We have been PWNED – Was CISOs Unternehmen im Ernstfall wirklich brauchen – mit Benedikt d'Oleire-Oltmanns

00:00:01: Ich würde sagen, es ging mit zwei Dinge durch den Kopf.

00:00:03: Das eine war okay der Chaos Computer Club ist noch im Ethical Hacking.

00:00:07: also sie informieren Leute wenn was passiert.

00:00:10: das andere war oh shit man wird sich nicht gegen alles schützen können.

00:00:15: dass bleibt Standard der Security oder jeder Security Experte wird immer sagen wir sind nicht sicher.

00:00:21: na je schlimmer die Krise desto wichtiger einmal atmen bevor der Kopf explodiert.

00:00:32: Die meisten Security-Krisen scheitern nicht an Technik, sondern an Entscheidungen.

00:00:36: CISOS Cyber Security und GSC Leads berichten vom Moment der Wahrheit – wenn Systeme brennen, Audits drücken um Budgets nicht reichen!

00:00:44: Ungefiltert ohne Buzzword Bingo mit klaren Learnings für Zuhörer.

00:00:49: Das ist CISO Unscripted.

00:00:59: Viele fragen sich vielleicht zumindest stelle ich mir schon seit Längerem die Frage wie es eigentlich ist wenn man wirklich gebreached wird?

00:01:06: Also ich meine nicht nur intern, nicht nur irgendwie als kleiner Sicherheitsvorfall auf dem Papier sondern wirklich öffentlich.

00:01:12: Wenn Leitmedien wie der Spiegel über einen berichten wenn Behörden große Sicherheitsbehörden oder sogar Geheimdienst zu involviert sind um man als Organisation aber auch als Security Team und insbesondere als leitende Person wirklich Fokus steht Vielleicht hat man intern die richtigen Prozesse arbeitet sauber ist handlungsfähig steht auch im Austausch mit den richtigen Stellen.

00:01:31: Trotzdem wird oft durch die Medien nach außen ein völlig anderes Bild vermittelt und das ist auch genau die Härte solcher Situationen des Spannungsverhältnisses, in denen die Personen auf dem Unternehmen stehen.

00:01:41: Jeder weiß eigentlich es gibt keine hundertprozentige Sicherheit, jedes Unternehmen kann getroffen werden aber bei so einer Krise wird dann oft mit anderen Maßstäben gemessen Und ich habe mich immer gefragt wie steuert man durch solche situation wirklich erfolgreich durch?

00:01:55: Wie bleibt man da ruhig persönlich wenn man solche Themen managen muss Und wie trifft man in so einem Moment noch gute Entscheidungen?

00:02:02: Genau das ist unser Thema heute, also willkommen bei Season Unscripted dem Podcast mit und für Cyber Security, Governance Risk und Compliance Leader.

00:02:11: Wir blicken hinter die Kulissen der fähigsten Köpfe der digitalen Sicherheit und zeigen – wie

00:02:15: sie denken,

00:02:16: entscheiden und handeln!

00:02:17: Mein heutiger Gast ist Benedikt Duller.

00:02:20: Benedikt ist aus meiner Sicht jemand der wirklich krisenfest ist und er auch bewiesen hat, dass er in größeren Krisen, Medien wirksam Krisen wirklich einen ruhigen Kopf bewahren kann.

00:02:30: Und da frage ich mich natürlich wie denkt so eine Person?

00:02:33: Benediks Werdegang ist wirklich sehr facettenreich vom IT Audit bei KMG bis hin zum Aufbau eines internationalen Socks bei Airbus über die Gesamtverantwortung der IT Security bei der Firma Carriott und heute als Global Head of Sorg bei der Firmadieper hat er wirklich sich an allen Fronten der digitalen Sicherheit bewiesen.

00:02:52: Was Benedict daher aus meiner Sicht besonders macht, er kann uns sowohl einen Blick in den Maschinenraum geben als auch in strategischen Fragen und kann uns genau erklären wie denkt man in einer großen Krise?

00:03:05: Genau darüber sprechen wir auch heute über Krisenfestigkeit, über den kühlen Kopf im Ernstfall über gute Sockstrukturen und über die Frage, wie man starke Security-Teams aufbaut, führt und im Ernstfall auch schützt.

00:03:19: Also Benedikt herzlich willkommen!

00:03:21: Vielen herzlichen Dank Alexander.

00:03:22: ich freue mich hier zu sein.

00:03:24: Ja super normalerweise fangen wir an mit einer Kurzvorstellung wer ist unser Gast?

00:03:28: Ich habe dich jetzt einmal kurz vorgestellt und dann geht man so ein bisschen auf die Vita ein wo war es drüber?

00:03:33: was hast du alles gemacht?

00:03:34: Ich möchte eigentlich jetzt eigentlich direkt auf den Punkt kommen Zu dem Thema, das die meisten wahrscheinlich auch sehr interessiert.

00:03:41: Wenn Sie sich da ins TV angucken lesen sie Kariat ja.

00:03:44: Was aktuell ja direkt so ein bisschen auch VW mit auf den Schirm bringt und man denkt eigentlich direkt an den VW-Geodatenskandal.

00:03:53: Ich würde es einmal ganz kurz erklären.

00:03:54: ich weiß du kannst hier nicht wirklich ins Detail gehen.

00:03:56: keine interner verraten ne?

00:03:58: Das ist ganz klar.

00:03:59: das respektieren wir auch Und ist auch eine sehr gute Nacht vollziehbar bei der Tragweite des Vorfalls.

00:04:05: Jetzt ist es so, es gibt ja schon genug öffentliche Daten über diesen Fall.

00:04:09: Der Chaos Computer Club hat das sehr medienwirksam auf seiner letzten Tagung veröffentlicht.

00:04:13: Gibt einen ganzen Talk darüber auch bei YouTube sichtbar.

00:04:16: Fünfundvierzig Minuten oft wird auf jeden jedes Detail eigentlich eingegangen also von der Breach Situation bis hin zur Nutzung der Daten und was in diesem Daten dann vorhanden war.

00:04:27: wurde dort alles wirklich den Zuhörern serviert.

00:04:31: Sehr mediengerecht sehr öffentlich.

00:04:34: Wer das interessiert, den würde ich wirklich raten einmal dieses Video des Chaos Computer Clubs selber zu gucken.

00:04:40: Da wird dann sehr breit darüber diskutiert.

00:04:43: Ich würde es auch verlinken in den Quellen einmal das Video.

00:04:47: Aber da wir jetzt nicht wirklich in die Details gehen wollen bzw zumindest nicht in diese Details ist für mich und auch viele andere Menschen aus der Sicherheitsbranche eigentlich eine ganz wichtige Frage Wie geht man selbst damit um?

00:05:04: Vieles, wie so es viele Sicherheitsarchitekten.

00:05:07: Viele Menschen die in Deutschland quasi an der digitalen Front-Line sitzen beschäftigt da immer die Frage wir sichern Themen ab Wir versuchen den Breach zu verhindern.

00:05:17: aber was wenn das passiert?

00:05:18: Was wenn ich Medienwirksam gebreached werde und mit einmal auf dem präsentiert Teller vor der ganzen Nation stehe?

00:05:26: Und in so einem Fall würde ich denn auch mal direkt zur ersten frage kommen.

00:05:31: Benedict Was ging dir in der ersten Sekunde durch den Kopf, als du von diesem Breach erfahren hast oder benachrichtigt wurdest?

00:05:40: Ja war auf jeden Fall wie man sich vorstellen kann.

00:05:42: Eine Überraschung nennen wir es mal so keine von den Guten.

00:05:46: Ich würde sagen es gingen mit zwei Dinge durch dem Kopf.

00:05:48: das eine war okay der Chaos Computer Club ist noch im Ethical Hacking also sie informieren Leute wenn was passiert.

00:05:57: Das andere war oh shit.

00:05:59: Also ich meine ... recht viel mehr kommt nicht in den Kopf, in der ersten Sekunde.

00:06:04: Und dann mit dem Team zusammen und los... Also das war dann eher so.

00:06:09: ich nenn's jetzt mal den strukturierten Ablauf.

00:06:12: da trainiert sich ja auf diesen Fall ein.

00:06:15: aber es ist natürlich eine Überraschung gesetzt.

00:06:17: Gewisser Druck im Kopf entsteht und man muss dann versuchen halt den nach hinten zu schieben und die Routine noch vorne.

00:06:23: Ja hattest du vorher schonmal Kontakt zum Chaos Computer Club oder warst vielleicht selber mal in Hamburg?

00:06:29: Die Tagung angeguckt.

00:06:31: Ich war während meiner Studienzeit noch damals waren sie mal in Berlin eine Zeit, da war ich mal auch auf dem CCC.

00:06:37: was auf dem Chaos Computer Kongress.

00:06:40: Ich folge den Kongressen bin aber selber mit Familie ist es immer schwer zwischen Weihnachten und Neujahr auf ein CCC zu gehen, auch wenn's natürlich super cool wäre.

00:06:50: Aber meine Kinder finden das glaube ich nicht so cool.

00:06:53: die muss ich erst nur in diese Welt einführen und meine Frau würde wahrscheinlich zu Hause bleiben.

00:06:59: Ja, ja.

00:07:00: Ich habe meinen Sohn das jetzt auch schon mal so ein bisschen gezeigt und er fand es auch mega spannend.

00:07:04: der ist jetzt neun... ...und ich kann mir vorstellen die haben ja sogar auch kindergerechte Veranstaltungen so ein bißchen und binden auch schon Kinder und Jugendliche mit ein.

00:07:11: Das fand ich ganz spannend.

00:07:12: aber da schweifen wir ab.

00:07:14: für mich vielleicht auch eine sehr wichtige Frage kannst du dich noch erinnern wo du warst als du das gelesen hast also die Benachrichtigung bekommen hast?

00:07:21: Zuhause im Homeoffice, ganz entspannt beim Arbeiten.

00:07:28: Also es war ein ganz normaler Tag wie man es erwartet.

00:07:31: Ein ganz normales Tag nur wo der relativ wild

00:07:35: ist.

00:07:35: Ich kann mir das vorstellen.

00:07:36: also wenn das mir passieren würde ich hätte ja erst mal wer total unterschockt.

00:07:39: Man kennt ja auch so Themen wenn man die E-Mail bekommt mit denen man nicht gerechnet hat die sind jetzt nicht positiv und man erstmal schaut was ist denn das für eine E-mail?

00:07:47: Und dann ließ man sich das und denkt, oh Gott, es wird immer schlimmer.

00:07:49: Je länger man liest eigentlich relativ schnell muss man reagieren.

00:07:53: Was sind da so die Reaktionzeiten?

00:07:55: Und wie schützt man sich vor dem ersten Schock?

00:07:57: Jetzt war das in dem Fall Ethical Hacking... ...und wenn's jetzt aber nicht Ethical Hack'n wäre, wenn's ein Black Hat-Hacker wär, wenns jetzt jemand mit bösen Absichten wär, dann wäre das ja von der Tragweite her wesentlich schwieriger wahrscheinlich.

00:08:09: Und Reaktionszeiten müssten deutlich schneller sein oder?

00:08:13: Ich würde sagen, man muss nicht.

00:08:15: Also ich glaube, ich unterscheide nicht zwischen ist es gut oder schlecht?

00:08:19: in dem Sinne das ist in dem Fall was ja eine Lücke.

00:08:24: Also was auch immer der Angriff ist sozusagen da unterscheidig nicht muss er behandelt werden.

00:08:29: Das heißt es gibt natürlich eine Priorisierung.

00:08:32: die Priorisierung wird normalerweise durch gewisse Referenzwerte.

00:08:37: also wie groß ist der Impact?

00:08:38: Was ist der impact und was ist der Schaden der entstehen?

00:08:41: kann daran Kritikalität erst mal eingestuft, das kann sich dann auch im Falle ändern wenn es ein false positive ist.

00:08:49: Aber erstmal wird ja eine erste Einschätzung vorgenommen.

00:08:53: Wenn die vorgenommen ist, dann wird entsprechend reagiert.

00:08:56: Dann haben wir auch Responsezeiten hinterlegt etc.

00:08:59: also in einem normalen Security Operations Center.

00:09:03: Die kann natürlich auch gerissen werden.

00:09:05: Also nur weil ich eine Responsezeit definiere heißt er nicht dass ich sie auch reinhalten kann.

00:09:09: da gibt's ja viele Faktoren die rein zählen aber von der Erstmal alles was reinkommt wird gleich behandelt, es wird erst mal eingeordnet und dann abgearbeitet.

00:09:21: Ich meine natürlich würde man in einer Situation wo man weiß das ist ein Attacker jetzt in meinen Netzen eine Sicherheit mit mehr Durchsatz reingehen als wenn man sagt okay wir wissen schon wo's ist Wir müssen nur in Anführungszeichen schließen etc.

00:09:37: Aber von der Response Zeit wäre es eigentlich identisch oder von der Vorgehensweise erst mal, von der grundlegenden.

00:09:45: Ich finde wenn du es so erzählst das kommt so ruhig rüber, so besonnen... So hört sich gar nicht nach in einer Krise an.

00:09:53: also ich bin ich mich da reinversetzt und ich wäre jetzt in deiner Position dann würde ich wahrscheinlich in blanke Panik geraten.

00:10:02: vielleicht zur nächsten Frage da auch Genau das.

00:10:05: Was unterscheidet dann den krisenfesten Security-Mitarbeiter oder Führungskraftmann einem, der nicht so krisenfest ist?

00:10:13: Gute Frage!

00:10:15: Vielleicht müssen wir da jemand fragen, der mich kennt... Ich glaube man muss eine gewisse Grundruhe mitbringen und ich glaube was mir geholfen hat ist also viel Erfahrung in dem ganzen Bereich Security und eine gewissen Grundbelastbarkeit vielleicht.

00:10:30: Ich bin nahe an den Themen Das heißt, ich kann sie sehr schnell einordnen.

00:10:34: Ich kann Dinge in die Wege leiten... Es ist ja nicht nur ein Sock verantwortlich wenn es einen Breach gibt und man braucht ganz viele Abteilungen in Engineering wie auch immer, wer auch immer involviert ist.

00:10:47: Man muss sich klar machen also ich allein werde die Welt nicht retten.

00:10:52: Also es müssen die Prozesse da sein das muss funktionieren Man muss alles richtig machen, das ist klar.

00:10:57: Also dass in so einer Situation nicht auch noch ein Human Failure oder Human Error passiert.

00:11:03: Deswegen bereitet man diese Situation vor und dann ist es ich würde sagen sehr viel Übungen Erfahrung Und ja im Notfall erst durchatmen dann entscheiden also auch wenn's je schlimmer die Krise desto wichtiger einmal atmen Bevor der Kopf explodiert.

00:11:19: Ja Wie gesagt, ja man natürlich.

00:11:23: dann wenn man denn auch systematisch alles vorbereitet hat.

00:11:25: Wenn man die Abläufe kennt, wenn man selber auch schon den ein oder andere Simulation hatte bestimmt auch dann souverän durchstehen.

00:11:33: Nichts jetzt so trotz würde ich das ganz gerne bisschen greifbarer haben.

00:11:37: Das heißt wir können nicht auf den aktuellen Fall tiefer eingehen und sagen was war da falsch?

00:11:41: Und wir bereiten uns davor und was wäre besser gewesen?

00:11:44: und aber Ich habe mit dir ein kleines Gedanken Experiment vor.

00:11:47: okay

00:11:48: Ich würde dir jetzt einmal so einen kleinen Fall vorstellen oder in eine gewisse ein gewissen Gedanken mit reinbringen und du kannst mal schauen wie du das Hand haben würdest.

00:11:57: also.

00:11:58: Stellt ihr vor ja, du bist hart of security operations hat off security oder derjenige der die first line und auch die ganzen ganzen Themen dort verantwortet.

00:12:08: Du bist neu in einem Unternehmen das unternehmest deine komplett grüne Wiese.

00:12:11: Ja das heißt sie haben noch gar nichts Und... Du weißt ganz genau wie viel Zeit ihr bis zum breach bleibt.

00:12:19: Ja, vielleicht die erste Frage an der Stelle.

00:12:22: Wie viel Zeit bräuchtest du von null auf hundert?

00:12:27: In diesem Konzern ungefähr gleiche Größe globaler Konzernen.

00:12:32: Grüne Wiese heißt hart vor Nachteile.

00:12:36: Grün Wiese heisst ich habe keine Bestandsprozesse, die ich adaptieren können muss.

00:12:40: Ich hab keinen der vielleicht schon parallel in der Security-Organisation aufbaut etc.

00:12:46: pp.

00:12:46: also von daher kann ich da mir sehr schnell ein Dienstleister holen, der mich anfänglich unterstützt kommt dann auch noch natürlich darauf an bin ich sehr viel.

00:12:54: in der Cloud bin ich zentral dezentral.

00:12:57: wie auch immer Ich denke dass man in sechs Monaten gutes Grundgerüst hinbekommt.

00:13:03: Man wird sich nicht gegen alles schützen können.

00:13:05: das bleibt Standard der Security oder jeder Security Experte wird immer sagen wir sind nicht sicher.

00:13:12: Wir sind so sicher, wie wir eben sein können mit den Gegebenheiten die uns umgeben.

00:13:18: Von daher ich denke in sechs Monaten kann man Grundgerüst aufbauen.

00:13:20: aber es ist ein sehr kleines Grundgerust mit dem man starten muss und von... Man muss sich anschauen was sind die Critical Assets?

00:13:28: Was sind die Dinge die wir schützen müssen?

00:13:30: also wo tut's weh?

00:13:32: Wo tut's weniger weh?

00:13:33: Also das in der Bank.

00:13:35: wenn ich an die Transaktionsdaten komme dann habe ich als Hacker wahrscheinlich schon gutes Leben weil da kann ich sehr viel Druck ausüben.

00:13:42: Auf der anderen Seite, wenn ich auf die Personaldaten gehe.

00:13:45: Da gibt es zwar ein GDPR Case das ist auch nicht schön aber vielleicht findet Bank schon in den Rückstellungen vorgesehen dass sowas passieren kann oder in einer Salve Insurance.

00:13:54: also.

00:13:54: von daher würde ich sagen es ist eine deutlich andere Kritikalität.

00:13:57: beides schlimm aber eben schlimmer und schlimmer.

00:14:00: Ja ja stimmt das ist immer kommt doch mal auf dem Breach an und wo man reinkommt welche Assets betroffen sind.

00:14:07: jetzt haben wir die sechs Monate.

00:14:08: ja wo wäre eine erste Startup-Bereich?

00:14:11: würde man vielleicht MVP nennen, also wo wir dann ersten Grundversorgung haben in dem Bereich.

00:14:16: Jetzt geht das Gedankenexperten noch ein bisschen weiter natürlich, ne?

00:14:19: Das heißt mit einem diese sechs Monate Zeitraum kannst du natürlich gleich auch frei wählen.

00:14:23: Wir gehen jetzt auf zwei Dimensionen ein ja einmal das Unternehmen selbst und Du als Person.

00:14:29: Vielleicht fangen wir einfach mit der ganz einfachen Frage an.

00:14:32: Also für mich einfach für dich schwierig wahrscheinlich.

00:14:36: was bedeutet es für Dich einen Unternehmen krisenfest zu machen?

00:14:40: erst mal gar nichts mit Security zu tun.

00:14:42: Das ist glaube ich immer das Wesentlichste, dass also eine Krise... Also ich kann ja oft gehackt werden und meinem Unternehmen passiert nichts weil wie gesagt ich hack nur die Mitarbeiter-Daten was auch immer wenn nicht aber die OT, also die Operational Technology von einem Flugzeugbauer erwische und der nicht mehr produzieren kann, das ist etwas anderes.

00:15:02: Dann es ist ein Krisenthema!

00:15:05: Der CISO oder der Security verantwortlich ist In dem Fall Teil eines Krisenstabs und würde wahrscheinlich in dem Fall eines Hacker Angriffs dann auch die Führung übernehmen.

00:15:14: Das ist Krisenstarbs, aber es ein Teil eines Risiken oder eines je nach Konzern- oder Unternehmensgröße.

00:15:21: Teil eines Teams an der Stelle.

00:15:24: Er braucht Legal, er braucht Risikomanagement.

00:15:27: Wen auch immer noch.

00:15:28: Kommunications ab einer gewissen Größe.

00:15:30: hat man immer Communications für interne und auch externe Kommunikation dabei?

00:15:34: Ja, das schließt natürlich auch meine nächste Folgefrage an.

00:15:38: Also welche Strukturen und Prozesse müssen dafür stehen?

00:15:40: Welche Menschen müssen die verfahren sind?

00:15:41: Das hast du jetzt schon zum Grundteil beantwortet.

00:15:45: Wie geht es weiter?

00:15:47: Wie gesagt, waren jetzt Beispiele.

00:15:49: immer braucht IT.

00:15:51: Es gibt noch viele mehr je nachdem wie die Unternehmen aufgebaut sind und wie die Verantwortlichkeiten geteilt sind.

00:15:58: Ich muss sehr nah an den Vorstand in Krisensituationen oder an den Entscheidern.

00:16:03: Ich sage mal, den entscheidern ist meistens am Ende einer Pyramide sitzt dann doch einer der die Gesamtverantwortung trägt.

00:16:10: da bleibt nicht mehr viel Zeit für Diskussionen an vielen Stellen.

00:16:13: also.

00:16:13: deswegen müssen gewisse Grundstrukturen eingeführt werden global.

00:16:18: man muss sich entscheiden wie baue ich eine security strategie auf?

00:16:21: also sprich was macht der zieh so wie möchte der das möchtet ist zintralisiert macht es dezentralisiert lässt er den weiß nicht.

00:16:28: ländergesellschaften ihre eigene verantwortung?

00:16:31: je nachdem muss ich auch mein zock aufbauen.

00:16:33: je nach dem muss ich überlegen.

00:16:35: muss ich mir mit datenaustausch kina gedanken machen wenn es jetzt ein genesischen.

00:16:40: Anteil gibt oder ua oder oder oder um oder muss ich das nicht falls eben alles ... von den Ländergesellschaften organisiert wird.

00:16:49: Also das...

00:16:50: Genau, wenn wir jetzt mal von der zentralen ... ... von einem Group-Saison ausgehen, von einer zentranen IT, wo es ... ... Top Down besteuert wird mehr oder weniger die Bereiche.

00:17:01: Du erwähntest eben schon grad näher zum Vorstand?

00:17:05: Warum?

00:17:06: Die Nähe zum Vorstand?

00:17:06: also was genau bedeutet in dem Fall die Nähe zuvorstand?

00:17:11: Also warum...?

00:17:14: relativ einfach, wenn wir jetzt die ISO-Siemenundzwanzigtausend Einzelsbeispiel nehmen.

00:17:18: Die definiert ja schon das der Vorstand eigentlich sozusagen für Informationssicherheit verantwortlich ist.

00:17:23: sprich Der ZISO ist eine delegierte Persönlichkeit.

00:17:26: an der Stelle wissen die zuhörer besser als ich übernimmt die Informationssicherheit aber natürlich muss der vorstand informiert sein.

00:17:34: Über die Belange kommt dann auch darauf an An wen der Vorstand noch?

00:17:38: gibt es einen Aufsichtsrat?

00:17:39: Wen berichtet der Vorstanden noch?

00:17:42: Wem ist er Rechenschaft?

00:17:44: Das sind die Themen, wo sozusagen die wichtig sind für den Vorstand vor allem weil es im Krisenfall ja nicht mehr ein Thema ist das jetzt nur Engineering betrifft oder Finance oder Personal.

00:17:56: Sondern da muss der Vorstand Entscheidungen treffen die übergeordnet also steuernd eingreifende Entscheidungen.

00:18:05: deswegen is an dem Punkt Wichtig, dass der Vorstand informiert ist.

00:18:09: Es ist ja auch die NES-II kommt.

00:18:11: Die zieht ja den Vorstand noch mehr in die Pflicht was Informationssicherheit angeht.

00:18:15: Jetzt auch das Sock im Sinne von wir müssen reporten wenn gewiss.

00:18:18: also gut in Deutschland müssen wir noch gar nichts aber bald werden wir es müssen.

00:18:23: wenn die Gesetze verabschiedet sind oder das Gesetz ein nationales recht ungesetztes dann wird sie eine Reportingpflicht geben für kritische Inzidenzen.

00:18:33: Da muss man sich überlegen, was ist ein kritischer Inzident?

00:18:35: Das muss wieder definiert sein etc.

