#37: „Die ISO 27001 ist kein Häkchen-Spiel!“

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und ich freue mich natürlich, dass ihr auch heute wieder mit mir zusammen in den digitalen Kaninchenbau Cyber Security steigt. Mit meinem heutigen Gast Uwe Bergmann, der Geschäftsführer von Nethinks, einem IT Unternehmen, die Services und Telekommunikationsservices anbieten, spreche ich über die ISO 27001 Zertifizierung. Klingt kompliziert, ist aber gar nicht so schwierig und vor allen Dingen ein echtes Asset, wenn es die Cyber- Informationssicherheit geht. Wir wollen uns ein bisschen die größten Learnings anschauen, die Herausforderungen, bei der Umsetzung von ISO 27001 sozusagen auftreten, was bei der Vorbereitung auch vielleicht für die NIST 2 hilft. Und außerdem wollen wir eben klären, dass das reine Abhaken von Sicherheitsmaßnahmen nicht besonders hilfreich ist und besonders dann nicht, wenn es Themen geht wie zum Beispiel DEDOS-Schutz oder Lieferantenmanagement. Also wie gesagt, viel Informationssicherheit ist gut für alle und dennoch stellt sich auch so bisschen die Frage, gibt es ein zu viel an Prozessen? Also bevor wir in die spannende Diskussion einsteigen, Uwe, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und danach erkläre ich allen noch mal ein bisschen, was es mit der ISO 27001 auf sich hat. Vielen Dank, Uwe, dass du heute da bist.

Uwe Bergmann: Uwe Bergmann Vielen Dank Lisa für die Anmoderation. ganz kurze Vorstellung. Mein Name ist Uwe Bergmann. bin verheiratet, habe vier Kinder und freue mich darauf jeden Tag die zu haben. Und was macht unser Unternehmen Nethinks? Wir sind seit fast 30 Jahren am Markt, sind als Internet Service Provider gestartet. Damals noch mit ganz kleinen Leitungen, die man heute gar nicht mehr wahrnehmen kann und betreiben das.

Lisa: Lisa Hmm?

Uwe Bergmann: Uwe Bergmann ausschließlich für Geschäftskunden, das heißt Behörden, Krankenhäuser, Logistiker und so weiter. Betreiben wir Vernetzungslösungen, Internetaccess und so weiter. Und zusätzlich noch ist das Thema Sprachkommunikation ein ganz wichtiges Thema. Wir haben eine eigene Voice-over-IP-Lösung entwickelt, mit der man komplette Telefonlösungen in Unternehmen abbilden kann. Das wird auch sehr gerne genommen.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Uwe Bergmann: Uwe Bergmann Jetzt gleich der Einstieg so ein bisschen in Richtung dieser ISO-Zertifizierung. ist ja auch das Thema. In unserer Firmengeschichte haben wir festgestellt, dass das ganze Thema Vernetzung, Internet, Voice-over-IP-Kommunikation in den Unternehmen ganz krass an Bedeutung zugenommen hat. Gerade Internet-Access, das war in den 90er Jahren so ein, gut, ich habe jetzt auch Internet. Das ist ganz toll, ja, selbst in den Unternehmen.

Lisa: Lisa Mmh, ja.

Lisa: Lisa Hehehehehe

Uwe Bergmann: Uwe Bergmann Und ich kann auch E-Mail und so weiter. Mittlerweile ist es so, dass die ganzen Kommunikationswege, Teams, E-Mails sowieso, auch Social-Media-Kanäle, sämtliche Cloud-Anwendungen und so weiter so krass in die Unternehmensabläufe eingedrungen sind, sodass ein, genau, sodass sobald irgendwie Netzwerk oder Internet nicht funktioniert, dann ist großes Geheule.

Lisa: Lisa Ja, das kann man nicht mehr voneinander trennen.

Lisa: Lisa Ja, da sind die Unternehmen aufgeschmissen. das ist ja auch so Thema, wo wir uns bestimmt jetzt auch gleich hinbewegen, was sozusagen die Prozesse entsprechend angeht. Ich will, bevor wir in die Details einsteigen, nochmal kurz erklären, worüber wir heute hier eigentlich sprechen und worum sich unser Gespräch dreht. Also die ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme, also kurz ISMS. Das hat der eine oder andere, der den Podcast sozusagen aufmerksam verfolgt, hier schon mal gehört. Auch in der Folge, die wir gemacht haben zum Thema Informationssicherheit, kam das zur Sprache. Das klingt alles erstmal sehr technisch, aber im Grunde geht es ja darum, dass Unternehmen strukturiert das System aufbauen, ihre Daten- und IT-Systeme zu schützen. Das umfasst neben den Prozessen auch Richtlinien und eben technische Maßnahmen, eben Risiken vor Cyberangriffen, Datenverlusten und eben aber auch Systemausfällen. Du hast eben die Internetverbindungen, die Netzwerkverbindungen, die Voice-over-IP-Telefonie angesprochen. Das ist ja etwas, was für viele Unternehmen auch echt was mit der Business-Continuity zu tun hat, also der Geschäftskontinuität. Und die sind aufgeschmissen, wenn diese Prozesse und Dinge nicht mehr funktionieren. Und natürlich nach außen hin zeigten Unternehmen mit der ISO 27001-Zertifizierung, dass es Informationssicherheit sehr ernst nimmt und eben nach einem internationalen anerkannten Standard umsetzt. Und gerade im Hinblick auch auf neue Regularien wie DINES II oder eben auch den steigenden Cyberbedrohungen, die wir allen Orten sehen, wird natürlich dieses Thema immer wichtiger. Und vor allen Dingen ist es ein Thema nicht nur für Konzerne, eben auch für Unternehmen wie Nethinks ist, auch für den Mittelstand. Kurz gesagt, ISO 27001 ist kein Selbstzweck, sondern eher eine Art Sicherheitsgurt für die Unternehmen in der digitalen Welt. Uwe, sag mir doch mal, ihr seid ja schon auch langjähriger Partner von Link11. Warum habt ihr euch als Nethinks für die ISO 27001 Zertifizierung entschieden und welche Erwartungen hattest du sozusagen an diesen Prozess im Vorfeld?

