#34: IT-Sicherheit: Der stille Held im Unternehmen

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und es freut mich natürlich, dass ihr auch heute wieder mit mir in den digitalen Kaninchenbau Cyber Security steigt. Da ist immer einiges los in diesen verschiedenen Gängen und mit meinem heutigen Gast will ich in einen dieser Gänge rein. Martin Rosenbaum ist Head of IT Security der Hukoburg, einem unserer Kunden. Und wir wollen uns heute mit den neuen Angriffsvektoren, die er so auf der Agenda hat, beschäftigen. Und außerdem wollen wir uns mal die Herausforderungen angucken, dass IT-Sicherheit eigentlich unsichtbar ist und was das so für Hürden mit sich bringt. Und bevor wir in die Themen einsteigen, Martin, stell dich doch bitte ganz kurz unseren Hörerinnen und Hörern vor.

Martin Rosenbaum: Martin Rosenbaum Hallo, erstmal vielen Dank, dass ich dabei sein darf heute. Ich bin der Martin und seit knapp elf Jahren jetzt in der HUK. Also eigentlich schon ein bisschen länger gab es eine Historie, aber maßgeblich knapp elf Jahre inzwischen. Die Position begleite ich jetzt seit 2018, dass ich den Bereich IT-Sicherheit in der HUK-Hub-Work leite, fachlich komplett leite, mit den ganzen Teams und Leuten unter mir. Und deshalb viele Facetten des Berufs oder des ja, das Themengebiet täglich erlebe. Und da kann ich heute sicherlich das eine oder andere spannende Thema gerade auch im Hinblick, was erwartet uns zukünftig und wo sehen wir gerade aktuelle Probleme, kann ich sicherlich viel heute dazu beitragen, dem Hörer interessante Perspektiven oder Einblicke zu ermöglichen.

Lisa: Lisa Ja, ich finde das super. Vielen, vielen Dank, dass du Zeit hast. Ihr seid ja sozusagen die ersten Kunden, mit mir sprechen. Ich hoffe, darauf folgen noch mehr, weil das ist natürlich auch spannend, nicht nur von unserer Seite als irgendwie IT-Sicherheitsanbieter auf die Welt der Angriffe und Cyber-Vorfälle zu blicken, sondern eben auch mal die Schuhe anzuziehen, die du anhast, nämlich von Unternehmensseite da drauf zu gucken. Bevor ich dir die erste Frage stellen will, es gibt ja immer, wie gesagt, werden immer weiter, sag ich mal, Prozesse, Strukturen, Apps. Es wird so viel digitalisiert. In Zukunft werden wir natürlich auf noch mehr digitale Technologien angewiesen sein. Und dem Zuge nehmen natürlich auch Cyber-Vorfälle und Cyber-Angriffe konstant zu, weil natürlich entsprechende Angriffsflächen vorhanden sind. In unserem Vorgespräch hast du gesagt, und das fand ich total spannend, dass dir nicht mehr nur die hochbezahlten Hacker Sorgen bereiten, die sozusagen eure Arbeit torpedieren, sondern eben auch leihen, die vielleicht das richtige YouTube-Video sich angeschaut haben und die passende KI-Anwendung dazu im Internet finden, ihren Angriff oder mehrere Angriffe oder die Idee, die sie im Kopf haben, tatsächlich auch in die Tat umzusetzen. Wie wir gehört haben, bist du ein alter Hase im IT-Bereich. Wie schaust du auf die Entwicklung? Und vielleicht kannst du die Hörerinnen und Hörer da mal mitnehmen, was euch so tagtäglich begegnet und welche Auswirkungen das deiner Meinung nach hat.

Martin Rosenbaum: Martin Rosenbaum Das ist ein ganz spannendes Thema. Wir hatten darüber gesprochen, dass wir die Entwicklung gerade durch moderne Technologien dahingehend beobachten können, dass die Angreifer vom Know-how her deutlich mit einer geringeren Vorbildung antreten, dass sie einfach das Wissen präsentiert bekommen. Es ist heute nicht mehr so wie vor zehn Jahren oder 15 Jahren, dass man sich wirklich tief technisch einarbeiten muss.

Lisa: Lisa Mhm.

Martin Rosenbaum: Martin Rosenbaum Heute kriegt man die fertigen Lösungen präsentiert, fertige Tools und was man halt nicht weiß, fragt man halt heute in Anführungsstrichen die KI, die einem dann erklärt, wie es funktioniert. Und das macht es für uns ziemlich schwierig und ziemlich herausfordernd, weil wir eben nicht nur mit hochkomplexen Gegnern, sag ich mal, zu tun haben, die die finanzielle Mittel, weil sie halt staatlich gefördert sind oder halt gewissen Organisationen angehören und langjähriges Know-how aufbauen müssen. Heutzutage kann eigentlich jeder, der eine Firma IT-technisch irgendwie ärgern will oder mit Leidenschaft ziehen will, kann das tun. Die Cloud-Ressourcen dafür, wenn er zum Beispiel einen DOS-Angriff auf unsere Infrastruktur fahren will, sind relativ günstig zu bekommen und sofort bezahlbar auch. Also das kostet wirklich nicht die Welt. Und das Wissen dazu, wie gesagt, das holt er sich quasi aus dem Internet, weil ...

Lisa: Lisa Hmm.

Martin Rosenbaum: Martin Rosenbaum Gewisse Leute haben jetzt auch erkannt, ihr Geld damit zu verdienen, einfach ihr Wissen zu vermarkten. Was wir heute hier machen, es gibt ja Podcasts, gibt Streamer, es gibt Udemy mit Online-Kursen, die ich quasi selber machen kann und dann verkaufe an Zuschauer, wo ich halt das Wissen einfach ganz schnell transportieren kann und wo der Gegenüber einfach auch keine Ahnung haben muss. Er baut das einfach nach, was er dort sieht und es funktioniert.