00:18:37: Dann muss aber der Vorstand informiert sein weil sonst kommt das BSI und fragt den Vorstand warum ein gewisser Inzidenz da ist und dann möchte der Vorstand sicherlich wissen dass es einen Inzident gab.

00:18:47: Also ist ja eine der kritischen Themen im Unternehmen.

00:18:51: Es wäre genauso wie wenn die Produktion still steht jetzt nicht wegen dem Cyber Security-Inzident.

00:18:56: dann möchte Der Vorstand das sicher auch wissen.

00:18:58: Er möchte auch wissen wie lang Ja Und wie lange noch

00:19:03: Das kann ich gut nachvollziehen, der Vorstand ist zu informieren.

00:19:08: Ich möchte jetzt gar nicht dem ein oder anderen Vorstand zu nahe treten.

00:19:13: Klar es sind keine cybersecurity-Spezialisten.

00:19:16: das heißt wenn wir jetzt eine Information bekommen, wenn wir diejenigen informieren und wenn sie auch eine gewisse Entscheidungskompetenz noch eingeräumt haben in der Vorstatt der letzten Endesjahr verantwortlich ist muss ja dann entscheiden muss sagen so machen wir's oder so machen wie es nicht.

00:19:31: erst die Frage ist wirklich so.

00:19:33: Und jetzt kann ich mich nämlich ganz deutlich ein bisschen... ... an die Discovery oder an die Videos vom CCC erinnern, wo immer gesagt wird.

00:19:41: Das sagen sie häufiger mal ja wir haben mit den Sicherheitsverantwortlichen geredet und nicht mit dem Management.

00:19:46: so und da so die Frage wieso ist das so?

00:19:50: Ja und vielleicht auch noch eine Anschlussfrage Kann das nicht manchmal bremsen?

00:19:57: Kann es nicht manchmal so sein, dass wenn jetzt die Vorstände sich einmischen.

00:20:01: Dass das Ganze noch länger dauert und noch schwieriger wird und noch komplexer wird?

00:20:05: Und die vielleicht auch bei gewissen Themen ganz andere Risiken sehen als du jetzt an der Stelle?

00:20:12: Ja aber ich glaube also um die erste Frage warum rendet sich der CCC an die Security Verantwortlichen oder umgekehrt?

00:20:19: Warum wenden sich die Security Verantwortung an den CCC?

00:20:22: Ich denke weil sie dieselbe Sprache sprechen Den CCC, ich kann nicht für den CCC sprechen.

00:20:27: Ich vermute die wollen auch lieber mit den Fachleuten sprechen und nicht mit den Managern.

00:20:35: Also lieber CCC correct me if I'm wrong.

00:20:40: Auf der anderen Seite ja natürlich könnte der Vorstand auch ausbremsen.

00:20:45: das kann aber auch wichtig sein klingt blöd ist aber so weil ich entscheide ja nur auf Security Sicht.

00:20:52: also Ich sage es jetzt mal, ich bin der Fachidiot für Security.

00:20:56: Ich bin nicht der Fach-Idiot für Businessrisiken.

00:21:00: Also ich bin nicht die Verantwortliche.

00:21:02: Das heißt, ich kann einbringen was das aus Security Sicht bedeutet?

00:21:06: Ich brauche aber natürlich jemanden aus zum Beispiel im Finanzbereich, der mir sagt na ja was ist der Financial Impact da drauf?

00:21:12: und aus diesem Gesamtlagebild muss eine Entscheidung getroffen werden weil es kann natürlich sein dass ich als Head of Security Operations oder vielleicht mein C so Sagt wir müssen das sofort abschalten, weil es könnte was sein.

00:21:25: Aber dann steht eben unser gesamtes Business für Stunden still und wir kriegen kein Geld mehr in die Firma Und am Ende stellt sich raus naja Wir haben's ein bisschen überdramatisiert Es war doch ein Forstpositiv.

00:21:36: Schade eigentlich, wir haben einfach nur maximal Geld verloren als Firma.

00:21:39: Deswegen muss die Entscheidung auch... Also wir können Entscheidungsvorlage bringen aus Security Sicht.

00:21:44: Das müssen aber andere Stakeholder mit Mit in diese Entscheidung, also in dem Krisenstab sozusagen mit drin sitzen.

00:21:50: Die müssen auch entscheiden oder mitentscheiden.

00:21:52: was wird gemacht?

00:21:54: Ich kann als Securityverantwortlicher keine Business-Entscheidung

00:21:57: treffen.".

00:21:57: Das wird sich dann immer gewünscht wenn man in der Krise sitzt das sozusagen die Security verantwortlichen alles klären und den Vorschlag machen wie machen wir es jetzt richtig?

00:22:06: aber da wie gesagt wir haben in Anführungszeichen keine Ahnung vom Geschäft.

00:22:10: Wir sind ja nur Security Andere sind nur Finance und andere sind nur, weiß ich nicht.

00:22:15: Und mit nur.

00:22:16: das soll ein bisschen zerkastisch sein.

00:22:18: Jeder kennt sich ein bisschen aus was das Geschäft tut.

00:22:21: aber dieses allumfassende Wissen, das trägt sich nach oben zum Vorstand zusammen.

00:22:26: Da kommt die Entscheidung und da muss die Entscheidung kommen oder es muss delegiert werden.

00:22:31: Aber das ist nicht an den Ziesel automatisch.

00:22:33: Ich glaube da freuen sich viele wenn das nicht passiert.

00:22:36: Wenn

00:22:37: du so ein bisschen an deine vergangenen Position zurückblickst, ist nicht nur Bakari jetzt sondern auch bei Airbus oder bei KMG oder mit anderen Kunden.

00:22:45: Oder Bridges, mit denen du zu tun hattest.

00:22:47: Wie sehr sind sich die Vorstände davon bewusst dass sie letzten Endes diese Entscheidung treffen müssen?

00:22:52: Ist es etwas was dann für Sie Neues in der Stelle... Was machen wir jetzt?

00:22:57: Hilfe ich weiß gar nicht was wir jetzt machen.

00:22:59: also Benedikt macht doch bitte was.

00:23:06: Wie sieht das aus?

00:23:07: Der erste Impuls ist sicher, Benedikt macht doch bitte was.

00:23:10: Weil das ist natürlich... Eigentlich hat man ja Leute die die Dinge erledigen.

00:23:13: Also nicht im Negativen sondern dafür setzt man ja leute ein.

00:23:16: aber da es ist wichtig dass wir also in bestem Fall... Wir haben Unternehmen unterstützt, dass sie auch Tabletop-Exercises machen.

00:23:23: Also sprich wirklich inklusive dem Vorstand sich mal durch exerzieren was wäre wenn.

00:23:29: Also es kommt jetzt ein lasse es eine Fishing Email sein den der Ransom wer auslöst.

00:23:34: Wie ist die Eskalation bis hin zum Vorstand?

00:23:36: Dann weiß der Vorstand auch okay.

00:23:38: Es gibt Situationen, da werde ich angerufen und dann ist es notwendig dass sich mir dafür Zeit nehme weil wir wissen alle Vorstände warten jetzt nicht auf Arbeit.

00:23:46: das ist... Die haben genug zu tun.

00:23:49: Also man muss im besten Fall die Firmen drauf vorbereiten also die Vorständee darauf vorbereiten.

00:23:55: Ich glaube viele sind sich mittlerweile bewusst.

00:23:57: Ich kann viele Unternehmen sprechen mit vielen CISOs und Security verantwortlichen relativ viel.

00:24:04: jetzt durch eines zwei und auch generell durch die Gesetzgebungen, die kommen werden verändert.

00:24:10: Dass der Vorstand mehr in die Pflicht genommen wird also auch persönlich in die pflicht genommen würde eben nicht mehr dieses ja das delegieren wir alles in den Ziesel dann ist es weg sondern in die Richtung.

00:24:19: Der vorstand bleibt schon verantwortlich dafür.

00:24:22: er kann delegieren dass er eine informationssicherheitsbeauftragten hat muss aber auch nachweisen im schlimmsten fall dass er ihm alle sehr möglich Die, in der Vergangenheit war es glaube ich sehr viel der ZISO.

00:24:33: Deswegen ist die ZISODurchschnittshaltbarkeit keine zwei Jahre weil der Ziso war dann eben derjenige der ja alles ausbehaltet werden was passiert obwohl er vielleicht für die Hälfte der Dinge nichts kann.

00:24:47: also wenn jetzt die IT nicht so aufgestellt ist dass sich das absichern kann Wenn ich für die Absicherung gar nicht verantwortlich bin als CISO, weil ich bin der Informationssicherheitsbeauftragte.

00:24:56: Das heißt eigentlich überwache ich das Ganze ja nur.

00:24:59: Das heisst jemand anders müsste es tun wenn's keiner tut.

00:25:03: Don't shoot the Messenger aber... Ich glaube da werden sich die Unternehmen und die Vorstände jetzt gerade mehr und mehr bewusst was Gutes.

00:25:12: Also wir sind auf dem richtigen Weg Weil in meiner Zeit bei Airbus hieß es immer The Fifth Battlefield Cyber Security Raum Und ich glaube, das ist was, was jede Firma verstehen muss.

00:25:22: Es ist nicht ein Playground den wir irgendwo mal entwickelt haben die das Internet kam und bla bla sondern... Wir sind alle in diesem Internet!

00:25:32: Wir sind allen im Cyberraum.

00:25:34: Wir leben dort und keine Firma kann mir erzählen dass sie nicht dort ist.

00:25:40: also sei es Clouds, iot, any password you want aber es ist sozusagen immer dieses.

00:25:46: Es ist allgegenwärtig, es ist nicht mehr so dass wir irgendwo Zäune hochziehen und sagen wir sind sicher.

00:25:51: Das funktioniert nicht.

00:25:52: Also jeder Vorstand muss eine IT-Affinität oder eine Basissecurity Affinität haben genauso wie ein Vorstand für Flugzeuge wahrscheinlich sich auch mit Safety ein bisschen auskennen muss oder für Autos oder für Themen die eben auf das Menschenleben einwirken können.

00:26:08: Ich denke da kann jeder eine Safety Schulung oder hat jeder eine safety Schulung hinter sich?

00:26:13: Und genau so muss er eine security Schulung also ... gewisses Basis-Level mitbringen.

00:26:19: Was ist das Basis Level?

00:26:20: Vielleicht für diejenigen, die hier zuhören... ... ja auf Vorstandsheben unterwegs sind und sagen, Mensch wir haben da eigentlich auch relativ viele Fragezeichen jetzt,... ... was ist ein Basis level?

00:26:29: wo du sagen würdest... ... für jemanden der Management ist es genau dass... ...dass die Kenntnisstufe dir haben sollte um optimal... ...mit einem Sicherheitsfall quasi umgehen zu können.

00:26:42: Also ich glaube.... Bevor man über die, was ist das Basis Level ist glaube ich die andere Seite listen to your seesaw.

00:26:48: Also ich glaube wirklich ist ein leidiges Thema ist wie mach selber Arbeitsschutz Schulungen und Musse machen und ne also es ist jetzt kein Thema mit dem wir uns wo wir uns freuen dass wir's machen müssen.

00:27:01: Es ist aber notwendiges Thema.

00:27:04: Da höre ich aber auch auf den Arbeitsschutzz beauftragten wenn der mir sagt ... klettern nicht auf die Leiter, du bist dir als Büro angestellter... ... dann kliert euch nicht auf Die Leiter.

00:27:12: ich bin Büro Angestellte.

00:27:14: Auch der Vorstand wird das zu machen weil der Vorstand weiß sonst hat er dasselbe Problem wie ich.

00:27:19: Genauso ist es beim CISO wenn der Informationssicherheitsbeauftragte ein Risiko definiert lass es dir erklären.

00:27:25: Der CISo ist ein Übersetzer der muss sagen okay guckt mal her wenn wir das so machen dann haben wir einen Riesenloch und hier das Risiko das das und das passiert.

00:27:35: also Risiken dürfen.

00:27:37: Am Ende reportet ein CISO Risiken, wie jeder andere auch und vielleicht noch Chancen oder Möglichkeiten.

00:27:43: Darauf muss eingegangen werden.

00:27:44: wir auf Finanzrisiken auch.

00:27:46: ich glaube nicht dass jeder Vorstand automatischen Finanzexperte ist.

00:27:51: aber so dieses Grundgerüst die es jetzt in der Finance Welt ist muss sich eben auch in der Security haben.

00:27:57: oder Ich muss mir den CISOs schnappen und sagen bringen sie uns bei also bringe mir bei worauf wir achten müssen.

00:28:03: Dann hole ich mir vielleicht auch den IT-Leiter und lasse mich genau auf der Seite auch nochmal erklären.

00:28:07: Und dann sehe ich auch vielleicht Konflikte, und kann die ja auflösen.

00:28:10: Weil dafür ist dann wiederum das übergewartene Decremium da... Ich glaube was es die Basis?

00:28:17: Ich will jetzt niemanden auf eine ISO-Siebenundzwanzigtausend Einschulungen schicken in der Hoffnung dass er dann kommt und mir meinen Job erklärt!

00:28:24: Weil ich glaube da ist dann des Feingefühlen nicht da.

00:28:26: ne weil ich muss ja eine ISO auch wieder anpassen auf ein Unternehmen und nicht umgekehrt.

00:28:30: also Deswegen ist es schwer zu sagen, es gibt hier die Schulung oder es gibt dieses Setup das musst du verstehen.

00:28:36: Ich glaube so ein bisschen damit auseinandersetzen vielleicht auch im Austausch.

00:28:40: Ich meine CSUS haben ja ihre Selbsthilfegruppen wie ich sie immer liebevoll nenne wo man sich austauscht, wie und wohnt was?

00:28:47: Oder die Security Community allgemein.

00:28:49: das gleiche wird's auf Vorstandsebene geben.

00:28:52: Sich austauschen was sind Best Practices die die Unternehmen einsetzen?

00:28:56: also da würde es einen geben der sich mehr damit befasst und anderer weniger Ich glaube nicht ablehnend gegenüber Security sein, auch wenn es ein Boring-Topic ist.

00:29:06: Also das vielleicht nicht als das Prestigeprojekt immer gesehen wird.

00:29:10: Es hat notwendig.

00:29:11: Es kann eine Alleinstellungsmerkmal sein auf dem Markt.

00:29:14: oder zeigen wir uns zumindest einen Benefit.

00:29:16: Wenn ich nachweisen kann dass ich eine sehr hohe Security habe stehe ich vielleicht auf dem Markt besser da hab vielleicht auch höhere Preise kann die aber verargumentieren.

00:29:25: Das ist

00:29:26: eine Entscheidung den Board treffen muss.

00:29:29: Also wenn ich nochmal von meiner ursprünglichen Frage jetzt ausgehe, erst mal im Großen und Ganzen Kommunikation schaffen zwischen den verschiedenen Silos.

00:29:38: Den Funktionalen die man hat ja sei es der Vorstand oder Finance oder HR oder was man die quasi erstmal zusammen die wesentlich Betroffenen erstmal zusammenbekommt.

00:29:50: Dafür gibt's ja diese Caps oder Boards die man dann hat dieses Security Boards wo man dann letzten Endes die Entscheidungsträger korrigiere mich, wenn ich da falsch stehe und zusammenträgt.

00:30:01: Dann brauchst du aber klare Prozesse.

00:30:04: auch für die Kommunikation sagtest Du und wir haben immer einen risikobasierten Ansatz.

00:30:08: Wir sind ja in der Regel müssen wir erstmal den Risiken ermitteln.

00:30:12: das heißt so die ersten Schritte würden erst mal sein die kommunikationsgrundlage zu schaffen.

00:30:16: warum brauchen wir es?

00:30:17: Warum brauchen wir jetzt ... Budget für die Cyber Security, das ist ja der fiktive Fall.

00:30:23: Mittlerweile wissen ja schon viele, wir haben siebenundzwanzigtausendeins.

00:30:26: es ist mediumwirksam gibt's breaches mittlerweile steht auch schon eine Achtung.

00:30:32: Cyber War in der Bildzeitung stehts ja auch schon.

00:30:35: also da sind ja die meisten jetzt schon sich dem bewusst dass es irgendwo Cyber War gibt.

00:30:41: aber trotzdem klicke ich immer noch auf den Fishing Link als Mitarbeiter.

00:30:48: Keiner ist frei von Schuld.

00:30:53: Ja, genau.

00:30:54: und jetzt noch die Frage wir haben jetzt die Leute abgeholt.

00:30:58: für mich persönlich ist jetzt oder ich denke auch für die Zuschauer ist natürlich auch wichtig man braucht immer so ein bisschen einen Kompass zum gemeinsamen Norden.

00:31:05: wir haben gesagt okay Kommunikation schaffen Erwarnung schaffen das sind jetzt zwei Punkte in risikoasierten Ansatz von Anfang an gut mit zu übertragen Die entscheidungsrelevanten Personen ... abzuholen.

00:31:16: Es hat sich so ein bisschen auch nach einer Hohlschuld für die Person angeführt, nachdem wir die sollten mal auf ihren Sie so hören.

00:31:22: aber das heißt... ...aber unter Umständen ist es ja auch ein Thema was nicht unbedingt so attraktiv ist wie du schon sagtest.

00:31:30: Wie holst du den Vorstand richtig ins Boot?

00:31:35: Wie gehst du auf den zu wenn jemand jetzt nicht wirklich?

00:31:37: also wie würdest du's machen?

00:31:38: Wenn jetzt jemand nicht wirklich Security ... Affines und eigentlich ja keinen Lust hat auf das Thema.

00:31:43: Und sagt der Mensch, dann errechnen wir doch mal den ROI von einem Risiko... ... dass jetzt nicht verhindert wurde.

00:31:51: Also was ist der ROI hier?

00:31:53: Ich

00:31:53: wollte sagen wie viel... ... gesparen wird durch den Einsatz eines Socks.

00:31:57: Ja

00:32:01: also Gott sei Dank habe ich in den letzten... ... oder in meiner Zeit immer weniger Unternehmen gesehen die... überhaupt noch diese Rechnung.

00:32:10: Also natürlich hat man Budgets und die sind knapp bemessen oder auch nicht, je nach Firma weil einfach der Grad an erwarteter Sicherheit ein anderer ist.

00:32:20: also ein wichtiger Punkt ist das Übersetzen.

00:32:23: Ein Vorstand spricht nicht wie ein Security Professional, weil es eben eine komplett andere Welt einfach ist.

00:32:30: Man muss diesen Abstraction-Layer finden, also auch man muss sich glaube ich auch einfach als Zieh so Wer auch immer an den Vorstand reportiert.

00:32:41: Man muss sich sehr genau überlegen, wie ist die Kommunikation im Unternehmen?

00:32:46: Worauf achtet man in der Kommunikierung?

00:32:49: gibt es bestimmte... Wie soll man sagen, Building Blocks, die ich nutzen kann?

00:32:53: Also gibt's Formate!

00:32:54: Ich fange jetzt an mit PowerPointer.

00:32:56: I love it!

00:32:58: Aber es ist ganz einfach.

00:32:59: Gibt's vordefinierte Templates, kann nicht mehr sowas anschauen.

00:33:03: So blöds klingt wenn ich schon das Bild so präsentiere, wie es der Vorstand versteht würde auch das Thema leichter verstehen.

00:33:10: Es sind Vorstände die sich sehr detailiert erklären lassen möchten.

00:33:15: ein Thema oder wollen die eine Heatmap auf der ich Ihnen in dreißig Sekunden alles präsentehe weil es einfach fotografische Gedächtnisse sind.

00:33:24: Also das ist sehr abhängig.

00:33:26: Ich glaube es gibt keine Faustformel wie es richtig ist.

00:33:28: wichtiges.

00:33:29: Das schafft dir eine Ahnung wie du mit dem Vorstand kommunizieren musst.

00:33:33: Da ist also auch sicher ein Finanzvorstand, der wesentlich Risiko auf China ist.

00:33:38: Anders als einen Technologieforstand.

00:33:41: Technologiforstand wird es technisch verstehen wollen.

00:33:43: Ein Finanzvorstand will wissen was sind meine Risiken da drin?

00:33:46: Also von daher muss ich glaube ich bereit sein in verschiedene Richtungen verschieden zu kommunizieren und auch wie gesagt das ich glaube dass der CISO oder Security verantwortliche generell haben eine riesen Übersetzer gehen, das mitbringen müssen oder entwickeln müssen einfach weil du musst so vielen Fachabteilungen sprechen.

00:34:08: Du musst mit so vielen verschiedenen Bereichen sprechen können.

00:34:13: ich glaube dass es das wesentliche und dann eben noch mal diesen laier zum vorstand dass der vorstand versteht das sind wirklich riesigen die haben tragweite das vielleicht mit finance kpi sein oder mit finanz zahlen hinterlegt natürlich im besten fall.

00:34:27: wenn das passiert dann steht das und ihr wisst doch Das ist unser kerngeschäft.

00:34:32: also dann Denke, ich habe einen Eyecatcher den der Vorstand schneller nimmt.

00:34:35: Also wenn ich sage na ja hypothetisch könnten wir gehackt werden Das Risiko ist... ...fünfhundert Millionen.

00:34:42: Ich weiß nicht wo es herkommt.

00:34:43: also eine Berechnungsgrundlage sollte man mitbringen aber ich denke die findet man durch die Umsatzzahlen und Dinge, also ich sag jetzt mal die... Man kann sich hier die Zahlen des Unternehmens anschauen Und anhand der Zahlen relativ einfache Rechnungen.

00:34:57: Wenn ich sage Wir fallen jetzt mal acht Stunden aus Was kostet uns das?

00:35:00: Dann gehe ich zum Controller fragt den was kostet uns ein ausfall von acht stunden?

00:35:05: dann habe ich ja eine kenngröße.

00:35:07: mit der kann ich einen finanzvorstand glaube ich schneller triggern.

00:35:10: also auch wenn ich budget brauche kann ich ihn glaube ich schneller triggert.

00:35:13: er sagt dann wahrscheinlich noch wir haben doch ne cyber insurance.

00:35:16: da sage ich auch mal ja dann ist wie mit jeder versicherung.

00:35:19: habt ihr die agbs gelesen.

00:35:25: es ist ja so du ... hast jetzt den Fall, wo noch kein Bleedstab war.

00:35:31: Kein Schaden entstanden ist... ... kein Risiko auch wirklich eingeschlagen ist und einen Schaden ... ... entstanden

00:35:35: ist.".

00:35:36: Da ist es ja für viele Entscheider, die sind ein bisschen weiter weg von dem Thema.

00:35:41: Das heißt, da ist ein Risiko kann passieren das mal irgendwie man Fishing-Link klickt und neuer so dann fällt eben SZXYZ aus.

00:35:52: gut wir haben ja noch ein Backup.

00:35:55: Man kann es ja nicht immer so ganz Bilderbuchartig planen, was dann passiert wenn sich jemand Zutritt zum System verschafft hat.

00:36:00: Man bleibt dabei dass nur eine Instanz infiziert ist oder irgendwie im Beschlag genommen wird.

00:36:05: verbreiten bis ich lateral also die ganzen Risiken dahinter.

00:36:08: die kennt denn der Sicherheitsbereich?

00:36:10: Der Vorstand sagt neuer gut Dann müssen wir das halt abschalten.

00:36:14: an der Stelle ja und steht einen Schaden aber jetzt ein komplettes Sockscenter aufzuziehen ist wahrscheinlich ... teurer.

00:36:21: und das Risiko nimm wir jetzt erst mal einen Kauf.

00:36:23: Das reden wir jetzt unter dem Tisch, wir müssen jetzt hier noch in unserer Entwicklung... ... noch mehrere Stellen besetzen.

00:36:28: Die Diskussion haben wir häufiger auch.

00:36:30: ja wenn es darum geht... ... besetzigende operativen IT oder besetzige im Bereich IT Security gibt's immer Reibungen zwischen den verschiedenen Ebenen.

00:36:39: Und da wird dann ganz oft gerne in der operative IT die dem Business dann auch ein bisschen näher sitzt in der Wertschöpfung vielleicht.

00:36:45: dann entschieden für mich so'n bisschen Was ist der Unterschied für dich zwischen der Kommunikation im Krisenfall mit dem Vorstand und dem Vorstand, der vielleicht ein bisschen weiter weg ist vom Thema?

00:36:59: Vielleicht praktisch noch mal so ein bisschen in die Richtung.

00:37:03: Gab es Situation um das vielleicht praktisch ein bisschen greifbarer zu machen?

