Cyber-Sicherheit: Wie man in Zeiten von KI und IoT die "Human Firewall" baut – mit Florian Jörgens

00:00:00: Ja, das Thema Cyberkriminalität wird immer, immer wichtiger.

00:00:03: Inzwischen hat auch der, ich weiß nicht, ob man davon Umsatz sprechen kann oder gewinnt, wobei wahrscheinlich das im kriminellen Bereich einen Umsatz sowieso nicht gewinnt, inzwischen den weltweiten Drogenhandel abgelöst, was auch wiederum irgendwie nachvollziehbar ist.

00:00:14: Weil bei einem organisierten Drogenhandel, ich habe eine Produktion, ich habe eine Logistik, ich habe einen Vertrieb.

00:00:19: Bei Cyberkriminalität habe ich ein Latte-Markiato und ein Notebook.

00:00:31: Herzlich willkommen zu Digitale Vorreiterinnen deinem Podcast zur Digitalisierung von Wodafone Business.

00:00:36: Ich bin Christoph Bursack und ja, full Disclosure, privat back ich mit einem Thermomix, dem TM-Sex, der ist glaube ich schon so zwei Jahre alt und ich kann den Hype um das Gerät verstehen.

00:00:48: Denn letztes Jahr habe ich ihn sogar mit in den Urlaub genommen, da sind wir mit dem Auto gefahren und dann haben wir gedacht, macht eigentlich Sinn, weil wir irgendwie auch so Kinderessen machen wollten und das klappt ja dann immer ganz gut.

00:01:00: Was viele niemals denken würden, wenn sie mich sehen, denn ich esse sehr gern.

00:01:03: Und mein Gast heute arbeitet bei Vorwerk.

00:01:06: Florian Jorgens ist der CISO, er sagt das bitte nicht so, sagt bitte CISO, der CISO, der Chief Information Security Officer bei der Vorwerkgruppe.

00:01:15: Ich finde es spannend mit Florian darüber zu reden, wie man einen Edelstahlmesser mit über Zehntausend Umdrehungen pro Minute und Internetanschluss irgendwie sicher bekommt.

00:01:24: wie Führungen in Zeiten von AI und IoT funktioniert und welche Strategien Florian anwendet, um echte Talente zu finden und zu binden.

00:01:32: Aber jetzt lehnt euch zurück, beißt in euer Knoblauch-Faltenbrot, kleiner Thermomix Insider.

00:01:37: Viel Spaß beim Gespräch, herzlich willkommen Florian Jorgens von Vorwerk.

00:01:41: Ja, vielen Dank für die Einladung.

00:01:43: Knoblauch-Faltenbrot, das kenn' selbst ich nicht.

00:01:45: Wie bitte?

00:01:46: Say what?

00:01:47: Ich glaube, das Knoblauch-Faltenbrot ist das erste Rezept, was man backt, sobald man Thermomix gebaut hat.

00:01:52: Okay.

00:01:53: Zumindest war das bei uns so.

00:01:54: Und man kauft ja den Thermomix über eine Vertretung oder bei uns war es eine Vertreterin.

00:02:00: Und die hat uns dann gesagt, das erste, was wir zusammen machen, ist das Knoblauch-Faltenbrot.

00:02:04: Der Klassiker ist eigentlich der Dattel Curry Dip.

00:02:06: Echt?

00:02:07: Den haben wir nicht gemacht.

00:02:08: Dann musst du das mal nachholen.

00:02:09: Wahrscheinlich

00:02:09: gibt es so, wenn man in Deutschland auf eine Karte guckt, gibt es irgendwo so einen Schnitt und alle darüber machen das Faltenbrot und alle darunter machen den Corelip.

00:02:15: Ja, aber jetzt Pfand fickt am Rande.

00:02:16: Was würdest du sagen?

00:02:17: Ist das ein Nummer eins Rezept?

00:02:20: Also, um das mal kurz so statistisch darzustellen, sagen wir mal das Rezept im Vergleich zu dem restlichen Hunderttausend bedienen.

00:02:27: Fünfundneinzig Prozent aller Rezepte und die restlichen Hunderttausend verteilen sich da dann auch fünf Prozent.

00:02:32: Was ist das?

00:02:32: Dein Ernst?

00:02:33: Ja, ist man voller Ernst.

00:02:34: Ich konnte es auch nicht glauben.

00:02:35: Es ist tatsächlich am Ende des Tages trivialer, als man denkt.

00:02:38: Also

00:02:38: wir machen natürlich immer die Tomaten so damit.

00:02:40: Ja, geht in die gute Richtung.

00:02:42: Eierkochen.

00:02:43: Noch nie gemacht.

00:02:44: Eierkochen ist mit großem Abstand das meist genutzte Rezept.

00:02:49: Ich habe es tatsächlich auch noch nie benutzt, aber man sagt, da kriegt man die perfekten drei, fünf, sieben Minuten Eier hin.

00:02:54: Aber ah, im Garg.

00:02:57: Topf oder in diesem Garensatz?

00:02:58: Genau.

00:02:58: Ah, okay.

00:02:59: Weil ich wollte grad sagen, weil es dreht sich ja immer das Messer.

00:03:01: Dann wär's Rührei mit Schale, aber...

00:03:03: Ja.

00:03:04: Und das kann ich auch ohne Thermomix ganz gut.

00:03:05: Das

00:03:05: kann man auch so machen, ja.

00:03:07: Ah, okay.

00:03:08: Aber also, du hast jetzt gesagt, aber das ist wahrscheinlich übertrieben, oder?

00:03:12: Nein, nein.

00:03:13: Ich hab tatsächlich eine grafische Darstellung gesehen.

00:03:15: Ich konnte das nicht glauben.

00:03:16: Ich glaube, es wird nie ein Rezept geben, welches öfter genutzt werden wird als Eierkochen.

00:03:21: Ich weiß nur, wie mache ich das perfekte Ei.

00:03:25: bei vielen meiner Beratungskunden, die Content im Internet machen, immer so ein Artikel ist, wo sozusagen dieses Artikel kriegt hunderttausende Aufrufe.

00:03:34: Dann machen sie mal ein Artikel, wo sie eine Woche lang rum recherchieren, tolle Fotos machen zu irgendwelchen anderen Themen und die kriegen dann um die dreitausende Aufrufe im Monat, wo man auch satzig kann das sein.

00:03:42: Und ich habe sogar mal eine Zeit lang YouTube-Videos gemacht, wo ich einfach gesagt habe, perfektes Ei machen und dann war es einfach so ein fünf Minuten Countdown und der hat auch zigtausende Aufrufe bekommen.

00:03:51: Insofern scheint das ein großes Bedürfnis zu sein.

00:03:54: Spannend.

00:03:54: Toll.

00:03:55: Toller Einstieg, vielen Dank.

00:03:57: Du bist, und das merkt man jetzt auch, also du bist der CISO, das heißt, du kümmerst dich um Security, aber du bist auch oder warst offizieller Advisor und Teil der Thermomix-Vertriebsmannschaft.

00:04:09: Wie kamst du dieser spannenden Doppelspitze?

00:04:13: Ja, also tatsächlich ist es so, Informationssicherheit ist ja eine Governance-Funktion, das heißt wir sorgen vor allem im Hintergrund dafür, dass unsere Daten geschützt sind durch Regeln, Policies, Schulungen der Mitarbeitenden etc.

00:04:28: Und ich habe festgestellt, dass es vielen CISOs, glaube ich, daran fehlt, dass sie einfach zu weit vom ordinären Business tatsächlich weg sind, also dass sie vielleicht neben Elfen, beiden Turmen Regeln erlassen, die aber am Ende des Tages gar nicht von den operativen Abteilungen umgesetzt werden können.

00:04:44: Und deswegen bin ich.

00:04:45: Zu dem Entschluss gekommen, ich muss näher ans Business ran.

00:04:48: und wie macht man das bei Vorwerk?

00:04:49: Man geht quasi auf die Fläche und fängt an die eigenen Produkte zu vertreiben und das war sehr spannend.

00:04:54: Ich wollte da auch die gleiche Erfahrung machen wie alle anderen und habe mich dann ganz offiziell über die Vorwerk.de Webseite als Advisor registriert und wurde dann von einer Teamleiterin angesprochen, die auch gesagt hat, das ist auch das erste Mal, dass ich tatsächlich ein Vorwerkmitarbeiter bei mir im Team.

00:05:10: dann auffällten.

00:05:12: Es war ein sehr, sehr spannendes Erlebnis mit den anderen Advisern, dann die Schulummen für das Erlebniskochen mitnehmen zu können, festzustellen, wie vertreiben wir eigentlich konkret unsere Produkte, wie sie der Verkaufsprozess dahinter aus, wie die Beratung, wie ein Erlebniskochen.

00:05:26: Also es war wirklich praxisorientiertes Geschäft, ganz, ganz nah.