Lisa: Lisa und ihr Geld damit zu verdienen, einfach ihr Wissen zu vermarkten, dann werdet ihr was mit ihr machen. Es gibt ja ein Podcast, gibt Teamer, gibt Houdini mit Online-Courses, die ihr selber machen könnt und dann verkauft und Zuschauer...

Lisa: Lisa Ja, das stimmt.

Martin Rosenbaum: Martin Rosenbaum Oder er kriegt gleich die fertige Lösung von der KI präsentiert und muss nur noch auf den Knopf drücken. Und das macht es extrem schwierig für uns.

Lisa: Lisa Ja, das glaube ich. Es ist ja auch so, dass das selbst zu dem, was du sagst, dass immer mehr in Anführungsstrichen leihen oder diejenigen, die vielleicht nicht schon immer wie so der typische stereotypische Hacker in den Köpfen der meisten Menschen irgendwie aussieht, irgendwo im Keller in einem Hoodie sitzt. Das sind ja nicht mehr nur diejenigen, das ...diesem Stereotyp entsprechen oder vielleicht auch gar nicht diesem Stereotyp entsprechen, sondern es wird immer mehr. Also die Menge an Personen oder der Personenkreis erweitert sich, der sozusagen in der Lage ist, Angriffe durchzuführen. Und auf der anderen Seite ist es natürlich auch so, dass die organisierten Hackergruppen ja sehr, arbeitsteilig arbeiten. Da gibt es ja diejenigen, die sozusagen das Unternehmen ausspähen. Da gibt es diejenigen, die im Grunde den Schadcode bereitstellen und programmieren. Dann gibt es diejenigen, die den Chartcode implementieren. Es gibt diejenigen, sozusagen die Frequently Asked Questions zu deiner Ransomware beantworten, also die Service-Abteilung. Es gibt diejenigen, die dann mit den Kunden oder mit denen sozusagen potenziellen Opfern verhandeln. Also das ist ja alles mittlerweile gar nicht mehr einzig und allein von einer Person oder von zwei, drei Personen, die sich zusammengetan haben, abhängig, sondern das ist ja im Grunde, kann ich mir auch als Laie noch die entsprechende Cybercrime-Assist-Service-Leistung dazu buchen, wenn ich sie unbedingt brauche. Also, ähm, wie du schon sagst, ich glaube tatsächlich, dass, ähm, dass das schon auch eine Veränderung mit sich bringt, was so die Angriffslandschaft und auch die, äh, ja, Gefährdung für Unternehmen anbelangt, oder?

Martin Rosenbaum: Martin Rosenbaum Das sind komplette Industriezweige inzwischen, das muss man wirklich sagen. Gerade das Thema Ransomware ist ja die letzten Jahre mannigfaltig aufgetreten, hat viele Firmen getroffen, viele auch unvorbereitet. Das bringt mich gleich zu einem zweiten Punkt, der eine erschreckende Entwicklung zeigt. Das ist das Problem mit der Awareness der eigenen Mitarbeiter, aber auch der Menschen generell, die gerade eben nicht so den Bezug zur IT haben. Aber da kommen wir vielleicht gleich noch drauf.

Lisa: Lisa Mhm. Mhm. Mhm.

Martin Rosenbaum: Martin Rosenbaum Der Punkt ist allerdings, früher hattest du eher, wie soll ich sagen, Leute, wie du schon gesagt hast, in deine Infrastruktur einbrechen wollten, nicht auffallen, weil sie einfach daran interessiert waren, erst mal zu wissen, wie funktionierst du? Bist du überhaupt ein interessantes Ziel für mich? Hast du Mehrwert für mich? Ich meine, wir sind eine Versicherung und unser Geld, was wir verdienen, liegt eigentlich im Umgang mit Daten.

Lisa: Lisa Mhm. Ja, exakt.

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum Ich verkaufe keine Pizza, ich baue kein Auto oder sowas. Daten. Da sind die Daten schon interessant. Oder gerade das Thema Wirtschaftsspionage. Das ist ja auch ein großes Thema.

Lisa: Lisa Ja.

Lisa: Lisa Ja, natürlich. Ich denke da an irgendwelche Risiko-Bewertungen, die Versicherungen und große Versicherungen machen. Es ist ja superspannend, auch für Wettbewerber zu sehen, was genau ist denn jetzt das höchste Risiko, wovon Hukobot ausgeht oder in welchem Zusammenhang oder Statistiken, ihr ausgewertet, also Daten, die ihr sammelt auf Basis eurer Kunden und Kundinnen, die beispielsweise

Martin Rosenbaum: Martin Rosenbaum Klar, keine Frage.

Lisa: Lisa wie viele VW-Golfs fahren da draußen rum, wie viele Unfälle hat man damit, haben die Jungen, die Mittelalten, das sind natürlich alles auch Dinge, sich direkt auf die Preise von Versicherungen auswirken und eben auch damit entsprechend auf die Menschen, die Versicherungen brauchen, auswirken.

Martin Rosenbaum: Martin Rosenbaum Genau. Und da sind wir genau bei dem Punkt, wo du hier hingeleitet hast. Das Interessante ist ja bei uns, bei uns den Datenbestand. Wenn du da Data-Mining draus machst, da findest du auch Informationen, die jetzt vielleicht gar nicht so für Versicherungsgeschäft interessant sind. Also natürlich schon, die Beiträge, Beitragshöhe, wie ergibt die sich. Das ist natürlich interessant, gerade für Konkurrenten. Aber wenn du jetzt sagst, ich meine, wir haben ja auch Verträge zum Beispiel, wo du sagst, da spielt das Fahrverhalten mit rein.