00:37:09: was war deine größte Fehlkommunikation ... gegenüber deinen Stakeholdern.

00:37:14: Und wo war es wirklich passgenau?

00:37:15: Wo du dir selber auf die Schulter klopfen kannst und dann kannst, Mensch da habe ich einen wirklich guten Job gemacht... Die haben's verstanden!

00:37:22: Ich hab das fünfzehn Millionen Budget geknackt.

00:37:24: also mit welcher Kommunikation knackst du dein Budget?

00:37:27: Kriegst du auch dein Budget durch beim Entscheidungsträger?

00:37:31: Mit welcher kommunikation?

00:37:32: aus deiner Erfahrung geht das total daneben?

00:37:35: Also in der Vergangenheit mal versuchte er mit Fakten Das Problem ist, man ist halt dann schon sehr in der Security drin.

00:37:42: Weil es ja nicht auf welchem Security Level der Ansprechpartner ist was definitiv da nicht funktioniert.

00:37:48: das einfach zu sagen dass unser aktueller Stand ist, dass wir sehr wenige Inzidenzen haben Auf der anderen Seite funktioniert es aber auch nicht.

00:37:54: zu sagen, dass man viele Inzidents hat Aber es ist immer so ein Triggerwort.

00:37:57: Es gab in meiner Vergangenheit Menschen die dann einfach nicht verstanden haben, dass sie keine Inzidenz haben drei Wochen lang gefühlt erklären, wir haben schon Inzidenz.

00:38:10: Es sind nur keine kritischen, weil wir nur kritische Inzidentsreporten und derlei Themen.

00:38:14: also damit gewinnt man niemandem.

00:38:16: das heißt man muss sehr genau schauen wie lange ist die Person im Unternehmen?

00:38:21: was sind sozusagen auch die bekannten Reportings die schon da sind?

00:38:26: Also was ist schon definiert?

00:38:27: Was muss ich noch definieren?

00:38:30: Ich glaube eine Story ist immer gut für den Vorstand also dass man zeigt schaut mal her Die Krisen sind nicht weit weg.

00:38:37: Also jetzt gibt es ja auch bekannte Cases aus dem Automobilzulieferer-Umfeld, die dann auch meine jetzige Firma betroffen haben bzw eben auch den Konzern dahinter.

00:38:50: Das kann man aufgreifen diese Themen sozusagen.

00:38:52: Schaut mal her!

00:38:53: Es gibt global sehr viel.

00:38:56: Nämlich Gartner, nämlich irgendwelche Name-Jobbing machen, irgendjemanden der mir große Zahlen aufmalt.

00:39:02: Damit gehe ich zum Vorstand, damit gewinne ich nichts.

00:39:04: Aber wenn nicht die Zahlen immer näher in unser Unternehmen-Rantrag... Also von dem Beispiel, ne?

00:39:10: Ich nehme jetzt es gibt so und so viele Data Breaches oder durchschnittliche Kosten für einen Inzidenz sind Summe X berechnet jede Analytics Firma anders aber es sind große Zahlen.

00:39:28: Dann kann ich sagen davon passieren XY Wie viel passieren denn im Automotive-Sektor oder in dem Flugzeugsektor?

00:39:35: Oder, oder.

00:39:37: Dann bringe ich vielleicht Cases aus der gerade sehr nahen Vergangenheit und sag guck mal her da sind wir sogar involviert gewesen oder affected gewesen.

00:39:48: also es ist nicht sehr weit weg von uns.

00:39:50: damit beginnt man eine Story zu sagen okay schaut mir die Security Risiken nehmen zu Die sind aber auch sehr nah bei uns.

00:39:57: das ist nicht nur so ne Global Chart Es wird immer mehr, sondern es ist sehr nah an uns dran oder das war vielleicht auch schon was.

00:40:04: Damit überzeuge ich auf jeden Fall mehr wenn ich das Ganze natürlich noch mit eigenen Zahlen anfüttern kann.

00:40:10: also wenn jetzt einfach hingehen und sage ich brauche fünfzehn Millionen Budget würde ich mal gerne machen.

00:40:13: Ich glaube dass versuchen viele bei einem Vorstand einfach mal Geld zu holen Das sind vorständige glaube ich auch gewöhnt.

00:40:20: man muss auch da wieder das richtige Feingefühl mitbringen zu sagen okay naja was ist denn jetzt?

00:40:26: Was sind Kenngrößen?

00:40:30: weiß ich nicht, Budget.

00:40:32: Wie viel ist eine realistische Zahl aus einem IT-Budget oder also an Top of IT für Security?

00:40:37: Das sind zwei Prozent, fünf Prozent.

00:40:40: wie auch immer mit den Zahlen schon mal vorher spielen das sich die Für den Vorstand plausibel machen.

00:40:48: zu sagen schaut man her wir investieren hundert Millionen IT dann sollten wir halt vielleicht mal zwei Millionen Security investieren Ist für mich ja ein wichtiger Faktor.

00:41:00: ist denn realistisch, dass ich überhaupt fordern kann.

00:41:02: Und daneben das hundert Millionen Umsatz hat wird nicht zwanzig Millionen in Security investieren?

00:41:07: also da ist auch wieder sehr wichtig wie groß ist das Unternehmen?

00:41:11: Was sind die Umsätze was sind die Turnovers?

00:41:14: Was dann eben die internen Budgets die da sind?

00:41:16: wenn jetzt eine Safety... Also nicht eine Safety wenn die Corporate Security kein Budget hat wie wahrscheinlich ist es, dass sich dann viel Budget bekommen?

00:41:25: also das sind einfach Themen, also wie wichtig ist Security schon aufgehangen im Unternehmen.

00:41:30: Aber wie gesagt Storylining ist glaube ich das A und O sich zu überlegen Wie bekomme ich meinen Vorstand?

00:41:37: Also was sind Themen die uns wirklich schon betroffen haben?

00:41:40: Und dass eben aber von einem vom großen Big Picture runtergebrochen auf das Unternehmen wie gesagt unterfüttert mit Zahlen ... die dem Unternehmen entsprechen.

00:41:50: Ich kann natürlich auch sagen, du kannst jetzt hier zehn Millionen investieren... ... zwanzig oder dreißig das ist wenig sicher mehr sicher bestes sicher.

00:41:58: damit werde ich aber wahrscheinlich nichts erreichen weil dann wird der Vorstand sagen zehn wenn ich Glück habe oder er sagt naja du kriegst drei weil wir das Budget vorgesehen ist.

00:42:08: Was war deine härteste Budgetverhandlung?

00:42:12: Jede Nein.

00:42:15: ich glaube also Die härteste Budget Verhandlungen ist eine gute Frage.

00:42:23: Ich glaube, man kann in vielen Unternehmen davon ausgehen dass ein Security-Budget vorhanden ist.

00:42:28: ich sage auch immer Arbeite mit dem was du hast.

00:42:30: also das ist glaube ich auch wesentlich aber macht dann auch entsprechend klar was du damit erreichen kannst.

00:42:36: sprich wenn ich jetzt ein sehr kleines Budget habe und sage es reicht nicht dann ist das eine Aussage die nichts wert ist d.h.

00:42:43: ich muss sie unterfüttern.

00:42:45: Wenn man neun im Unternehmen ist dann heißt's mal schnell naja wir müssen jetzt eine Million einsparen die nehmen wir jetzt mal weg.

00:42:51: Ich würde sagen, es ist keine Budgetverhandlung.

00:42:52: Es ist ein Tasking und das passiert halt leider auch wenn global die Budgets eingespart werden dann auch in der Security.

00:43:00: Ich glaube darauf bin ich einigermaßen gut vorbereitet weil ich gewohnt bin dass das passiert in Unternehmen.

00:43:06: von daher würde sagen geharte Verhandlungen hatte ich nur nicht weil ich doch verargumentieren kann.

00:43:12: also eine saubere Planung ist notwendig.

00:43:14: und dann eben zu sagen was kann man im Notfall streichen?

00:43:16: Was ist nice to have?

00:43:18: Natürlich, je mehr Budget jeder sagen ist besser.

00:43:23: Ich muss es auch ausgeben können wenn ich jetzt drei Leute intern habe und muss dann zwanzig Leute aussteuern das funktioniert bedingt.

00:43:30: Dann hab' ich aber keinen intern Mehrwert mehr.

00:43:32: also deswegen ist es rein Budget hilft nicht.

00:43:35: Also ich muss es eben auch ausbalancieren mit internen Ressourcen Und ich glaube das ist die schwierige Diskussion.

00:43:42: wie komme ich an Leute?

00:43:43: Also an der Stelle, also wie für interne Headcount ist ja immer so ein beliebtes Thema und ich glaube das sind die wirklich schwierigen Diskussionen zu sagen naja wir brauchen jemand mehr.

00:43:52: Das ist Thema Vierundzwanzig Sieben Betrieb von dem Security Operations Center.

00:43:57: In Indien kann ich das wahrscheinlich mit Don't get me wrong aber wahrscheinlich mit drei vier Leuten sicherstellen weil es keinen Arbeitsschutz und nichts gibt.

00:44:07: in Deutschland haben wir Arbeitsschutzzusätze zum Glück.

00:44:12: Sie retten mich Und dort muss ich eben dann ganz klar aufzeigen.

00:44:17: Naja, dann können wir keinen Vierundzwanzig Sieben Betrieb.

00:44:19: Weil einfach... Wir haben Ruhezeiten zwischen den Schichten und und und.

00:44:24: Ich habe einen Schichtbetrieb.

00:44:25: Wir haben Urlaubstage, also nicht vielleicht fünfunddreißig Stunden Woche je nach Vertrag Das muss sich hoch- und runter rechnen und sagen Dann können wir halt keinen Viertundzwanzig sieben Betriebs sich erstellen.

00:44:35: Hashtag Der Angreifer kommt ja nur Montag bis Freitag Neun bis Fünf.

00:44:42: Ja, durch die Globalität.

00:44:44: Dass man halt wirklich nicht nur regionalen Menschen in Deutschland die Hecken, sondern auch der ganze Welt ist es ein... Vielleicht

00:44:50: haben dir ja auch einen Job die Hecke und müssen am Wochenende und Nachts hecken.

00:44:53: Also vielleicht sind sie fleißig als hier.

00:44:57: Oder die gehen halt ganz normal zur Arbeit morgens auf ne?

00:44:59: Hab ich auch schon gehört das ist da Firmen gibt die denn komplett so operieren als wenn sie ganz normale Softwarefirmen werden aber dann mit Bewerbungsgesprächen und Rekrutern Talent-Sourcing und der Eindruck dran.

00:45:13: Wieder normale Arbeitsmarkt funktioniert auch der.

00:45:16: Nee, aber ich denke ja wie gesagt das Headcount Thema ist das gravierendere gibt bestimmt viele Beispiele dass auch Budgets knapp sind.

00:45:25: Das möchte jetzt die globale Welt also alles was Richtung feste Mitarbeiter in meiner Erfahrung das Schwierige wäre.

00:45:35: Wir brauchen halt noch zwei Leute mehr um... das abzusichern.

00:45:39: oder auch unser Sock, in so ein Sock muss betrieben werden.

00:45:42: Das sind ja nicht nur die Analysten, die ich im Security Operations Center sitzen habe.

00:45:45: Ich brauche ja Leute, die das Ganze managen und sich das mal administrieren.

00:45:49: Dann kann es ja die IT mitmachen.

00:45:51: Da freut sich die IT dann hat sie nämlich quasi zwei Headcounts.

00:45:55: also nicht mehr sondern Arbeit von zwei Headcounts mehr.

00:45:59: Allianzen schmieden ist glaube ich ein wesentlicher Faktor Vertraute findet im Unternehmen und zu sagen, ja gut wir könnten das bei euch aufbauen.

00:46:09: Dann fordert ihren Headcount mehr ein.

00:46:12: dafür machen wir dann wieder irgendwas mit.

00:46:15: also das glaube ich das normalste dass man sich seine Verbündeten sucht.

00:46:19: die Headcount Diskussion sind auf jeden Fall die schwierigeren weil dafür ist nie Geld da oder selten Geld da.

00:46:27: Obwohl es ja genau, obwohl Sicherheit ja genau bei den Menschen anfängt.

00:46:30: und die Menschen die jetzt die Tools steuern die die Tools umsetzen sie sich die Themen die Inzidenzen auch bewerten, letzten Endes oder zumindest sie, die dann automatisiert ausgespuckt werden.

00:46:41: Das man dann sagen kann was ist denn das jetzt?

00:46:43: Ich war gar sagen KI würde uns an dem Punkt noch nicht retten in den nächsten Jahren.

00:46:46: also Sie wird gegen uns arbeiten aber nicht für uns.

00:46:49: und da ist das Problem noch auf der anderen Seite.

00:46:51: Also deswegen... ein Sock lebt von Menschen.

00:46:55: Prozesse müssen gut sein Technologie muss gut sein aber es erlebt von Menschen, also wenn du dich nicht verlassen kannst auf dein Team.

00:47:04: Wenn dein Team nicht weiß wie funktioniert ein Sock?

00:47:07: Wie funktionieren Angriffe und Maßnahmen?

00:47:11: Du musst einen guten Mix an Leuten zusammenkriegen.

00:47:14: Wenn du jetzt ein Team mit zwei Leuten hast, kriegst du keinen guten Mix aus Leuten zusammen.

00:47:19: Es gibt Unternehmen aus meiner Vergangenheit.

00:47:23: Wir hatten ja viele Kunden... Die sind so klein, die haben halt einen CISO.

00:47:28: Der macht nebenbei noch weiß ich nicht was und dann hat er vielleicht nur ein zwei Leute.

00:47:32: das der keinen Sock aufbauen kann ist klar.

00:47:34: also wenn die Security Verantwortung oder der komplette Security Bereich aus zwei Leuten besteht dann muss outgesourced werden.

00:47:42: aber sobald ich den Sock intern aufbaue muss sich auch entsprechend die Kapazität bekommen.

00:47:48: da kann ich nicht sagen mach mal hier drei leute Muss es aber auch planen, fairerweise ich als Head of Sock muss dann auch losgehen und sagen naja schaut mal her.

00:47:58: Das sind die Rahmenbedingungen das ist das Minimum dass wir brauchen.

00:48:01: wenn wir ein gutes Socken wollen brauchen vielleicht das.

00:48:03: Wir können bisschen out sourcen oder oder oder.

00:48:06: Ich glaube das ist also nicht nur so Dass das Unternehmen mir keine Leute geben will.

00:48:11: ich muss auch entsprechend vorbereitet in die Diskussion gehen.

00:48:15: Das ist glaube ich auch noch ein wesentlicher Aspekt.

00:48:17: nicht dass immer so klingt Security ... nur unschuldig, sondern man muss auch seinen Teil beitragen.

00:48:23: Was wir natürlich auch im Bereich des Recruiting und des Headhuntings... Wir haben uns ja auch ausschließlich auf dem Bereich Cyber Security GSC spezialisiert und... Uns fällt auch immer auf dass alle Security-Mannschaften eigentlich chronisch anders darf sind, das heißt ich habe noch nicht... Ich weiß nicht in hunderten Gesprächen noch eine einzige Person getroffen ... in der Security, die dort auch... ... Ressourcen Verantwortung hat oder ein Headcount hat.

00:48:54: Die sagt wir sind optimal ausgestattet.

00:48:57: also eigentlich in der Regel fehlt Fünfzig.

00:48:59: also das ist jetzt mein Bauchgefühl.

00:49:01: In der Regel fehlen fünfzig Prozent immer an Personal ja?

00:49:05: Also wenn ich vier brauche habe ich zwei in der Regel und das ist das was ich wirklich durch die Blume hinweg eigentlich immer mitbekomme dann auch.

00:49:14: Und sehr chronische Personalmangel Hat es ja so ein bisschen angeschnitten, das man hat eben auch schon relativ schmale IT.

00:49:23: Ein schmales IT-Bügei und dann muss davon auch noch Security übrig bleiben.

00:49:27: Muss man da nicht als Unternehmen auch ein bisschen umdenken?

00:49:30: Anbetracht der Risiken und dann auch die Budgets entsprechend anpassen.

00:49:34: Also das ist ja auch ein Thema, was quasi wenn wir jetzt sagen OKKI oder Sachen wie auf der Wertschöpfungskette oder Themen, die auf der Wettschöpfungsketter Business Allein sind, wo man weiß okay, wenn ich das jetzt investiere habe ich einen riesengroßen ROI weil ich kann, weiß ich nicht, dreißig Prozent Defizienz einsparen oder ich bin viel effektiver, kann viel schneller produzieren Das ist ja jedem entscheidert eigentlich wirklich vor Augen.

00:49:56: Aber im Bereich Securities ist es nur die erstwannende Kosten von etwas, das man nicht hat.

00:50:00: Und wenn man's hatten, haben wir uns nur verhindert aber man hat keinen Mehrwert davon so... Auf der anderen Seite, wenn das passiert dann kann das Unternehmen mich sehr recht häufig dass es da genug Insolvenzen gibt aufgrund vom Bittesmittel gerade Mittelstand jetzt auch.

00:50:14: Im Hotels die dann gebreached werden und einfach schließen müssen oder produzierende Unternehmen und da frage ich mich muss nicht eigentlich Gerade das Erwohrennis, was du auch beschrieben hast auf Vorstands eben eigentlich so kultiviert werden.

00:50:28: Dass der Vorstand sagt okay wir räumen unser Budget dafür ein.

00:50:31: und das bringt mich jetzt wieder zu dieser Frage, wo du vielleicht noch mal praktisch nochmal werden kannst.

00:50:38: Was war dein größter Fail?

00:50:40: Erinnerst Du Dich noch an die eine oder andere Diskussion vielleicht, wo Du dann geknickt nach Hause gekrankt bist?

00:50:48: Ja wenn ich es... also ich glaube generell Ich habe keinen größten Fail, glaube ich.

00:50:53: Aber generell wenn ich es nicht schaffe Leuten verständlich zu machen was für mich selbstverständlich ist weil ich aus der Security komme dann gehe ich nach Hause und bin genervt weil ich natürlich will dass jeder versteht wie wichtig es ist.

00:51:07: also für mich ist es come and sense das wenn ich mich nicht schütze dass sich dann eben nicht geschützt bin wobei ich auch sagen muss ich komm dann auch manchmal an den Punkt ... ist halt Security, es ist nur ein Trigger von den vielen.

00:51:23: Das heißt der große Fail... Ich glaube ich habe keinen großen Fail... Also ich hab jede Menge Fails ne?

00:51:29: Nein für dich

00:51:30: persönlich vielleicht.

00:51:32: Ja deswegen also...

00:51:33: Ein persönlich für dich selber größter Fail.

00:51:36: jeder hat ja so die eine oder andere Situation,... ...die ihm emotional wichtig war und wo man Herzblut reingesteckt hat.

00:51:41: Die anderen vielleicht auch gar nicht auf Unternehmensebene so wichtige waren.

00:51:44: aber wo?

00:51:45: du sagst Mensch!

00:51:46: Das hätte ich ganz gerne so durchgesetzt oder umgesetzt.

00:51:51: Ich hatte schon Chops, die ich angetreten habe und während der Einarbeitung hat sich der Job erledigt.

00:51:57: also von daher würde ich mal als persönlichen Fail sehen wobei jetzt nicht so viel dafür kann aber muss ich nochmal überlegen.

00:52:05: vielleicht fällt mir noch was ein im Moment.

00:52:07: Also wie gesagt natürlich bin ich nicht fehlerfrei und es nehme auch Dinge mit nach Hause.

00:52:13: ich versuche zu verhindern deswegen glaube ich auch einigermaßen die Ruhe.

00:52:17: Aber vielleicht ist das so mein Rettungsanker, dass ich mich nicht mehr dran erinnere.

00:52:23: Ja und verdrängt es dann?

00:52:24: Genau, schön in die Schublade bist du es irgendwann hoffentlich nicht explodiert.

00:52:30: Ich glaube wir haben den internen Teil der Krise angefangen.

00:52:35: wie gießt du damit um?

00:52:36: Du bekommst die Meldung oder hast jetzt diese Gedanken, dass du das Unternehmen auf die Krise vorbereitest.

00:52:42: Wir haben jetzt die Kommunikation, wir haben die Awareness.

00:52:46: Was fehlt strukturell?

00:52:47: Was fehlt häufig strukturell, das mich die Frage so stellen.

00:52:50: Weil wir haben jetzt das Unternehmen noch gar nicht so genau definiert, wir haben gar grüne Wiese.

00:52:55: aber wenn du dir so den Mittelstand anguckst oder auch die Konzerne vielleicht ne was fehlt den häufigsten?

00:53:01: man hat ja immer so die Top fünf Themen die bei dem meisten fehlen in Bezug auf Krisenvorbereitung, Instant Erkennung also...was fehlt?

00:53:12: Also ich glaube eines der Dinge, die durch die Bank, die über Jahre hinweg immer wieder Seee gesehen habe ist banales Thema Asset Management.

00:53:21: Also sprich weiß ich überhaupt was ich habe als Firma, als Unternehmen.

00:53:27: Habe ich eine Engineering Abteilung, die standardisiert bestellte oder können die einfach hier Cloud-Dienste zukaufen wie sie möchten?

00:53:35: Oder oder oder und das ist also... Ich sage mal liebevoll durch die Digitalisierung, durch die Cloud es ist ein unmögliches Beast geworden, also wenn ich nicht ein Procurement habe oder einen Einkauf der sagt es gibt hier nur einen Weg wie du das bestellst und da ist auch immer der Ansatzpunkt wo ich hingehe.

00:53:52: Wenn ich wissen will was haben wir alles?

00:53:54: Ich gehe zum Einkaufen zu Finance nicht zu den IT, also so denke ich auch.

00:53:58: aber da wo das Geld rausfließt weiß ich dass etwas ist und da wo der Einkaufen wird weiß ich das was ist.

00:54:05: Das heißt an den Ecken muss sich eigentlich sitzen die müssen verstehen tatsächlich wissen muss.

00:54:10: Das ist auch wichtig, weil natürlich sagen die ja auch, naja dann kommt morgen weiß ich nicht mehr und will es auch nur wissen.

00:54:15: das heißt in die Prozesse integriert werden ist wichtig also im Beschaffungsprozess integrieren werden.

00:54:20: Dann ist im besten Fall schon bei der... Also nicht nur die Security Operations aber auch die First Line wäre auch immer da.

00:54:28: wie auch immer das Unternehmen gestaltet ist einfach dass schon mal klar ist es gibt ein Tool Einführungsprozess und das dann an diesem Tool Einführungsprozes oder?

00:54:35: Ich entwickle eine neue Lösung, die muss ich irgendwo hinterlegen in einem Asset-Management.

00:54:40: In einem Enterprise-Architekture-Management.

00:54:43: Wo auch immer geartet.

00:54:44: Wieso auch immer das Unternehmen aufschlüsselt oder nicht?

00:54:48: Mit der Cloud hat es ne komplette neue Komplexität.

00:54:51: Da kann ich zwar schön dann mir über Prisma Cloud oder wen auch immer anschauen wie viel Asset sich habe.

00:54:58: Die ändern sich aber sie kündlich weil ich hier irgendwelche Container hochfahre, Container wegschmeiße.

00:55:03: Das heißt ich muss dieses ganze Feld definieren, was ist denn eigentlich zum Monitoren?

00:55:07: Was ist zu überwachen.

00:55:09: Im besten Fall gibt es ein Business Impact Analyse für kritische Themen, gibt's kritische Prozesse

00:55:15: etc.,

00:55:15: also das sind sozusagen auch wieder sehr security-ferner Teil.

00:55:21: erstmal wichtig, da sind die Einkaufsprozesse strukturiert und die Finanzprozese optimiert ... habe ich im Engineering klare Richtlinien, wie Beschaffung stattfindet.

00:55:32: Auch eben gibt es eine Security Governance an der Stelle die überwacht was kommt rein... Was wird ausgerollt

00:55:42: etc.,

00:55:43: ist da jemand involviert oder nicht?

00:55:45: Also da ist extrem viel Governance wobei ich kein Fan von Governance per se bin weil man wird da ganz schnell sehr formal und dann Security wird dann Verhinderer.

00:55:55: Das ist immer das gefährliche, man muss ja weil man nicht genug Leute hat, bleiben die Sachen liegen.

00:56:02: Das heißt man muss da sich sehr schmal aufstellen.

00:56:04: ich sage immer man muss halt wissen das was da ist und von dort muss mal anfangen und je mehr zentralisiert es.