00:05:32: Sehr, sehr spannend.

00:05:33: Das letzte Mal, dass ich ein Vorwerkprodukt gekauft habe, ist wie gesagt irgendwie... Gut zwei Jahre her.

00:05:37: Damals konnte ich nicht einfach in den Laden gehen und mir so ein Thermomix kaufen.

00:05:40: Das geht immer noch nicht.

00:05:41: Ich muss das immer über einen Mitarbeitenden machen, der oder die mir das einmal vorstellt und erklärt.

00:05:46: Genau, das ist korrekt.

00:05:47: Also grundsätzlich gibt es die Möglichkeit, ein Produkt über die Website zu bestellen, aber auch das ist wiederum gekoppelt an den Kontakt zu einem Advisor, genauso wie die Möglichkeiten einen von unseren Shopfloors zu gehen bzw.

00:06:02: einen von unseren Geschäften.

00:06:03: Auch da kann man das Produkt nicht direkt mitnehmen, weil am Ende des Tages legen wir einen extrem großen Wert auf diesen persönlichen Kontakt und eben auch die Möglichkeit, einen konkreten Ansprechpartner zu haben, der einem das Produkt dann eben auch näher bringt und da auch nochmal die Begeisterung steigert.

00:06:19: Spannend.

00:06:19: Ich hatte ja in der Intro gesagt, um Zehntausend Umdrehungen pro Minute mit Internetanschluss ist die letztliche Absicherung des Produkts gegen Heckangriffe oder gegen Unsinn oder gegen Fehlfunktion.

00:06:32: gehört das auch mit in euren Bereich als Sieso oder ist das wo anders aufgehängt?

00:06:37: Ja und nein, wir haben nochmal ein dediziertes Team, was sich ausschließlich um die Sicherheit unserer Produkte kümmert, die auch nochmal einen ganz anderen Fokus da drauf legen.

00:06:48: Am Ende des Tages ist das so eine Mischung aus tatsächlich ordinärer Cyber Security, aber dann eben auch auf Hardware eben die tatsächliche Produkt-Sicherheit.

00:06:57: Und ja, du hattest es ja Anfangs schon erwähnt, ob man so ein Gerät sicher bekommt.

00:07:01: Es kommt die klassische CISO Antwort.

00:07:03: Es gibt keine hundertprozentige Sicherheit.

00:07:05: Es ist de facto nicht machbar.

00:07:07: Am Ende des Tages ist es immer ein risikoorientierter Ansatz.

00:07:11: Aber natürlich legen wir einen maximalen Fokus darauf, unsere Produkte so sicher wie möglich zu machen.

00:07:16: Gab es irgendwann schon mal so Episoden, in denen ihr gemerkt habt oder versucht jemand tatsächlich aus der Ferne irgendwie Zugriff auf die Rede zu bekommen?

00:07:26: Nein, ist mir nicht bekannt.

00:07:28: Und gibt es, manche Sachen sind auch irgendwie ganz gut, wenn sie als Hardware gelöst werden.

00:07:33: Also, dass man sagt, egal selbst, wenn da irgendjemand in das Gerät reinhäckt, solange nicht der Deckel drauf ist, geht das eh nicht los oder so was.

00:07:39: Also, das ist wahrscheinlich irgendwie auch ein sehr zentralen Sicherheitsfunktion.

00:07:43: Dass diese Deckeldingen drauf, und wenn ich keinen Deckel drauf habe, dann kann ich da mehr oder minder rein fassen.

00:07:48: Und das kann gar nicht angehen, oder so.

00:07:49: Genau.

00:07:50: Bei deinem Temmumix, also den Themen sechs, hast du ja noch links und rechts diese zwei Ärmchen, die quasi auf den Deckel greifen.

00:07:56: Das ist beim Themen sieben.

00:07:57: haben anders gelöst, der Schließmechanismus ist im Topf.

00:08:01: Das heißt, es gibt jetzt auch als neues Heiler die Möglichkeit, tatsächlich offen zu kochen, beispielsweise Spaghetti, die man dann wie einen normalen Kochtopf in den Thermomix reinstellt.

00:08:12: Daraufhin wird aber dann logischerweise das Messer unten in der Drehgeschwindigkeit limitiert, sodass da keine Gefahr besteht.

00:08:18: Als der Term sieben vorgestellt wurde, gab es ja diese Memes im Internet, deutsche Apple-Kinot oder sowas, also bei euch die Präsentationen auch so fast wie so eine Apple.

00:08:27: iPhone Keynote gemacht worden zum riesen Gebäude und alle haben sich gefreut und dann kam das aus dem Boden raus und so weiter.

00:08:34: Könnt ihr darüber lachen, wenn sich darüber lustig gemacht wird?

00:08:36: oder nervt euch das, weil ihr sagt, dass es schon alles relevanter und größer als viele Leute sich das vorstellen?

00:08:42: Ich

00:08:42: würde nicht sagen, dass man sich darüber lustig macht.

00:08:44: Also wenn man sagt, das ist eine deutsche Apple Keynote, ist das glaube ich eher eine Art von... Bewunderung und Lob am Ende des Tages.

00:08:52: Also ich muss sagen, ich war sehr beeindruckt davon.

00:08:54: Ich kannte es vorher auch nicht.

00:08:56: Also die Art und Weise der Vorstellung.

00:08:58: Ich muss sagen, da haben die Kollegen von der Marketingabteilung schon ein ordentliches Brett abgeliefert.

00:09:03: Witziger fand ich tatsächlich die Memes, die sich darauf angespielt haben, dass der aussieht wie eine Ohne.

00:09:08: Ah, das glaube ich nicht gesehen.

00:09:09: Ja, die

00:09:10: geisterten auch so rum.

00:09:11: Aber ich persönlich finde ihnen eine ganze Ecke schöner noch als den... Ich hab den Themen sechs in Schwarzhause und den Themen sieben.

00:09:21: Also wir können uns da gerne nach hinten nochmal drüber unterhalten,

00:09:23: seit

00:09:24: für ein Upgrade.

00:09:25: Aber ich kann den Alten nicht in Zahlung geben oder so.

00:09:28: Bei Apple, wenn ich dann ein neues Handy kaufe, kann ich das Alte noch eingeben.

00:09:31: Das wäre natürlich toll, dann würde ich es wahrscheinlich

00:09:33: geben.

00:09:33: Du hast mir gerade auch gesagt, dass du Kinder hast und so.

00:09:35: Wenn ihr würdet auch gerne innerhalb der Familie

00:09:37: weiter vererbt.

00:09:40: Sören wir relativ häufig, sobald die Kinder dann aus dem Haus sind Richtung Ausbildung, Studium und so wird meistens direkt der Thermomix eingepackt, weil am Ende des Tages ja eine vollständige Küche ersetzt und das ist ja natürlich gerade in einer ersten, wahrscheinlich kleineren Wohnung sehr, sehr praktisch.

00:09:54: Ich werde mal meinen dreijährigen fragen, ob er sich da schon zutraut, das Ding zu bedienen.

00:09:59: Du hast da diese, genau, du hast gesagt... Du möchtest das irgendwie alles verstehen und erleben und hast deswegen diese Adviseausbildung gemacht, hilft dir diese extreme Produktnähe auch dabei, als ZISO besser zu sein?

00:10:09: Und wenn ja, an welchen Punkten?

00:10:11: Ja, absolut.

00:10:13: Weil wir festgestellt haben, es gibt bestimmte Vorgaben aus Security-Sicht, die wir als sinnvoll erachten, die aber einfach einen zu großen Impact tatsächlich auf das operative Tagesgeschäft haben.

00:10:25: Und dann sind wir wieder bei diesem Punkt.

00:10:27: Eine hundertprozentige Sicherheit erreichen wir ohnehin nicht.

00:10:29: Also, es ist ein risikobasierter Ansatz.

00:10:32: Macht das und das zu verbieten am Ende des Tages noch Sinn, wenn dann unsere Advise eingeschränkt werden in ihrer Arbeit?

00:10:38: Nein.

00:10:38: Insofern schaut man dann, welche alternative Methode gibt es?

00:10:42: Eine kompensierende Kontrolle?

00:10:44: Oder man sagt, okay, wir tragen an der Stelle dieses Risiko, aber unsere Advise haben eben die Möglichkeit, normal wieder arbeiten zu können.

00:10:51: Du hast mal erzählt, dass die Grenzen zwischen physischer und Zeibersicherheit zu den verschwimmen.

00:10:56: Gibt es weitere Beispiele bei euch im Unternehmen, wo das irgendwie zutrifft?

00:11:00: Also jetzt haben wir die ganze Zeit über den Thermomix gesprochen und das ist natürlich auch ein wichtiges Produkt bei euch.

00:11:04: Aber gibt es weitere Produkte, bei denen man eigentlich im Kopf haben muss?