Lisa: Lisa Hmm.

Lisa: Lisa Ja klar.

Lisa: Lisa Hmm.

Martin Rosenbaum: Martin Rosenbaum Ich meine, Fahrverhalten analysieren zu können, musst du natürlich auch wissen, wo fährt er, wann fährt er, wie fährt er. Das sind natürlich ganz neue, wie soll ich sagen, Themenfelder, die für Angreifer interessant und relevant sein können. jetzt haben wir mal wieder den Zirkelschluss zu machen. du hattest früher die Leute, die quasi rein sind und geguckt haben, was ist interessant und was muss ich tun, um da ranzukommen?

Lisa: Lisa Hmm…

Lisa: Lisa Ja.

Martin Rosenbaum: Martin Rosenbaum Heutzutage hast du aber allerdings eher, da wir jetzt von Industrie, wirklich Industrien sprechen, die da Geld mitverdienen, richtig viel Geld mit verdienen, denen geht es einfach nur darum, möglichst schnell, möglichst viel Schaden im Sinne von, ich hindere die Firma am legitimen Arbeiten. In der Regel halt verschlüsseln sie Daten, sie löschen Daten, sie klauen die Backups und gibt es ja mal nicht faltige Wege, das zu tun.

Lisa: Lisa Ja.

Lisa: Lisa Ja.

Martin Rosenbaum: Martin Rosenbaum dass die Firma wieder arbeitsfähig wird und nicht plötzlich irgendwie verschwindet vom Markt, dann sind die natürlich bereit, Unmengen an Geld zu zahlen. das ist neben der Awareness gleich noch ein interessanter Punkt, weil viele Firmen haben da einfach geschlammt. Muss man einfach sagen, der Mittelstand hat, das kenne ich aus meiner beruflichen Erfahrung, wir sind jetzt hier natürlich durchreguliert ohne Ende. Wir mussten schon seit Jahren viel tun, aber gerade die Firmen, die das jetzt erst trifft durch NIST 2 zum Beispiel, dadurch, dass sie Dienstleister sind in irgendeiner Supply-Chain,

Lisa: Lisa Mhm.

Lisa: Lisa Na klar. Ja.

Lisa: Lisa Ja.

Martin Rosenbaum: Martin Rosenbaum Die müssen jetzt richtig viel machen und wundern sich, dass es richtig Geld kostet, auffällig ist und gar nicht so trivial ist, weil die Leute am Markt, die du dafür brauchst, die fallen halt nicht vom Himmel.

Lisa: Lisa Die sind weg. Sie fallen nicht vom Himmel und es gibt auch sehr wenige. das ist ja, allen Orten spüren wir Fachkräftemangel und das ist ja gerade in der IT-Branche immens, weil ich war jetzt kürzlich auf einer Veranstaltung, wo wir auch diskutiert haben, es war eine reine Frauenrunde, also nicht nur eine reine Frauenrunde, es waren auch tatsächlich ein paar Männer da, aber es ist ein Frauennetzwerk.

Martin Rosenbaum: Martin Rosenbaum Ja und...

Lisa: Lisa Women for Cyber hier in Deutschland. Und wir haben da diskutiert, wie kriegen wir mehr Quereinsteigerinnen in die IT oder in die IT-Sicherheit oder in die Cyber-Sicherheit. Weil es gibt ja wirklich auch, wie du sagst, nicht nur auf der Angriffseite mannigfaltige verschiedene Möglichkeiten, Unternehmen anzugreifen. Auf der anderen Seite gibt es ja auch unfassbar viele Möglichkeiten, wo eben jetzt nicht per se Coden programmieren et cetera, pp. Oder andere Themen irgendwie, die die Arbeitskräfte können müssen. Sondern da geht's dann eben auch Kommunikation. Es geht Regulierungsthemen. Also, mein, so sich durch 200 Ebis-Seiten NIS-2-Umsetzungsgesetz zu wälzen, ist jetzt keine sehr spaßige und besonders freudvolle Aufgabe, sag ich mal. Aber es muss ja trotzdem gemacht werden. Und wie du sagst, gerade in den mittelständischen Unternehmen, die jetzt aufgrund von S2 über ihre Dienstleistungen, die sie an andere Unternehmen verkaufen, die eh schon strenger reguliert werden, fallen, haben da natürlich auch einen riesen Nachholbedarf. Und ich fürchte, die Zeiten für Sherry-Picking sind da absolut vorbei. Und ich will jetzt nicht sagen, man muss nehmen, was man bekommt, aber man sollte vielleicht darüber nachdenken, dass man sich motivierte, Leute, die sich zu einem Arbeitgeber-Commitment sucht, sagt, hey, wir entwickeln euch dahin, wo wir euch hinhaben wollen und wo wir euch brauchen. Das mag vielleicht ein halbes Jahr dauern, aber ich sag mal, die Fachkenntnisse, die kann sich ja jeder und jede drauf schaffen, meiner Meinung nach. Der willig ist, was zu lernen und irgendwie Lust hat auf dieses Thema, ne?

Martin Rosenbaum: Martin Rosenbaum Ja, Aber das ist immer genau bei dem Punkt zu deiner Eingangsfrage KI. Ich glaube, das ist ein Damokles-Schwert, was da gerade über uns schwebt. Weil viele meinen, die KI macht das für mich. Die regelt das schon. Also die wollen halt die KI positiv benutzen, jetzt nicht für Angriffe, sondern sich zu verteidigen. Und das ist halt die zweite Seite der Medaille. Kann das KI oder, du wirst es mal definieren, ist das wirklich eine KI oder nicht?

Lisa: Lisa Hmm.