00:56:10: also wenn ich jetzt multicloud weiß ich nicht meine Azure, meine Microsoft und Google nutzen muss weil ich groß bin und weil sich die einzelnen Bereiche nicht einigen können worauf wir uns jetzt fokussieren dann brauche ich auch einen übergreifendes Monitoring.

00:56:25: das heißt ja auch wieder Kosten, das heißt Aufwand.

00:56:28: Im schlimmsten Fall brauche ich dann verschiedene virtuelle Socks nenn ich es mal oder zumindest Log Analytics.

00:56:36: Das ist alles Aufwand den muss ich rechtfertigen.

00:56:39: also den muss dann Ich rechtfertigend.

00:56:40: da endet's dann an meinem Punkt und da will ich nicht hinkommen weil ich sage ja gut wenn ihr alle standardisiert dann ist mein Sock sehr lean.

00:56:48: Wenn ihr aber alles dezentral als ich sag mal jeder ist sein eigener Chef und kann entscheiden wie er möchte dann wird auch entsprechend die der Auffand für Sock viel höher.

00:56:57: Und das ist, glaube ich grundlegend wichtig.

00:57:00: also Prozesse.

00:57:01: Ich sage mir ISO-IXI ist der Fluch und Segen jedes Unternehmens richtig eingesetzt.

00:57:06: sehr hilfreich würde ich sagen.

00:57:08: Das ist einfach dass man standardisiert in einem Corporate Process Model hat indem sind die Kernprozesse hinterlegt so wird entwickelt so wird freigegeben und Wenn danach jeder arbeitet, dann kann man dort auch ansetzen und die Security verankern.

00:57:24: Also es heißt die Governance aber auch operativ.

00:57:26: Ich glaube das ist ein sehr wichtiger Grundstock der da sein muss.

00:57:31: Und da hat wie gesagt noch nicht mal mit Security zu tun.

00:57:34: im ersten Schritt

00:57:36: Also das Thema Assets, Asset Management.

00:57:39: Da eine Standardisierung habe ich jetzt rausgehört zum großen Teil dass man seine Technologien vielleicht bevor man jetzt Technologie Entscheidungen trifft auch an die Sicherheit mit denkt.

00:57:47: ja Das ist ja so ein bisschen dieses Schlagwort Security bei Design.

00:57:51: Das heißt Technogiauswahl auch mal mit die Security mit involvieren.

00:57:55: vielleicht gerade wenn jetzt jemand sich überlegt wie gehen wir jetzt gerade in die Cloud?

00:57:58: Ist ja auch gerade etwas parallel so ein bißchen gerade stattfindet oder schon stattgefunden hat.

00:58:02: Bei manchen fehlt es gerade Vollstadt.

00:58:05: Wir gehen in die Cloud, wir wollen cloud native sein.

00:58:07: Immer mehr ziehen die Leute um in die Radar sich vielleicht noch mal Gedanken zu machen was bedeutet das für die Security?

00:58:13: Also ich war auch bei In der Vergangenheit auch wenn Kunden in die cloud sind Dann waren die CISUS nicht involviert oder ähnliches.

00:58:22: also genau das Oder die security verantwortlichen wie stelle ich denn dann?

00:58:27: also wir kaufen weiß ich nicht eine halbe milliarde cloud Ich nenne jetzt irgendeine Summe da ist mit nichts die Security bedacht.

00:58:36: Dann kommt danach Security auch wieder zum Finanzvorstand oder zum Finanzverantwortlichen und sagt, naja jetzt brauchen wir noch zweieinhalb Millionen, zwanzig Millionen, fünf Millionen für das SIEM, dass da drin läuft.

00:58:46: Dann kommen Fragezeichen ja warum habt ihr das denn nicht vorher gemacht?

00:58:50: Also warum seid ihr denn nicht gleich mit in den Einkaufsprozess angestiegen?

00:58:56: Weil wir es nicht wussten!

00:58:57: Das sind Themen, die passieren und das ist auch einfach bei Organisationen die groß sind Schwierig, dass alle immer überall mit drin sitzen.

00:59:04: Manchmal sind es ja auch auf Geheimhaltung oder auf Strategisch

00:59:09: etc.,

00:59:09: da will man ja auch den Kreis der involvierten Leute klein halten ist auch verständlich.

00:59:14: nur es gibt eben dann so grundlegende Themen.

00:59:16: da wurde Security nicht bedacht.

00:59:18: Dann müssen wir das jetzt nachkaufen.

00:59:20: Das heißt Es wäre wahrscheinlich billiger gewesen es mitzukaufen weil in der Discount vielleicht einfach nochmal größer oder wie auch immer An dem Punkt definitiv Security sollte im Einkaufsprozess.

00:59:30: Deswegen meine ich auch, Security muss an dem Einkaufsprozess hängen das einfach Security involviert wird.

00:59:36: vielleicht eine Freigabe oder eine Empfehlung bei der Auswahl vielleicht auch nur drei Fragen also je nach Komplexität einfach wo man sagt naher sind die zertifiziert sind die gemonitoren sind die weiß ich nicht was je nach dem was ich auch einkaufe ist glaube ich Es ist glaube ich kein Hexenwerk, aber es gleich muss die Compliance Abteilung.

01:00:01: Weil Supplyer werden ja auch geprüft.

01:00:03: also sprich haben wir die irgendwo gebläcklistet oder... Also da haben wir Supplyers, die wir gerade nicht nutzen können weil was auch immer die Gründe sind Exportkontrolle I don't know what Das ist ja auch verankert.

01:00:14: genauso muss Security mit involviert sein im Einkaufsprozess.

01:00:19: Und was würdest du sagen wenn Du jetzt aus dem Bauch heraus sagen musstest wie viele Unternehmen Von den Größen und dem haben das schon in Deutschland so weit umgesetzt.

01:00:28: Ich glaube relativ viele, also es ist sicherlich in vielen Unternehmen immer noch eine Herausforderung dass man, dass es richtig stattfindet, das kann ich mir ja schon vorstellen einfach weil entweder wird man dann eben in jeden Einkaufsprozess reingezogen oder hat dann wieder nicht reingetzogen?

01:00:46: Ich glaube das ist schon auch eine Herausforderungen, einfach weil's so komplex ist.

01:00:49: ne, kaufe ich ein Laptop oder kaufe Wo fange ich an, Security einzubinden?

01:00:55: Wo nicht.

01:00:55: Habe ich es irgendwo in einem System wo irgendein Security-Mitarbeiter sagen muss ist okay oder muss er irgendwo eine Checkliste durchgehen was dann acht Stunden Arbeit ist, dann liegt die zwei Wochen weil der hat keine Zeit dafür.

01:01:08: also es ist kein einfaches Spiel.

01:01:12: Ich glaube hier deswegen je mehr standardisiert, desto einfacher weil dann kann ich auch sagen okay wenn ihr jetzt noch von Microsoft Services kauft.

01:01:19: Dann ist das erstmal ok Weil diese Microsoft ist jetzt ein Trusted Vendor für uns.

01:01:24: Wenn ich solche Definitionen dann irgendwann schaffe oder sagt Von diesem Service Provider da wissen wir schon Da haben wir vielleicht einen Cloud Vender Assessment gemacht weil es ist ein SaaS Provider und wir wissen jetzt Okay die lassen sich auditieren Und was weiß ich nicht alles.

01:01:38: Dann muss ich ja nicht, wenn ich jetzt den dritten Service kauf wieder den kompletten Rattenschwan sagen.

01:01:43: Fragenkatalog mit Security durchgehen weil dann sage okay die haben wir schon, Checkbox interessiert erst mal nicht, kommen in zwei Jahren wieder oder wie auch immer?

01:01:52: Das ist glaube ich wichtig dass man einfach die Prozesse etabliert.

01:02:00: Es ist so langweilig Prozesses sein können aber es ist so essentiell sind sie und so wichtig ist das man sie strukturiert ... exerziert.

01:02:08: Ich glaube, wenn sich die Prozesse richtig laufen und man sie entsprechend verbessert... ... müssen auch nicht so viele Wege gefunden werden an Prozessen vorbei zu arbeiten.

01:02:17: Das ist halt ein Führ-und-Wieder.

01:02:19: Manchmal dauert es länger über den Standardprozess aber vielleicht wird's irgendwann besser.

01:02:24: Das hört sich jetzt ein bisschen dann wie ein IT Auditor.

01:02:26: Ja?

01:02:28: Da mir meine Feinde nix

01:02:29: vorhält!

01:02:30: Ja, dreht sich natürlich viel um Governance zu sagen.

01:02:32: Das sind ja auch eine SDR-Fassung.

01:02:34: Dokumentation Prozesse das sind ja alles Themen einer wenn sie richtig gemacht sind an der guten Governance.

01:02:40: Governance ist so ein bisschen das Herzstück würde ich einfach mal sagen also

01:02:45: den

01:02:46: verbindet Menschen Applikationen Programme mit Prozessen und nur quasi dann das Puzzle auch wirklich gut zusammengebaut ist funktioniert es dann auch letzten Endes Das heißt so eine gut ausgewogene Governanz, die auch nicht als Belastung gefunden wird.

01:03:03: Sagst du ist wichtig?

01:03:05: Vielleicht an der Stelle weil wir das ja dahingehend ein bisschen auch kristallisiert haben... Was würdest Du sagen?

01:03:12: Weil wir haben das oft im Alltag das eben Governance eben also wie Du schon sagst als bremsendes Element, als zu teuer, als aufwendig, dokumentationslastig, lästig, was ist für Dich da der richtige Ansatz einer Governance?

01:03:28: Wo würdest du sagen, das ist pragmatisch aber andererseits auch gut genug um eben mir als ... ... als Security beauftragten oder als Securityentscheider zu helfen.

01:03:41: Und wie umgehst du das Argument auch wieder?

01:03:45: Ja da müssen wir alle unsere Prozesse kennen, weil ich hab jetzt selten also im Mittelstand zumindest nicht so viele Unternehmen gesehen die ihre Prozeste perfekt definiert haben.

01:03:51: Selbst im geobenen Mittelstand und vielleicht auch bei größeren Konzern mittlerweile.

01:03:55: Da gibt es einige, die sind ja schon sehr weit und haben wirklich alles vernetzt.

01:03:59: Ihre Ressourcen mit den Menschen, mit dem Prozessen, mit den KPIs... Also das hat man wirklich einen kompletten Überblick in Digitalen sogar auch schon und auswertbar mit Reports.

01:04:10: aber wie würdest du sagen?

01:04:13: Was würdest du zu jemandem sagen, der permanent eigentlich keine Lust hat Governance im Unternehmen umzusetzen?

01:04:20: Man hat häufig immer eine Blockade hier.

01:04:23: Gerade im Management ist jetzt eine Unterstellung.

01:04:26: Wofür brauchen wir das?

01:04:27: Wovor brauchen mehr Transparenz?

01:04:28: Transparens ist immer gefährlich für mich als wirtschaftlichen Entscheider.

01:04:33: Also wofür brauche ich das überhaupt?

01:04:35: Es bleibt so wie wir es bisher gemacht haben.

01:04:40: Ja, gut.

01:04:40: Ich glaube der Kernaspekt ist das ich mich und meine Mitarbeiter davor schütze Fehler zu machen oder eben also ich sage mal non-compliant zu arbeiten und ich glaub dass es eine wesentliche Komponente wenn's hart auf hart kommt und etwas... weiß ich nicht, ich sag jetzt mal kommen die Steuerprüfer und nehmen den Nahlen auseinander und bauen wir zusammen habe ich zum Glück nicht erlebt in meinem bis jetzigen Leben.

01:05:06: Das brauche ich glaube auch nicht.

01:05:09: oder wer auch sonst noch in Unternehmen kommt und sie mal umkrempelt, also von Forensik in allen Richtungen.

01:05:15: Wenn ich dann nachweisbar meine Prozesse und Wege wie wir arbeiten definiert habe und nachweisen kann das so gearbeitet wird ist glaube ich nicht das schlechteste was ich tun kann weil sonst... Wie weise ich als Vorstand oder als verantwortliche Person denn nach dass wir nach Prozessen arbeiten?

01:05:33: Dass wir unseren Job richtig machen Nach Regeln die wir definiert haben Und die Governance basiert ja auf Standards oder auf gesetzlichen Normen, Gesetzgebungen.

01:05:44: Worauf auch immer.

01:05:45: Ich leite es nur ab und passe es an meinen Unternehmen an.

01:05:49: Am Ende ist ein Prozess eine weitere Ableitung davon.

01:05:54: Also ich glaube damit kann ich auch leichter argumentieren dass ich Dinge mache als wenn wir basteln hier vor uns hin Und deswegen brauchen wir jetzt mehr Budget als CTO-Organisation.

01:06:08: Würde ich jetzt als Vorstand sagen, okay wie bastelt ihr denn jetzt gerade?

01:06:11: Also habt ihr da irgendwo mal... also wann definiert ihr denn das irgendwas ein Fehler ist oder dass es Produktreife hat oder ähnliches?

01:06:21: und selbe ist überall anders glaube ich auch.

01:06:24: Ich meine Finanz hat harte Kriterien durch Jahresabschlüsse

01:06:28: etc.,

01:06:29: dass es nachweisbar sein muss Und ich denke der Rest, Personal jeder andere auch.

01:06:35: Wie stelle ich Mitarbeiter ein?

01:06:37: Was muss sichergestellt sein wenn ich jemanden einstelle was?

01:06:39: es muss aber auch sicher gestellt sein wenn jemandes Unternehmen verlässt.

01:06:42: also das sind alles Prozesse die sind da die sind definiert dass es Prozess Schwächen gibt dass es Änderungen gibt dass man irgendwo in einem Change passiert auch.

01:06:53: Aber ich glaube es ist wichtig die Basisprozesse Also wirklich die Kernprozesse des Unternehmens festzuhalten.

01:06:59: Ich weiß nicht, ob mal jeden Prozess in jeder Tiefe haben muss.

01:07:02: Da habe ich auch in meiner Vergangenheit viel gesehen mit geplotterten Diagrammen und ich weiß nicht was, wo ich mir selber dachte okay... ...ich weiß nicht wofür das gebaut wird.

01:07:12: Das ist wahrscheinlich eine Doktor-Arbeiter.

01:07:13: Aber am Ende wird niemals ein Mitarbeiter verstehen, wo er in diesem Prozess gerade

01:07:19: hängt.".

01:07:19: war aber notwendig, also Alvon Judge.

01:07:27: Aber es war an dem Punkt Notwendiges zu tun... ...ob's jemand geholfen hat ist die andere Frage.

01:07:34: eigentlich solls ja also ein Corporate Process Model soll ja dazu da sein dass ich als Mitarbeiter sage ich muss was kaufen Ich muss etwas bestellen ich muss weiß ich nicht einen Mitarbeiter einstellen.

01:07:43: wie mache ich das?

01:07:44: sich ins Corporates Process Model?

01:07:45: Ich habe vielleicht ein Internet wo ich reinschauen kann.

01:07:49: Hier ist der People Link, hier ist der Procurement Link und dann sehe ich die Prozesse vielleicht noch mal einfacher erklärt aber ich hab sie irgendwo standardisiert abgelegt.

01:07:58: Einfach nur dass ich sagen kann ok hier schaut man her.

01:08:00: das ist die Welt nach der wir leben.

01:08:03: wenn wir auf der Straße unterwegs sind gibt es die Straßenverkehrsordnung.

01:08:06: also warum soll's kein Prozess oder ein Prozess an der Ampel stehen bleiben wenn so rot ist?

01:08:13: Ja, gut.

01:08:14: Das heißt pragmatisch bedeutet für dich erstmal die wesentlichen Prozesse zu etwas nicht gleich in Detail zu fallen.

01:08:22: weil wenn man sich jetzt die Prozessmanagement Landschaft anguckt dann ist es ja meistens immer genau das Gegenteil.

01:08:28: wir haben Visio, wir haben irgendwelche Zeichnungen Bilder die alle miteinander vernetzt sind.

01:08:33: irgendwo aber da erst mal zu gucken was sind unsere Kernprozesse und da darauf aufzubauen und da entsprechend Informationen mit anzureichern Das ist quasi so der erste pragmatische Schritt, den man ja dann auch relativ schnell eigentlich...

01:08:46: Genau also wie du gerade richtig zusammengefasst hast.

01:08:50: Nicht in die unendliche Tiefe absteigen sondern oben anfangen am Prozess und nicht okay.

01:08:56: Und wenn wir jetzt diesen Sonderfall noch haben und diesen Sondervall sollen sich überlegen was es ist, jetzt AT-Twenty?

01:09:02: Also was sind die achtzig Prozent die wir jetzt damit abdecken müssen?

01:09:05: Was sind die Kernprozesse des Unternehmens?

01:09:08: Und dann kann man ja evaluieren, was sind Prozesse, die ins Corporate Process Model müssen und welche nicht.

01:09:12: Also weil einfach sonst wird es zu viel und alles was da drin ist, das ist iso-neun-tausend-eins relevant.

01:09:18: Man muss sich überlegen, dann folgt man anderen Regeln, dann wird man auditiert.

01:09:24: Das heißt man will auch da wieder Governance, ne?

01:09:27: Ist eine andere Governance aber es ist ja auch ... Die Quality muss ja dann darüber schauen, d.h.

01:09:34: habe ich hier das nächste Fass Dass ich aufmache, was nichts mit Security zu tun hat oder so eine Security wieder hilft an der Stelle.

01:09:40: Nur eben auch da... Keep it Lean!

01:09:43: Also der endlose Kampf gegen ganz viele Unternehmensberater die auch alle keep it lean machen.

01:09:51: aber dann wird halt ein Prozess ausdefiniert bis zum letzten Fizlieren und dann wird es wieder schwierig.

01:09:59: Du erwähntest gerade Unternehemsberater ja?

01:10:01: Das finde ich mehr öffnen so ne kleine ... kleine Nebenfrage an.

01:10:04: Also was war so wirklich in dem Bereich für dich?

01:10:09: Ja, man positiv die beste Erfahrung mit einem Unternehmensberater.

01:10:14: Dass ich angewar und deswegen natürlich auch drüber spreche kann.

01:10:21: Nein also Berater haben durchaus eine Berechtigung.

01:10:25: Ich möchte es nicht negativ notiert lassen.

01:10:28: Ich glaube das Wichtige ist dass... Das, was ich auch vorhin meinte.

01:10:32: Man kann Dinge auszuersten und man muss aber her der Lage bleiben.

01:10:35: Also in meinem aktuellen Team ist es so dass wir haben... Wir sind die Wissensträger und sursen Teile der Arbeit aus.

01:10:47: Aber wir definieren was dieser Teil der Arbeit ist nicht umgekehrt.

01:10:50: Wir holen uns an der Stelle nicht dauerhaft Experten, die unseren Job machen sondern umgekehrt.

01:10:56: wir sind die Experten teile geben für nach außen aber sehr dedizierte Teile einfach um sicherzustellen, dass im Notfall wir aussagekräftig sind.

01:11:06: Wir entscheidungsfähig sind et cetera pp.

01:11:09: und

01:11:10: was da positive sich mit sehr vielen Beratern zusammengearbeitet in den letzten Jahren weil wir eben auch immer Zulieferungen haben und auch Projekt basiert.

01:11:18: dann sind hervorragende Berater dabei.

01:11:20: also ich bin mit manchen jetzt auch fast schon freundschaftlich verbandelt ... im Sinne von, dass man sich mal anruft und sagt wie geht's dir eigentlich jetzt?

01:11:29: Also so das... Von daher finde ich immer noch den Berater Lifestyle eigentlich sehr schön.

01:11:35: Auch wenn ich da nicht mehr sein möchte aber war eine gute Zeit und es ist eine andere Welt.

01:11:41: also es ist auch eine sehr schöne Welt weil man kriegt neue Impulse.

01:11:44: Man kriegt Dinge von außen.

01:11:47: Die Jungs und Mädels sind in ganz vielen Unternehmen.

01:11:50: Man selbst kennt ja noch einige, aber auch nicht alle und nicht in jeder Detail-Tiefe die sitzen in fünf gleichen Automobilindustrie oder ich weiß nicht was ne?

01:11:59: Oder Luftfahrt oder Defense oder wie wir auch immer sehen ganz andere Dinge sehen aber vielleicht auch naja das ist auch sehr ähnlich wie in der Industrie üblich.

01:12:08: deswegen würden wir jetzt vorschlagen dass wir das machen.

01:12:11: das hilft auch Ab und zu hilft natürlich auch einfach, wenn du eine externe Präsentation hast.

01:12:16: Wenn du zu einem übergeordneten Gremium musst dann kann das auch mal einfach unterstreichend sein dass es nicht nur meine Meinung ist sondern vielleicht sogar jemand den wir dafür zahlen auch noch sagt, das ist richtig!

01:12:29: Der

01:12:29: Blitzableiter ja?

01:12:30: Genau!

01:12:30: Wir sind ein Instrument.

01:12:36: Kommt ja auch häufig vor.

01:12:37: Super das heißt... Wir haben jetzt ein bisschen mal auf die Prozesse geguckt, die Governance und Governance-Themen haben jetzt auch festgeschockt.

01:12:45: Eine gute Governance, die pragmatisch gut geplant ist nicht zu detailliert kann schonmal sehr dabei helfen einen gutes Krisenmanagement zu betreiben.

01:12:56: Jetzt gehen wir noch so ein bisschen einmal auf den menschlichen Aspekt oder den äußeren Aspekt.

01:13:00: ja es ist ja nicht nur im Unternehmen dann dass man die Strukturen hat.

01:13:03: Man hat ja überall dann auch Kommunikation nach außen.

01:13:06: Wenn wir jetzt den Fall, den wir anfang hatten einfach nochmal vor Augen rufen.

01:13:11: Weil er so das der Chaos Computer Club gesagt hat hey wir haben hier es sind alle betroffen ist sind Behörden betroffenes ist der BND betroffen und es ist der Verfassungsschutz Betroffen Es sind Regierungs Mitarbeiter betroffen.

01:13:23: Also eigentlich so Kommunikation in alle Richtungen.

01:13:27: Wir haben alle Behörde die Elevant sind des BSI Zum Beispiel die Bafeln vielleicht auch, ich weiß es nicht mehr.

01:13:33: Aber wir haben alle miteinander irgendwie jetzt benachrichtigt.

01:13:37: Jetzt haben wir das Thema Management einer Krise nach innen so ein bisschen beleuchtet.

01:13:42: Ja viel Kommunikation, viel vorgefertigte Kommunikationspläne.

01:13:47: Jeder weiß was er so zu tun hat in der Krise.

01:13:50: wie plan man das nach außen?

01:13:51: Weil... Ich kann's mir so vorstellen, die rufen ja dann auch bei der Geschäftsführung an wahrscheinlich oder beim Vorstand an ... direkt auch in der Technologie, beziehungsweise bei den Fachbereichen.

01:14:03: Manche richten sich da an die Fachbereiche.

01:14:06: Dann kommt die Presse noch dazu, die dann ein E-Mail schreibt, sie haben jetzt Zeit zwei Tage sich dazu zu äußern, dann schreiben wir was ja?

01:14:12: In der Regel wie läuft die Kommunikation da ab?

01:14:16: Was ist für dich und das ist jetzt vielleicht nur mal so ein bisschen wenn wir uns eine Krise... im Zeitstrahl angucken, ja?

01:14:21: Die ersten seventy- zwei Stunden oder die ersten vierundzwanzig Stunden, dann zwanzivzig Stunden eine Woche.

01:14:25: Was sind da die Stolpersteine?

01:14:27: oder was ist denn da die wesentlichen Etappen einer solchen Krise?

01:14:29: Wie läuft sie ab und wann ebbt das Ganze ab?

01:14:33: Hoffentlich!

01:14:35: Das Letzte, das kann ich nicht beantworten, das weiß ich nicht ob es abebbt.

01:14:38: Nein... Das Gute ist, viele Unternehmen haben eine Kommunikationsabteilung und eine Liegelabteilungen.

01:14:44: Das heißt alles was extern kommuniziert wird, wird sowieso abgestimmt.

01:14:48: das heißt es kommen zwei Anfragen von allen Seiten rein also nicht aus dem Beispiel sondern aus etlichen Beispielen aus der Vergangenheit.

01:14:57: Das läuft eigentlich sehr einfach ab weil generell gibt's ja eine Krisenkommunikation in Unternehmen.

01:15:02: Das heißt, Cyber ist ja wieder nur ein zusätzliches Instrument.