Uwe Bergmann: Uwe Bergmann Naja, also fangen wir mal mit der Entscheidung an. Also die Entscheidung kam unter anderem daher, dass ja dieses Thema KRITIS und Nes2 schon 2014 ungefähr erfunden worden ist und die EU hat ja da entsprechende Regelungen herausgegeben, denen die Staaten dann folgen, folgen müssen und im Zuge dessen

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja.

Uwe Bergmann: Uwe Bergmann werden immer mehr größere Unternehmen oder KRITIS-Unternehmen, für die wir auch tätig sind, aufmerksam und fordern dann bestimmte Vorgehensweisen, bestimmte Sicherheitsmerkmale von den Unternehmen, mit denen sie zusammenarbeiten, Das ist bei uns auch passiert. Bei uns kam auch im Vorfeld, bevor wir die Zertifizierung hatten, mindestens ein Unternehmen und hat dann ein internes Audit bei uns durchgeführt. Das war sehr aufwendig. Das heißt, die wollten wissen,

Lisa: Lisa Mhm, mhm.

Uwe Bergmann: Uwe Bergmann Haben wir Passwörter? Wie gehen wir damit Welche Regelungen haben wir bezüglich Zutrittsmöglichkeiten und so weiter? sind nur einige von den den Sachen. Die wollten das also ganz

Lisa: Lisa Eine kurze Rückfrage hier. Dieses interne Audit, haben die Unternehmen das quasi gemacht, weil sie selber quasi wissen wollten, ob ihr die Prozesse gut umsetzt oder haben die das gemacht, weil sie qua ihrer Größe oder Kritikalität bereits zu dem Zeitpunkt schon reguliert waren und das vorweisen mussten? Das sind ja zwei unterschiedliche Motivationen, dahinterstecken können.

Uwe Bergmann: Uwe Bergmann Gut. Genau, also ganz ehrlich, das kommt in der Regel durch den Druck von Behörden.

Lisa: Lisa Mhm. War beim Sicherheitsgurt auch so.

Uwe Bergmann: Uwe Bergmann Ja, genau. Also in dem Falle handelte es sich oder handelte es sich ein Versicherungsunternehmen, die den Finanzregulierungen unterliegen. Meistens gar nicht so genau wie die heißen. Ich DORA gibt es da als einen. BaFin hat entsprechend die Regelung, die fordern dann Nachweise von diesen Unternehmen ein. Und die wiederum müssen nachweisen im Rahmen ihrer Prozesse, dass sie mit Lieferanten zusammenarbeiten, die sich an die Regeln halten.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Ja, ich glaube auch, mhm. Ja, Mhm, mhm.

Lisa: Lisa okay. Ja.

Uwe Bergmann: Uwe Bergmann Und im Rahmen dieses sogenannten Lieferantenmanagements werden dann auch wir gefragt, macht ihr das, haltet ihr die Regeln ein? Also das hatten wir schon recht frühzeitig erkannt. Wir haben ungefähr 2020 die Entscheidung getroffen, die ESO-Zertifizierung zu machen. 2021 kann es sein. Dann ging das los.

Lisa: Lisa Mhm. Mhm.

Uwe Bergmann: Uwe Bergmann und Erwartungen. Welche Erwartungen hatte ich? Die Erwartung war, naja komm, nimmst ein bisschen Dokumente, schreibst die voll und guckst, dass wir das einigermaßen gut hinkriegen. Hauptsache wir haben die Zertifizierung. Ich habe dann jetzt den dritten Dienstleister verbraucht auf dem Weg zur Zertifizierung. Der erste, der konnte das nicht so richtig, hat es aber nicht so richtig gesagt. Das haben wir dann erst sehr spät gemerkt.

Lisa: Lisa Mhm, mhm.

Uwe Bergmann: Uwe Bergmann Mit dem zweiten haben wir sehr gut zusammengearbeitet. hat uns dann auch bis zur ESO-Zertifizierung geführt. Aber der hat das Ganze ein bisschen übertrieben. Das haben wir auch gleich bei einem der nächsten Punkte noch mit. Und mit dem dritten, mit dem arbeiten wir jetzt zusammen, da versuchen wir das Augenmerk auch so auf Praktikabilität zu legen. Das heißt, das Verhältnis zwischen eingesetzten Aufwand für diese Zertifizierung und dem Nutzen, man fürs Unternehmen nachher hat, das muss passen.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, und es sollten ja aber trotzdem nicht irgendwie Maßnahmen sein, die nur auf dem Papier gültig sind, weil es hat ja tatsächlich auch eine Auswirkung. Wenn ich mich tatsächlich mal hinsetze und mir meine Informationssicherheit oder eben auch mein Informationssicherheitsmanagementsystem anschaue, da gehören ja auch solche Faktoren wie Risikomanagement dazu, Notfallpläne etc. pp.