Martin Rosenbaum: Martin Rosenbaum Da könnte man einen eigenen Podcast darüber machen. Der Punkt ist aber, es fehlt so ein bisschen, dass wir wieder bei dem Thema Awareness, nicht nur, wie gehe ich mit IT und wie sichere ich das ab und wann klicke ich einen Link und so weiter, sondern auch das Verständnis dafür, was muss ich eigentlich tun, wen brauche ich, mich grundlegend erst mal auf ein Niveau zu begeben, wo ich sagen kann, ich bestehe in der heutigen Zeit gegen die Angriffsvektoren, die gerade

Lisa: Lisa Ja, das stimmt.

Lisa: Lisa Hmm.

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum aktuell sind. Da redet man doch nicht von Zukunft. Also ich meine, wenn man jetzt zukünftig mal denkt, was mit Quantencomputing und so weiter noch auf uns zukommt, da haben wir noch richtig krasse Vorräte. Also da haben wir noch echt viel zu tun. Wird uns jetzt zu weit führen, aber diesen Ist-Stand, da fehlt so ein bisschen gerade, ich sag mal auch so, ich krieg's leider so mit. Einen Punkt muss ich noch ergänzen. Was brauchst du, wenn du Leute brauchst? Du brauchst auch Leute, die bereit sind und das auch können, politisch unterwegs zu sein.

Lisa: Lisa Ja.

Lisa: Lisa Mhm. Mhm.

Martin Rosenbaum: Martin Rosenbaum Weil da gehört viel Politik dazu. Weil du musst die Leute überzeugen, dass das Geld kostet. Du musst die Leute immer wieder dazu bringen, darüber nachzudenken, sind deine Entscheidungen wirklich richtig und valide? Du musst ihnen quasi aufzeichnen, die Konsequenzen, wenn sie was nicht tun. Aus IT-Sicherheitssicht.

Lisa: Lisa Ja klar.

Lisa: Lisa Mhm. Klar, du musst ein Business-Case daraus machen. Und das ist ja auch der Punkt, über den wir auch noch so bisschen sprechen wollen, ist ja im Grunde das, dass es ist ja ein Erfolg in der IT-Sicherheit, wenn nichts passiert. Und dadurch wird ja die IT-Sicherheit de facto unsichtbar. Weil je weniger oder ... im Grunde ist es, je weniger bis nichts passiert, desto besser ist es. Gleichzeitig bedeutet es aber auch dieses Verständnis zu ... ähm, zu bekommen und eben einen Business Case draus zu machen, für etwas, was nicht passieren soll, eben auch einen Haufen Geld auszugeben. Und das ist ja genau die Krux, ähm, die du ja auch schon angesprochen hast. Ich würde jetzt gern noch mal ganz kurz auf das Niveau kommen, dass du eben grade angesprochen hast. Was, wie sähe denn für dich, unabhängig davon, natürlich die ISO 2701, NIS 2 ...andere Cyber-Sicherheitsrichtlinien und diese ganzen Vorgaben und Regularien vielleicht andere Niveaus davor sehen. Wie sehe für dich persönlich so ein adäquates Sicherheitsniveau aus, wo du sagst, da müssen wir erstmal alle hinkommen?

Martin Rosenbaum: Martin Rosenbaum Das ist natürlich eine Frage, die kann man mit stundenlanger Antwort verfunden oder auch relativ schnell beantworten. das werde ich nicht schaffen, aber ich halte mich kurz. es gibt ja, ich würde es mal so machen, erstmal einen validen guten Ansatz zu finden, sollte man sich wirklich orientieren an dem, was mal war. Also da berufe ich mich gern auf die sogenannten Toms, auf technisch organisatorische Maßnahmen. Da gab es ja früher Wotendi mal mit

Lisa: Lisa Drei Sätze.

Lisa: Lisa Mhm.

Martin Rosenbaum: Martin Rosenbaum dem Datenschutz. Jetzt haben wir die DSGVO, früher das Bundesdatenschutzgesetz. Da wurde definiert, dass das Unternehmen technisch organisatorische Maßnahmen etablieren muss, seine Daten zu schützen. Die beziehen sich auf Personenbezug, ist für die IT-Sicherheit irrelevant, weil es gibt auch andere kritische Daten, die nichts mit Personenbezug zu tun haben. Die Vorstandsberichte oder Entscheidungen will ja jetzt auch nicht unbedingt jeder frei im Internet zur Verfügung stellen beispielsweise. Das ist ein guter

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum Ansatzpunkt, wo ich sage, einerseits musst du die Leute mitnehmen auf die Reise. Das ist aber ganz wichtig. Du musst die ganze Belegschaft dazu bringen, weil das ist die größte Herausforderung in meinem Arbeitsalltag, ist quasi Layer 8, also der Mensch. Das ist der Mensch. Es ist nach wie vor das größte Sicherheitsproblem für mich ist nicht die KI oder Sachen, die jetzt noch bevorstehen wie ein Quantencomputer, sondern es ist immer noch der Mensch, weil der Mensch macht Fehler. Das ist normal.

Lisa: Lisa Mhm. Ja.

Lisa: Lisa Mhm. Mhm. Ja. Ja.

Martin Rosenbaum: Martin Rosenbaum Das Problem ist aber, du musst die menschlichen Fehler auf ein Minimum reduzieren, indem du die Leute immer wieder dazu bringst in Routinen. Du musst immer wieder ins Gedächtnis rufen, die Dinge. Gerade wenn sie nicht ITler sind. Das heißt, du musst deine Belegschaft auf die Reise mitnehmen und du musst dir verkaufen, warum ist das notwendig.

Lisa: Lisa Mhm, mhm. Ja. Ja, und du brauchst halt auch die entsprechende Usability, Also ich meine, der Mensch mag einfache Lösungen. Das ist leider so, ne? Ja, total.

