben halt Zeit kostet, die Daten rüberzuspielen und so weiter. Das empfehle ich jedem Manager einfach mal mitzumachen, einfach auch mal zu verstehen, okay, das kostet einfach Zeit.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Nico Werner: Nico Werner Es bringt nichts, wenn ich noch mal oben drauf starke, weil es kann technisch gar nicht anders funktionieren oder der Ablauf funktioniert einfach nicht anders. Und einfach auch mal dann sozusagen als Manager die Hand zu nehmen von den Kollegen und zu sagen, hey, ich stehe hinter euch, ich bin da. Ich weiß, wir sind jetzt gerade in der Situation, aber ich vertraue euch und wir kriegen das gemeinsam hin. Und dieses Gefühl in einem Blue und Red Team gemeinsam das mal zu machen, informiert zu werden, da passiert jetzt was. Wie sehen diese Abläufe aus? Wo gibt es Kommunikationsschwierigkeiten? Das habe ich zum Beispiel bei diesem Unternehmen gesehen, wo wir das gemacht haben, dass danach wirklich so ein richtiges Team entstanden ist. Das Management hat verstanden, das macht die IT, das macht die Informationssicherheit, das macht unser Marketing in Bezug auf Kommunikation zum Beispiel. Und das hat dazu geführt, dass alle ein viel besseres Verhältnis zueinander hatten. Das Verhältnis war vorher auch schon gut, aber das Verhältnis wurde dann in dem Sinne durch das Thema ergänzt, dass man auch ein Vertrauen auf das Thema bekommen hat, dass man weiß, okay, die machen das.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Nico Werner: Nico Werner Die tun das und dadurch dauert das so lange oder dadurch dauert das eben halt oder dadurch geht eben halt dadurch macht man es von A nach B und nicht von C nach D. Und ich glaube, das ist ein wichtiger Punkt, den ich allen Manager mitgeben kann. Macht mal so was mit. Schaut euch das mal gemeinsam an, einfach so ein Verständnis zu bekommen. weiß, Zeit ist immer so ein Thema in der heutigen Zeit, aber sich wirklich mal diese Zeit zu nehmen bei so was mit dabei zu sein, ist wirklich das, was ich jedem empfehle, weil dadurch kann ein richtig tolles Team entstehen.

Lisa Fröhlich: Lisa Fröhlich Super. Das finde ich ist ein guter Schlusssatz. Dadurch kann ein tolles Team entstehen, weil ich glaube jedes erfolgreiche Unternehmen sollte Cybersecurity nicht nur als Wettbewerbsfaktor sehen, sondern eben auch als Teambildungsmaßnahme implementieren. Nico, vielen, vielen Dank, dass du heute mein Gast warst und mit mir über Cybersecurity Chefsache gesprochen hast. Ich kann euch nur einladen, quasi auch in euren Unternehmen oder im Privaten das Thema Cybersecurity voranzutreiben mit guten Ideen. Wenn euch was gefallen hat, was Nico vorgeschlagen hat, dann vielleicht gibt es sozusagen für euch die Möglichkeit, eurem Chef mal vorzuschlagen. Red Team, Blue Team finde ich eine super Idee. Ist auf jeden Fall spannend, so eine Krise mal durchzuspielen, weil das muss man üben, bevor es dann da ist. Und ...Ich freue mich, wenn ihr mir ein Like da lasst, abonniert den Podcast gerne, wenn er euch gefällt. Ansonsten bleibt mir an dieser Stelle immer nur zu sagen, euch einen schönen Tag und keep calm and get protected. Vielen Dank und tschüss.

Nico Werner: Nico Werner Vielen Dank, bis dann!