Uwe Bergmann: Uwe Bergmann Genau.

Lisa: Lisa Das wisst ihr ja jetzt selbst. Du hast in deiner Vorstellung ja auch sozusagen die Krankenhäuser erwähnt. Und da muss man ja einfach nur mal irgendwie in die Historie zurückgehen. Also ich weiß gar nicht, wie oft ich in meinen Google Alerts lese, dass irgendwo in Deutschland oder in der Dachregion oder überhaupt weltweit Krankenhäuser angegriffen werden und unter Cyberangriffen leiden. Ein Beispiel, was mir einfällt, ist und das Uniklinikum Frankfurt, dann die Unikliniken in Duisburg, ich, Ruhrgebiet da oben, die Ecke oder Düsseldorf. Also die sind ja nach wie vor ein wirklich proprietäres Ziel. Und der Professor, für den ich gearbeitet habe an der TU Darmstadt, der hat auch immer gesagt, ja, also wir müssen auch einfach schauen, dass genau da, wo wirklich auch mit sehr, sehr sensiblen Daten gearbeitet wird und Gesundheitsdaten sind ja für die meisten Menschen sehr sensibel, dass wir da entsprechende Schutzmechanismen implementieren. Und von daher glaube ich, dass zu Recht gerade solche Unternehmen daran interessiert sind, dass ihre Lieferanten entsprechende Maßnahmen implementiert haben. Also inwiefern hat euch sozusagen da die ISO

Uwe Bergmann: Uwe Bergmann Genau.

Lisa: Lisa Zertifizierung geholfen? Seid ihr da eher auf Augenhöhe mit den Unternehmen oder ist es für die einfacher, euch als Lieferanten zu kaufen oder eure Produkte zu implementieren?

Uwe Bergmann: Uwe Bergmann Ja, also es hat auf jeden Fall geholfen. sind zwei Erkenntnisse, zwei große Erkenntnisse sind bei uns rausgekommen. Also vielleicht nochmal zuvor das ich habe dann irgendwann mit den Kollegen zusammen die Entscheidung getroffen, wenn wir diese ISO-Zertifizierung machen, dann machen wir es richtig. Das heißt also keine halbe Geschichte, sondern wir machen das richtig einmal den Voll-Scope. Das heißt, das gesamte Unternehmen ist bei uns ISO zertifiziert.

Lisa: Lisa Mmh, ja.

Uwe Bergmann: Uwe Bergmann dass der eine Punkt und der andere Punkt ist, wir wollen das so einführen, dass wir es auch wirklich leben können, dass die Prozesse auch wirklich eingehalten werden können, dass es eben nicht wie man das auch von anderen Zertifikaten dann teilweise gehört hat, nur ein Papiertiger, der alle halbe Jahre rausgeholt wird und dann werden schnell Nachweise gesammelt. Wir wollen das richtig leben, wir tun das auch. So, Erkenntnisse. Welche habe ich rausgezogen? Erste Erkenntnis war... Bei allen Dienstleistungen, die wir draußen erbringen, die wir Kunden gegenüber erbringen, waren wir im Bereich Sicherheit schon relativ gut. Also wir haben festgestellt, da machen wir vieles richtig oder haben vieles richtig gemacht. Gut, meine, wenn man 30 Jahre am Markt ist, dann macht man auch wahrscheinlich nicht so viel falsch. Und trotzdem haben wir vorausgefunden, dass es hier und da noch Verbesserungen gab. Wo wir tatsächlich eine offene Flanke hatten.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Uwe Bergmann: Uwe Bergmann Das war unser Büro, das ganze Büro-Netzwerk. Das war tatsächlich, ja, da haben wir einiges nachgebessert im Bereich Sicherheit, da sicherzustellen, dass da auch nichts passieren kann. Also ich glaube, das wird auch vielen Unternehmen so gehen, die sich mit dem Thema Krite, sondern die zwei beschäftigen in ihren ursächlichen Produktionsbereich. Da ist schon recht viel da. Das können die schon. Was die nicht haben, ist, sie haben es nicht aufgeschrieben.

Lisa: Lisa Mhm.

Lisa: Lisa Mmh, mmh, ja, ja.

Uwe Bergmann: Uwe Bergmann und sie haben keine Dokumentation dazu. Das ist ganz oft zu beobachten. Das war bei uns auch so. Das heißt, die Dokumentation war ein wichtiger Punkt und auch der Erkenntnisprozess, dass wir vieles intrinsisch richtig machen und gleichzeitig aber doch noch Dinge verbessern konnten. Das waren eigentlich die beiden großen Erkenntnisse, die wir dabei hatten.

Lisa: Lisa Hmm.

Lisa: Lisa Mhm.