00:11:07: Ja, da gibt es auch Vektoren, die aus diesem Ding vielleicht eine potenzielle Gefahr machen oder die es nicht schön machen würden, falls das irgendwie gehackt würde.

00:11:15: Ja, grundsätzlich bietet ja jedes vernetzte Gerät eine Möglichkeit.

00:11:20: übernommen zu werden und ein teil von dem botnetz zu sein was man wiederum nutzen kann um andere systeme et cetera anzugreifen wobei dieses verschwimmen von cyber security und physikalischer sicherheits ich gar nicht nur auf die geräte bezieht sondern tatsächlich auch auf das ganze thema zutritt.

00:11:35: schutz also wie sicher ich eigentlich ein gebäude und damit auch am ende des tages mein firmen know-how.

00:11:40: ich behaupte mal dass es in vielen vielen deutschen unternehmen durchaus möglich ist mit einem schweren Karton und im DHL oder Hermes T-Shirt vor der Tür zu stehen und sich damit dann Zutritt zum Gebäude zu verschaffen.

00:11:54: Gerade deswegen sind sie zu Punkte wie Überwachungskamerasen, Tragen von Ausweisen, Vereinzelungsanlagen etc.

00:11:59: auch etwas, was in der Informationssicherheit fest verankert ist und damit sich auch klar unterscheidet von der IT-Sicherheit.

00:12:08: Also ich erlebe das häufig, dass IT-Sicherheit und Informationssicherheit alles so in einen Topf geworfen wird.

00:12:13: Aber am Ende des Tages ist Informationssicherheit mehr als IT-Sicherheit.

00:12:17: Wir kümmern uns um alle Informationen unabhängig von der Art und Weise, wie diese vorliegen.

00:12:23: Das heißt, losgelöst von den digitalen Informationen, die auf englischen Servern und Computern liegen, sind wir eben auch verantwortlich für ausgedruckte Dokumente, das gesprochene Wort, der Zutritt zum Gebäude etc.

00:12:36: All diese Punkte, die man vielleicht erstmal vernachlässigt, die aber für den Angreifer durchaus interessant sein könnten.

00:12:42: Und ja, gut, Cyber Security.

00:12:44: Für mich persönlich ist es ein Marketingbegriff.

00:12:46: Wenn gleich das Wort auch gerne verwende.

00:12:48: Aber Cyber ist immer noch etwas als unbestimmtes Basswort in der Luft.

00:12:53: Das

00:12:54: ist ja schon ein Riesenthema.

00:12:55: Also zum einen habe ich ja schon einige Gespräche geführt mit Menschen, deren Unternehmen gehackt wurde, wo dann irgendwie über Wochen schon heimlich jemand da war.

00:13:02: und irgendwann gehen die ins Wochenende und am Sonntag oder so was klingelt das Telefon.

00:13:05: Irgendwie alles ist verschlüsselt, alles ist kaputt.

00:13:07: Also allein das ist ja ein Riesenthema.

00:13:10: Aber jetzt hast du noch alles erwähnt.

00:13:12: Darüber mit... Wie sind eigentlich die Prozesse?

00:13:15: Wer darf was drucken?

00:13:16: Wie viele Dokumente dürfen auf mal gedruckt werden?

00:13:19: Muss das irgendwo aufgeschrieben werden?

00:13:20: Wer was gedruckt hat, darf man überhaupt seinen USB-Stick in den Computer reinschieben?

00:13:24: Oder ist das eigentlich... Also ich hab gerade letzte Woche im Blogbeitrag gelesen, es gibt ja schon seit Jahren Handyladekabel mit kompletten kleinen Kontrollern drin.

00:13:33: Und sobald das Handikabel reingeschoben wird, das sieht nicht anders aus als das Originalkabel von Apple zum Beispiel.

00:13:39: Und sobald das Handikabel reingesteckt wird.

00:13:42: verhält sich das wie eine Tastatur und kann irgendwie Dinge ausführen oder auch Dateien suchen und verschicken und so.

00:13:49: Jetzt habe ich gerade letzte Woche gelesen, dass jemand darüber mit AI sozusagen tätig wird.

00:13:57: Also dass sie gezeigt haben, wie man mit diesen Kabeln und AI das Ganze noch viel, viel besser hinbekommt, viel, viel schneller hinbekommt.

00:14:06: noch viel viel unbemerkt da sich diese kabel dann versuchen zu replizieren auf anderen komputern zu installieren und so weiter.

00:14:12: und das das das klang so furchtbar so scary dass ich dachte ich bin froh dass ich irgendwie alleine selbstständig bin ohne mitarbeiten da weil ich mir nicht vorstellen möchte wie viel mitarbeiten habt ihr

00:14:23: zehn tausend

00:14:24: weil ich mir nicht vorstellen möchte wie man zehn tausend menschen davon überzeugt bitte keine lade kabel in computer zu schieben.

00:14:31: ja das stimmt.

00:14:31: also das ist ganz viele wichtige punkte an gesprochen, vielleicht erstmal vor die Klammer gezogen.

00:14:37: Ja, das Thema Cyberkriminalität wird immer, immer wichtiger.

00:14:41: Inzwischen hat auch der, ich weiß immer davon, Umsatz sprechen kann oder gewinnen, wobei wahrscheinlich ist im kriminellen Bereich einen Umsatz sowieso gleich gewinnen.

00:14:50: hat tatsächlich Cyberkriminalität inzwischen den weltweiten Drogenhandel abgelöst, was auch wiederum irgendwie nachvollziehbar ist, weil bei einem organisierten Drogenhandel ich habe eine Produktion, ich habe eine Logistik, ich habe einen Vertrieb.

00:15:01: Bei Cyberkriminalität habe ich ein Latte-Markiate und ein Notebook.

00:15:05: Und insofern reduziert das schon mal die benötigten Ressourcen.

00:15:07: Darüber hinaus sieht man auch im BSI-Lagebild, also im Bundesamt für Sicherheit und Informationstechnik, dass die Situation besorgniserregend ist, weil eben die Anstern erfolgreichen Angriffen immer, immer größer wird.

00:15:20: und ist das schon wichtigen punkt angesprochen das thema k i beziehungsweise ai?

00:15:26: Ja, da wird noch einiges auf uns zukommen wobei wir aktuell innerhalb der branche nicht zwangsläufig.

00:15:34: Eine große disruption durch ke feststellen.

00:15:38: was es einfacher macht ist.

00:15:40: den Zugang zu guten Fishing Mails, das lässt sich durch Large Language Models erstellen, aber auch entsprechender Quellcode für Shards Software, aber darüber hinaus die Angriffswektoren ändern sich bisher nicht.

00:15:53: Warum nicht?

00:15:54: Weil es nicht notwendig ist, weil immer noch eine gut gemachte Fishing Mail mit den entsprechenden psychologischen Faktoren Angst, Neugier, Verschwiegenheit.

00:16:05: Vielleicht eine Bewerbung im Anhang Word-Dokument mit entsprechenden Macros verschickt an Zehntausend Mitarbeitende.

00:16:11: Funktioniert immer noch problemlos.

00:16:13: oder eben wie du es gerade angesprochen hast.

00:16:15: Ich platziere den USB-Stick mit dem Posted-Bonuszahlung, zwanzig, sechsundzwanzig, zwanzig, fünfundzwanzig auf dem Parkplatz vom Gebäude.

00:16:24: Dieser Stick wird seinen Weg in einen Rechner finden am Ende des Tages.

00:16:28: Und ja, es gibt USB-Stick, die kann man so im Internet bestellen.

00:16:32: Aus dem werden uns bestig, aber eigentlich eine Tastatur sind, da lebt man Skript drauf und sobald der im Rechner ist, wird er ausgeführt.

00:16:40: Und jetzt kann man sagen, dass es alles ganz schlimm und furchtbar, aber es gibt ja durchaus Maßnahmen, dem entgegenzuwirken.

00:16:48: Und am Ende des Tages ist das immer eine Kombination aus Prozessen, Technologien und Menschen.

00:16:53: Also man kann technologisch viel unterbinden oder schützen sei es durch klassische anti-viren-programme von Endpoint Detection Response spricht Firewalls etc.

00:17:06: etc.

00:17:07: Prozesse, also vier Augenprinzip, wenn man in die Richtung CEO fortgeht, also jemand behauptet er sei der Vorgesetzte und weist jemanden an eine Zahlung zu tätigen und am Ende des Tages mein.

00:17:19: Persönliches Steckenpferd eben bei den Menschen anzusetzen, also sprich Schulung und Awareness und damit eben auch zu versuchen, diese Human Firewall entsprechend Stück für Stück aufzubauen.

00:17:31: Letzte Frage dazu nochmal.

00:17:33: Sind die Rechner bei euch kündig da denn einfach so ein USB Stick reinschieben oder muss das immer freigegeben werden, wenn irgendwelche neue Peripherologie reingeschoben wird?