01:15:06: Er kann seine Finanzweise nicht in den fraud gegeben haben.

01:15:09: da kann es weiß auch immer von schwarz Geld oder also wir sind da ja nur ein weiteres Ding In der Kette.

01:15:18: Wichtig ist dass man weiß wer die Ansprechpartner für die Kommunikation sind.

01:15:23: Die wissen sehr schnell das du der ansprechpartners bist Für die Antworten Das wissen die sehr schnell.

01:15:29: Also da das sozusagen der Loopback funktioniert sehr schnell, aber natürlich klar.

01:15:35: die rufen den Vorstand an wer auch immer.

01:15:37: also wie gesagt es gibt ja dann Vorstände aufsichtsräte wo auch immer noch übergeordnete Gremien oder eben Aufsichtsrat Die wollen informiert sein.

01:15:47: Es gibt Aktionärstversammlungen Es gibt weiß ich nicht Endlos.

01:15:52: Von daher generell muss die Kommunikation gesteuert sein Und zwar sehr klar, niemand geht alleine wenn die Presse anruft interessiert keinen.

01:16:02: Sorry liebe Presse!

01:16:04: Also das ist jetzt in manchen Fällen es ist auch einfach ob wir es oder ob so lädt weil es schon draußen.

01:16:10: in anderen Fällen ja will ich mich von der Presse erpressen lassen.

01:16:14: also man kann natürlich dann noch in die Kommunikation gehen und sagen ja gut es gibt so ein Standard Statement das gibts bei jeder Krise Das gibt man natürlich raus, aber er sieht mich unter Druck setzen lassen.

01:16:25: in einer Situation wo der ganze Laden brennt ist vielleicht auch an dieser Stelle nicht mehr relevant.

01:16:31: Also da würde ich sagen... Da würde ich vielleicht einfach auf manche Punkte verzichten und ja tut mir leid liebe Presse!

01:16:38: Aber das seid ihr vielleicht nicht die primären Stakeholder Und es ist vielleicht noch nicht ganz fair an der Stelle, aber klar, ich verstehe auch deren Job.

01:16:45: Von der Kommunikation über Liegel abgestimmt, über die Kommunikationsabteilung fertig Ja, ist für die dann kein Spaß.

01:16:52: Weil es kann natürlich von allen Seiten kommen und dann muss das alles noch besser gefannelt werden, dass es einfach wirklich... ja also alle müssen involviert sein.

01:17:02: Es kann ja Datenschutz auch betreffen hat mit Informationssicherheit zu tun.

01:17:06: Es gibt aber in Deutschland ja ein Informations-Sicherheitsbeauftragten.

01:17:09: Datenschutzz Beauftragte sind zwei verschiedene Personen meistens.

01:17:13: Das heißt auch da muss sich die richtigen Leute involvieren.

01:17:15: erstmal dass ich auch in der Kommunikation dann nicht aus Versehen.

01:17:19: Ich kommuniziere Richtung Datenschutzbehörde, obwohl das der Datenschurzbeauftragte machen muss.

01:17:26: oder gibt es Timelines die einhalten muss?

01:17:29: Also gibt's Meldepflichten, die ich habe wo ich sage, ich muss binnen X Stunden eine Meldung machen oder eine vorläufige Meldungen oder zumindest eine Information absetzen.

01:17:38: wie gesagt ist würde wahrscheinlich bitte NIS-II nochmal schärfer werden.

01:17:42: Richtung Cyber Security wird man sehen.

01:17:46: Da war die Idee, dass man gewisse Meldepflichten hat.

01:17:49: Also zeitliche Meldpflichte, wobei ich da glaube, dass wir auch noch das Problem haben wohin melden wir und wer nimmt es an in der Zeit?

01:17:56: Das Melden macht frei ist ja so ein geflogenes Wort immer.

01:18:01: In so einer Motto bin ich ja schon mal raus aus der Verantwortung.

01:18:05: Es ist einfach nur gemeldet.

01:18:08: Es

01:18:08: gibt ja auch den Fakt der Lehrmeldung, wir wissen gar nicht genau was passiert.

01:18:12: Wir melden jetzt erstmal etwas und wir können es noch nicht bewerten.

01:18:15: War's

01:18:15: liebe Behörden!

01:18:16: Wenn ihr dann einfach lieber Lehrmeltungen als keine Meldung bekommt das vielleicht nicht der richtige Ansatz.

01:18:23: also deswegen ich glaube man muss es da auch sehr feind definieren für das Unternehmen.

01:18:28: aber ich glaube es gibt dann Grenzwerte etc.. Aber jedes Unternehmen, wie gesagt, man muss eben schauen betrifft es meine Behörden die für mich verantwortlich sind.

01:18:38: Sei es jetzt im Defensbereich sei es im Automotive, sei es in der BAFIN hat das also Finanz je nachdem.

01:18:45: und da gibt's Meldepflicht Dora, also Finanzmarkt ist reguliert.

01:18:50: ich glaube da gibts auch Meldpflicht mittlerweile die noch schärfer sind, da bin Zu wenig Finanz.

01:18:58: Daher habe ich Kollegen, die sich damit auskennen wenn es darum geht.

01:19:01: Ja und du sagst das für einen Sorry-Press?

01:19:06: Ich lass mich von euch nicht unter Druck setzen.

01:19:08: Wer kann dich denn unter Druck setzten?

01:19:11: Es kommt irgendwann persönlich niemand.

01:19:15: Nein, ich glaube, Grenzen hat jeder.

01:19:20: Natürlich steigt der Druck wenn die Presse kommt und die Pressee an die richtigen Stellen gerätst dann steigt natürlich der Druck.

01:19:28: das Kommunikation stattfinden muss intern natürlich aber man muss klarstellen was Priorität hat.

01:19:36: Das wird normalerweise, wie gesagt das ist ja nur ein Krisenfall von vielen oder eine Facette.

01:19:41: Das heißt, Cyber- oder was auch immer wird er nach dem selben Regelprinzip laufen.

01:19:45: Das heisst Kommunikation ist normalerweise nicht das Problem und auch der Druck nicht weil es wie gesagt wenn da jetzt Mitarbeiter irgendwas... ...was auch immer tut, was er nicht tun soll ob das dann kommuniziert wird oder nicht oder kommentiert wird?

01:20:03: festgelegt, das wie gesagt macht die Kommunikationsabteilung und da gibt es Regeln.

01:20:09: In jedem Unternehmen wer darf mit der Presse sprechen?

01:20:11: also in allen in denen ich war war klar dass ich nicht mit der presse sprechen werde und ich bin da sehr dankbar weil... Ich glaube nicht dass ich der beste bin der dann alles akkurat und juristisch perfekt formuliert vortragen kann und ich glaube das wäre nicht gut.

01:20:28: Wenn er denkt, du hattest auch nochmal wie gesagt die Presse ist ja so ein bisschen auch immer das liebste Instrument.

01:20:33: Also ich habe das selber auch schon mal mitbekommen in einem anderen sehr großen Fall mit hoher Tragweite vielleicht mit höherer Trag weiter als der Kariat oder VW-Thema.

01:20:44: jetzt Die sind schon sehr direkt.

01:20:46: Du setzt dein Unterdruckruf an.

01:20:48: Hast du mal selber auch in irgendeinem Fall muss ja nicht dieser gewesen sein einen Anruf von der Presse bekommen?

01:20:54: Nein Zum Glück nicht.

01:20:56: Ich würde aber auch einfach direkt auflegen, ich bin da relativ hart.

01:21:00: Nicht weil ich die Presse nicht mag, ich glaube die machen einen guten Job also die meisten... Ich möchte jetzt nicht.

01:21:05: Nein

01:21:05: natürlich nicht!

01:21:06: Aber ich würde nicht mit der... Also wenn sie mich anrufen das wäre wie wenn mich irgendjemand anruft dann würde ich auch sagen, ich habe jetzt keine Zeit, tschüss.

01:21:15: Das ist generell.

01:21:16: wenn ich angerufen werde, glaub' ich bei mir recht einfach meine Hände sind meistens lautlos.

01:21:23: Das heißt, so Kommunikationsstrategie vorher geplantet kann.

01:21:28: Kommunikationskanäle, Messages klar abstellen mit allen Bereichen.

01:21:32: Man hat ja auch diese Tabletopübung die du genannt hast da wird ja KommunikATION und Kommunikationalhausen ja auch trainiert.

01:21:39: Da dann wirklich schon in die Details zu gehen sich zu überlegen welche Behörden sind hier für mich verantwortlich?

01:21:46: Das ist essentiell.

01:21:47: also wenn ich glaube wenn Behörde nicht abgeholt werden Ich glaube, das möchte man richtig machen.

01:21:55: Weil sonst einfach die Nachfragen schärfer werden oder beziehungsweise aufwendiger zu beantworten.

01:22:02: Also ich glaube, dass ist was dafür sowieso kein Weg dran vorbei und dafür gibt es dieses Überwachungsorgane oder wie auch immer man dies nennen möchte – ist notwendig, dass sie wissen, was los ist.

01:22:13: Und wenn die Fragen dann antwortet….

01:22:19: Da gibt es, glaube ich nicht den Ausweg einfach zu sagen wie bei der Presse da reden wir nicht.

01:22:25: Das war aber genau der Punkt.

01:22:28: Also wie ich dich jetzt verstanden habe Krisenfest heißt Nicht am Tag X zu improvisieren sondern Dinge zu aktivieren.

01:22:39: Wir haben Governance als Instrument die pragmatisch angewendet und gute Kommunikationskanäle unter dem abgestimmtes Kommunikationskonzept.

01:22:51: Wir haben Awareness im Unternehmen bei den entsprechenden Entscheidern, ja?

01:22:55: Das heißt das sind so Punkte die ich jetzt auch nochmal in der Gesamtsicht zusammenfassen kann.

01:22:59: gerade nach außen hin treten wir geschlossen auf, haben Profis am Werk, die genau wissen wie wir kommunizieren mit Personen von außen sei es nun Presse, sei es eine Behörde oder irgendjemand anders.

01:23:14: Das heißt diese ganzen Punkte wenn man die mal mitnimmt das sind ja schon einige... ...die sich jetzt gebild haben entlang unserer Thema wie macht man ein Unternehmen krisenfest?

01:23:22: Oder wie reagiert man gut auf die Krise?

01:23:24: welche Dinge müssen im Grunde gut stehen?

01:23:26: was sind die Top fünf Themen?

01:23:28: das nehme ich jetzt einfach mal so mit aus diesem Blog.

01:23:31: letzte Frage weil du's auch erwähnt hast Die Arm Sezos dann immer alle zwei Jahre Ihre Körfer wieder packen müssen oder ihre Checklist mitnehmen müssen, das war jetzt böse.

01:23:42: Aber was würdest du den raten um nicht zum Bauernopfer zu werden?

01:23:48: Wie würdest Du als CISO agieren damit Du eben nicht die Schuld bekommst für ein Thema dass Du vielleicht gar nicht verursacht hast.

01:23:57: Ich glaube ein CISo darf nicht wackeln.

01:23:59: also ich glaube er braucht eine sehr klare Kommunikation.

01:24:02: Er kann sich überlegen welche Form er wählt.

01:24:05: Wenn er am Anfang zu vorsch ist, kann es sein dass er früher geht oder seinen Laden richtig aufsetzen darf.

01:24:11: Wenn er zu schwach agiert... Oder nicht schwache, das ist ein negatives Wort.

01:24:15: wenn er zu passiv reagiert dann wäre er vielleicht in der Krise wirklich der den mal sofort austauscht und man sagt also bis jetzt haben wir gedacht wir sind sicher whatever it means.

01:24:29: aber bis jetzt dachten wir alles ist gut.

01:24:32: und jetzt kommst du und sagst wir haben ja ein riesiges Problem.

01:24:35: Von daher, ich tendiere dazu eine saubere formale Kommunikation.

01:24:40: Es gibt ja manchmal auch sowas wie eine Second Line also sprich wo nicht nur der Zieh so sondern eben auch Risiko-Management und andere Bereiche Dinge adressieren, Risiken adressiert.

01:24:50: Ich glaube das muss gemacht werden.

01:24:52: es muss aber auch ein lösungsbasierter Ansatz sein.

01:24:55: Ja, ich kann die sagen wenn wir einen riesen Risikopunkt sondern ich muss auch sagen Wie können wir's abschwächen oder mitigieren?

01:25:03: Einfach nur adressierten.

01:25:04: finde Mit dem Mitigation wir brauchen mehr Geld und mehr Leute wird nicht funktionieren in neunzehnt Prozent der Fälle sondern es muss pragmatische Wege geben.

01:25:12: also wie gesagt mit dem was man hat muss man arbeiten, man kann natürlich immer adressieren.

01:25:17: Aber mit mehr Geld von mehr Leuten wäre es nachhaltiger.

01:25:22: Wenn jetzt die Wirtschaft gerade nicht boomt wird die Diskussion immer schwierig aber umso wichtiger zu sagen ja wenn wir halt nicht aufbauen dann schaut mal her wir haben hier einfach ein Gap.

01:25:31: ich sage jetzt wieder vierundzwanzig sieben Betrieb ist nicht möglich dann lasst uns das wenigstens auszusetzen.

01:25:37: Dafür brauchen wir aber zumindest noch mal das Budget, weil sie nicht halbe Millionen, Millionen, whatever also je nach dem was ich auszusießen muss.

01:25:45: Aber einfach um da nochmal klar darzulegen okay schaut mir her ich habe euch jetzt informiert ihr könnt jetzt entscheiden.

01:25:51: es ist nicht die Pistole auf die Brust sondern es ist entweder oder eine eins zwei oder drei Entscheidungen die ich aufbohrende.

01:25:58: Das ist glaube ich wichtig.

01:26:01: Aber wie gesagt, eine klare Kommunikation erhalte ich nach wie vor für richtige Mediums.

01:26:05: Sonst muss sich eigentlich gehen wenn die Krise passiert weil dann ist einfach niemand darauf hingewiesen worden und dann habe ich als Informationssicherheitsbeauftragter ja wirklich nicht meinen Job erledigt Weil ich eben nicht über die Risiken informiert hab Und es tut manchmal weh.

01:26:23: Also weil niemand hört gerne dass es Probleme gibt aber es ist halt nur mal der Job den sucht man sich aus Der ist meistens ja auch gut bezahlt.

01:26:35: Vielleicht noch mal eine Frage jetzt zu den externen Faktoren, die IT-Auditoren und Pentester und auch die Auditoren, denen man dann wahrscheinlich auch verpflichtend mit reinigen muss oder third party audits von dritten, die man jetzt sozusagen über sich ergehen lassen muss häufig?

01:26:51: Wie gut würde es sagen helfen diese um Krisenfestigkeit im Unternehmen oder ein Awareness dafür zu schaffen.

01:27:00: Oder sind die nur auf dem Weg zur Krisenfestigkeit für dich etwas, was du relativ schnell wieder abschließen möchtest um dann weiterzumachen in deiner Roadmap-Krisenfestigkeit?

01:27:09: Ich glaube wesentlich ist das Audits abgestimmt sind.

01:27:14: weil also sowohl als ich Auditor war als auch später in meinem Leben... ...ich war Auditor und hab mir mit anderen Auditoren die Klinge in die Hand gedrückt, die genau dieselben Fragen gestellt haben Also eine andere Firma, anderes Team aber der Ansprechpartner war derselbe.

01:27:32: Weil es ein kleines Unternehmen war und es gab einfach Gründe warum zwei Audits parallel stattgefunden haben weil sie eine Firma verkauft.

01:27:40: Neue Muttergesellschaft wollte auditieren gleichzeitig stand der Jahresabschluss der Firma das heißt es wurde eins zu eins genau das gleiche auditiert von zwei Unternehmen.

01:27:50: da muss ich nie nach Effizienzsteigerung fragen oder wie viel Sinn macht ist Und das passiert mal häufiger, weil viele Dinge viele Überschneidungen haben.

01:27:59: Eine ISO-Siemen und zwanzig Tausend Eins kann ich auch auf einer Prozessebene fahren.

01:28:04: die überlappt dann sehr stark mit einer ISO-Näuntausend Eins hat aber inhaltlich halt keinen Mehrwert für die Security an der Stelle mehr, weil ich schaue mir dann an habt ihr Prozess ab der KPIs sind sie sinnvoll?

01:28:17: ist dann die Frage die ich aus Security sich da einstellen möchte.

01:28:20: Sind wir gut aufgestellt?

01:28:21: Aus Security werde ich nicht über eine ISO Neuntaussend Eins herausfinden.

01:28:24: Da finde ich raus, haben wir gute Prozesse und wissen wir wovon nach wer leben.

01:28:30: Wichtig aber eben ein andere wichtig.

01:28:34: Man kann Audits gerne nutzen um den Zwischenstand zu definieren.

01:28:38: Zu sagen ok da stehen wir auf unserer Reise also auf einer Security Roadmap würde ich immer sagen man lässt sich an einem gewissen Punkt assesieren auditieren wie auch irgendwas nennen möchte.

01:28:47: Zumindest mal feststellen auf welchem Security Majority Level leben wir gerade?

01:28:52: oder wo haben wir wirkliche Schwächen, einfach um das extern aufzeigen zu lassen?

01:28:57: Das ist absolut relevant und wichtig.

01:29:02: Wir machen schon alles.

01:29:03: richtig es nicht unbedingt die Sicht die man im Vorstand zeigen will sein und der Vorstand möchte vielleicht auch sehen ok schaut mal da seid ihr jetzt hier seid jetzt auf einen guten Weg.

01:29:13: Ihr habt euer Ziel erfüllt eure Erwartung oder auch nicht.

01:29:16: was müssen wir tun?

01:29:16: dass wir besser werden etc.

01:29:18: pps hilft ja beim Storylining auch wieder Richtung Vorstand.

01:29:22: Warum braucht man Security etc.

01:29:25: Wenn man es zu oft macht, dann wird es halt arbeitsverhindern leider oder es wird Arbeitserschwerend weil ein Security Operations Center lebt nicht davon Auditoren zu besparsen als Beispiel sondern eben ja das Security Monitoring Detection Engineering et cetera zu machen und den Inzidenz zu helfen.

01:29:44: wenn wir fünfmal im Jahr nachweisen müssen dass wir Inzident Response verstanden haben wie's funktioniert kennen aufschlauen müssen, dann ist es sehr schwierig noch Incident Response nebenbei zu machen.

01:29:57: Also da wird dann irgendwann der Anteil an Audits zu hoch, da muss man als Unternehmen sehr genau drauf schauen.

01:30:04: was wird schon in der Jahresabschlussprüfung auditiert?

01:30:07: Also am besten macht man Mapping, was ist denn schon auditiert und geht dann auch auf Auditorin zu und sagt naja also wir brauchen's nicht dreimal auditieren.

01:30:16: oder auch auf Accessoren und sagen den Teil klammern wir aus, weil der wird schon über das und das und dass auditiert.

01:30:21: Da müssen wir jetzt nicht noch des vierte und fünfte Mal schauen ob incident response funktioniert.

01:30:26: nur weil es ein spannendes Thema ist.

01:30:28: Und teilweise ist das so.

01:30:29: die Wahrnehmung, dass man halt diese Themen, weil es ist die coole Techie whatever Welt da wollen alle reinschauen, es wollen alle verstehen.

01:30:36: Da fragt man dann noch fünf mal nach Es ist sehr schwer zu verstehen.

01:30:39: Das ist leider so sehr gefährlich, dass man dann zu viel Audit Findings bekommt weil es einfach auf der Gegenseite auch nicht mehr verstanden wird.

01:30:47: Also das ist so die wirklich... Man denkt sich dann okay ich habe jetzt irgendwie fünf Tickets davon sind drei redundant und dann fängt man an Tickets abzuarbeiten hat aber drei bis fünf Ansprechpartner dafür.

01:30:57: und dann ist man multipliziert ein Problem statt die Lösung zu forcieren.

01:31:03: Und irgendwann hat man dann noch eine Abteilung, die trackt dann noch die Audit Findings und dann wird man ständig sozusagen von audit zu audit.

01:31:10: Und dazwischen close your findings irgendwo ist dann Schluss.

01:31:15: also deswegen sei auch dieses ganze Thema Governance muss richtig aufgesetzt sein in Unternehmen.

01:31:21: das glaube ich betrifft auch nicht jetzt Security per se sondern es betrifgt allen.

01:31:25: wenn ich jetzt über audits nachdenk Richtung ISO Das ist ja, das würde mal Security-Zertifizierung.

01:31:34: Es sind Unternehmenszertifikationen auf Security.

01:31:38: Da ist HR mit drin und da ist Finanz mit drin.

01:31:40: Das sind verschiedenste Bereiche.

01:31:42: die muss ich erst einmal vorbereiten auf so ein Audit weil sie sagen dann naja wie ihr macht doch Security?

01:31:48: Ist doch nicht unser Thema.

01:31:49: Ja aber ihr habt den Off and Onboarding Prozess für neue Mitarbeiter in der Personalabteilung.

01:31:54: also müssen wir schauen dass der auch Informationssicherheit richtig adressiert, heißt jeder neue Mitarbeiter wird erst mal mit einem Code of Conduct oder was ausgestattet.

01:32:07: Oder kriegt halt Basisinformation sowie für Datenschutz auch für Informationssicherheit, wechselt ein Passwort regelmäßig oder wie auch Wasser immer einmal festlegt als Unternehmen.

01:32:17: Indem muss man aber konsequent sein und dann nicht sagen jetzt machen wir noch eine ISO-Siemenundzwanzigtausendeins wenn wir schon ne andere Zertifizierung haben anderes Audit auf dem Niveau und gerade das Abschlussprüfung, weil ich es früher ja als IT-Sicht mitbegleitet habe.

01:32:34: Einen Thema sind die Off and On Boardings also sprich werden Accounts deaktiviert usw.

01:32:38: Und sofort muss sich das in fünf Audits wirklich nochmal prüfen?

01:32:42: Ich glaube nicht!

01:32:44: Aber nur meine Meinung als siehe.

01:32:48: Ich glaube es gibt ein paar Leute die würden das ähnlich sehen vor allem die die operativ arbeiten und nicht die die die Auditoren beauftragen.

01:32:56: Was macht für dich einen guten Auditor aus?

01:33:01: Er versucht sich in die Thematik einzuarbeiten und auch er gibt es sich Mühe zu verstehen, wie das Unternehmen funktioniert.

01:33:07: Ich glaube, dass ist wichtig weil ich glaube im Audit bin jetzt sehr gemein wenn ich in der Firma bin oder in den Assessments, sagen wir mal Assessment Audits ist ja sehr stark auf Wirtschaftsprüfung Aber Assessments jetzt Richtung Isis-Hiermon-Zwanzig-Tausend-Eins kann fast jeder.

01:33:25: Es gibt die Dokumentation, es gibt Fragenkataloge.

01:33:28: also jetzt mal rein formal Kann ich jemanden sehr schnell ausstatten ein Audit durchzuführen Dann wird er sehr stringent durchgehen und es wird viele Findings hageln Und die Ansprechpartner werden explodieren.

01:33:42: Weißt du sagen?

01:33:42: Es kann nicht sein dass ihr nicht versteht das wir diese Isonorm auf unser Unternehmen anpassen.

01:33:49: Und wir machen das so weil.

01:33:51: Ich hatte in einem Unternehmen eine Diskussion, da haben Assessoren nicht verstanden dass wir Nicht Mitarbeitern zugeordnete Assets haben.

01:34:02: Es waren Bildschirme und zwar in tausender Zahlen.

01:34:06: Die war nicht einzelnen Mitarbeiter sondern der IT zugeordnet.

01:34:10: die Assessor waren aus dem Ausland, die haben nicht Verstanden was ein Shared Space ist.

01:34:16: Wir hatten Shared Spaces Das heißt man ist ins Büro gegangen hat sich irgendeinen Arbeitsplatz gesucht, da waren ... ... eine Monitorie in der Docking Station und hat sie angestöpselt konnte arbeiten.

01:34:26: Das war ein Fallending dass wir nicht zugeordnet ne Assets in unserer Assetmanagement haben.

01:34:32: Die sind ja zugeordnet aber eben der IT.

01:34:34: Ja die müssen eine Mitarbeiter zu geordnet werden.

01:34:37: Wir können uns am CIO aber nicht fünftausend Bildschirmen zuordnen.

01:34:40: Warum?

01:34:42: War ne Frage!

01:34:42: Also warum nicht?