Lisa: Lisa Spannend, weil ich glaube, tatsächlich, und das ist ja auch so eine Geschichte, wie du das auch angesprochen hast, da ist es wichtig, keine halben Sachen zu machen und die Dinge auch zu leben und auch diese Zertifizierung zu leben und zu sagen, ja, wir wollen als Unternehmen von A bis Z sicher sein und eben auch ISO zertifiziert sein aus Gründen. Und jetzt ist es natürlich auch so, dass dieses Informationssicherheitsmanagementsystem ja wirklich, und das hast du eben auch angesprochen, viel auch mit Dokumentation und bestimmten Prozessen einhergeht. Ist es denn, und da glaube ich liegt auch so ein bisschen der Hase, oder wie sagt man schön, da liegt der Hase im Pfeffer, weil es muss ja für die Unternehmen, die das einsetzen und die sich zertifizieren lassen, eine gute Balance geben. Und du hast es ja auch angesprochen, ihr habt drei Dienstleister gebraucht, bis es dann bis ihr jetzt final mit einem zusammenarbeiten konntet, der eben Kosten nutzen auf Augenhöhe und entsprechend die richtigen Maßnahmen zur richtigen Zeit auch irgendwie umsetzt. Weil das ist ja auch was, an der einen oder anderen Stelle gibt es ja auch vielleicht zu viel Dokumentation und zu viele Prozesse. Weil am Ende des Tages muss das Geschäft ja auch laufen. ich denke mir immer so, wenn du, ihr seid auch

Uwe Bergmann: Uwe Bergmann Exakt.

Lisa: Lisa seit 30 Jahren am Markt und seit 30 Jahren haben sich ja bestimmte Arbeitsstrukturen in NetThings eingeschlichen. Das ist gerade, wenn man so in so bestimmten Bereichen ist, dann dann fühlen die Mitarbeitenden, die lange dabei sind, die fühlen sich ja auch wohl in ihrer Komfortzone. machen die bestimmten, die haben bestimmte Abläufe, wie sie an bestimmte Probleme, Herausforderungen herangehen, etc. Und ich glaube, wenn dann sozusagen so eine Zertifizierung und so ein Informationssicherheitsmanagementsystem das Ganze nochmal, ich will jetzt nicht sagen, von Kopf auf nochmal neu aufrollt und eben die Dinge auch handfester, greifbarer, dokumentierter macht. Ja, euer Unternehmen hat diese Reise quasi durchlaufen und du hast ja schon von den wichtigsten Erkenntnissen gesprochen. Gibt es denn deiner Meinung nach tatsächlich irgendwo an der einen oder anderen Stelle so ein Zu-Viel an Dokumentation oder an prozessualen Dingen, wo du sagst, das setzt dich in der Realität gar nicht so wie es da auf dem Papier steht.

Uwe Bergmann: Uwe Bergmann Das ist in Teilen passiert. Wir haben tatsächlich einiges an Dokumenten, wo man zu viel geschrieben hat oder wo wir zu viel Dinge gemacht haben. kam dann bei den Überwachungsaudits teilweise mit raus, wo dann halt der Auditor gefragt wird, ihr habt da geschrieben, ihr macht da bestimmte Regelungen so und so, zeigt doch mal. Und dann hat sich rausgestellt, wir leben es tatsächlich ein bisschen anders. Das ist nicht schlimm. Nur wenn man es aufschreibt in seinen Richtlinien oder Prozessen, muss man es auch so machen. Ansonsten kriegt man die Zertifizierung halt nicht. Man kann aber auch die Richtlinie ändern. Das heißt, man kann die Richtlinie auch so anpassen, dass es mit dem Unternehmen gut zusammenpasst. Das heißt nicht, dass man sich strikt an das halten muss, was man tut. Wie haben wir angefangen? Ich habe mir damals einfach einen Dokumentensatz besorgt und habe abgeschrieben.

Lisa: Lisa Hm.

Uwe Bergmann: Uwe Bergmann Das heißt, ich habe geguckt, was steht denn in diesen Richtlinien alles drin, was haben andere schon gemacht und habe dann halt es nachgeschrieben. Teilweise mit den Kollegen zusammen haben wir das dann einfach gemacht und haben dann halt erst sehr spät durch den Prozess haltig gelernt, dass vieles von dem, was andere Unternehmen erfunden hat oder was in diesen Dokumenten halt teilweise steht, eben bei uns nicht umgesetzt werden kann oder nicht umsetzbar ist. Und das muss man herausfinden. Man muss genau gucken, was geht, was geht nicht.

Lisa: Lisa Mmh, mmh.

Uwe Bergmann: Uwe Bergmann Lieferantenmanagement ist ein Beispiel. Wir haben 800 gelistete Lieferanten bei uns. Ich kann nicht jeden auditieren. Das geht nicht. Aber ich kann untersuchen, wer von denen halt wirklich für unser Unternehmen eine gewisse Kritikalität hat im Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. Und mit denen muss ich gucken und muss reden und muss dann halt Entscheidungen treffen. Reicht mir das, wenn die mir die ISO-Zertifizierung vorlegen? Oder reicht mir das eben nicht? Und da kam es dann halt raus, dass bei diesen 800, wir festgestellt haben, dass nur rund 200 tatsächlich eine regelmäßige Beziehung mit uns haben, wo wir regelmäßig Dinge einkaufen. Die anderen, der Bäcker mit dabei, der wo man Brötchen kauft. Das heißt, ich kann das Reduzieren und kann das eindampfen und kann damit den Aufwand im Lieferantenmanagement deutlich reduzieren. Und können wir auch die Prozesse so bauen, dass die quasi mitlaufen. Das heißt, wenn jemand ein Angebot schreiben oder eine Bestellung auslösen möchte und der Lieferant hat kein Häkchen gesetzt, dann muss man das halt mal kurz machen. Dann muss man halt mit seinem ISB mal reden und fragen... Wie schätzen wir das dann gemeinsam ein? Und dann kriegt das ein ganz anderes Moment und kann dann so quasi nebenbei mitlaufen. Dann kriegt er halt den Geheimhaltungsdokument von der Orga geschickt und eine Woche später ist er zurück und alles ist gut. Das muss ja auch nicht alles sofort passieren. Das ist eigentlich der Punkt. Wie kriegt man halt diese ganzen Regularien, diese ganzen Punkte, die die ISO tatsächlich fordert oder die Kritis und NIS 2 fordern, zu uns Unternehmen eingebunden?