00:17:41: Grundsätzlich ist das durchaus möglich, ja, aber wir haben kompensierende Kontrollen, die da einen Ausführung von entsprechenden Schadsoftware verhindern sollten.

00:17:50: Ich bleibe jetzt bewusst im möglichen Bereich.

00:17:54: Okay, du segelst?

00:17:57: Nein, aber ich weiß, worauf du anspielst.

00:18:00: Nächstes war tatsächlich meine erste Segelerfahrung, wobei ich... Letztes Jahr tatsächlich ein Bootsführerschein gemacht, aber ausschließlich für ein Motorboot.

00:18:07: Ja,

00:18:09: ich bin mal gespannt, wie es bei dir ist.

00:18:10: Die meisten Menschen, die so einen Bootsführerschein machen, machen den.

00:18:13: Und wenn man dann nicht innerhalb des ersten Jahres mindestens dreimal Boot fährt, dann fährt man nie wieder.

00:18:17: Also ich habe auch mal so ein Bootsführerschein gemacht und leider einmal nur seit dem Boot gefahren.

00:18:22: Das ist total traurig.

00:18:23: Aber vielleicht.

00:18:24: Okay, letztes Jahr gemacht, letztes Jahr einmal gefahren.

00:18:26: Ja.

00:18:27: Okay, dieses Jahr, ich hab noch ein paar Monate.

00:18:28: Ja, okay.

00:18:29: Versuch mal, dass du es dieses Jahr noch zweimal machst, sonst fährst du

00:18:32: nicht.

00:18:32: Da bin ich an der richtigen Stadt aktuell.

00:18:35: Sollte ich ja hinkriegen.

00:18:36: Ja, und lustigerweise in Hamburg.

00:18:38: Also, falls du den Bootsführerschein See gemacht hast.

00:18:41: Ja, genau, See und Binnen.

00:18:42: Ach, Binnen, okay.

00:18:43: Ich hatte nur See gemacht.

00:18:44: Und See heißt aber auch, ich darf in Hamburg ... von Hamburg abwärts bis zur Nordsee und dann auf der Nordsee.

00:18:51: Du darfst überall fahren, selbst über einen Atlantik.

00:18:54: Genau, ich darf halt nur nicht auf Binnengewässern fahren.

00:18:57: Ja.

00:18:57: Okay, toll.

00:18:59: Ja, worauf spiele ich dann?

00:19:01: Du weißt, worauf ich anspiele.

00:19:02: auf mein Bild mit dem Segelbogen.

00:19:04: Genau, ja, du hast irgendwie verschrieben.

00:19:07: Was hab

00:19:07: ich vorhin?

00:19:08: Inhaltlich, du hast ja dazu geschrieben, so ein paar Sachen, du hast irgendwie gesagt, Synergie passiert, wenn alle eine Leine ziehen oder Disruption passiert, wenn sich der Wind weht oder so was.

00:19:19: Du hast ein paar Bilder aus der Seegelei genommen und dann versucht, so ein bisschen deine Führungsprinzipien zu verdeutlichen.

00:19:28: Hast den Post aber weiter gelesen, oder?

00:19:31: Den und viele andere.

00:19:33: Aber ich hatte mir zu dem halt nur geschrieben.

00:19:35: Okay,

00:19:35: weil ich dann auch nämlich geschrieben hab, ja, nee, das war eigentlich von einem cooler Segelturn und das ist so typischer LinkedIn.

00:19:42: Ja, so ein typischer LinkedIn-Post.

00:19:43: Nicht in allem, was man macht, muss man irgendwie ableiten, wie man sich als Führungskraft aufstellt.

00:19:48: Aber...

00:19:50: Ich wollte jetzt

00:19:50: nicht ins Messer laufen.

00:19:52: Das ist okay.

00:19:53: Immerhin habe ich sozusagen mit deinem LinkedIn-Feed angeguckt.

00:19:58: Aber... Teilweise gibt es ja schon echte Relation zwischen dem, was du geschrieben hast und deinem echten Leben.

00:20:04: Also du hast irgendwie auch, ich glaube, du arbeitest mit Menschen aus zwölf Ländern zusammen?

00:20:08: Mehr.

00:20:09: Okay, aus mindestens zwölf Ländern zusammen?

00:20:11: Ja, ja, ja.

00:20:12: China, Mexiko, Taiwan.

00:20:14: Genau, also wir sind ja als internationales Unternehmen wirklich groß aufgestellt und wir haben mit unseren einzelnen lokalen Einheiten auch immer eine Person, die für das Thema Informationssicherheit verantwortlich ist, unsere Isos, Information Security.

00:20:29: die für uns quasi als eine Art Multiplikator dienen, unsere Augen und Ohren in die jeweiligen Landesgesellschaften darstellen, damit wir da einfach die Möglichkeit haben, ja, nah am Business zu sein, was setzen die gerade um, aber auch welche regulatorischen Anforderungen gibt es?

00:20:43: Ich meine, es gibt viele auf EU-Ebenen, aber als internationales Unternehmen sind wir da breiter aufgestellt und da einfach mitzubekommen, wie sind wir als Vorwerk da entsprechend aufgestellt, was müssen wir umsetzen?

00:20:56: ist das einer unserer großen Eckpfeiler für das Thema Informationssicherheit.

00:21:01: Ist Informationssicherheit in der Zusammenarbeit mit Menschen aus China, anders als mit Menschen aus Deutschland oder aus Mexiko?

00:21:09: Im Rahmen der Zusammenarbeit, nein.

00:21:12: Es ist dann immer ganz spannend, wenn wir Anfragen für die Freigabe für bestimmte Applikationen aus Ländern bekommen, wo wir einfach inhaltlich so weit weg sind, dass wir die Applikation nicht mal kennen.

00:21:25: Also bestimmte asiatische Applikationen, die im europäischen Raum gar nicht verwendet werden, sich die dann erst mal im Detail anzuschauen, was macht die Applikation, wie ist das Vertragswerk, etc.

00:21:34: Das ist grundsätzlich immer ganz spannend, wenn man eben noch nie was davon gehört hat.

00:21:39: Aber grundsätzlich vom kulturellen Herr kann man sagen, haben auch die Kollegen grünes Vorwerkblut, wie man das gerne bei uns in Wuppertal sagt.

00:21:54: Also auch wenn du gesagt hast, der Post ist nicht so ganz ernst gewesen, da hast du auch geschrieben, man soll als Visionär auch immer einen Blick auf den Horizont halten.

00:22:05: Gibt es denn trotzdem auch sozusagen in real life Themen am Horizont, die für dich als CISO, wo du denkst, das wird in ein, zwei Jahren auch bei uns ein großes Thema werden, dann müssen wir auf jeden Fall jetzt schon mal uns überlegen, wie wir das für einen Standing wieder haben.

00:22:19: Ja, also man über die künstliche Intelligenz haben wir schon gesprochen.

00:22:22: Da kann sich durchaus noch was was verändern.

00:22:25: Ich glaube aber, dass tatsächlich die Anzahl an Angriffen nochmal größer werden wird am Ende des Tages.

00:22:32: Dadurch, dass immer mehr Geräte vernetzt sind.

00:22:35: Auf der anderen Seite haben wir bevorstehende und teilweise schon in Kraft getreten regulatorische Anforderungen miss zwei in cyber resilience engen psdi also ganz ganz viel was von der eu auch kommt und die Unternehmen dazu auffordert in bestimmten bereichen einfach zu investieren.

00:22:53: Das wird auf jeden fall auch in zukunft weiter weiter spannend sein.

00:22:58: aber grundsätzlich muss man sagen aus Unternehmenssicht.

00:23:04: lässt sich feststellen dass immer mehr unternehmen die wichtigkeit inzwischen verstanden haben vor fünf jahren vor zehn jahren sei die welter noch anders aus da hat.

00:23:12: Gerne auch mal der die kleine mittelständischen unternehmen sagt wir sind so unwichtig uns wird es schon nicht treffen.

00:23:18: und die sind jetzt tatsächlich in den letzten jahren leider wie die fliegen gefallen weil.

00:23:23: Es einfach auch eine ressourcen großen ressourcen unterschied gibt.

00:23:27: also habe ich jetzt ein dax konzern mit einem milliarden umsatz oder ein kleines mittelständisches unternehmen mit einem kleinen millionen umsatz.

00:23:33: Da wird es keinen CISO mit einer eigenen Abteilung geben.

00:23:36: Insofern das Thema nicht bei der IT abgeladen wurde, gibt es vielleicht eine Informationssicherheitsbeauftragten und der konfiguriert eine Firewall und der macht ein bisschen Antivirenschutz und der versucht, die ganzen alten Windows XP Rechner aus dem Unternehmen zu schieben, aber darüber hinaus ist das leider ja doch schon eine Art Kampf gegen Windmühlen.