Martin Rosenbaum: Martin Rosenbaum Ja, Der Mensch ist ein Gewohnheitstier. Und deshalb ist es ganz schwer, Beispiel aus den Köpfen zu bringen, eine interessante Diskussion, ganz kurz nur Passwörter. Das habe ich in meiner Vergangenheit auch, Gott, wie habe ich das zum Erbrechen mit vielen Leuten diskutiert. Früher war es ja so, du hattest kurze Wechselintervalle, was weiß ich was, einen Monat, zwei Monate oder so was, und ja, eine gewisse Länge. Und was ist passiert? Die Leute haben sich aufgeschrieben.

Lisa: Lisa Mhm. Ja.

Martin Rosenbaum: Martin Rosenbaum haben sich unter die Tastatur geklebt, am Monitor, was weiß ich was. Was war der Sicherheitsgewinn von einem guten, starken Passwort? Das Passwort war technisch gesehen super, prozessual gesehen, oder sicherheitstechnisch war es ein absoluter Kraus. Also was hat man gemacht? Man hat einfach die Passwortrichtlinien vereinfacht, hat den Leuten das leichter gemacht, damit sie es eben wegkommen von dieser Ich schreibe mir das auf, dass sie es sich merken können. Und man hat einfach gesagt, ich führe einfach einen zweiten Faktor ein.

Lisa: Lisa Ja.

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum Das heißt, wenn einer das Passwort kennt, hat er noch lange nicht die Chance da reinzukommen, er will. Und genau so, das ist jetzt der Pragmatismus. Du musst quasi Lösungen schaffen, wo du die Leute mit auf die Reise nimmst. Hast du die Leute, hast du die Awareness geschaffen und die Usability und was weiß ich was, also hast du sie mitgenommen auf diese Reise. Dann ist der nächste Schritt das, was richtig Geld kostet. Da sind wir nämlich dabei, die technischen Maßnahmen zu etablieren. Und da fängst du an. Wo fängst du an, wo hörst du auf? Da gibt es kein Patentrezept.

Lisa: Lisa Ja, exakt.

Lisa: Lisa Das Schritt, das was richtig geht, das übernimmt, dabei die technischen Maßnahmen zu bekommen.

Lisa: Lisa Mhm.

Martin Rosenbaum: Martin Rosenbaum Früher hat man gesagt, ich bin in meiner Burg. Ich hab einen Burggraben, den tue ich mit einer Firewall, also mit meiner großen Wand davor absichern und hab quasi meinen Falttor, was so weit runterfährt, wenn einer rein will. Und da war man zufrieden. Dann kam aber das Problem, ich mal es jetzt mal plastisch, dass der Zuhörer mir folgen kann, dann wurde ein Thron erfunden. Da bist du oben drüber geflogen. Dann haben sie keine Ahnung. Dann gab es Tiefbauer, die haben sich unten durchgegraben.

Lisa: Lisa Mhm.

Lisa: Lisa Ich weiß, plastisch das Zubehör befolgen kann. Dann wird ein Zwerg

Lisa: Lisa Ja, exakt.

Martin Rosenbaum: Martin Rosenbaum Weißt du, dann war es wieder, was machst du jetzt? Wo fängst an und hörst du auf? Und das muss man individuell machen. Da gibt es halt kein Rezept. das ist genau das, was du gesagt hast oder was ich dir ja auch im Vorgespräch schon gesagt habe. Da sehen die Leute nicht den, wenn du kommst und ein fertiges Design gebaut hast, das durchaus sinnvoll erscheint. Man kann ja drüber reden, wie sehr sinnvoll ist es und wie 80:20 Regel bei Sicherheit das ist Blödsinn.

Lisa: Lisa Ja.

Lisa: Lisa Das sehen

Lisa: Lisa Nee.

Martin Rosenbaum: Martin Rosenbaum Die bringt ja nichts, weil das schwächste Kettenglied bringt die Kette zum Fall, ist einfach so. Und wenn du das dann eine Idee verkauft hast, dann gehst du halt in die Politik. Und das ist der nächste schwierige Part. Du hast, ich sag mal so, du hast die Belegschaft abgeholt, du hast dein technisches Design gemacht. Das ist ziemlich aufwendig, kriegst du aber mit guten Leuten hin. Kann der KI nicht machen. Die versteht den Kontext nicht zu deiner Infrastruktur. Und dann hast du aber das Problem,

Lisa: Lisa Ja, exakt. Der fehlt heute noch der Kontext.

Martin Rosenbaum: Martin Rosenbaum dass du das verkaufen musst. Das heißt, du musst Menschen dazu bringen, die logischerweise mit ganz anderen Dingen ihr Geld verdienen. Keine Frage. Die wenigsten Firmen verdienen mit IT-Sicherheit ihr Geld. Sondern die verdienen halt mit Produktion zum Beispiel. Sie produzieren irgendwas ihr Geld. So, dann musst du den Leuten aber erklären, du musst mir jetzt von deinem großen Gewinnkuchen. Musst du mir jetzt, keine Ahnung, wenn es nur zwei Prozent sind oder fünf Prozent sind, das wäre schon echt viel, da würde sich jeder darüber freuen, der in der IT arbeitet. Aber das Geld brauche ich, dir genau das zu tun.