Lisa: Lisa Mhm.

Uwe Bergmann: Uwe Bergmann dass es meinen normalen Ablauf möglichst wenig stört, ich aber die Regularien einhalte.

Lisa: Lisa Ja, weil am Ende des Tages wollen wir ja alle was arbeiten. Und die Unternehmen, für die wir Dienstleistungen oder Services erbringen, die wollen ja auch am Ende des Tages nur ihre Arbeit verrichten. Und ich glaube, das ist und das ist natürlich auch eine spannende Diskussion, weil das ist ja ein sehr, schmaler Grad. Auf der einen Seite haben wir natürlich diese

Uwe Bergmann: Uwe Bergmann Naja.

Uwe Bergmann: Uwe Bergmann Ja.

Lisa: Lisa unfassbar herausfordernde aktuelle Situation im Cyberraum. Das wird ja nicht weniger, sind wir ehrlich. wenn man sich die Zahlen anguckt, es wird nicht weniger. Also das zeigen unsere eigenen Zahlen, das zeigen die Zahlen von den Wettbewerbern, das zeigen die großen Reports von den großen US-amerikanischen Unternehmen, die in dem Bereich unterwegs sind. Jetzt haben wir natürlich auch eine

Uwe Bergmann: Uwe Bergmann Richtig, das ist so.

Lisa: Lisa will ich jetzt nicht sagen, sehr wackelige sicherheitspolitische Insgesamt-Gemengelage in der Welt. also und gerade was so Cyber-Sicherheit angeht, habe ich erst heute Morgen gelesen, Trump quasi alle Institutionen in den USA, die sich mit der Cyber-Abwehr aus Russland beschäftigt haben oder aus Angriffen aus Russland, die hat er ja quasi einfach freigestellt. Der hat die Institutionen aufgelöst. Da kümmert sich keiner mehr drum. Zumindest las sich das aus dem Artikel so raus und auch die Privatwirtschaft und die Wissenschaftler und die Forschung, die halten sich in den USA gerade sehr, sehr zurück, was diese Themen angeht. da denke ich mir so, okay, wenn gerade einer der größten auch staatlich gesponsorten Akteure, also da gibt es genügend

Uwe Bergmann: Uwe Bergmann Ach krass.

Lisa: Lisa in Mediatheken genügend Dokumentationen, die man sich diesbezüglich anschauen kann, egal ob das die russischen Beeren, die chinesischen Pandas oder die Nordkoreaner sind, die irgendwie mit ihren krypto-räuberischen sozusagen Crypto-Coins ihre Programme finanzieren. Also das ist ja jetzt nichts, was von Hand zu weisen ist. Und es wird ja nicht weniger werden, politisch. instabiler oder die Gemengelage ist einfach eine andere wie noch vor fünf Jahren oder zehn Jahren. das, glaube ich, ist gerade auch für den Mittelstand eine große Herausforderung, weil du hast ja gerade gesagt, es ist eben wichtig, dass diese Zertifizierung nicht dazu führen, dass nicht mehr gearbeitet werden kann, sondern dass im Grunde alle Prozesse und Dinge und Dienstleistungen weiterhin erbracht werden können, obwohl es eine Zertifizierung gibt. Also es muss ja ein Miteinander geben in diesen beiden Bereichen und dennoch steht ja sozusagen die Sicherheit da auch an erster Stelle. Du hast eben auch den Rahmen von Kritis und NISZ 2 angesprochen. Gibt es da irgendetwas so aus deiner Perspektive, wo du sagst, das ist uns im Laufe der letzten Zeit aufgefallen, das wird immer wichtiger? Oder meinst du, es gibt bestimmte Dinge, sei es jetzt Lieferkettenangriffe oder Ransomware, DDoS-Angriffe, etc. Pb. Gibt es da was aus deiner Perspektive, was für dich mehr in das Bewusstsein rücken sollte, als es eh schon da ist? Oder wie können da auch, oder wie geht ihr damit, wenn ihr mit euren Kunden sprecht? Haben die da ein Bewusstsein für? Das sind ja nicht alles IT-Sicherheitsspezialisten, mit denen ihr sprecht. Also ich kann mir nicht vorstellen, dass die durchschnittlichen hessischen Kreiskrankenhäuser irgendwie einen IT-Sicherheitsspezialisten im Haus haben.

Uwe Bergmann: Uwe Bergmann Da sind wir eigentlich gleich wieder beim richtigen Thema, nämlich Sicherheit kostet Geld. das, über die Jahre an Erkenntnis gewachsen ist, dass man zum Beispiel, wenn man den Internet Access irgendwo betreibt, dann habe ich da eine Firewall. Also die baue ich mir da auf und die wird von irgendjemandem, der sich damit auskennt, gepflegt. Das ist klar, das weiß jeder. Aber mit anderen Sicherheitsmechanismen, es zusätzlich noch gibt, die man mittlerweile auch gebraucht.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Ja klar.