00:23:56: Du hattest eben auch schon wieder nochmal AI erwähnt.

00:23:58: Du warst auch eindringlich vor Shadow AI.

00:24:02: Was ist denn

00:24:04: shadow?

00:24:04: AI ist abgeleitet von shadow IT also sprich.

00:24:08: Die Nutzung von IT die dem Unternehmen allen voran der verantwortlichen Abteilung nicht bekannt ist das heißt Mitarbeitende die vielleicht mit ihrer eigenen Kreditkarte irgendwie eine Applikation bei einem Dienstleister einkaufen und nutzen oder.

00:24:23: Ein Server, der unter dem Schreibtisch in irgendeiner Abteilung steht, der irgendetwas macht, was aber keiner weiß.

00:24:29: Und die Gefahr gibt es natürlich auch bei der Nutzung von AI.

00:24:34: Das heißt, Mitarbeiter haben grundsätzlich theoretisch die Möglichkeit, sich auf irgendeiner AI-Plattform anzumelden.

00:24:41: Large Language Models, etc.

00:24:43: Und da dann vielleicht unwissend schützenswerte Informationen einzugeben.

00:24:48: Und am Ende des Tages muss man sich darüber bewusst sein, auch wenn... Groß auf der Applikation A.I.

00:24:53: steht.

00:24:53: am Ende des Tages gebe ich die Informationen erstmal in die Hände von jemand anderem.

00:24:58: Sei es von einem Open AI, sei es von einem Microsoft, sei es von wem auch immer.

00:25:02: Und da muss man sich glaube ich einfach bewusst sein, welche Informationen man da tatsächlich teilt.

00:25:07: Ich glaube es war Samsung, die es vor anderthalb Jahren relativ groß damit in die Presse geschafft haben, dass ein Entwickler für einen internen Quellcode hochgeladen hat auf einer A.I.

00:25:18: Plattform.

00:25:19: Also am Ende des Tages ist es ähnlich schlimm, wie Informationen in sozialen Netzwerken zu posten.

00:25:26: Der Empfängerkreis mag kleiner sein, aber der Rechner rührt trotzdem jemand anderem.

00:25:31: Wenn ich das so höre, ich Weibkode privat fühle und da balle ich auch alles an Apikis und Passwörtern und Zugangsdaten rein.

00:25:40: Das ist da

00:25:40: deine Risk-Acceptance am Ende des Tages.

00:25:43: Was ja auch grundsätzlich geht.

00:25:44: Ich akzeptiere das nicht, ich akzeptiere es aber ein.

00:25:47: Was ja auch eine Form von Akzeptanz dann.

00:25:49: Du meinst, unsere Aktionen drücken aus, meine reale Akzeptanz.

00:25:53: Genau, du gehst ja das Risiko ein an der Stelle.

00:25:55: Aber man muss natürlich auch einfach sich ein bisschen überlegen, was kann schlimmstenfalls passieren?

00:26:01: Was kann ein Angreifer damit machen?

00:26:04: Das ist immer wieder dieser Risikoabwägung.

00:26:07: Etwas, was wir auch immer kommunizieren, auch gerade Richtung Vorstand, der uns da ein volles Becking ermöglicht.

00:26:14: Am Ende des Tages ist es... ähnlich wie bei der Absicherung vom privaten Eigenheim.

00:26:19: Ich muss das meinem Haus nicht fort noch bauen.

00:26:20: Es muss nur so sicher sein, dass ein möglicher Einbrecher zum Nachbarn geht, weil es weniger sicher ist.

00:26:26: Und so ist am Ende des Tages auch bei der IT-Sicherheit oder bei der Cyber Security.

00:26:31: Ich muss nicht den gesamten Laden bis zum absoluten Maximum absichern.

00:26:35: sondern mit sinnvollen kleinen Bausteinen das Verhältnis von Zeit, die ein Angreifer investieren muss, um sich Zugriff zu Daten zu verschaffen.

00:26:46: Ja, dass dieses Verhältnis zum tatsächlichen Nutzen nicht mehr passt und derjenigen oder diejenigen gesagt, ich geh zur Konkurrenz, das macht hier keinen Sinn.

00:26:54: Trainingsdaten ist irgendwie ein Thema, was dir auch, was du auch interessant findest, Manipulation von Trainingsdaten in AI.

00:27:02: oder insgesamt Blackboxes, dass ich einfach gar nicht weiß, wie es irgendwie DII programmiert oder ausgestattet, mit der ich arbeite.

00:27:08: In welchen Bereichen ist das für euch relevant?

00:27:11: Tatsächlich haben wir das Ganze anders gelöst.

00:27:13: Wir haben ein eigenes Large Language Model, also quasi ein Vorwerk eigenes ChatGBT, wenn man so möchte.

00:27:19: Vorwerk Assist, was dann eben auch die Freigabe hat für schützenswerte Informationen, weil diese nicht nach außen gelangen.

00:27:26: Somit haben unsere Mitarbeitenden die Möglichkeit, dort ihre Prompts abzusetzen und alles, was da an Datenreinhaft kommt, eben auch von uns.

00:27:33: Das heißt, insofern haben wir da einen anderen Schutzmechanismus vor der Verfälschung von Trainingsdaten.

00:27:40: Aber bieten eben auch unsere Mitarbeitenden diese spannende Möglichkeit der AI-Nutzung, die wirklich wirklich sinnvoll ist am Ende des Tages.

00:27:47: Läuft das auf eigenem Blech bei euch im Keller oder dann doch wieder in der Cloud am Ende?

00:27:51: Das ist eine sehr gute Frage tatsächlich.

00:27:54: Also macht natürlich schon total Sinn irgendwie seine eigene GPTs zu bauen oder wie auch immer man die dann nennt, aber bei manchen höre ich dann irgendwie so, wir möchten das gar nicht, dass Microsoft und so weiter meine Daten hat, deswegen kein Open AI und dann lassen sie das aber auf der Azure Cloud laufen oder sowas.

00:28:12: Aber es ist wahrscheinlich am Ende des Tages wahnsinnig schwierig.

00:28:15: Gestern, vorgestern, hat China gesagt, die Unternehmen dürfen keine Nvidia Chips mehr einsetzen.

00:28:20: Was könnten da die Gründe sein?

00:28:23: Soll der eigenen Chipsmarkt gestärkt werden oder hat China irgendwo herausgefunden, dass das Nvidia doch irgendwelche Backdoors hat, Daten abzuleiten, falls die USA sagen, leid mal Daten weiter.

00:28:35: Das ist eine große geopolitische Frage.

00:28:38: Das kann ich dir beim besten Willen nicht beantworten.

00:28:40: Dafür bin ich aber auch zu wenig tatsächlich China-Experte.

00:28:44: Ich bin

00:28:44: auch nicht kompetent, aber das hält mich nicht davon ab, meine Claims zu machen.

00:28:50: Ja, vielleicht ist es so eine Art kalter Krieg im Chipmarkt und der eine vertraut dem anderen nicht.

00:28:56: Die USA sagt, wir wollen keine Chips auf China haben und andersrum.

00:28:59: Insofern kann durchaus sein.

00:29:02: Das ganze Thema Cyberkriminalität ist vor dem... Hintergrund von tatsächlichen Institutionen wie Ländern und Regierungen sowieso noch mal ganz spannend, weil man fairerweise sagen muss, davor kann man sich nicht schützen.

00:29:16: Also das Ressourcenverhältnis ist da einfach nicht gegeben und wenn eine Regierung ein privatwirtschaftliches Unternehmen angreifen will, dann machen die das.

00:29:26: Dann ist wiederum die Frage am Ende des Tages, welchen Vorteil hat eine Regierung, davon macht das tatsächlich Sinn, da die Ressourcen sinnvoll zu investieren.

00:29:34: In der Security sagst du nicht nur Technologien, machen Unterschieds an und vor allen Dingen die Menschen.

00:29:42: Gleichzeitig wird aber die ganze Branche immer toolgetriebener.

00:29:46: Wie versuchst du eine Kultur zu befeuern und zu betreiben, bei denen Mensch und Know-how doch im Zentrum steht und nicht irgendwie alles abgegeben wird an irgendwelche Tools?

00:29:57: Wir nutzen unterschiedlichste wie ich finde sehr spannende awareness formate also damit tatsächlich sehr sehr viel zeit in ressourcen auch investiert.

00:30:07: Klar angefangen von dem klassischen web-based e-learning.

00:30:10: aber darüber hinaus zeigen wir live hacking wir nehmen auch podcasts auf wir engagieren schauspieler die sich zutritt zum gebäude verschaffen wir die ergebnisse an eben unseren kollegen und kollegenen mit teilen.

00:30:25: Ein Punkt, den wir mal gemacht haben, ist das ganze Thema Information Security for Family und Kids, was ein sehr spannender Ansatz ist.