Lisa: Lisa Ja, ja. Wenn jetzt von einem großen Gewinn gucken, wüssten wir jetzt, wenn es nur zwei Prozent sind oder fünf Prozent sind, das wäre schon echt viel, dann würde sich jeder darüber freuen. Aber das Geld brauche ich, dir genau das zu tun, nicht nur regulatorische Anforderungen von außen zu erfüllen, sondern auch Anforderungen, die wir uns selber stellen sollten und müssen, uns einfach auch gegenüber dem Kunden, den Dienstleistern, gegenüber dem wir allen in der Schuld stehen, dass wir mit seinen Daten und mit unseren Daten

Martin Rosenbaum: Martin Rosenbaum nicht nur regulatorische Anforderungen von außen zu erfüllen, sondern auch Anforderungen, die wir uns selber stellen sollten und müssen, ganz einfach auch gegenüber den Kunden, den Dienstleistern, gegenüber denen wir allen in der Schuld stehen, dass wir mit seinen Daten und mit unseren Daten gut umgehen, erfüllen können. Und dieser Part wird immer größer in meinem Berufsleben. Erlebt immer mehr. Dadurch, dass die Regulatorien steigen.

Lisa: Lisa Mmh. Ja.

Lisa: Lisa Ja, und das ist ja auch immer auch an einem gewissen Punkt, wenn ich hier einhaken kann, an einem gewissen Punkt geht es ja auch, und da seid ihr natürlich auf Versicherer-Seite ja, das ist ja euer Brot- und Buttergeschäft, geht es ja auch immer die Risiken, die ich abwägen muss. Und das heißt ja auch

Martin Rosenbaum: Martin Rosenbaum bist auch immer mehr damit beschäftigt, politisch zu klären. Was ist man noch bereit zu tun? Was ist man bereit dafür auszugeben? Wie rechtfertigt man das noch?

Lisa: Lisa Auf der einen Seite habe ich, also die Bewegung in diesen verschiedenen Spannungsfeldern, also ich habe auf der einen Seite habe ich sozusagen den Mensch, meiner Meinung nach ist er ja auch die erste Verteidigungslinie. Also das kann man ja auch positiv sehen, dass sozusagen die Menschen mit den richtigen Maßnahmen und wenn sie mit auf der Reise sind, sind sie natürlich auch die erste Verteidigungslinie, weil da kommt dann auch erstmal keiner vorbei, wenn sie es hinkriegen. Dann hast du dieses Spannungsfeld zwischen Usability und Sicherheit. Dann hast du das Spannungsfeld zwischen Risiko und der Effizienz. Du hast ein Spannungsfeld zwischen den Risiken, die vielleicht eintreten können und denen, von denen die Leute sagen, uns hat es bis heute nicht getroffen. Ich bin mir nicht sicher, ob wir als kleines produzierendes Unternehmen mit nur 30 Mitarbeitenden überhaupt auf der Liste derjenigen stehen, die potenziell uns angreifen können. Ja, glaubt mir, ihr steht da irgendwo drauf, weil jedes Unternehmen, potenziell irgendwie einen Wert erwirtschaftet, ist natürlich ein lukratives Angriffsziel, natürlich kann man immer irgendwie was abholen. bei Versicherungen oder bei Banken oder bei anderen Unternehmen, die ja wirklich mit sehr, sehr, sehr sensiblen Daten oder auch im Gesundheitswesen beispielsweise arbeiten, da stelle ich mir auch so ein bisschen die Frage wie so zukünftig einfach auch mit der Sicherheit umgegangen werden wird, weil du hast das Quantencomputing angesprochen und nicht umsonst gibt es wahnsinnig viele Professoren hier draußen in der Welt, die sich mit Post-Quantum-Kryptographie beschäftigen, die eigentlich sich jetzt schon, obwohl noch nirgendwo ein fertiger Quantencomputer steht, außer die NSA weiß was, was ich noch nicht weiß, aber sozusagen nirgendwo da draußen steht ein fähiger Quantencomputer und trotzdem fangen die Forscher schon an, darüber nachzudenken, wie kriegen wir Krypto-, also wie können wir verschlüsseln, dass es sicher ist, wenn die Quantencomputer mal da sind? Und da ist natürlich, du, ne, du bewegst dich ja immer auch in dem Feld, macht es denn jetzt Sinn für ein Unternehmen, Post-Quantum-Kryptographie einzuführen, wenn es einen Preisschild XY hat? Ja, oder funktionieren eben meine alten Verschlüsselungsmöglichkeiten oder meine alten Verschlüsselungsmaßnahmen noch. Also da gibt es ja so viele verschiedene Bereiche, die am Ende des Tages in irgendeiner Art und Weise mit in eine Sicherheitsstrategie einfließen müssen und eben Menschen wie dich die dafür verantwortlich sind, daraus dann für die Geschäftsführung einen Business Case zu machen, vor ziemlich große Herausforderungen stellen. Wie ist denn das so? Wie hast du das erlebt oder wie erlebst du das mit dieser Unsichtbarkeit der IT-Sicherheit in der Realität? ... Gibt es da für dich ein Patentrezept, wie du das am besten sichtbar machst oder was da sozusagen für dich auch ein guter Weg ist, das entsprechend auf die Entscheider-Ebenen zu heben?

Martin Rosenbaum: Martin Rosenbaum Also ich sag mal so, bei uns in der Firma ist es nicht ganz so Unsichtbarkeit, also man nimmt das schon wahr, weil wir sind halt stark durchreguliert. Also da ist das schon ganz oben angekommen. Also noch ganz kurz zu deiner Ausführung davor. Die Dora ist ja, also die beinhaltet ja NIST 2, ja quasi eine Untermenge von der DORA. Für uns ist die Dora bindend, also noch mehr, wenn du so willst.

Lisa: Lisa Ja klar.

Martin Rosenbaum: Martin Rosenbaum Die ist risikogetrieben, die spricht von sogenannten IKT-Störungen und die will ja immer, dass man eine Risikobewertung überall einführt. Und genau da kommt der Ansatz jetzt sowieso in der breiten Masse zum Tragen mit den Risiken. Und ja, das muss natürlich alles in die Vorgaben. Aus meiner Sicht ist das eine kleine Business Case. Ich muss Unternehmensvorgaben machen. Richtlinien, Kompetenz habe ich ja zum Beispiel und Konzepte muss ich da schreiben und so weiter. Da muss das ja alles mit rein.