Uwe Bergmann: Uwe Bergmann Da ist es dann halt schwieriger und da ist dann wieder dieses Thema ein, wo eben NIS II und KRITIS ist und auch die ISO versuchen anzusetzen, dass man sagt, okay, ich brauche eine strukturierte Risikoanalyse. Ich muss gucken, welche Bedrohungen habe ich. Sind die für mich relevant? Also für uns hier in Fulda ist jetzt das Thema Hochwasser nicht so relevant. Wir sind in einer bergigen Gegend, das heißt bis zu uns kommt das Wasser nicht.

Lisa: Lisa Hmm.

Lisa: Lisa Hmm.

Uwe Bergmann: Uwe Bergmann Aber ein Brand kann zum Beispiel passieren. ist auch so ein Risiko. Und dann stellt man sich die Frage, wie kann man sich dagegen schützen? Und genauso ist es bei diesen Cybergeschichten. Dass man nicht will, dass jemand ungefragt in sein Netzwerk eintritt, das hier Firewall, das hat jeder verstanden. Und dieses Budget für diese Firewall und auch das Management der Firewalls...

Lisa: Lisa Ja, klar.

Uwe Bergmann: Uwe Bergmann Das stellt jedes Unternehmen bereit. Aber zusätzliche Maßnahmen, eben auch der Sicherheit dienen, wie zum Beispiel DDoS-Schutz oder Intrusion Detection, irgendwelche Anomalie-Erkennung und solche Geschichten, die es ja auch noch mal gibt. Oder dass man eben dafür sorgt, dass auch im Haus ein vernünftiges Backup-Konzept da ist, das auch wirklich trägt, was man wirklich überprüft, wo man wirklich guckt.

Lisa: Lisa Mhm. Mhm. Mhm.

Lisa: Lisa Mhm.

Uwe Bergmann: Uwe Bergmann für den Fall, dass irgendeine Ransomware angreift, habe ich irgendwo noch Bänder im Schrank liegen, mit denen ich was anfangen kann, wo ich meine Maschine wieder aufsetzen kann. Das sind so die Punkte, die im Rahmen von Kritis und NIST 2 mit abgefragt werden, die dann in dieses ganze Thema mit reingehören und wo man natürlich da genau hingucken muss. Ich denke...

Lisa: Lisa Mhm.

Uwe Bergmann: Uwe Bergmann Man muss sich vielleicht auch noch mal überlegen, die Unterschiede zwischen NIST 2 und Kritis und dem Thema ISO. Vielleicht dass man sich das auch noch mal vor Augen führt. ISO ist freiwillig und es gibt keine Sanktionen, wenn ich mich nicht daran halte, außer ich fürrege das Zertifikat. Kritis ist Pflicht. Wenn ich in die Kritis-Kriterien falle, muss ich das machen.

Lisa: Lisa Mmh.

Uwe Bergmann: Uwe Bergmann Und es gibt eine Meldepflicht. Das heißt, wenn ich von irgendeinem Vorfall betroffen bin, ob das jetzt ein Cyberangriff ist oder bei mir brennt die Hütte oder irgendwas anderes passiert, dann muss ich das den Behörden melden. Wenn ich das nicht mache, gibt es gleich Strafen. Und wenn ich dann auditiert werde und die BSI zum Beispiel guckt sich unser Unternehmen an und stellt fest, ihr haltet die Regeln nicht so richtig ein, ihr habt da nichts, dann kann es auch Strafen geben.

Lisa: Lisa Hmm.

Lisa: Lisa Ja, schwierig.

Uwe Bergmann: Uwe Bergmann denke natürlich, im Moment sind die Behörden erst einmal damit beschäftigt, sich selber zu finden. Das Gesetz ist ja noch nicht mal so richtig durch die Türe bei uns, aber das kommt.

Lisa: Lisa Nee, es dauert noch. Das NIS-2-Umsetzungsgesetz kommt, aber es dauert noch.

Uwe Bergmann: Uwe Bergmann Genau. Und dann müssen sich die Behörden auch erstmal finden. Und dann werden sie wahrscheinlich sowieso erstmal sich den Großen widmen und da gucken, es dann geht. Aber im Prinzip ist das eine Form der Daseinsvorsorge. Also KRITIS und NIS2 ist eine Form der Daseinsvorsorge, die darauf abzielt, dass gesellschaftskritische Services und Dienstleistungen unbedingt funktionieren.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Ja.

Uwe Bergmann: Uwe Bergmann Strom wäre doof, wenn das länger als einen Tag ausfällt, will man nicht. Wenn kein Wasser aus dem Wasserhahn kommt, ist das auch nur ein paar Minuten oder Stunden erträglich. Wenn der Müll nicht abgeholt wird, das ist auch nicht so schön. Und wenn ich an den Bankautomaten gehe und kommt nichts raus...

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Ja, ist, deswegen es ja, haben diese Unternehmen und diese Dinge, deswegen gehören die ja zur kritischen Infrastruktur, weil sie tatsächlich einfach für unsere Gesellschaft einen derart großen Wert haben, auch wenn es auf den ersten Blick vielleicht gar nicht so aussieht oder auch wir, weil es so alltäglich ist, dass die Dinge funktionieren, haben wir uns ja auch schon super daran gewöhnt, dass eben das Wasser aus dem Wasserhahn kommt, der Müll regelmäßig abgeholt wird. es gibt ja auch immer wieder Beispiele, sei es jetzt durch Streiks oder durch Unglücke etc., wo klar wird, das ist nicht so selbstverständlich, wie wir uns das immer vorstellen. Und das ist auch etwas, was besonders schützenswert ist, weil es eben nicht nur mich persönlich, sondern eben auch wirklich große Teile der Bevölkerung betreffen, wenn nicht sogar alle Menschen, die in irgendeiner

Uwe Bergmann: Uwe Bergmann Das ist es.