00:30:33: Die Idee war, dass wenn jemand etwas als so wichtig erachtet, dass er es den eigenen Kindern beibringt, die Wahrscheinlichkeit hoch, dass er es im operativen Tagesgeschäft auch einsetzt.

00:30:43: Frage an dich an der Stelle.

00:30:45: Jetzt sagtest du, deine Kinder sind drei?

00:30:47: Null drei und elf.

00:30:50: Wann hast du wieder angefangen einen Fahrradhelm zu tragen beim Fahrradfahren?

00:30:53: Ich trage kein Fahrradhelm.

00:30:54: So unsinn.

00:30:55: Okay.

00:30:56: Normalerweise wäre die Antwort jetzt nämlich dann, wenn ich mit meinen Kindern unterwegs bin, eben als Vorbildfunktion.

00:31:02: Und die Idee haben wir eben auch auf Informationssicherheit umgesetzt.

00:31:05: Das heißt, wir haben eine Kampagne erstellt.

00:31:09: Wie bringe ich Informationssicherheit eigentlich Kindern bei?

00:31:11: Mit Passwort spielen, mit interaktiven Lernmaterialien, mit so Ausmalbildern zum Thema Cyber Security.

00:31:19: Und das hat ganz spannende Diskussionen auch innerhalb unserer Arbeitsgruppe ausgelöst.

00:31:28: Zum Beispiel die Frage, bis zu welchem Alter der Kinder nimmt man sich als Elternteil eigentlich das Recht raus, deren Passwörter zu kennen.

00:31:36: Also wo hört quasi Erziehung auf und wo fängt Datenschutz an?

00:31:42: Ganz, ganz spannende Diskussion hatten wir da.

00:31:44: Und das Feedback war auch wirklich toll.

00:31:46: Viele Eltern haben uns angesprochen, gefragt, ob sie die Materialien auch in der Schule der Kinder teilen dürfen, was natürlich kein Problem war.

00:31:53: Und das sind so unterschiedliche Punkte, mit denen wir eben versuchen, das Thema Awareness spannend zu halten.

00:31:58: Weil ich glaube, und das ist einer der ganz, ganz großen Vorteile.

00:32:02: Alles, was wir unseren Mitarbeitenden an die Hand geben, können Sie eins zu eins in Ihrem privaten Ja, in dem Privatleben umsetzen, weil jeder von uns hat schon mal eine SMS bekommen.

00:32:12: Dein PayPal-Konto ist eingeschränkt, wo man vielleicht kein PayPal hat oder ein Hermes-Paket wartet auf dich, obwohl man eigentlich was mit DHL bestellt hat, also diese ganz klassischen Fishing-Nachrichten.

00:32:22: Und so erzeugen wir einen direkten Mehrwert eben auch fürs Privatleben.

00:32:26: Das finde ich extrem gut.

00:32:28: Ich möchte noch ein Nachsatz sagen zu dem Fahrradhelm-Ding.

00:32:32: Ich bin halber Niederländer.

00:32:34: Und ... Die Niederländer sind das Volk, an das man denkt, wenn es ums Fahrrad fahren geht.

00:32:39: Und die Niederländer sind weltweit mit ... die Menschen, die am wenigsten Fahrradhelme tragen.

00:32:44: Also es gibt fast keine Bevölkerung oder es gibt vielleicht sogar keine Bevölkerung, wo so wenig Fahrradhelme getragen wird wie die Niederlanden.

00:32:51: Gleichzeitig sind die Niederländer mit am niedrigsten, was gefährliche Verletzungen oder tödliche Fahrradunfälle im Verkehrsdienst ist.

00:33:01: Also wahnsinnig wenig Fahrradhelme, wahnsinnig wenig Verkehrsunfälle.

00:33:04: Die haben natürlich auch eine besondere Infrastruktur.

00:33:06: Und

00:33:06: eine besondere Geografie, wenn alles ... Flach ist.

00:33:09: Vielleicht hat die Wahrscheinlichkeit das Hinfall ins Geregen.

00:33:11: Ich glaube tatsächlich, das meiste ist einfach auch, dass jeder halt Bescheid weiß, dass hier so ganz viele Fahrradfahrer sind.

00:33:16: Aber in dem Zusammenhang habe ich dann mal für mich mein Risk Assessment gemacht, dass auch, sozusagen, wenn ich nicht in die Niederlanden fahre, dass ich für mich entschieden habe, kein Fahrrad hin.

00:33:28: Ich war letztens in Samstern, Amsterdam.

00:33:29: Ich glaube, in Amsterdam ist Fahrradfahrer noch entspannter als hier in Hamburg.

00:33:32: Ja, das kann gut sein.

00:33:34: Das kann gut sein.

00:33:36: Aber immer diese Brücken über die Krachten, das finde ich mal so anstrengend.

00:33:39: Das ist sozusagen auch nicht mehr flach, das ist ja fast Gebirgsfahren.

00:33:43: Wenn ihr es so raushöre, gebt ihr euch viel Mühe, dass die Leute weiter gebildet, qualifiziert, aware sind.

00:33:51: Security woke werden sozusagen.

00:33:55: Was sind weitere Möglichkeiten, wie ich dann diese Talente halten kann, damit ich sie nicht zwei Jahre ausbilde und sie dann zum Wettbewerb abwandern.

00:34:06: Grundsätzlich das Aufzeigen von einer Perspektive.

00:34:10: Also wo kann ich mich unternehmensintern hinentwickeln?

00:34:14: Bei Vorwerk gibt es da sehr, sehr viele Möglichkeiten, auch innerhalb des Unternehmens mal andere Abteilungen reinzuschauen oder auch innerhalb der Abteilungen zu wechseln.

00:34:24: Nicht umsonst ist der Running Gag bei Vorwerk, die Probezeit dauert zehn Jahre.

00:34:27: Es dann gilt man eigentlich als wirklicher Vorwerker mit grünem Blut.

00:34:34: Jubilarien von zehn, zwanzig, dreißig, vierzig und fünfzig Jahren sind keine Seltenheit.

00:34:39: Und tatsächlich haben wir auch sehr, sehr viele Kollegen und Kolleginnen, die bei Vorwerk arbeiten in zweiter oder dritter Generation.

00:34:46: Also das kenne ich von keinem anderen Unternehmen, dass dieser Fokus dieses Wir sind eine Vorwerk-Familie, so im Mittelpunkt steht und so gelebt wird.

00:34:56: Da bin ich in knapp vier Jahren bei Vorwerk noch quasi gerade aus dem Vorstellungsgespräch raus.

00:35:04: Wo

00:35:04: hast du vorgearbeitet?

00:35:06: Bei Langsays in Köln.

00:35:08: Was tatsächlich nicht die Multifunktionshalle ist, wenn gleich der Name dran steht, sondern Spezialchemiekonzern Carve Out in Bayern.

00:35:17: Okay, spannend.

00:35:18: Du hast mal Gardner zitiert, dass viele Firmen über vierzig Security Tools nutzen und trotzdem gehackt werden wegen Misconfigurations.

00:35:27: Wie stelle ich dann sich herauszufinden, ob meine Tools konfiguriert sind oder miskonfiguriert sind?

00:35:33: Ich frage Experten.

00:35:34: Das ist eine blöde Antwort, aber am Ende des Tages glaube ich, dass immer viel mit der... Toolkeule zugehauen, wird man sich da noch ein neues Tool und da noch ein neues Tool und anstatt mal zu schauen, wie sieht meine Systemlandschaft eigentlich aus?

00:35:47: Was brauche ich vielleicht auch nicht oder was habe ich doppelt im Unternehmen?

00:35:51: Um sich dann mal wirklich sauber beraten zu lassen von dem Hersteller von Experten, wie nutze ich denn diese Tools tatsächlich so wie der Hersteller sich das am Ende des Tages ausgedacht hat?

00:36:03: IT-Sicherheit ist im Prinzip gar nicht so kompliziert.

00:36:07: also wenn man sich auf so ein paar basis Sachen konzentriert wie zum beispiel regelmäßig updaten und patches machen damit kann man glaube ich schon achtzig prozent der der meisten angriffe eigentlich im keim ersticken jetzt von diesen zero day exploits wo es noch keine kein heimmittel kein flaster gibt mal abgesehen.

00:36:26: Und darüber hinaus dann noch die nutzung von multifaktor authentisierung.

00:36:29: also ich habe quasi.

00:36:30: Wissen und besitzen passwort und eben irgendwie ein token sms ein pin code auf dem händi da kriegt man schon sehr sehr viel Erschickt.

00:36:40: aber ich glaube die herausforderung ist dass it in den letzten jahrzehnten für uns als menschen zu groß geworden ist dass wir keinen überblick mehr haben und noch keiner mehr.

00:36:51: alles Versteht und dazu kommt dann noch eine fluktuation in den unternehmen.