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Ja.

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum Ja, wie erhöht man die Sichtbarkeit? gerade auf der Entscheider-Ebene ist das natürlich, wenn das bis jetzt noch nicht der Fall war, äußerst schwierig, weil du hast das Problem bei dem, was du vorhin aufgezählt hast, da kommt noch Naivität und Angst dazu bei vielen Leuten. Der Mensch kann natürlich auch die Verteidigungsglieder Nummer eins sein, aber viele haben Angst davor, zu agieren und zu reagieren, weil sie Angst haben, sie machen was falsch.

Lisa: Lisa Hm, ja. Ja, die Fehlerkultur ist ja auch ein Stichwort, da könnte man auch ganze Podcast-Folgen mitfüllen.

Martin Rosenbaum: Martin Rosenbaum Genau und das macht es halt extrem schwer, weil die Leute dann lieber, also es gibt inzwischen viele, die man mitgenommen hat, du hast auch einen großen Teil, der einfach sagt, das behalte ich lieber für mich, ich weiß nicht, hat das Konsequenzen für mich oder dann stehe ich blöd da. Ich war wieder der Depp, der da draufgeklickt hat, obwohl die mir gesagt haben, ich soll es nicht machen. Und das ist eigentlich das Dümmste, was du machen kannst. Da appelliere ich auch an die Zuhörer. Also wenn da Zuhörer da sind, ganz ehrlich, wenn es passiert, dann ist es so, aber ihr tut einfach uns

Lisa: Lisa Hmm... Hmm...

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Martin Rosenbaum: Martin Rosenbaum Sicherheit, einen größeren Gefallen uns darauf hinzuweisen, wenn ihr Scheiße gebaut habt, weil wir dann wesentlich schneller reagieren können, wenn wir danach aufräumen müssen. Weil das ist äußerst schwierig. Und zu deiner Sichtbarkeit, da hat sich meiner Meinung nach relativ gut etabliert, dass man ein Berichtswesen schafft im Unternehmen. Also dass man reportet. Was macht man? Warum macht man was? Was kommt am Horizont auf? Wie gesagt, wir haben immer zu neue Regulatorien, haben immer neue Technologien. IT-Sicherheit schläft ja nicht.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, das glaub ich auch.

Lisa: Lisa dass man

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum Oder generell die IT schläft ja nicht. Und wir als IT-Sicherheit, wenn ich jetzt mal von, ich meine, ich muss natürlich auch die böse Seite kennen, die gute Seite, wie soll ich sagen, gut auszufüllen oder adäquat bedienen zu können. die läuft, also die bösen Angreifer, die laufen uns quasi immer einen Schritt voraus. Das heißt, wir sind immer reaktiv und wir müssen dahin kommen, gedanklich

Lisa: Lisa Ja.

Lisa: Lisa Ja.

Martin Rosenbaum: Martin Rosenbaum Und deshalb finde ich gut, dass man jetzt in die Richtung geht, sich mit Themen zu befasst, die erst am Horizont aufkommen. Wir müssen zu einem proaktiven Gedankeneinsatz kommen. Wir müssen schauen, wo gehen Trends hin und was kann ich vielleicht jetzt schon tun, auch wenn es vielleicht noch gar nicht so die Angriffe dafür gibt. Im Moment, was machen die meisten Firmen, gerade die, jetzt aufarbeiten müssen, die sind so maximal reaktiv unterwegs, dass die erst mal überhaupt einen Stand schaffen müssen, dass sie erst mal eine Baseline haben.

Lisa: Lisa Mmh. Ja. Ja.

Martin Rosenbaum: Martin Rosenbaum So und das ist Schwierig, und das kannst du nur mit Reporting machen, meiner Meinung nach. Du musst quasi den Vorstand sagen, pass auf, das kommt am Himmel, das bedeutet das für uns, das sind deine Risiken und Gefahren, gegen die müssen wir uns wappnen, weil der auch, witziger Fun Fact, ich weiß nicht, ob du dich mit dem AI-Act schon befasst hast, der spielt ja gerade eine große Rolle, der steht drin, ich kann die genaue Zahlen nicht sagen, ich hab's nicht im Kopf, ich wollte es nochmal nachlesen, der steht drin.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Martin Rosenbaum: Martin Rosenbaum dass nur noch Mitarbeiter mit KI arbeiten dürfen, die nachweislich den Wissensstand haben, die quasi geschult sind und die ausgebildet sind und so weiter. Und da stehen wirklich harte Millionen Summen Strafen dahinter, wenn du plötzlich Leute hast, die keinen Know-how haben in dem Bereich. Wie auch immer die das prüfen wollen. Aber sowas musst du verkaufen, sowas musst du transparent machen, sowas musst du berichten und reporten. Und da darf man halt nicht die Angst haben und sagen, ja dann sag dann wieder, das Geld will er nicht ausgeben.

Lisa: Lisa ...Wissensstand haben, als die quasi gespult sind, ausgebildet sind und das Stil wirklich hatte, Millionen zu veranstalten...

Lisa: Lisa Ja, sagt man wieder, das Geld wieder nicht auszuleben. Ja, dann ist es so. Aber dann hast du zumindest das Risiko adressiert. du hast den Leuten die Augen geöffnet. Und am Ende sich keiner rauszuleben.

Martin Rosenbaum: Martin Rosenbaum dann ist es so, aber dann hast du zumindest das Risiko adressiert und du hast den Leuten die Augen geöffnet. Dann kann sich Ende keiner rausreden, wir haben davon nichts gewusst. Weil das ist der falsche Weg und deshalb bin ich ein Freund davon, dass man wirklich, wir haben ja vorhin gesprochen, was ist die Baseline, die man erstmal aufbauen sollte? Da gehört für mich, für die organisatorische Regelung die Prozess Schnittstelle dazu, wo du einen Reporting Prozess hast. Also ein Reporting Prozess ist nicht über, Schwachstellen hast du, welche Risiken hast du. Was sind

Lisa: Lisa Ja, ja.