Lisa: Lisa Art und Weise hier in Städten, Gemeinden, Kommunen etc. pp. leben und nicht irgendwie eremitisch mit einem Zelt im Wald leben und sich selbst versorgen mit allem, was man da so braucht. Und das finde ich tatsächlich auch so ein bisschen spannend zu sehen, welche Unternehmen sich wie darauf vorbereiten. Und vor allen Dingen ist es für mich persönlich so ein Thema. Ich sage mir, die Unternehmen sollten doch

Uwe Bergmann: Uwe Bergmann Gute Nacht.

Uwe Bergmann: Uwe Bergmann Ja.

Lisa: Lisa ein eigenes Interesse haben, dass ihre Geschäfte weiterlaufen, dass sie eben nicht, wenn es zu einem Vorfall jeglicher Art kommt, dass sie eben nicht drei Wochen nicht in der Lage sind, ihre Dienstleistungen weiterhin zu betreiben etc., pp. Also das muss doch eigentlich ein ureigenes unternehmerisches Interesse sein, dass die Dinge weiterlaufen können, auch wenn es im schlimmsten Fall zu irgendeinem Vorfall gekommen ist. Die NIS2 geht da ja sogar noch einen Schritt weiter, ich glaube auch tatsächlich, dass sich mittlerweile auch ohne dieses Gesetz die Heftführerhaftung schon verschärft. Also ich war jetzt kürzlich auf einer Konferenz, da hat ein Anwalt davon berichtet, dass er in mehreren Insolvenzverfahren zugegen ist, wo tatsächlich der Insolvenzverwalter festgestellt hat, dass gerade im Hinblick auf IT-Sicherheit die Geschäftsführung hätte besser Bescheid wissen müssen. Und jetzt geht es in allen Verfahren, die dieser Anwalt begleitet, darum zu schauen, wie können wir Vergleiche mit den Geschäftsführern vorantreiben. Das ist ja nichts, woran Geschäftsführer interessiert sein sollte, weil am Ende geht es ja tatsächlich auch eine persönliche Haftung und unabhängig davon, dass vielleicht ein Unternehmen verschwindet, was eines der Wirbelkörper des Rückgrats der deutschen Wirtschaft ist, nämlich der viel gelobte Mittelstand. Das ist ja nicht so ohne, da eben sozusagen ein Unternehmen wegfällt. Du hast gesagt, ihr habt 800 Lieferanten und sei es der Bäcker, der euch irgendwie mittags mit einer Stulle versorgt. Ja, da musst du dir mal überlegen, wenn ihr jetzt irgendwie ausfallen würdet oder von der Bildfläche verschwinden würdet, hätten hier 800 Unternehmen ein Unternehmen weniger an, dass sie ihre Dienstleistungen liefern. Also das sind ja auch sozusagen Dominoeffekte, die sich da auswirken können. Das will doch...

Lisa: Lisa eigentlich im Grunde kein Unternehmensführer.

Uwe Bergmann: Uwe Bergmann Das ist halt genau der Punkt. Da sind wir wieder bei diesem schmalen Grad zwischen was ist denn gut, was dient der Sache und was ist dann das zu viel.

Lisa: Lisa Hmm?

Lisa: Lisa Ja genau.

Uwe Bergmann: Uwe Bergmann Es kommt immer darauf an, wie man es macht. vielleicht auch noch mal diese Geschichte. Wir hatten uns ja im Vorfeld auch mal darüber verständigt, noch mal so zu gucken, was würde ich denn anders machen, wenn ich es noch mal machen will. Also den Ratschlag, den ich an der Stelle geben würde, sucht euch Unternehmen eure Größe, die in irgendeiner Form dieses Thema ISO-Zertifizierung oder KRITIS schon durchlaufen haben.

Lisa: Lisa Mmh.

Lisa: Lisa Das wäre jetzt meine letzte Frage gewesen.

Uwe Bergmann: Uwe Bergmann packt eine Flasche Wein ein, Schachtel Kaffee, setzt euch mit den Leuten an den Tisch, redet mit denen, wie die das gemacht haben, was die für Schwierigkeiten gehabt haben. Das kommt auch wirklich auf die Unternehmensgröße und möglicherweise auch gleiche Branchen an und versucht gemeinsam rauszuarbeiten, was man anders machen kann. Wie gesagt, bei uns war es dann doch ein recht teurer Prozess gewesen, rauszufinden, was man machen kann, was man machen darf, was man nicht machen sollte. Am Ende hat es auf jeden Fall geholfen. der Nutzen ist da. Man hätte es effizienter gestalten können. Und dann der zweite Rat ist, macht es gern, weil machen müsst ihr es eh. Und das heißt, da muss man einfach nochmal schauen. Ich glaube Praktiker sind das A und O.

Lisa: Lisa Mmh.

Uwe Bergmann: Uwe Bergmann Berater sind toll, sind super, die wissen genau wie es geht. Aber jemanden, der es wirklich gemacht hat, der selber Geschäftsführer ist und da Dinge getan hat, einfach mit denen mal reden. Ich glaube, die meisten sind sowieso auch bereit da, entsprechend zu unterstützen und Hilfe zu geben. Weil, wie gesagt, ansonsten weiß man gar nicht, wo man anfangen soll. Das ist tatsächlich ein ganz schön, ziemlich großes Thema. keine, genau, und das andere Ding ist keine Angst.