00:36:56: und Bisher kenne ich kein Unternehmen, welches sich tatsächlich hinschlägt und sagt, wir haben ein hundertprozentig vollständiges Asset Management.

00:37:04: Wir wissen ganz genau, welche Rechner wir nutzen, welche Software wir nutzen, welche Applikationen wir nutzen und haben das alles komplett im Griff.

00:37:11: Ich glaube, das gibt es nicht.

00:37:14: Du tust ihr euch hinterm?

00:37:15: Ja.

00:37:16: Wie heißt dein Chef mit Vornamen?

00:37:18: Andre.

00:37:18: Andre.

00:37:18: Stell mir vor, ich bin Andre und komme jetzt zu dir, macht die Tür zu und sagt, du... Braucht mal deine Einschätzung, Florian, was ist das eine Thema hier im Unternehmen zum Thema CISO, was dich wassehnachtswach hält?

00:37:33: Also was ist was ist the one big thing, wo du sagst, das ist so groß?

00:37:38: oder da bin ich noch um überlegen oder da sich um ihr meisten Probleme auf uns potenziell zurückzukommen?

00:37:48: Also wachhalten würde ich nicht sagen, tatsächlich schlafe ich verhältnismäßig gut.

00:37:52: Am Ende des Tages ist es immer ein Abwägen zwischen den vorhandenen Ressourcen und den Themen, die man damit bearbeitet.

00:38:00: Also Ressourcen, Engpässe kennt, glaube ich, jeder.

00:38:03: Es sind zu viele Themen, die gleichzeitig bearbeitet werden müssten.

00:38:07: Auf der anderen Seite hat man begrenztes Budget, eine begrenzte Anzahl an Mitarbeitenden.

00:38:11: und da dann wirklich sich zu konzentrieren und zu sagen, ich lass mich jetzt nicht vom operativen Ablenken, weil vielleicht gerade irgendwie ein kleines Feuer ausgebrochen ist, legen strategie fest ich stimmen die grundsätzlich mit den kollegen der it ab mit der geschäftsführung ab und dann habe ich mein ein jahres zwei jahres drei jahres planen halte daran auch kontinuierlich fest neben den kleinen themen.

00:38:36: das ist glaube ich heraus von also wirklich dieses konzentrieren.

00:38:39: was haben wir festgelegt und das ziehen wir jetzt am ende des tages auch auch durch.

00:38:45: Dort ist eingehend ja gesagt, dass zum Beispiel das Eierkochen eines der großen Aufgaben für so ein Thermomix ist.

00:38:52: Gibt es auch bei dir in deinem Job irgendwie ein Tool, ein Vorgehen, eine Strategie, wo du sagst, damit erschlage ich auch am meisten der Probleme?

00:38:59: Du hast eben schon gesagt, Multifaktor-Autentifizierung ist schon mal sehr wichtig, regelmäßig Updaten ist schon mal sehr, sehr wichtig.

00:39:05: Aber gibt es noch irgendwie so ein Leitsatz oder etwas, was du dir manchmal sagst, um... die meisten Probleme schon mal zumindest irgendwie gut unter den Griff zu entgriffen.

00:39:16: Ja, auch wenn wir es gerade schon angesprochen haben, sind die Menschen aus zweierlei Gesichtspunkten.

00:39:20: Zum einen je nach Studienlage, Gardner, Microsoft irgendwo zwischen siebzehn und neunzig Prozent beziehen sich alle Angriffe noch auf den Menschen.

00:39:30: Und darüber hinaus, es macht Sinn, tatsächlich auch auf Experten zu hören.

00:39:35: Also der Faktor Mensch, da kommen wir nicht drum herum von den technischen Sachen wie das Patchen und Multifaktor Identisierung, die mitarbeiten in Schulen.

00:39:42: und tatsächlich auch auf die Experten hören, die sagen, das braucht ihr, das braucht ihr nicht.

00:39:49: Hier macht die Einstellung Sinn.

00:39:50: Da können wir aber durchaus ein bisschen mehr Spiel haben.

00:39:53: Ich glaube, damit bekommt man schon sehr, sehr viel Erschlagen.

00:39:57: Und darüber hinaus müssten sich einfach Manager und Geschäftsführungen darüber im Klaren sein.

00:40:04: Sie kommen an dem Thema nicht vorbei, je nach Vorfall und Gesetz haften sie auch persönlich dafür im Zweifelsfall.

00:40:14: und auch ein gefundener USB-Stick kann von heute auf morgen dazu führen, dass ganze Unternehmen tatsächlich nicht mehr existieren.

00:40:20: und sich darüber bewusst zu werden und das auch zu akzeptieren, ist glaube ich schon mal ein Schritt in die richtige Richtung, nicht zu sagen, ja jetzt kommt hier wieder die neue Verordnung, irgendwie NIST II, das macht der IT-Administrator noch mit, das wird am Ende des Tages fatal werden.

00:40:36: Ich habe aktuell bei mir privat zwei Angriffsvektoren, die gegen mich laufen.

00:40:42: Zum einen kriege ich momentan pro Tag zwischen dreißig und fünfzig Anrufe.

00:40:48: Wo jemand sagt, guten Tag hier ist PayPal, ihr Einkauf wurde gestoppt.

00:40:53: Wir müssen jetzt erst mal herausfinden, ob sie das wirklich gemacht haben.

00:40:55: Und dann versuchen die an meine PayPal-Daten zu kommen.

00:40:58: Und das ist ein, ich vermute, indisches Callcenter.

00:41:01: Und weil ich so genervt war, habe ich das einmal, als die angerufen haben, einfach sofort gesagt, Pakistan is the best country in the world.

00:41:10: Und das hat denen so aufgeregt.

00:41:12: Und seitdem kriege ich... Ab zwölf Uhr geht das immer los zwischen zwölf und achtzehn Uhr jeden Tag zwischen dreißig und fünfzig Anrufe von diesem Callcenter.

00:41:18: Das sozusagen etwas, wo ich gemerkt habe, es macht keinen Sinn, sich mit sozusagen großorganisierten Scammers zu streiten.

00:41:25: Das ist eine Sache, die ich teilen möchte, obwohl ich es immer noch wahnsinnig witzig finde, dass die so emotional darauf reagiert haben.

00:41:31: Und das Zweite ist, du hattest vorhin auch erwähnt, dass ihr so Test-E-Mails macht oder sowas.

00:41:36: Und die meisten E-Mails, die ich nicht erwarte, ignoriere ich, schmeiß die weg oder die Land im Spam oder sowas.

00:41:43: Und diese Woche hatte ich aber im Spam eine E-Mail, die mich erreicht hat, emotional.

00:41:49: Und zwar war das kein Versprechen, kein Rabatt, kein, Sie haben gewonnen.

00:41:54: Sondern da stand einfach Schade Christoph.

00:41:59: Ich hatte mir ein bisschen mehr davon versprochen.

00:42:01: Vielleicht war meine Erwartung von dir einfach zu hoch.

00:42:04: Man dachte so, ach du Schande, was hab ich denn da vergessen?

00:42:06: Weil ich auch, es kann gut mal passieren, dass ich was übersehe, dass ich mich nicht melde, dass ich sage, ich melde mich nächste Woche und dann mach ich das nicht.

00:42:13: Und sozusagen dieser ... Einfache Text-E-Mail, die hat mich so emotional aktiviert, dass ich wirklich geguckt habe, woher kommt die, was ist die Domain, hab ich mit denen irgendwas zu tun, hab den Domain-Namen bei mir in den E-Mails gesucht, ob ich mit denen irgendwelche Kommunikation hatte, hab bei LinkedIn geguckt, bis ich rausgefunden hab, nee, das ist auch wieder nur ein Versuch, mit mir wahrscheinlich ins Gespräch zu kommen, um dann irgendwie in der zweiten E-Mail was zu schicken, Link zu schicken, Anang zu schicken, I don't know.

00:42:38: Aber das war, da hab ich halt wirklich gedacht, so krass.

00:42:42: Ich hätte gedacht, dass ich wenig empfänglich bin für so automatische Geschichten, aber das Ding hat mich total erreicht.

00:42:51: Dein psychologischer Faktor sind Schuldgefühle.

00:42:53: Ja,

00:42:53: genau.

00:42:53: Schuldgefühle.

00:42:54: Spannend.

00:42:55: Nicht die versprochenen zehn Millionen vom Prinz aus Nigeria.

00:42:59: Ich denke nicht den ganzen Tag, was ich haben könnte, sondern nicht den ganzen Natur nach, was ich nicht erreicht habe und nicht geschafft habe.

00:43:05: Es gibt ein paar psychologische Faktoren, die natürlich sehr individuell bei jedem anders.

00:43:10: Funktionieren.

00:43:11: Schuldgefühle Neugier aber auch ein Klassiker ist erzeugen von Druck von Angst macht das und das sonst das und das passiert oder.

00:43:19: Dein Rechner ist infiziert.