01:34:44: Nein natürlich nicht... Aber das ist das Problem.

01:34:48: wenn man Also es muss Bezug da sein, also ich erwarte eigentlich immer dass man sich in das Unternehmen zumindest grundsätzlich einarbeitet.

01:34:56: Vielleicht gab's ja schon mal einen Audit oder einen Assessment.

01:34:59: Dass man sich mal grundlegend anschaut was ist das?

01:35:01: Wir hatten Auditoren die hören VW oder Carriott und dann denken sie nur an Autos.

01:35:10: Carriot baut aber keine Autos, Carriotte baut Software und Backends.

01:35:14: Also am Fahrzeug bauen wir sehr wenig.

01:35:17: Das sollte schon klar sein, wenn ich als externe Assessor komme.

01:35:21: Für welche Firma mache ich dieses Audit?

01:35:23: VW ist ja nicht eine Firma.

01:35:24: Es sind ja... Ich weiß nicht wie viele.

01:35:28: Das weiß wahrscheinlich so keiner!

01:35:32: Ich glaube es sind ein paar Tausend.

01:35:33: aber also deswegen und gleiches bei Airbus.

01:35:36: Also es ist nicht jeder bei Air Bus ein Flugzeugbauer sondern es gibt die die Flugzeuge hin.

01:35:41: entwickeln und bauen, es gibt aber eben auch die die Satelliten machen.

01:35:44: Es gibt auch die Hubschrauber machen und die die alles anderen noch machen.

01:35:47: Und da muss ich mich schon als Auditor... Das müssen nicht fünf Tage Einarbeitung sein.

01:35:53: Ich weiß sie haben wenig Zeit aber und wenig Budget dafür Aber es muss ein Grundinteresse an der Firma da sein sonst machen auch audits überhaupt keinen Spaß.

01:36:04: Rechenzentren auditiert die Hochsicherhörer waren.

01:36:07: Ich habe auf der anderen Seite auch irgendwelche Lagerlogistik Prozesse mir anschauen dürfen, ich fand das alles mega spannend.

01:36:14: Ich fand es dann nach dem dritten mal langweilig weil dann muss ich da nicht mehr hin um zu sehen dass die Handscanner funktionieren.

01:36:21: Das ist einmal spannend zweimal spannend.

01:36:23: dann würde ich auch gerne einen jungen Auditor oder Assessor hinschicken aber der wie gesagt Interesse muss da sein also an der Thematik und am Unternehmen sonst wird's wirklich... Also sonst wird für alle Seiten sehr anstrengend.

01:36:36: Es ist glaube ich wichtig.

01:36:39: Ja benedigt du hast jetzt sehr treffend schon so die Themen auf der Prozessebene beschrieben, die Themen.

01:36:45: Auf der Ressourcenebe darüber gesprochen in Bezug auf Krisenfests unternehmen.

01:36:51: wir haben aber einen ganz wichtigen Faktor bisschen außer Acht gelassen bisher.

01:36:55: das ist natürlich dass sind natürlich die die Person mit dem man zusammen die Menschen.

01:36:59: das Thema Mensch Du hast es einmal kurz angeschnitten hast auch schon gesagt ja mensch Man hat eigentlich nur die Hälfte von dem, den man eigentlich braucht beziehungsweise.

01:37:07: Man kann immer sehr harte Ressourcen des gesunden Bezug auf die Mitarbeiter, die man dann einstellen möchte.

01:37:15: eine Sache interessiert mich da an der Stelle schon.

01:37:18: Du hast ja diese Teams auch geleitet in der Krise und es ist ja so... Es prasselt ja so viel Druck.

01:37:25: Wir haben ja so ein bisschen festgestellt die Pressebehörden das eigene Board, eigen Vorstand überall wird quasi in Richtung ... IT Security geschaut und in Mannschaft geschaut.

01:37:36: Und wie beschützt du deinen Team vor diesem Druck?

01:37:39: Also, du bist unter Druck wahrscheinlich dein Team aufgrund der ... ... in der Regel meistens ja auch etwas sparsammeren Besetzung.

01:37:46: Man hat ja nie ausreichen Leute.

01:37:48: Man hatte noch ein ganz normales alltägliches Geschäft auch noch.

01:37:52: Wie beschütz man da sein Team?

01:37:54: Also wie stellt man sich vor seinem Team?

01:37:56: Wie beschützen wir seinen Team?

01:37:58: Sowohl im Bezug auf den Arbeitsdruck als auch den

01:38:01: Kommunikationsdruck.".

01:38:03: Ich glaube, die Kommunikation auch da wieder das erste Kommunikationsmittel ist mit dem Team reden.

01:38:10: Also ich glaube, dass es aber der normale Standards-Teamleiter muss sich mit dem team austauschen und wie man agiert.

01:38:21: Wir haben dann einfach auch definiert wenn sich jemand bei denen meldet und ich nicht in Kopie oder wir auch immer bin, dann sollen sie direkt das an mich weiter leiten Einfach um sicherzustellen, also da geht es ja auch erstmal darum das Chaos zu verhindern.

01:38:35: Also jetzt mal aus der formalen Seite.

01:38:38: Aber um das Team zu schützen ist eigentlich der Trigger für mich weil ich sage wie du sagst Es kommen von allen Seitenanfragen die werden in Meetings reingezogen etc.

01:38:49: Da war eigentlich immer die oder ist generell Eigentlich einer verantwortlich für Kommunikationes gibt einen incident manager.

01:38:58: Der ist eigentlich das Sprachrohr für diesen Incedent.

01:39:00: Das heißt nicht, dass er alles macht sondern es ist derjenige der den Hut auf hat für diesen Incident.

01:39:06: Es muss nicht ich sein.

01:39:07: Das kann einfach ein Mitarbeiter sein aus der incident response.

01:39:11: Er muss die Sachen zusammenhalten und verteilen.

01:39:14: Der fragt auch nach Hilfe.

01:39:16: Der kommt auch zu mir.

01:39:17: Stimmt sich mit mir ab?

01:39:19: Je nachdem wie man kommunizieren geht eher direkt dann in die Kommunikation oder über mich.

01:39:25: Das liegt immer dann auch am Case.

01:39:28: Wie klein oder groß er ist.

01:39:29: in manchen Cases muss ich nicht involviert sein, wenn es Krisen sind, dann muss ich involvierend sein.

01:39:34: Deswegen da ist so der die Ausgangssituation einfach wie groß ist der case?

01:39:38: Weil bei manchigen bin ich nicht involveiert weil wozu?

01:39:41: das sind kleine Themen die werden abgearbeitet Thema durch By the way, das war keine Krise für Carriott an der Stelle.

01:39:48: Das muss ich noch einmal formal dazusagen wir haben es nicht als Krise definiert das heißt wir haben auch nicht den Krisenstab eingerufen sondern es war eine Situation.

01:39:58: nur dass was mir von vorne noch übrig geblieben ist.

01:40:02: ansonsten wie schützt sich mein Team?

01:40:04: Ich kommuniziere mit den involvierten Leuten sehr stark.

01:40:07: Ich gehe meinen Leuten auf die Nerven und sage ihnen aber nur, ich gehe euch nur auf die nerven wenn ihr was braucht bzw.

01:40:13: Wenn ihr euch nicht meldet und nicht Angst habt da sehr gerade wieder irgendwo in Coles gezogen werdet dann frage ich nach und es muss ein sehr gutes Vertrauensverhältnis aufgebaut werden mit dem Team.

01:40:24: also das Team ist essenziell sonst kann ich nicht ruhig bleiben.

01:40:27: Also zum Thema.

01:40:28: warum bin ich ruhig?

01:40:29: weil ich einen Team habe auf der sich mich verlassen kann.

01:40:31: Das ist also ohne das Team würde das nicht funktionieren Hätte ich keinen Vertrauen, wüsste ich nicht ob die liefern oder nicht.

01:40:39: Dann wäre das alles... Also dann wäre ich unruhig Und wie gesagt Schutz auch im direkter Ansprache wenn ich merke dass Leute mich übergehen in der Kommunikation Oder eben direkt auf das Team zu gehen Das direkt auch adressieren blockieren Im Sinne von wir haben hier den Kommunikationsweg Der ist auch definiert, der geht über mich Oder eben über ein Postfach oder oder oder Einfach für uns wichtig dass wir die Sachen tracken.

01:41:04: Wenn wir über hundert Anfragen, über Hundert Kanäle bekommen dann können wir nicht mehr reagieren.

01:41:09: Also dann haben wir unseren eigenen Didos.

01:41:13: von daher müssen sehr klar und auch sehr hart sein.

01:41:17: also das muss auch im Vorfeld klar sein dass niemand überstimmt dann einfach nur weil gerade Panik erst Das ist glaube ich sehr wichtig.

01:41:25: Und wie gesagt viel mit den Mitarbeitern reden Auch schauen es sind stressige Zeiten das heißt da ist oft auch Überstunden etc.

01:41:31: aber dann eben auch schauen Manchmal sind die ihr verhalten, dann ihre Kollegen zu fragen ob sie helfen können oder ob sie noch mehr Arbeit abgeben können.

01:41:39: Da muss dann eben auch die Personalführungsseite ganz klar rein und da muss man sagen ok schau mal herz nimmst du noch Den Kollegen an die Hand, den habe ich schon gebrief.

01:41:51: Der hilft jetzt auch noch mit weil der ist auch die nächsten Tage da und du bist im Urlaub oder du hast dann vielleicht auch mal einen Tag frei oder sonst was.

01:41:57: also da nicht nur weil eine Krise es wird alles geblockt sondern finde Wege als Teamleiter mit dem zu arbeiten was Du hast.

01:42:05: Es muss funktionieren, also ich war Berater deswegen alles muss immer funktionieren.

01:42:11: Das macht es nicht einfacher im Leben aber zumindest löst man viele Probleme wenn man sich das Ziel setzt wird gelöst.

01:42:18: und dass eben auch in der Personalsituation die mal vorfindet.

01:42:22: Also es kann sein hat genug Leute es kann seien es ist gerade Sommer und alle sind im Urlaub ja dann muss es trotzdem funktioniert.

01:42:28: man hat vielleicht noch ein incident response retainer den man zuschalten kann als Unterstützung oder sonstiges.

01:42:34: Ja, finde einen Weg ist zu lösen.

01:42:36: Das glaube ich so die Aufgabe, die jeder Teamleiter immer hat und in Krisen oder in Ausnahmesituationen umso wichtiger auf das Team schauen.

01:42:44: also dass weil wenn das Team fällt dann fällt alles.

01:42:49: Was mich zum so eine echt spannenden Frage bringt oder einer frage die ich mir hier stelle wir haben jetzt ja quasi die essenziellen Themen der Kommunikation in der Struktur den Prozessen.

01:42:58: Jetzt haben wir auch gehört wie du dich eigentlich innerhalb der Krise mit deinen Mitarbeitern mit deinem team kommunizierst.

01:43:05: dich vor die Stelle, guckst das alle Kommunikationswege über dich gehen oder du zumindest da eine gewisse Kommunikation Strategie hast.

01:43:12: Welche Informationen werden wie nach außen außerhalb deines Teams getragen?

01:43:16: Wie bindest Du Deine Mitarbeiter in die verschiedenen KommunikATIONS Kanäle mit ein?

01:43:21: Vielleicht nochmal von der anderen Perspektive.

01:43:23: Du sagtest quasi dein Team ist der Anker für Dich.

01:43:27: Dein Team gibt Dir Ruhe an der Stelle.

01:43:30: Wer insbesondere bzw welche Welche Personen brauchst du in deinem Team, um eine Krise gut überstehen zu können?

01:43:38: Nicht nur auf der Rollenebene.

01:43:40: Also nicht nur ich brauche jetzt den Incident Manager sondern Kerne auch.

01:43:43: was müsst die Person vereigenschaften mit sich bringen?

01:43:45: also gerne so ein bisschen die rollen.

01:43:46: wie wichtig und was zeichnet so die verschiedenen team-teamglieder an deinem team aus?

01:43:51: Und das werde ich so ein bißchen priorisiert auch.

01:43:53: Auf wen könntest Du auf gar keinen Fall verzichten?

01:43:55: wenn Du jetzt dieser grünen Wiese wieder bist erinnerst Du Dich von Anfang an Wen brauche ja Deine erstes?

01:44:01: Wer hält mir den Rücken frei?

01:44:02: Wer hilft mir dann, wenn es kracht.

01:44:04: Also

01:44:06: ich glaube generell auf verzichten kann man auf keinen.

01:44:10: Das ist glaube ich das wichtigste Statement weil sonst hätte ich ja zu viele Leute und vor allem auch die falschen.

01:44:18: Nein aber also prinzipiell eine grundlegende Erfahrung in incident response oder incident management.

01:44:30: Das heißt, zum einen müssen die natürlich fachlich in der Lage sein mit Inzidenz umzugehen.

01:44:36: Aber genau wie ich auch eine gewisse Ruhe haben.

01:44:40: Also nicht weil da jetzt was passiert ist sofort Headless chicken und laufen rum und wissen nicht was sie tun sollen sondern auch da wieder jemand der besonnen ist, der ruhig bleibt ... der sein Fakten basiert vorgeht, nach einem Prozess oder auch nach einer Routine.

01:45:00: Ich nenne es jetzt nicht prozess für das Thema Nicht-Überstressen... ... aber der seinen Werkzeugkasten dabei hat und eben mit dieser Erfahrung dann auch ruhig durch die Themen geht.

01:45:13: Das hilft nichts wenn ich den ganz jungen... Level Eins Analysten hab, mit seinem alten Sockrollenbild zu bleiben.

01:45:21: Es hilft mir nichts wenn ich einen super Experten habe der nicht kommunizieren kann.

01:45:25: also ich brauche irgendein Mittelmaß der am besten Fall schon öfter durch Krisen gegangen ist das sind viele.

01:45:33: oder dass er durch Inzidenz gegangen ist davon gibt es viele.

01:45:37: aber eben dann auch wirklich nicht nur die technologische Seite sondern eben auch wirklich in der Kommunikation und im Ganz einfache Dinge sauber arbeiten.

01:45:48: Dokumentation ist kein fancy Feature, kein Tagding.

01:45:51: Es ist essentiell in Inzidenz vor allem wenn du dann gegebenenfalls noch juristische Nachverfolgung hast, hast Du alles richtig gemacht?

01:45:59: Was hast Du gemacht?

01:46:00: Das muss alles dokumentiert sein.

01:46:02: Wenn sich da jemand schwer tut Dann brauche ich jemandem der ihm dabei hilft.

01:46:07: das heißt es braucht die eierlegende Wollmilchsau wie es immer so schön heisst.

01:46:11: Die findet man schwer.

01:46:12: aber Ich brauche zumindest ein gutes Grundgerüst, dann kann ich auch sehr schnell unterfüttern oder auch selber unterstützen.

01:46:19: Ich bin ja nicht Head Off und mache nichts mehr selbst, sondern ich kann ja auch arbeiten nur... ...ich brauch jemanden der so den Incident Managed erstmal und zwar wirklich technisch weil da bin ich raus also dafür habe ich ja meine Leute aber eben auf der fachlichen oder menschlichen Seite auch ruhig bleibt.

01:46:41: Ja, mir auch vertrauen entgegen bringt im besten Fall.

01:46:44: Aber das legt an mich erst muss ich mehr verdienen.

01:46:47: Also Benedikt du hast ja jetzt viel über das Team auch erzählt wie es gestaffterne welche Qualitäten so einen Inzidenzmanager mitbringen muss.

01:46:55: erfahren genug auf der technischen Perspektive erfahren genug um solche Inzidents zu handeln sich zu erfassen Und zu gucken, ist es überhaupt ein Inzident der jetzt wirklich von der Tragweite her weiter untersucht werden muss?

01:47:06: wahrscheinlich dann.

01:47:07: Wir haben ja einen Inzienter gerade reinkracht den richtig zu dokumentieren und zu erfassen wie man ihn quasi dich kategorisiert.

01:47:18: Auf der anderen Seite soll er aber auch an andere Richtungen gut kommunizieren können.

01:47:20: Das heißt jemanden, der wirklich technisch versiert ist und so ein Level drei Stockcenter Mitarbeiter, der ist ja jemand, der sozusagen dann sehr technisch verseht ist wahrscheinlich.

01:47:28: Er korrigt mich wenn ich da falsch liege.

01:47:31: Aber die haben oft gar nicht die Lust mit Menschen zu sprechen, die technisch dich bewandert sind.

01:47:37: Die sagen das möchte ich eigentlich gar nicht.

01:47:39: Mit denen möchte ich kann ich mich fünf Minuten unterhalten.

01:47:42: Das ist jetzt wirklich ein O-Ton und danach möchte ich auch nicht mehr mit den Sprechen eigentlich, ja?

01:47:46: Dafür

01:47:47: habe ich doch dich.

01:47:48: Also da fahre ich doch meinen Teamleiter oder...

01:47:52: Was ist dir?

01:47:52: das heißt, dass es also so bisschen Diffusion aus diesen beiden Ebenen, die man sehr kommunikativ ist aber auch immer technisch bewandert ist?

01:48:00: Wir wissen oder ich weiß aus der Praxis, dass sie so eine Person nehmen wie du schon sagst Eierdinge Mäulich war extrem schwer zu finden ist.

01:48:05: Ja, das ist ja quasi ein Lechster im Lotto Wenn du da jemanden gefunden hast, der den Anschein macht dass er genau diese Person ist ja dann kannst du immer noch falsch liegen.

01:48:14: Also für mich wäre jetzt auch nochmal die Frage an dich wie findest du diese Person und... Wie ermittelst du in diesem relativ kurzen Kennenlernenprozess eine Bewerbung eines Bewerbungsprozesses?

01:48:25: Das ist die richtige Person die ständig ein.

01:48:27: So jetzt gerade für die Rolle.

01:48:28: also es ist nicht die einzige wichtige Rolle sondern das ist ein Sockteam besteht ja aus viel Schichtigen.

01:48:35: deswegen Für die Rolle Würde ich schon, egal wie mein Rekruting-Prozess ist würde ich definieren dass es eine Person sein muss die nicht jetzt seit zwei Jahren im Sock umfällt.

01:48:46: Die muss schon länger dort sein und gerade bei den Lebensläufen komme ja aus dem Bereich und bin da ja schon sehr lange gibt's sehr viele die sehr schnell wachsen.

01:48:56: also die fangen dann an als L.Eins, dann sind sie ein Jahr später schon in L.Zwei wechseln, die Firma sind

01:49:00: L.I.C.,

01:49:00: also nur in der Zeitspanne wo ich sage ein richtiger Instident Responder wird man nicht in einem Jahr oder eineinhalb Jahren, das ist glaube ich schon ein bisschen unterschätzt dann an der Stelle.

01:49:13: Da ist wie gesagt gerade die Routine dann einfach notwendig.

01:49:17: Das heißt, man sucht dann schon Leute, die länger im Umfeld sind und es gibt drei Kriterien.

01:49:24: Das eine ist technisch natürlich auf das passen was ich mache.

01:49:28: wenn ich jetzt nach einem Cloud-Only Business bin ist es schwierig jemand einzustellen der nur on-premise Infrastruktur bis jetzt betreut.

01:49:39: Das heißt, das ist kein garantiertes Ausschlusskriterium aber wahrscheinlich fehlen ihm sehr viele technische Facetten aus der Cloud und vielleicht auch noch von den Tools die wir nutzen etc.

01:49:48: Das würde ich schon mit aufnehmen technisch dass er fit ist.

01:49:52: Das zweite ist eben dass er langjährige Erfahrungen hat also dass er mal mehr als drei Jahre in einem Sock ist, weil das bedeutet auch er möchte da sein.

01:50:01: Das ist nicht der Weg dann zum Architekten oder wie auch immer geartet.

01:50:06: die verschiedenen Wege sind, die die Leute gehen wollen.

01:50:11: und das dritte ist aber auch der Teamfit also dass sozusagen ein Sock ist ein Ökosystem eines der wertvollsten die ich haben kann wenn ich es richtig schaffe das liegt nicht an mir sondern am Team.

01:50:25: das heißt worauf Dann auch noch?

01:50:27: achte es, dass das Team ein Interview macht.

01:50:30: Also das Team beurteilt ob der Mitarbeiter in das Team passt weil da ist also die menschliche Komponente.

01:50:36: Wenn ich das richtig aussteuere dann funktioniert's eigentlich schon, dass sich solche Charaktere finde.

01:50:42: und wie gesagt, dass nicht eine Person alles kann, ist klar.

01:50:46: aber die Frage ist wo kann ich mir die Schwächen erlauben?

01:50:49: oder wo kann?

01:50:53: Er kann Incedent supermanagen, ist nicht so gut in der Kommunikation.

01:50:55: Ja gut dann weiß ich, ich habe die Kommunikion.

01:50:57: Ist auch fachlich aber... ...nicht der Richtige?

01:51:00: Dann muss ich fachlig arbeiten.

01:51:02: Dafür hab' ich einen Incedend-Manager.

01:51:04: also das ist so die Abwägung, die ich treffen muss und wie gesagt... ...in dem Fall sei ich gut dann kommuniziere ich weil das kann ich noch.

01:51:15: Dafür habe ich aber jemanden der sozusagen die Routine mitbringt usw.

01:51:21: Und wenn er kommt an Normalerweise, also der Geek ist langsam am aussterben.

01:51:27: Es gibt ihn immer noch natürlich.

01:51:28: aber viele Leute aus der Security sind sehr kommunikativ finden es auch mal ganz cool wenn sie mit einem Vorstand reden dürfen oder oder oder.

01:51:37: Also es gibt ja auch die Chance die Leute zu entwickeln.

01:51:39: ich lege auch sehr viel Wert darauf dass Mitarbeiter nicht nur technisch ausgebildet werden sondern auch wirklich Social- oder Soft Skills trainieren dahingehend im Team, dass man überlegt okay wir haben Leute die sind mehr introvertiert.

01:51:55: Aber den muss man ja auch mal zumindest die Frage stellen ist es ok für dich das du immer im Schatten bist oder möchtest du vielleicht auch mal irgendwo auftauchen?

01:52:03: Also weil das ist ja eine Entscheidung die muss ich eben die Mitarbeiter erstmal anbieten können sonst kann ich auch keine Entwicklung stattfinden lassen und dann auch Wege finden wie ich jemanden der nicht kommunikativ ist auch dort hin entwickelt also vielleicht kommunizieren will.

01:52:18: Vielleicht will er es, traut sich nicht und irgendwann ist halt der beste Kommunikator von allen.

01:52:23: Aber im Recruiting würde ich sagen das ist die Abwägung was ist die Priorität?

01:52:29: In dem Fall sei jemand der ruhig ist und weiß was er tut und in der Kommunikation ein bisschen schwächer ist.

01:52:36: Der hilft mir an der Stelle mehr weil er mir den größten Teil abdeckt.

01:52:40: dann bin ich halt der der wieder kommuniziert.

01:52:43: für den Fall

01:52:45: Ja, ist auch ein großer Teil deiner Rolle.

01:52:47: Sowieso wie du es auch beschrieben hast Kommunikation auf jeder Ebene das ist zentral vollziehbar.

01:52:54: Es ist ja wirklich schwierig in dem Bereich Personal zu finden.

01:52:57: Welche Wege bist Du denn schon gegangen?

01:52:59: Also klar klassisch Du hast eine HR die sucht wahrscheinlich Referenzen und Du hast wahrscheinlich auch eigene Mitarbeiter Die dann auch jemandem mitdrehen.

01:53:09: Sie kennen quasi Empfehlung.

01:53:11: Was ist Dein Weg um das richtige Personal zufinden?

01:53:14: Wie gehst Du davor?

01:53:15: Seit ich im SOC-Umfeld tätig bin oder generell in der Cyber Security gibt es das Thema Ressourcenengpass, oder nicht genug Qualifizierte oder für die Stellen passende Mitarbeiter.

01:53:28: Wir suchen seit jeher über alle Kanäle also sei's natürlich über ganz normale Stellen Ausschreibungen über die Personalabteilung, über die normalen Prozesse Leute, die wir vielleicht noch kennen.

01:53:42: Die wir vielleicht motivieren können zu wechseln oder dann auch wirklich über recruiter weil einfach die von kalter quise überall ist.

01:53:50: also muss ich jetzt sagen auch in den letzten jahren der output oder ich sage mal so der fit Einfach nochmal ein ganz anderes wenn man mit dem recruiter abstimmt.

01:53:59: das ist was wir suchen.