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Ja, glaube, kann einen erschlagen, ein bisschen.

Uwe Bergmann: Uwe Bergmann Es klingt erstmal viel, aber wenn man angefangen hat, hat man schon einen wichtigsten Schritt gemacht. Dann kann keiner mehr sagen, das Unternehmen hat, das nicht auf der Agenda gehabt, sondern da ist der Schritt gemacht. Wir haben entschlossen, wir kümmern uns das Thema, wir haben da entsprechende Dokumente aufgesetzt, haben Ressourcen bereitgestellt. Da ist schon viel gewonnen. In der Zeit, als das Thema DSGVO immer stärker war und wir uns dann halt auch einen externen Datenschutzbeauftragten geholt haben, habe ich dann auch gefragt, ja Mensch, wie soll ich denn mit diesen ganzen Gesetzen umgehen? Das kann ich da alles gar nicht einhalten, das schaffe ich doch nie. Dann hat er ja gesagt, ja, wenn du gar nichts machst, dann bist du verratzt. Wenn dann irgendwas passiert und du kannst nicht nachweisen, dass du gewisse Regeln eingehalten hast, dann hast du ein richtiges Thema. Wenn du aber versuchst, bestem Wissen und Gewissen das einzuhalten, Löschregelungen einzuhalten, Datenschutz und so weiter ernst zu nehmen und dann passiert irgendwas.

Lisa: Lisa Mmh.

Uwe Bergmann: Uwe Bergmann und du kannst zeigen, du hast dich im Grunde drum gekümmert, aber hier ist aus Versehen dann doch mal was runtergefallen, das passiert, wenn man arbeitet. Ja, dann ist es nicht mehr ganz so schlimm. Und genauso ist es, glaube ich, bei diesen KRITIS und NIS-2-Sachen auch. Es ist eine Handreichung, eine Hilfe, sein Unternehmen noch mal unter anderem Blickwinkel zu betrachten, unter dem Blickwinkel Cyber-Bedrohung. Es sind ja quasi kriegerische Handlungen, einfach noch mal zu schauen, was heißt das denn für mich? Bin ich davon auch betroffen? Was bedeutet das, wenn für mich?

Lisa: Lisa Hmm...

Uwe Bergmann: Uwe Bergmann das Netzwerk nicht mehr funktioniert. Kann ich da noch weiterarbeiten? Kann ich meine Dienstleistung noch erbringen oder bin ich wirklich abhängig davon? Dann muss ich da was tun. Oder mit meinen Servern.

Lisa: Lisa Ja, ja.

Lisa: Lisa Ja, oder auch in Kosten, also auch in Kostenfaktor umwandeln. ich habe, wie gesagt, kürzlich auch mit einer Frau gesprochen, die hat gearbeitet bei einer Wertpapierbank, also die machen Wertpapierhandel und die waren auch von einem Cyber-Vorfall betroffen und es war eben so, da konnten 2000 Leute einen Tag nicht arbeiten.

Uwe Bergmann: Uwe Bergmann Wobei das ist immer mal so ein Ding. Ein Unternehmer hat mir mal gesagt, wer nicht wirklich 24-7 im Schichtbetrieb arbeitet, findet meistens auch die Zeit, Schaden wieder aufzuholen. Aber natürlich, es ist ärgerlich. Man hat Zusatzaufwand, man muss koordinieren, muss Dinge tun und das muss man auch bewerten. Bis hin zu, wenn ich wirklich 24-7 Betrieb habe und ein Onlineshop ist beste Beispiel, der Kunde, der heute Mittag nicht kaufen kann.

Lisa: Lisa Hmm.

Uwe Bergmann: Uwe Bergmann da kommt nicht wieder, weil der geht nämlich zum anderen. Das heißt der Umsatz ist weg, den kann ich nicht wiederholen. Oder keine Ahnung, wenn mein Möbelhaus als Kunden keine Kassen geöffnet hat, weil da ein Angriff war, der Kunde geht raus aus dem Laden, geht zum nächsten, kauft seine Möbel dort. Der ist weg. Das ist so. Bei vielen anderen Sachen kann man es vielleicht auch wiederholen, aber es gibt tatsächlich genügend Beispiele, wo man einfach sagen muss, da ist der Schaden da und dann ist es blöd.

Lisa: Lisa Ja, exakt.

Lisa: Lisa Uwe, vielen, vielen Dank. Also, wir haben heute darüber gesprochen, wie gesagt, wie sich so eine ISO 27001-Zertifizierung auswirkt, was man alles berücksichtigen muss, woran man alles denken muss. Du hast wertvolle Tipps gegeben, also fangt an, macht's gerne und sozusagen, es macht euch am Ende des Tages sicherer und attraktiver für Unternehmen, die unter die KRITIS-Verordnung oder die NIS2-Verordnung fallen. Vielen, Dank für deine Zeit. Ja, an der Stelle bleibt mir wie immer nur zu sagen, wenn euch die Folge gefallen hat, lasst gerne ein Like da, abonniert den Podcast und empfehlt ihn gerne weiter. Wie immer sage ich euch, keep calm and get protected. Bis zum nächsten Mal. Macht's gut. Ciao.