00:43:20: klicke jetzt auf diese infizierte Datei um die Infektion.

00:43:24: Loszuwerden da stellen wir tatsächlich auch fest sobald wir auch anfangen.

00:43:29: Die entsprechenden Templates zu ändern wenn wir sehen.

00:43:34: Die und die Faktoren haben gut funktioniert, die haben weniger funktioniert, sondern natürlich auf die konzentrieren, die gut funktioniert haben, geht auch erstmal die Klickrate nach oben.

00:43:43: Also ich bin auch schon auf unsere eigenen Fishing-Mails reingefallen, das ist jetzt auch nichts Verwerfliches am Ende des Tages.

00:43:49: Hilft das eben auch und ich persönlich bin auch entgegen der immer stärker werdenden Meinungen ein großer Fan von Fishing-Tests, einfach weil es so ein Brot- und Butterübung ist und einfach normal so ein bisschen... schult und darauf hinweist.

00:44:04: Hinterfrage kritisch, ob die Mail tatsächlich so valide ist.

00:44:08: Und wenn ihr nicht sicher bist, dann über die bekannten, dir bekannten Kommunikationskanäle, die Personen mal anrufen und fragen, kann das tatsächlich gerade von dir?

00:44:17: Jetzt

00:44:18: habe ich die ganzen Fragen gestellt, die mir so einen Kopf reinkam.

00:44:24: Gibt es noch ein Kapitel, ein Thema, wo du sagst, darauf bin ich noch gar nicht eingegangen, aber eigentlich ist das total spannend oder Das liegt dir besonders oder das ist eine Message, die du wichtig findest, die die Leute mal hören sollten?

00:44:37: Grundsätzlich, ich habe sie eben schon angesprochen.

00:44:39: Dadurch, dass das Thema Cyber Security immer, immer wichtiger wird, liegt es mir persönlich am Herzen, dass auch gerade die entscheidenden Unternehmen das verstehen.

00:44:49: Dass es eben kein Thema ist, was man der IT auslagern kann, sondern dass man entsprechende Ressourcen zur Verfügung stellt, dass man entsprechende Mitarbeitende einstellt, wenn gleich Ich weiß das Ressourcen gerade in heutigen Zeiten sehr knapp es gut sind sollte man an der Stelle tatsächlich nicht sparen.

00:45:06: Sofern kann ich da nur nur hoffen für jeden da seinen ähnlich guten Vorstand wie bei uns hat der eben die Ressourcen entsprechend zur Verfügung stellt er gemerkt hat okay das Thema ist wichtig wir wollen da am ende des tages auch.

00:45:20: auch investieren.

00:45:21: Man muss darüber im Klaren sein, es ist ja nicht nur das gegebenenfalls das Firmenenterne Know-how abhanden kommt, sondern am Ende des Tages, und das ist wahrscheinlich auch noch mal eine ganze Ecke schlimmer, der Vertrauensverlust gegenüber den Kunden.

00:45:34: Weil die wollen natürlich auch, dass sichergestellt ist, dass deren Kundendaten geschützt sind, dass die Produkte sicher sind.

00:45:42: Und ja, ich meine, manche Familien gehört der Thermomix auch zur kritischen Infrastruktur und sollte der mal ausfallen, dann Ja, kann es kritisch werden am Ende des Tages.

00:45:52: Ja,

00:45:52: das stimmt.

00:45:52: Ich weiß auch nicht mehr, wie ich einen Mauerwurf kuchen ohne Thermomix baue.

00:45:58: Ich dachte, du sagst jetzt Eier kochen.

00:46:00: Nee, das krieg ich gerade noch hin.

00:46:04: Wenn ich das Gefühl habe, mein Vorstand ist aber noch nicht so, wie du es gerade beschreibst.

00:46:09: Wie kann ich den, der nudgen, dass er von sich aus auf die Idee kommt, dass das Thema mehr Ressourcen oder mehr Privo benötigt?

00:46:17: was gut funktioniert ist, wenn man die Möglichkeit hat, mal den einen oder anderen CISO einzuladen, der vielleicht schon mal gehackt wurde, beziehungsweise dessen Unternehmen es schon mal erwischt hat, dass man so einen betroffenen Vortrag durchaus halten kann.

00:46:31: Am Ende des Tages macht das nochmal einen anderen Impact, wenn man da jemanden stehen hat, der wirklich erzählt, ja, dann sind wir montags morgens ins Büro gekommen, alle Rechner waren schwarz und am Ende des Tages sind es also zwanzig Millionen Euro gekostet.

00:46:45: Das erzeugt nochmal einen spannenden Impact.

00:46:47: oder wovon ich auch ein großer Fan bin, ist das ganze Thema Tabletop Simulationen.

00:46:52: Also durchaus sich mal drei, vier Stunden Zeit nehmen, in einen Raum einschließen, gerne noch mit einer externen Beratungsunterstützung und dann mal einen Krisenfall durchzuspielen.

00:47:03: Was würden wir denn jetzt tun in den und den Punkten?

00:47:05: Wie erreichen wir unsere Mitarbeitenden?

00:47:08: davon ausgehen, dass Microsoft Teams Outlook und das Internet nicht mehr verfügbar ist?

00:47:13: Was machen wir dann?

00:47:13: Oder wenn wir sagen, okay, die Angreifer wollen zwei Millionen US-Dollar in Bitcoins haben, wir beweisen die.

00:47:20: Wer hat die im Unternehmen?

00:47:22: Wie funktioniert das?

00:47:23: Kann ich das einfach über einen Binance-Account machen?

00:47:26: Darf ich das überhaupt?

00:47:27: Und wie ist das steuerrechtlich zu bewerten?

00:47:29: Das sind alles Fragen, die man im Vorfeld klären muss.

00:47:32: Da wird man im Falle eines Cyberangriffs keine Zeit mehr verhaben.

00:47:36: Und das ist durchaus etwas, was ganz, ganz spannender lessons learned erzeugt.

00:47:40: Das, was du gerade beschrieben hast, dass man sich so ein CISO einlädt oder sowas oder auch mal so was Themen spricht, das fällt auch so ein bisschen unter dein Trusted Community.

00:47:47: Dass man gerade, wenn es um Sicherheit geht, sagt, wie kann ich einen Raum schaffen, in dem es okay ist, die Hosen runter zu lassen und zu sagen, das hat nicht gut geklappt.

00:47:56: Das würde ich jedem von euch mitgeben.

00:47:57: oder auch einfach Experient Sharing zu machen.

00:48:00: Inzwischen gibt es eine sehr, sehr tolle Community von CISOs internationalen allen voran.

00:48:07: in Deutschland, die sich auch zusammengeschlossen haben, die dann auch über diverse sichere Messenger kommunizieren.

00:48:14: Das ist so eine Gruppe von knapp über hundertdreißig C-Sus inzwischen, wo man sich dann eben auch in einem geschützten Raum austauscht.

00:48:20: Was ist ein sicherer Message aus Signal?

00:48:21: Signal, ja.

00:48:22: Wir haben Signal gewählt.

00:48:24: Weil am Ende des Tages muss man sich darüber im Klaren sein, wir sitzen alle im gleichen Boot.

00:48:28: Wir wollen alle nur, dass unsere Kolleginnen und Kollegen in ihrer Arbeit sicher machen können, ohne groß von uns quasi gestört zu werden.

00:48:37: Die Sicherheitsstrategie sollte nicht darauf beruhen, dass keiner die Sicherheitsstrategie kennt.

00:48:40: Sondern man sollte damit offen umgehen, aber eben aufzeigen, pass auf, wir haben das so und so gelöst.

00:48:46: Wir haben beispielsweise mit dem und dem Lösungsambienter gute Erfahrungen gemacht oder weniger gute.

00:48:50: Wir können da Kontakte herstellen.

00:48:53: Also da ist ein Austausch schon sehr, sehr fruchtbar.

00:48:56: Letzte Frage.

00:48:58: Hast du Spaß gehabt?

00:49:00: Ja, viel gelacht.

00:49:01: Schön.

00:49:02: Florian, lieben Dank für deinen Besuch und deinen ganzen Insights.

00:49:04: Ich hatte auch viel Freude und wünsche dir und Vorwerk und euch und eure Sicherheit weiterhin alles Gute.

00:49:09: Danke schön.

00:49:11: Und du am Kopfhörer.

00:49:12: Leider, leider, leider ist diese Folge zu Ende.

00:49:15: Aber wenn du uns jetzt abonnierst, dann findest du viele, viele tolle Folgen aus der Vergangenheit im Feed.

00:49:20: Und natürlich ab der nächsten Woche wieder die nächste tolle Folge.

00:49:23: Danke, dass du reingörd hast.

00:49:24: Und bis dahin, liebe digitale Grüße von

00:49:26: Florian Jörgens

00:49:27: und Christoph Bursach.

00:49:28: Ciao, ciao.