01:54:01: das sind die must-haves die wir wirklich brauchen.

01:54:03: Dann laufen die los, die bekommen teilweise mit dass irgendwo Stellen abgebaut werden.

01:54:07: Die laufen in diese Firmen rein oder telefonieren diese Firma wie Mitarbeiter an.

01:54:12: Habe ich sehr gute Resonanz.

01:54:14: also wirklich definitiv notwendig auch über Headhunter zu gehen.

01:54:18: Es führt kein Weg dran vorbei nicht für jedes Profil aber für viele wird man niemand finden.

01:54:23: sonst

01:54:24: Das erzählen uns auch viele Kunden.

01:54:26: natürlich macht es Sinn und würden auch nicht so viel mit Rekrutern oder Headhuntern suchen.

01:54:31: ... aus deiner Perspektive, was macht einen guten Recruiter aus?

01:54:39: Oder einen guten Servicepartner in Brechrecruiting.

01:54:42: Meistens habt ihr auch noch eigene Recruiternunternehmen sitzen... ... die ja auch sehr gut sind.

01:54:46: aber wenn ihr dann auf einen externen Service zugreift... Was macht da einen guten Rekruter aus?

01:54:51: Die müssen mehr auf die Nerven gehen!

01:54:53: Das klingt total blöd aber die müssen mir auf die nerven gehen und zwar müssen nämlich ständig fragen... ...was können wir noch besser machen an unserem Suchprofil Ist furchtbar anstrengend.

01:55:03: Damit will ich mich ja gar nicht so intensiv beschäftigen, ist aber wirklich

01:55:07: wichtig.".

01:55:08: Auf der anderen Seite auch das Thema... Man kriegt dann mal ein Profil zugeschickt und dann hat man natürlich seinen täglichen Job noch nebenbei.

01:55:17: Das heißt, Recruiting läuft immer noch in der Freizeit Aber auch da dann dran zu bleiben und so sagen hey wir haben würden gerne, aber jetzt müssen wir da mal zur potte kommen.

01:55:26: Und dann auch das nachhalten.

01:55:28: also das ist ein bisschen was babysitten von meiner personen dann?

01:55:32: Aber finde ich essentiell und es ist auch das wo ich mehr wert rauskriege und daneben auch wirklich die.

01:55:39: Also immer wieder dieses nachfragen wie isst du der kann jeder was ist das wirklich schon Die detailltiefe auf der versuchung oder geht's noch genauer oder ist das vielleicht auch noch was?

01:55:50: also Erfahrungswert mitbringen und eben dann Nachfragen, nachfragen wie können wir noch genauer?

01:55:57: oder auch wenn man jetzt einen fünf drei aussortieren.

01:56:00: Warum?

01:56:03: Man kann ja schnell fünf CVs irgendwo einsammeln aber sind es fünf die passen?

01:56:08: Ja dann ist das schon eine gute Quote.

01:56:10: Sind's drei die passend ist auch ne gute Quotte.

01:56:12: Aber Wenn keiner passt dann muss mal überlegen.

01:56:14: habe ich jetzt ein völlig falsches Zielbild definiert dass mir doch nicht gefällt ... wird an der falschen Stelle gesucht und das glaube ich ist... Also das sind so die zwei wichtigen Komponenten.

01:56:27: Das heißt, auch die Kommunikation mit dem externen Dienstleister übernimmst du gerne selber?

01:56:32: Wenn ich muss!

01:56:35: Nein natürlich nicht!

01:56:38: Nee, ich glaub schon es ist wichtig wenn man also je mehr zwischen instanzen dass du schwieriger wirst irgendwann.

01:56:44: Also ich muss ja nicht, je nachdem wie die Firma aufgestellt ist und dann auch der Kontakt mit den externen.

01:56:50: Für gewöhnlich sind aber auch die internen Recruiter ganz dankbar.

01:56:54: wenn man mal mit den externen selber spricht weil wir einfach da nicht stille Posts, na dann geht was verloren, interpretiert anders Ich bin vermeintlicher der Experte was ich suche Dann ist ein Recruitter dazwischen Dann kommt ein externer Servicepartner Da gehen Dinge verloren oder werden falsch verstanden, oder halt interpretiert.

01:57:14: Deswegen normalerweise kommt zumindest ein Kontakt zustande und im besten Fall ist es ja noch sehr kurzer Weg dann.

01:57:23: Also mir hilft's dann doch wenn ich direkt weiß okay da stehen wir da sind wir.

01:57:28: aber kommt auch auf den internen Prozess an

01:57:31: Ja wird auch danken von uns angenommen.

01:57:33: also wenn wir wirklich schwierige Stellen für schwierige Position suchen sind wir immer froh, wenn wir einen direkten Draht zu den entscheidern haben.

01:57:41: Zu den fachlichen Entscheidern auch klar die HA-Kollegen in der Company werden natürlich mit eingebunden aber es ist immer wichtig dass man nach den ersten Zivis eine Rücksprache hält das man sich austauscht.

01:57:53: was war bei dem Kandidaten jetzt nicht so gut?

01:57:55: vielleicht auch in der fachliche Tiefe weil... Wir sind ja relativ spezialisiert wir kennen ja auch die Themen meistens die dann letztendlich das auch auf der Security Seite einzuhalten sind oder was für Personen gesucht werden.

01:58:06: welche Personen sind essenziell fürs Team und sich da auf euch in Details mal zu verstricken.

01:58:13: Wo können wir Abschnitte machen?

01:58:14: Wo sollte es besser sein, dass man da wirklich so eine ausgewogenes Profil hinbekommen was auch marktnah ist.

01:58:22: Man kann ja eben Kandidaten nicht backen und dann markt nach das Profil herauszuarbeiten und sagen den finden wir auch realistisch Würde der dir reicht für deine persönlichen Ziele, die wir ja auch besprochen haben dann.

01:58:36: Wo soll die Person hin?

01:58:38: Wobei hilft sie dir denn konkret bei welchen Projekten und da kennen wir dann ja auch schon einige Projekte vielleicht aus anderen Kunden-Diskussionen können.

01:58:45: Dann gezielt auch dort suchen wo es dir was bringt und eben das frei zu schälen um zu sagen hey... muss es dann jemand sein, denn der genau in der gleichen Branche gearbeitet.

01:58:56: Das kann niemand aus der Branche sein?

01:58:57: Die haben ein ähnliches Tätigkeitsfeld, ähnliche Angriffsflächen, ähneliche Critical Assets ja... Der wird das verstehen auf deiner Seite und da nochmal vielleicht noch mal eine Anregung mit reinzubringen, ja.

01:59:08: Das heißt finde ich richtig gut die Aussage auch für mich als Reguter weil wir oft genau vor dieser Thematik stehen wo es dann heißt, der Fachbereich hat so viel zu tun Wer hat nicht genug Personal?

01:59:24: Ich wollte gerade sagen, aber es ist auch die Frage habe ich weniger zu tun wenn alles über Dritte läuft.

01:59:29: Also wird der Arbeit weniger oder ärgere ich mich mehr weil ich halt die falschen Profile bekomme.

01:59:34: also deswegen bin schon ein Fan.

01:59:36: Es ist klar immer Abstriche muss man machen.

01:59:39: Aber zumindest wie gesagt mal dieses initiale Framing und dann auch mal einen Austausch.

01:59:44: Feedback Wie du sagst finde ich absolut wichtig damit man auch... Also auch ich bekommen dann Feedback.

01:59:51: Solche Leute gibt's auf dem Markt nicht.

01:59:56: Kann ich mir alles wünschen, das heißt ja nicht dass es existiert.

02:00:00: Wir haben schon herausgefunden ne?

02:00:01: Es ist schwierig Talente zu finden und es bedarf auch oft Personalvermittlern und Personalberatung um da einfach effektiver zu sein im Markt.

02:00:10: Was sind deine Top-Paintpoints in Zusammenarbeit mit externen oder mit Personalvermittelungen und mit Hättern dann

02:00:18: Ich hab's ja vorher gesagt, positiv ist er wenn ich genervt werde aber daran negativ ist.

02:00:22: Wenn ich halt ständig falsche Profile bekomme und auch wenn ich dann proaktiv in die Kommunikation gerne sage da ist das suche ich nicht und ich sag es euch nochmal ich suche dass und das kommt dann einfach wieder und wieder dann muss man sich trennen also dann gehts nicht weiter.

02:00:38: ansonsten Viele Recruiter, die mich natürlich anschreiben und dann kann ich die nur auf offizielle Kanäle verweisen.

02:00:46: Also ich gebe die weiter in die Personalabteilung und manche werden aber... ...die hören nicht auf.

02:00:51: Die sagen ja, aber kannst du mir nicht... Ich kann dir hier direkt jemanden vermitteln.

02:00:55: Ja, es gibt hier einen, ne?

02:00:56: Ich bin dann non-compliant.

02:00:58: das wird nicht passieren.

02:00:59: also wir müssen diesen Prozess einhalten.

02:01:00: Ja!

02:01:01: Aber DHR Medizin.

02:01:03: Ich kann da nichts dafür oder?

02:01:04: Das ist halt der Prozess.

02:01:06: Also erwarte auch für eine Personalvermittler Hat-Hunter, dass er mir dann dort hilft, wo er mir hilft.

02:01:13: Er kann ja tolle Profile haben!

02:01:14: Es hilft mir aber nichts wenn ich ihn nicht nutzen kann weil es halt Prozesse gibt.

02:01:18: Ich glaube das sind die zwei wesentlichen hier zu sagen.

02:01:22: Ansonsten bin ich eigentlich relativ zufrieden mit Het-Huntern bis jetzt.

02:01:26: Okay

02:01:28: okay... Ja das heißt kein Het-hunter der versucht hat irgendwie einen Kandidaten noch durch die Hintertür einzuschleusen.

02:01:37: Was war so eine negative Erfahrung, wenn es über kleine gibt?

02:01:42: Neben dem Versenden von falschen Profilen.

02:01:45: Gibt es da irgendwie noch ein Beispiel das besonders bemerkenswert wäre oder wo du gesagt hast okay das ist mir jetzt wirklich ein Gedächtnis geblieben.

02:01:55: Das ist der größte Fail gewesen eigentlich den Du in der Zusammenhalt einmal gesehen hast.

02:02:01: Ich glaube da habe ich den Vorteil, dass ich in größeren Firmen gearbeitet hab und alle Rekruter oder Headhunter Personalvermittler ja über die Personalabteilung oder irgendeine Art Screening erfahren.

02:02:12: Das heißt also ich glaub die waren alle...ich nenne es jetzt mal seriös ne?

02:02:16: Also ohne das jetzt positiv negativ zu deuten.

02:02:21: Das heisst ich glaube ich habe keine groß negativen Erfahrungen an der Stelle zum Glück.

02:02:28: Soll er auch unterstützen und nicht ... ist Gegenteil.

02:02:32: Ja, ja... Das heißt wir haben eigentlich immer so einen ganzen Rundumschlag gerade gemacht.

02:02:37: Was noch fehlt?

02:02:37: Welches immer noch fehlt das ist ja oft ein Thema.

02:02:41: Wir haben jetzt die Leute, wir haben die Ressourcen und die Prozesse.

02:02:44: was jetzt noch bisschen fehlt sind die Systeme.

02:02:46: ich vernachlässige die mal ganz gerne weil wenn der erste Teil nicht steht kann es tun auch so gut sein.

02:02:53: Auf welche Tools würdest du im Krisenfall niemals verzichten wollen?

02:02:58: Was ist wirklich essentiell für dich Und hat dir den größten Value mitgebracht?

02:03:03: Also neben dem ganzen Standards hier und whatever.

02:03:07: Ich lasse jetzt die Sockwelt mal weitestgehend ruhen, weil da streiten sich viele Tech-Campagnes was gerade das Wichtigste ist.

02:03:15: Also jetzt gerade im Inzidenzfall glaube ich dass zwei essentielle Dinge, die benötig sind Daten.

02:03:21: Das heißt irgendwo muss ich Logs haben und im besten Fall schon voranalysiert oder wie auch immer gearteten SOA, auf jeden Fall brauche ich einen Inzidenztracking-Tool.

02:03:34: Wie auch immer wir es nennen wollen.

02:03:36: also das heißt irgendwo möchte ich im besten fall ein sehr klein Kreis an Menschen die darauf Zugriff haben da wird mir eine Inzidents getrackt und zwar von sie kommen rein im bestenfall automatisiert wie auch ever und dann übernimmt ein Mitarbeiter so wird zugewiesen und abdann wird alles dokumentiert in diesem Tool Und E-Mails, die kommen und gehen, fließen alle dort mit rein.

02:03:59: Einfach nur das ich weiß!

02:04:00: Ich habe hier meine Single Source of Truth wo ich immer reinschauen kann... ...wo ich einen Audit da draufschauen lassen kann.

02:04:08: Aber es kommt sonst niemand in dieses Tool.

02:04:10: Ich kann jeden in diesem Tool schauen lassen wenn ich möchte aber niemand geht in diesen Tool dann hab' ich schon mal einen sehr kleinen Kreis.

02:04:16: Das heißt ist relativ schnell Audit sicher oder wenn ich nachweisen kann sind nur fünf bis zehn Leute, eben meine Incident-Manager die haben Zugriff.

02:04:29: Da gibt es ein Dispatcher System wer wann reinguckt ob neue Inzidenzen da sind etc.

02:04:34: aber das wirklich an einem Ort abgearbeitet wird und eben nachvollziehbar auch dann die Timeline entsteht etc.

02:04:43: weil daraus kann ich dann auch fürs Management oder für wen auch immer die Informationen ziehen ist wenig Technik Aber mehr als ein SharePoint.

02:04:56: Vielleicht nochmal, warum ist es so wichtig den Kreis der Betroffenen so klein zu halten in dem Fall?

02:05:00: Es sind A. häufig sensitive Informationen.

02:05:03: also jetzt stell dir vor wir kriegen eine Mail von einem Mitarbeiter das er aus Versehen auf ein Fishing Link geklickt hat.

02:05:09: Das soll niemand wissen.

02:05:11: Also der Mitarbeiter muss nicht geblamed werden weil ich sage ganz ehrlich dann müssten sehr viele Leute blame seitdem ich Security mache Wahrscheinlich mich aber ich hab's nie mitbekommen.

02:05:24: Also ich glaube nicht, dass ich frei bin.

02:05:27: Die richtige Fishing-Mail kam wahrscheinlich noch nicht aber.

02:05:30: Wahrscheinlich lese ich einfach zu wenig E-Mails.

02:05:32: das wird sein.

02:05:33: Deswegen kann ja immer sensitive Informationen also es heißt Unternehmensspezifische Informationen die halt nicht allen zugänglich sein sollen Es können bis hin zu Prototypinformationen die sehr geschützenswert sind oder Ja, eben Daten die können was angehen im Sinne von GDPR.

02:05:54: Das kann ja alles enthalten sein und alleine deswegen muss der Kreis klein sein.

02:06:00: das ist auch kein Tool für die Massen weil es geht darum dass man dort alle Incidents trackt.

02:06:04: das heißt das will ich vielleicht als Unternehmen auch gar nicht vielen Leuten zugänglich machen.

02:06:10: wie gesagt Auszug und Reporting was auch immer das kann ich ja beliebig herstellen aber Die gesamte kritische Information liegt an einem Ort.

02:06:23: Was war möglich, was ist passiert?

02:06:25: Was war der Impact?

02:06:27: Wer muss denn volviert werden

02:06:28: etc.,

02:06:29: das müssen nicht viele Leute wissen.

02:06:33: Das ist ein wirklich sehr geschlossenes System.

02:06:36: Sehr gut wo wir schon mal so ein bisschen bei der Toolfrage sind.

02:06:40: oder könnte man sagen wir haben einen Zockcenter mit den entsprechenden.

02:06:44: Also wir haben jetzt zwei Leute im Sock-Center sitzen.

02:06:47: Wir haben die entsprechenden Tools platziert, ja?

02:06:50: Die Monitor und die Log Files... ...und die Datenverkehr im Unternehmen und super regelbasiert auch KI unterstützt.

02:06:59: Klar!

02:07:00: Wir sind jetzt sicher.

02:07:02: Absolut.

02:07:03: Jeder Security Experte wird mich lieben für diese Aussage.

02:07:08: Nein also ein Sock.

02:07:10: ich glaube das ist was es hat sich in den letzten Jahren gut weiterentwickelt.

02:07:15: das Verständnis oder es war mit Sicherheit in der Security Community immer da nur hat sich nach Ausschnitts auch extrapoliert, dass ein Sock nichts ist was ich baue und dann steht ist und fertig.

02:07:27: Es ist kontinuierlich muss es erweitert werden genau wie sich die Infrastruktur ändert.

02:07:31: Ich gehe mehr in die Cloud, benutze jetzt mehr Containerisierung und weniger Server basiert.

02:07:38: Also ich verändere meine IT, genauso muss sich mein Sock immer anpassen an die neuen Gegebenheiten.

02:07:44: Ich habe vielleicht eine OT, die jetzt anbinden muss weil jetzt hat man festgestellt seit ein paar Jahren dass er auch die OT doch irgendwas mit Security zu tun hat Und zwar sehr viel, weil dort ist sehr viel Wertschöpfung normalerweise in den Unternehmen.

02:07:59: Das heißt gerade da brauche Jetzt mehr und mehr IT Security, obwohl es OT Security ist.

02:08:06: Das muss ich alles aufbauen!

02:08:07: Ich muss meine Teams weiterentwickeln, ich muss das Know-how weiterentwicklen... ...ich muss meine Use Cases immer wieder aktualisieren.... ....ich muss schauen ob meine Detection überhaupt funktioniert?

02:08:17: Also gibt's... ...das macht das Sinn was ich dort gebaut habe, baue ich überhaupt noch selbst.

02:08:23: lasse sich alles die KI bauen Und teste es nur.

02:08:26: aber selbst dann muss es noch jemand verifizieren und validieren.

02:08:29: Man wird nie sicher sein, das kann ich immer versprechen.

02:08:32: Weil wenn wir mit KI arbeiten, arbeitet die andere Seite auch damit.

02:08:36: Wenn wir mit Automatisierung arbeiten so wie ich sie mal lieber nenne dann arbeiten die auch Mit Automatisierungen und meistens Arbeiten, die man sie wollen, wie sie wollen.

02:08:46: Und wenn es noch blöd läuft kriegen Sie noch Budgets, die ich nicht bekomme als Sock weil's einfach ein Anna sei es Industrie-Spionage oder Nation State Actors Genau, also eben die sind ja auch verschieden gelenkt.

02:08:59: Also eben sei es Spionage, sei es eben ja gelenkt durch wo auch immer es herkommt da möchte ich gar nicht weiter in die Untiefe.

02:09:07: Da gibt's andere Firmen die befassen sich sehr intensiv damit.

02:09:10: aber an dem Punkt muss man einfach immer im Kopf behalten wir sind halt im Notfall ein Unternehmen oder Ich Bin Einunternehmen und sitze da mit meinem Budget und meinen Leuten und woanders sitzt halt eine Institution.

02:09:24: Die Möchte da aber rein.

02:09:26: Deswegen, also sicher werden wir nicht.

02:09:29: Wir können viel tun ums zu entdecken.

02:09:31: Wir kann viel tun uns zu verhindern oder um es zumindest nur eingeschränkt möglich zu machen.

02:09:36: und ich glaube das sind die immer wiederkehrende Dinge in der Security by Design.

02:09:42: Zero Trust ist ja jetzt das neue Buzzword.

02:09:45: eigentlich ist Zero Trust auch nichts Neues.

02:09:48: Man versucht sehr in vielen Bereichen schon seit jeher immer mehr einzubringen in die Unternehmen.

02:09:53: Es ist natürlich eine Herausforderung.

02:09:55: Da fällt viel, fängt bei Governance an.

02:09:58: Bei operativer Sicherheit auf.

02:09:59: also es sind viele Dinge notwendig.

02:10:01: ins Zock überwacht er erst mal nur.

02:10:04: Das heißt da passiert ja nichts außer Überwachung und Reaktion.

02:10:08: das heißt die proaktiven Maßnahmen kommen ja normalerweise untopf.

02:10:13: Okay damit ich das jetzt richtig verstanden habe ja das heißt wir stehen ja als Unternehmen immer vor der Entscheidung bauen wir das zack selber auf ... greifen wir teilweise oder ganz auf Dienstleister zurück.

02:10:30: So wie ich das jetzt ... ... deinen Ausführungen entnehmen kann und danach vollziehen kann, ist der eigene Aufbau eines Socksenters immer schwieriger... ...oder immer ressourcenaufwendiger als jetzt auf einen Dienstleiser zurückzugreifen.

02:10:46: Es stehen ja aktuell sehr viele Unternehmen vor der Entscheidung.

02:10:48: Wir treiben selber ins Socksenter, sourcen mir es aus,... Ich würde sagen, siebzehig bis achtzig Prozent tendieren aktuell.

02:10:55: Das ist jetzt mein Bauchgefühl nach dem, nach den Gesprächen.

02:10:57: ich hatte dazu es auch zu sourcen.

02:11:01: Wie würdest du das sehen?

02:11:02: Also wann macht es Sinn selber einen Zockcenter aufzubauen und wann machtes Sinn Es auch zu Sourcen?

02:11:11: also ich denke wenn meine IT Security Abteilung wie vorher mal angesprochen zwei Leute hat dann würde ich nicht über eigenen Aufbau nachdenken.

02:11:19: Wenn ich ein ... eine Security-Organisation mit dreißig Leuten habe, würde ich sehr wohl darüber nachdenken.

02:11:25: Ob es sinnvoll ist?

02:11:25: Also das liegt natürlich auch immer in der Frage was ist meine Security-Strategie?

02:11:29: also wo möchte die Firma stehen?

02:11:32: möchten wir einen... also möchten wir die Hoheit über unsere Sicherheit haben dann muss sich zumindest ein Teil des Socks selbst stellen.

02:11:40: dann kann ich immer noch sagen ich mache einen Hybridenansatz ich surste aus oder ich sage ich will ... weiß ich nicht, L-Einzel II auszuwürsten.

02:11:49: Aber die wirklich kritischen Themen wo es uns angemachte geht... ...die Behandelnde selber.

02:11:54: kann ich das?

02:11:54: Kann ich mir diese Leute leisten?

02:11:56: Es ist auch einfach ein Gehaltsgefüge ne?

02:11:58: Es gibt Unternehmen, die Zahlen nimmt sie so hundertzwanzig tausend.

02:12:02: Der kann sich keine L-III mit zehn Jahren Berufserfahrung mehr leisten weil die werden wahrscheinlich schon das Geld haben wollen.

02:12:12: Also rein um jetzt irgendwelche Zahlen zu nennen Das ist eine Herausforderung vor der man steht, kann ich mir die Leute leisten.

02:12:20: Kann ich mir das Know-how aufbauen?

02:12:22: Ist es mir als Unternehmen das Wert, das aufzubauen?

02:12:25: Das ist auch die Frage.

02:12:26: Reicht es mir einen Socksverband zu haben also voll outgesourced an den externen, das Machenunternehmen.

02:12:35: wie gesagt gerade wenn sie sehr kleine Budgets und vor allem sehr wenig Personal haben und haben können dann ist es die einzige Lösung.

02:12:44: Also kein Sock ist glaube ich die einzige No-Go Area, die es mittlerweile gibt.

02:12:48: Also den Sock nicht zu haben ist fahrlässig, grobfahllässig weil es muss Überwachung stattfinden.

02:12:55: Dann ist das wirklich abhängig von Unternehmensgröße.

02:12:59: aber selbst die großen Unternehmensursen ja Teile ihres Socks mittlerweile aus.

02:13:03: Weil der Mehrwert eines MSSP sehr durchaus ist dass man von dem Wissen vieler Wie in der Beratung auch.

02:13:13: Man ist nicht bei einem Kunden, man ist bei vielen Kunden.

02:13:15: Dadurch habe ich ein ganz anderes breites Wissen.

02:13:17: Ich kann ganz anders auf Inzidenz vorbereiten.

02:13:20: Ich weiß vielleicht schon das jetzt.

02:13:23: Lock for Jay passiert, hab aber vielleicht schon zwei Kunden die schon in der Resolution sind.

02:13:29: Das heißt ich kann dieses Wissen dann auch nutzen und weitergeben.

02:13:34: Das sind die Themen.

02:13:35: wie speziell ist meine Infrastruktur oder das was ich monitorn muss?

02:13:39: Also ne!