Martin Rosenbaum: Martin Rosenbaum aktuelle Bedrohung. Was sind Bedrohungen, die beseitigt wurden vielleicht auch? Was kostet uns gewisse Anpassung der Infrastruktur? Ein großer Hype-Thema war ja Cloud die letzten Jahre. Wie kann man das sauber integrieren? Cloud ist nicht immer schlecht, also verstehen wir nicht falsch, aber Cloud lässt sich relativ schwer händeln, weil da die Cloud-Provider ihre eigene Idee davon haben und wir jetzt nicht nur aus regulatorischer Sicht, sondern auch aus

Lisa: Lisa Was sind die Bedrohungen, beseitigt werden? Was kostet uns eine gewisse Anpassung der Infrastruktur? große Halbthema war ja Cloud-Witzen. Ja.

Martin Rosenbaum: Martin Rosenbaum Soll ich sagen, aus eigener Sicht raus, wie wir unsere Daten schützen sollen, haben wir wieder eine eigene Sicht und das muss irgendwie zusammenführen. Und das gibt dann halt immer Widersprüche. Dann hast du noch den Stakeholder in der Mitte, der dann sagt, aber ich habe doch einen tollen Use Case, der muss doch aber so laufen. Und dann sagst du aus Sicherheit, der darf aber nicht so laufen. Da musst du halt einfach, wie gesagt, immer offen und transparent damit umgehen und immer wieder darauf hinweisen, es gibt Probleme. Man kann das machen, aber das kostet dich oder das bedeutet Ressourcen oder das bedeutet das.

Lisa: Lisa Man kann das machen, aber das kostet nicht. Oder das bedeutet Ressourcen. das kostet nichts. Und mit der Zeit, glaube ich, schaffst du das, die Überzeugungsarbeit dahin gehend umzusetzen. aus dieser Falle rauszukommen, keiner nimmt mich wahr, ich bin nur jemand, der Geld kostet, aber kein Mehrwert.

Martin Rosenbaum: Martin Rosenbaum Und mit der Zeit, glaube ich, schaffst du das, die Überzeugungsarbeit dahingehend umzusetzen. aus dieser Falle rauszukommen, keiner nimmt mich wahr, ich bin nur jemand, der Geld kostet, aber kein Mehrwert liefert. Aber das ist eine gute Aussage von dir, wenn nichts passiert, macht die IT-Sicherheit einen guten Job. Und genauso muss man das auch darstellen. Das ist ja bei uns auch so. Also wenn wir uns einen Vorstandsbericht oder in irgendeiner Sitzung

Lisa: Lisa Ja, exakt.

Martin Rosenbaum: Martin Rosenbaum Irgendwas bei Centripetal heißt, je kleiner diese Zahl ist, zum Beispiel Risikosummen, du zur Seite legst, für Risikoakzeptanzen oder Inzidenz, die du bearbeiten musstest. Ganz normal, ne? Da er eine Fishing-Mail gedrückt oder keine Ahnung, es sind alles Inzidenz, die du bearbeiten musst. Und je kleiner die Zahl ist, das musst du einfach verkaufen, umso besser ist das für dich. Und das kriegen wir nur hin, wenn ich die Leute habe, wenn ich finanzielle Mittel habe, wenn ich mir neue Technologien angucken darf und so weiter. Und irgendwann habe ich festgestellt, dieser Prozess,

Lisa: Lisa Ja.

Martin Rosenbaum: Martin Rosenbaum der da stattfinden muss. Bei den Leuten, die das Entscheiden, der dauert zwar, weil sie halt einfach nicht auf dem Gebiet sind. Die haben ihre Kompetenzen woanders. Deshalb haben die mich ja eingestellt, weil sie meine Kompetenz wollen. Und wenn dieses Miteinander gut funktioniert, dann hast du es geschafft, diese Hürde zu überwinden, dass du ein, wie soll ich sagen, ein Kostenfaktor bist, der keinen Nutzen schafft. Und davon muss man weg. Und das schaffst du wirklich nur durch offene Debatten und Awareness.

Lisa: Lisa Ja, genau, klar.

Lisa: Lisa Das würde ich mal sagen, Awareness und offene Debatten. Wir nehmen die Folge ja jetzt sozusagen früher auf, als sie ausgestrahlt wird. Vor der Bundestagswahl sind das ja auch wirklich wichtige Kernkompetenzen, Awareness und offene Debatten. Davon könnt es ein paar mehr geben, ich mal sagen. wie gesagt, das ist ein komplett anderes Thema. Ja, Martin, vielen, vielen Dank für diesen spannenden Einblick. bin, äh, ich hätte jetzt noch drei, vier Fragen im Kopf, aber unsere Zeit ist zack schon vorbei. Und, ähm, an der Stelle bleibt mir, ähm, wie immer nur zu sagen, vielen Dank, dass ihr heute wieder mit uns in den Kaninchenbau gestiegen seid. Und, ähm, ja, wenn euch die Podcast-Folge gefallen hat, lasst gerne ein Like da oder abonniert die Folge, empfehlt sie natürlich gerne euren Freunden, Kollegen und Verwandten weiter. Da würden wir uns sehr freuen und ich mich ganz besonders. Und, ähm Ja, an dieser Stelle wie immer ein Keep calm and get protected. Martin, vielen Dank für deine Zeit und macht's gut. Ciao.

Martin Rosenbaum: Martin Rosenbaum Danke dir auch, ciao!