02:13:39: Eine Carrier tut gut daran, selber einen Sock zu haben.

02:13:43: Weil es einfach sehr viel Eigenentwicklung, sehr viele Themen die ich vielleicht nicht ausfassen will.

02:13:48: Ein Personaldienstleister muss vielleicht nicht selber noch ein Sock aufbauen.

02:13:54: Also da ist einfach auch was benötige ich als Unternehmen um meine Assets zu schützen und ich glaube gerade kleine Unternehmen oder wie gesagt Unternehmen mit einer... Viele haben ja auch sehr viele IT-Hout gesourzt.

02:14:09: Dann ist die Frage, warum würde man dann eine eigene Sock aufbauen und nicht das auch outsourcen?

02:14:15: Also aber da hängt sehr viel am Unternehmen.

02:14:17: Also grundlegend wie es die Unternehmensstrategie, Security-Strategie.

02:14:21: Okay, dazu eine Frage.

02:14:22: also wir haben jetzt zwei Möglichkeiten ja.

02:14:24: Wir outsourzen Out oder wir bauen selber auf.

02:14:28: Ich würde gerne einmal ganz kurz auf das Thema selber aufbauten sprechen Wobei die meisten ja outsourcen haben wir gerade festgestellt, wenn wir sagen oder.

02:14:35: Zum Teil also zumindest teile denke ich werden auch viele Unternehmen werden sicherlich viel aus also viele Anteile oder einen Anteil outsourcen so ohne es zu wissen.

02:14:46: aber sonst hätten wir nicht so viele MSS Pisa Markt also so viele Sock Provider.

02:14:51: Wenn du es dir selber machen würdest, mit deiner jetzigen Erfahrung, berücksichtigt auch so ein bisschen die Fehler, die du vielleicht am Anfang mal gemacht hast.

02:14:59: Als du jetzt bei deine Airbus-Zeit selber das erste Sock aufgebaut hast oder da hattest du ja auch einen externes Produkt vermarktet also auch einen externen Sockanbieter.

02:15:12: Wie würdest du's heute angehen?

02:15:13: Startest Du mit den Menschen und mit den Prozessen?

02:15:15: womit startest Du?

02:15:16: Was ist der erste Step, den du machen würdest bevor du startest?

02:15:20: Beziehungsweise wenn du startest.

02:15:22: Also Greenfield Approach, ich würde als erstes ein Assessment machen also im Sinne von was brauche ich?

02:15:28: Also was ist wirklich was ich brauche bevor ich mir Gedanken mache was sind Anforderungen gibt?

02:15:34: spezielle Anforderung ist es einen ich nenn's jetzt liebevollen Breitbandsock.

02:15:38: dann würde ich wahrscheinlich erstmal auch überlegen wie schnell könnte Ich das selbst aufbauen?

02:15:43: hole ich mir zumindest erst mal zur Überbrückung den Sock-Provider, der mir das erstmal rudimentär zur Verfügung stellt und ich kann mir erst mal ein klares Bild machen wie ich weiterkommen möchte.

02:15:57: Also auch nur wertig Leute haben oder sowieso nur Budget.

02:16:02: Leidiges Thema aber da sind die zwei Entscheidungskanäle, die sehr viel definieren dahinter ob ich mit Prozessen... also ich würde sicherlich anfangen.

02:16:16: Einfach da eingehend, weil auch wenn ich es aussoße brauche ich einen Prozess.

02:16:19: Ich muss nachweisen dass ich Security Monitoring betreibe auch wenn das für ein Externat Dienstleister für mich tut.

02:16:25: Ich muß auch definieren wie er es tun soll.

02:16:28: Ich kann mir natürlich beratend auch den Sockdienstleister holen.

02:16:33: Das hatten wir damals auch im Portfolio oder so einfach geholfen haben beim Sockaufbau.

02:16:37: also weil die erste Frage ist wo ist euer Asset Management?

02:16:41: Wollt ihr Vierundzwanzig Sieben oder nicht kostet mehr?

02:16:45: Oder will ich eine Base-Coverage oder, also da ist sehr viel Feintuningmöglichkeit.

02:16:52: Aber ich muss mir das Unternehmen anschauen.

02:16:56: Ich muss mir anschauen was passt zu diesem Unternehmen und wie gesagt welches.

02:17:00: bei dem Personaldienstleister würde ich nicht lange überlegen?

02:17:03: Das wissen wir aus.

02:17:04: weil wozu?

02:17:05: Ich brauche hier keine Kompetenz intern für ein Security Monitoring.

02:17:09: Also die ist nicht notwendig habe ich aber vielleicht schon operatives Monitoring dass ich sowieso benötige.

02:17:15: Also ich betreibe jetzt Backends oder ähnliches.

02:17:20: Wie ist die Beschaffenheit, wie ist da das Setup?

02:17:23: Das wird mir auch erleichtern ob ich das mit meinem Vorstand plausibel erkläre dass ich jetzt dreißig Leute oder fünf oder zehn einstellen möchte.

02:17:31: also das sind auch da wieder die äußeren Einflüsse die ich nehmen muss.

02:17:38: Ich kann natürlich irgendwo hingehen und sagen okay ich mache jetzt hier meinen Weg dann laufe ich gegen eine Wand drei mal ... sortiert.

02:17:46: Zu Recht, zu recht.

02:17:48: Ich glaube das haben auch viele in ihrem Leben schon probiert oder gelernt... ... ich würde es nicht versuchen.

02:17:53: Ich würde mir immer das Unternehmen anschauen und sagen okay Base coverage wir nehmen jetzt erst mal einen externen Anbieter der dockt irgendwo an und monitor hat was da ist.

02:18:02: Wir machen rudimentäre Setup der hilft beim Aufbau Und dann entscheiden wir ob wir übernehmen ob wir Teile übernehmen, ob wir alles übernehmen wie auch immer.

02:18:12: Bei der Einführung eines eigenen Socks.

02:18:15: Was sind die drei typischen Fehler, die du immer wieder sehen siehst also bei Kollegen oder in der Erfahrung selber?

02:18:22: Was sind so die drei Fehler die wirklich immer... Also die jeden Passieren, der es noch nicht gemacht hat eigentlich.

02:18:29: Also was ich sehr oft erlebt habe ist einfach bei dieses fehlende Assessment man macht sich keine Gedanken oder das ist jetzt sehr provokativ Man investiert nicht die Zeit vorne weg, weil man sie vielleicht nicht hat.

02:18:44: Das weiß ich nicht.

02:18:46: um zu definieren was ich haben möchte.

02:18:48: Man schreibt einen RFQ oder RFP wie auch immer der mit Rückfragen bombardiert wird.

02:18:54: Einfach weil so viele Sachen nicht klar sind, nicht definiert sind, weil ich nicht mal eine Assetliste habe, was ich gemonitert haben will.

02:19:02: Ich definiere nicht mal was ein Asset ist für mich.

02:19:04: also das sind wirklich die Basics der Basics.

02:19:08: Was möchte ich im Falle von einem Incident haben oder nicht haben?

02:19:12: Also, ich muss mir selber sehr viele Gedanken machen bevor ich überhaupt einen RFP schreiben kann.

02:19:18: Also ein bisschen eine Ausschreibung gehen kann.

02:19:21: Dafür kann ich mir auch externen Support holen wenn ich nicht die Kapazität habe.

02:19:25: Es ist ja nicht das es soll ja nicht heißen Das muss ich machen sondern da kann ich mehr auch jemandem suchen der mir dabei hilft.

02:19:32: aber es ist ne essentielle Vorarbeit.

02:19:34: Das zweite ist, ich habe es ja an den externen gegeben.

02:19:37: Ich bin raus.

02:19:38: Also die Verantwortung... also das in meinem Team ist so wie gesagt wir haben die fachliche Verantwortung.

02:19:47: Wir treiben, also wir steuern und wir managen.

02:19:50: Wir sind inhaltlich die Ansprechpartner.

02:19:53: externe helfen.

02:19:54: Auch da auch wenn ich alles auswürze Es reicht nicht mir nur ein Monitoring Report geben zu lassen.

02:20:02: Ich muss schon auch fachlich verstehen, was passiert weil irgendwo habe ich eine Security Verantwortung und nicht der Externe also der hat sie auch.

02:20:09: aber wir haben die externe Verantwortung noch mehr.

02:20:12: das heißt also ich muss mich damit auseinandersetzen was ich brauche.

02:20:16: b ich kann nicht einfach sagen macht er externa Also sondern ich muss irgendwo die hoheheit über das thema haben.

02:20:23: ich muss nicht jedes detail aber ich müsste hohe halt haben.

02:20:26: dritter fehler ich denke ich kriegs geschenkt glaube ich.

02:20:29: Das ist auch glaube ich noch so ein Punkt, dass die Erwartung immer ist.

02:20:33: Naja ihr macht das ja für zehn Leute und für zehn Kunden dann kann es ja nicht viel kosten weil ihr könnt es ja für Zehn Leute gleichzeitig machen ohne jetzt MSSP in Schutz nehmen zu wollen.

02:20:47: Ich kann mir natürlich den Service aus Indien kaufen also ich nehme Indien flackativ als Beispielen im Spanien nirgendwann.

02:20:53: Also da kenne ich auch Dienstleister.

02:20:57: Dann muss ich auch überlegen, okay was hat das für ein Impact für mich?

02:21:01: Also das ist natürlich preislich... ...begünstiger.

02:21:05: Ich habe aber vielleicht eine Sprachbarriere.

02:21:07: Ich brauche intern Ansprechpartner.

02:21:09: Ich kann mir auch noch einen Sack holen und ich hab intern Leute die von neun bis fünf arbeiten.

02:21:15: dann habe ich halt im Notfall niemandem der eine Tür schließt wenn er offene Tür gefunden wird.

02:21:20: also das sind alles vielleicht so.

02:21:22: als vierter Punkt ich muss halt die Gegebenheiten verstehen.

02:21:26: Aber das sind, glaube ich so die Punkte.

02:21:28: Also es kostet auch Geld einen Sock out zu sourcen.

02:21:31: also wenn man sagt intern ist zu teuer dann darf man nicht davon ausgehen extern kostet nichts.

02:21:36: Ja, berieb mich genau zu einer nächsten Frage die da auch ein bisschen brennt was sind denn die versteckten Kosten eines Out-Gessourceden Socks?

02:21:45: Eines Out-gessourzen Socks.

02:21:47: Ich glaub, ein Punkt ist wenn ich nicht definiere was der Service Provider ... tut und was er nicht tut, weil im Notfall wenn die jetzt nach... ich sage jetzt irgendein Beispiel.

02:21:57: Wenn die nach Anzahl Alerts abrechnen oder wie auch immer deren Preisgestaltung ist und alles ist ein Alert dann werde ich sehr viel mehr bezahlen als wenn ich definiere okay ihr geht bitte nur auf Inzidenz oder ihr macht nur das oder arbeitet nur so oder ne?

02:22:13: Auch da wieder wenn ich sag also viele bieten ja auch an mit Niershore & Offshore.

02:22:19: Offshore ist natürlich auf den ersten Blick billiger logischerweise, weil die Laborkosten deutlich niedriger sind.

02:22:26: Auf der anderen Seite muss ich mir überlegen wie einfach ist die Aussteuerung wenn?

02:22:31: es gibt ja auch das Setup dass sich mit einem Service Manager oder normalerweise habe ich dann auch ein Service Manager auf der MSSP-Seite der mich dann auch sozusagen der sich mit mir zusammensetzt die Dinge durchgeht etc.

02:22:44: pp.

02:22:45: aber auch beim Outsourcing natürlich ...pump ich alle meine Logs bei denen in die Cloud und die nehmen dann noch mal einen extra oder wo auch immerhin in der Seam... ...nennen wir es mal in ein Lockmanagementsystem, um mit der alten Sprache zu bleiben.

02:23:00: Werden da noch Kosten kommen

02:23:02: etc.,

02:23:03: also verbleiben die Daten bei mir was viele... ...oder ich sage mal was immer so ein bisschen hin- und her geht.

02:23:09: Lass sich die Logs beim Kunden, dann habe ich nicht das Problem mit GDPR weil ich auf die Logz zugreife, also weil ich nur darauf zugreifle.

02:23:16: Auf der anderen Seite ist es vielleicht auch einfacher.

02:23:19: Ich habe die Logs, dann kann ich sie nutzen um bessere Analysen zu fahren.

02:23:24: Da gibt's glaube ich auch unendlich viele Möglichkeiten Kosten rauf oder runterzutreiben und ich denke versteckte Kosten sind hauptsächlich in den wie abgerechnet wird.

02:23:34: also da muss wie gesagt dann auch wieder die Verantwortung von dem internen Ansprechpartner.

02:23:42: mal sucht sich das System, dass man haben will und man muss es selber durchrechnen.

02:23:47: Also das hilft nichts wenn ich mir Angebote einhole und dann Rechnungen von jemandem bekommen der die Rechnung später stellen würde.

02:23:53: Ich muss selber überlegen wie kann ich's optimieren oder wie kriege ich das Maximum für mich raus?

02:23:59: Ich bin der, der bezahlt.

02:24:01: Fünf kurze Tipps für jemanden der jetzt gerade damit beauftragt wurde einen Zockcenter zu finden

02:24:10: Nicht den ersten nehmen, den man kennt.

02:24:12: Sondern sich wirklich den Markt anschauen auch da... Den wirklich den Marktevaluieren.

02:24:19: was passt zu mir?

02:24:21: Was brauche ich wirklich?

02:24:23: Weil natürlich jeder kommt und sagt er macht jetzt KI und ich weiß nicht Und der kann dir bei allem helfen.

02:24:30: Ich brauch aber vielleicht nur ein rudimentäres erstes Sock und von daraus möchte ich weitergehen.

02:24:36: Dann ... Also was brauche ich da, will ich nur dass die Tickets angenommen werden?

02:24:42: Will ich das die Ticket auch bearbeitet werden solche Sachen.

02:24:46: Sehr genau evaluieren.

02:24:48: was passiert mit meinen Logs?

02:24:50: also da auch die eigene Strategie möchte ich meine Daten in meinem Unternehmen oder vertraue ich sie anderen an kann auch keine geben zu sagen lieber extern weil wir sind so fundamental hinterher menschlich wird muss es erst aufbauen.

02:25:05: fünftens Referenzen.

02:25:08: also sich wirklich viele bieten an dann auch mit Kunden, also mit Referenzkunden zu sprechen.

02:25:14: Das nutzen und da auch wirklich ein Verständnis zu bekommen.

02:25:18: wo liegen vielleicht Stärken und Schwächen?

02:25:20: von dem Anbieter?

02:25:22: Also von den individuellen Anbieten.

02:25:24: Hennendick ist jetzt schon relativ spät geworden.

02:25:27: wir haben ziemlich viele Themen bearbeitet und miteinander über ziemlich viele Thema gesprochen.

02:25:32: ja Wir haben über Stürme gesprochen, über Ruphole, über Best Practices ... von Governance bis hin zu ... ... jetzt habt ihr mal eine Socks Centers, ja.

02:25:42: Wir sind quasi immer so ein bisschen durch die ganze ... ... Thematik gegangen, die dich auch im Laufe deiner Karriere geprägt hat.

02:25:50: An der Stelle würde ich einmal noch mal zum Schluss ein bisschen Dynamik reinbringen.

02:25:56: Wir haben immer das Format zehn mal zehn am Ende unserer Podcasts.

02:26:01: Ich hoffe, dass kannst du noch.

02:26:02: Ach...

02:26:03: Schauen wir mal!

02:26:07: Und da geht es halt wirklich einfach mal so ein bisschen um die Geschwindigkeit und sich wird einfach mal anfangen.

02:26:13: Du kannst auch...ne, du musst antworten.

02:26:17: War klar!

02:26:19: Lieblings Security Framework in drei Worten?

02:26:23: NIST weil einfach.

02:26:26: Kontrovers.

02:26:28: Erster Gedanke nach einem Alarm um drei Uhr nachts

02:26:31: Warum war mein Telefon nicht lautlos?

02:26:36: Ein Tool ... das in jedes Sock gehört.

02:26:39: Er hat mir ja grad schon, aber... ...

02:26:40: soll er sagen.

02:26:41: also ein Tool indem ich meine Inzidenz wirklich... Also mein Inzidentmanagement steuere.

02:26:50: Logfordschei?

02:26:51: Nein!

02:26:55: Das führte zu viel false positives.

02:27:00: Eine KPI die du sofort streichen würdest.

02:27:03: Anzahl Vulnerabilities

02:27:09: Deine Routine nach einer sechzehn Stunden Krisennacht.

02:27:13: Family oder Sport, also weit weg von Inzident

02:27:19: Was sagt du in dreißig Sekunden dem Vorstadt wenn die Presse klingelt?

02:27:23: Auflegen, weggehen nicht antworten

02:27:30: Der beste Mentorenratschlag deines Lebens.

02:27:34: Sport ist überlebenswichtig in gerade Stresssituation

02:27:38: Der lieblingsmoment deiner Security-Karriere bis jetzt.

02:27:42: Im Spiegel steht, der CCC hat gesagt das Security Team was sozusagen geantwortet hat sehr gut reagiert.

02:27:51: Sehr gut.

02:27:52: Das war nicht ich keine Angst.

02:28:00: Ein Learning dass zu jedem Mitarbeiter oder jeden aus der Securitybranche mitgeben würdest.

02:28:07: Definiert eure Rollen, also sehr klar im Unternehmen.

02:28:11: Definiert, schreibt nieder und stick to it.

02:28:15: Ja Bernhard, ich glaube mit dem Statement trifft du so ein bisschen auch am Ende den Nagel auf dem Kopf von das Verein zu.

02:28:20: ein bisschen noch alles das was wir so besprochen haben.

02:28:24: dann da steckt ganz viel Tiefe drin.

02:28:26: also definierte Rollen.

02:28:27: Mitarbeiter müssen wissen was sie zu tun haben und sich ja auch an das ganze Thema halten.

02:28:32: das heißt ja Krisen und Reaktionen auf Krisen müssen geübt werden.

02:28:36: Es musste richtig Struktur, die richtigen Prozesse und den richtigen Gremen müssen definiert sein.

02:28:40: Und dann muss auch dafür gesorgt werden dass man sich nahtlos an das geübte und gut dokumentierte und kommunizierte Schema hält.

02:28:49: Benin Ding lass uns zum Abschluss nochmal kurz zusammenziehen also zumindest das was ich für mich mitgenommen habe.

02:28:54: Ich habe so ein bisschen drei wichtige Punkte mitgenommen.

02:28:57: Das war das Thema Krisenfestigkeit, das Thema Sockscenter war ganz wichtig und auch das Thema wie wir in der Krise umgehen oder generell mit Ressourcen im Bereich IT Security.

02:29:09: Ich hab mitgenommen dass Krisenfestigkeit nicht erst im Moment des Bridges entsteht sondern man sich auf Krisen wirklich schon im weiten Vorfeld vorbereiten kann und schon lange davor sich eigentlich Gedanken machen müssen, wie reagieren wir darauf?

02:29:22: Welche Rollen führen wir ein, welche Abläufer haben wir?

02:29:26: Welche Fähigkeiten brauchen wir auch um dann im maximalen Druck und Grüne Kopf zu bewahren.

02:29:31: Das heißt genau da ist auch der Ansatzpunkt nicht nur auf Papier die Themen zu haben sondern sie durchzuspielen, sie zu üben, auch zu kontrollieren läuft das wirklich nachlos ab oder nicht?

02:29:41: und auch die Leute mit einzubeziehen.

02:29:43: Nicht in der IT-Sicherheitsorganisation, in der Informationssicherheits-Organisation über allem Unternehmen, alle Mitarbeiter die betroffen sind, Business-Bereiche etc.

02:29:52: Tabletop Übungen und auch zu gucken dass die Kommunikation zwischen Geschäftsführung Vorstand ja und den Betroffenen, Security-Mitarbeitern auch gut funktioniert so das man sich gegenseitig rückenfrei hält und auch genug Platz hat um zu arbeiten.

02:30:07: Dann hatten wir das Thema Sockcenter.

02:30:09: beim Thema Socksenter ist stehen da noch ganz viele Unternehmen vor der Frage machen wir es jetzt selber oder machen wir das mit einem Managed Services.

02:30:17: und da ist es so, dass nicht nur auf die Frage wie setzt mir das um?

02:30:21: abgestellt werden muss sondern sich im Vorfeld auch schon überlegt werden muss.

02:30:24: Ja wofür nutzen wir das?

02:30:26: Und was kaufen wir da ein?

02:30:27: Was brauchen überhaupt?

02:30:28: welche Dinge überwachen wir?

02:30:30: Welche Alarme wollen wir dann überhaupt adressieren und wie schnell sollen die Menschen reagieren?

02:30:35: und was ist uns zum Beispiel irgendwie mit einem managed service wichtig?

02:30:39: also Welche Deliverables haben die zu haben, welche Service Level Agreements gibt's da?

02:30:44: Das muss man sich alles im Vorfeld überlegen.

02:30:47: Bevor man entweder selber einen Sock aufbaut oder halt ein Managed Service benutzt.

02:30:53: Kann beides Vor- und Nachteile haben, auf die du ja sehr gut eingegangen bist auch im Lauf des Podcasts.

02:30:59: Dann wichtig was ich wirklich wirklich eindrucksstark fand wie du dich vor deiner Mannschaft stellst um die auch in Ruhe arbeiten zu lassen das vielleicht gerade Die Aufgabe der Führungsposition ist auch, die Einflüsse im Unternehmen abzuschirmen.

02:31:13: So dass das Security-Themen oder das Krisen-Response Team da wirklich die Zeit hat um seine Arbeit zu tun und auch gutzutun.

02:31:21: Dass da keiner stört, da keiner dazwischen funkt... Oder im Endeffekt das Team auch sicher weiß wenn die IT-Security oder die Security im Allgemeinen wieder den Schwarzen Peter zugeschoben bekommt kann es in Ruhe ihren Themen nachgehen können ihre Güpenlösungen umsetzen kann und nicht der ganz organisatorische Druck ungefiltert auf das Team einprasselt.

02:31:41: Denn das passiert in der Regel, solange nichts schiefläuft ist alles gut und es wird nicht gemerkt.

02:31:47: aber sobald etwas schief läuft und sobaldest ein Bild schiebt oder andere Themen die aufstoßen dann muss alles rein schnell gehen.

02:31:54: und im Zweifel hat immer das Security-Team die Schuld obwohl vielleicht sogar die Themen ganz woanders in der Organisation liegen Und viel tiefer verankert sind in den Prozessen, in den Gremien oder halt in der fehlenden Awareness.

02:32:09: und das fand ich wirklich ganz stark.

02:32:11: Also wenn man das dann ganz knapp runterbericht, sind vielleicht so dass man durch Vorbereitung im Ernstfall die Panik wirklich vermeiden kann.

02:32:19: und vorbereitet sein heißt auch umfänglich vorbereitet seien Dann, dass man sich durch das richtige Awareness Und auch durch die Übung von solchen Krisen ein realistisches Bild haben kann und sich nicht so eine Scheinsicherheit hingibt Wenn man es irgendwie nur dokumentiert und in die Schublade packt.

02:32:35: Und ganz wichtig, was wir auch immer sehen natürlich als Headhunter und Recruiter ist es nicht auf das Tool ankommt.

02:32:43: Nicht auf das Papier ankommt sondern im letzten Endes immer auf den Mitarbeiter an kommt der die Krise steuert und die Mitarbeiter in der Krisenorganisation die richtigen Aufgaben bewältigen und eigentlich die Company sozusagen retten.

02:32:56: Das sollte man auf jeden Fall mitnehmen und vielleicht beim nächsten Mal wenn man ein Sicherheitsvorfall hat daran denken dass viele verschiedene Punkte dazu geführt haben, das es einen Breach gibt und je nachdem wie man vorbereitet ist besser oder auch schlechter darauf reagiert.

02:33:11: Und nicht nur das IT Security Team betrifft beziehungsweise die Sicherheitsorganisation sondern dass es auch ganz viele verschiedene Gründe geben kann warum vielleicht eine Krise im Ernst halt dann etwas schlechter sich auswirkt oder ausgeht.

02:33:26: Also Benedikt dann nochmal vielen Dank dass du heute bei uns warst und ich hoffe du kommst gleich gut nach Hause.

02:33:33: Danke für die Einladung,

02:33:35: danke

02:33:35: für die Zeit.

02:33:37: Vielen Dank gleichfalls!