DORA ohne Kostenfalle: So baust du Integrated Governance statt Compliance-Silos mit Sören Messerschmidt #04

00:00:01: Was war eigentlich dein stärkster Aha-Moment im Change-Prozess, als ihr Dora implementiert?

00:00:07: Dass wir Dora nicht von oben vorleben können.

00:00:09: Sondern es ist im Endeffekt ein kultureller Change, dass wir in die Köpfe aller mitbekommen, was wir erreichen wollen und wie wir's schaffen wollen.

00:00:17: Das heißt maximalakierte Success ist an der Stelle.

00:00:20: Stakeholder Management

00:00:27: Die meisten Security Krisen scheitern nicht an Technik sondern an Entscheidungen.

00:00:33: CISOS, Cybersecurity und GRCLEEDs berichten vom Moment der Wahrheit wenn Systeme brennen, Orders drücken und Bejes nicht ausreichen.

00:00:44: Ungefiltert ohne Buzzword Bingo und mit klaren Learning für alle Zuhörer.

00:00:50: Das ist CISO.

00:00:51: Unscripted Dora klingt für viele Unternehmen erst mal nach Regulierung Kontrolle und steigenden Kosten.

00:01:01: Aber die eigentliche Frage seiner anderen Wie baut man IT-Governance so auf, dass sie Sicherheit schafft ohne das Unternehmen durch Compliance-Silos auszubremsen?

00:01:11: Genau darüber sprechen wir heute mit Sören Messerschmidt von der AXA.

00:01:16: Søren kommt ursprünglich aus der IT-Revision bei UI und Tüssengruppe und verantwortet heute Governance & Dora-Themen in a Second Line bei einem der größten Versicherer Europas.

00:01:26: Da Spannende an dem Gespräch ist, reden nicht über Theorie sondern vor allem über die praktische Realität Hinterdora.

00:01:33: Wie priorisiert man beispielsweise die echten Kronio-Wählen statt einfach alles maximal abzusichern?

00:01:40: Warum werden viele DORA-Programme zu Kostenfalle, weshalb scheitert Governance oft an Silo-Denken und schlechter Datenqualität.

00:01:47: Und wie baut ein integriertes Governance-Modell das nicht nur DORA trägt sondern auch NIST II den EU AI Act und zukünftige Regulatoriken?

00:01:57: Am Ende sprechen wir darüber, warum Governance kein Kontrollapparat ist sondern ein Betriebssystem für unternehmerische Entscheidungen.

00:02:05: In einer Branche in der Sicherheit oft mit Kontrolle gleichgesetzt wird fällt Sören Messerschmidt besonders auf Nicht irgendwie durch Kontrollzwang, sondern durch Gestaltungswille.

00:02:14: Er hat seine Karriere als IT Auditor bei EY und Tüssen Krupp begonnen Dann in der zweiten Linie bei AXA ein Programm verantwortet das über sieben große Teilprojekte hinweg Dora, das berühmte Dora und eine Governance-Architektur verwandelt hat.

00:02:33: Dieser Wechsel vom prüfenden Blick in der dritten Linie hin zum strategischen Umbau in der zweiten Linie zeigt eine klare Haltung.

00:02:42: Governance ist nicht nur ein Regelwerk für Söhren sondern Führungskunst.

00:02:47: In viel Orgas ist ja Dora eher ein Projekt Und bei Söhrin wurde es aber zur Gelegenheit Das Betriebssystem in Anführungszeichen Governance neu zu schreiben mit klaren Rollen, zentralen Funktion und eine kontrollierten Skalierung.

00:03:02: Herzlich willkommen Sören!

00:03:03: Danke dass du es geschafft hast so CISO Chronicles.

00:03:06: Ja danke das ich hier sein darf.

00:03:07: Cool Ich hatte jetzt gerade bei der Einleitung die Hero Story von dir ein bisschen erzählt und wir werden heute sehr viel reden natürlich darüber wie man IT Governance oder General Security Governance gestaltet wohl möglich auch kosteneffizient gestaltet.

00:03:25: Doras ist und war in einer voller Munde Riesenaufwände für viele betroffene Organisationen sei es prozessual, organisatorisch natürlich dann auch was das Thema Budget oder Investments angeht.

00:03:40: Jetzt aber zu der ersten Frage wie entwickelt sich ein regeltreuer IT Auditorz bei einem Systemgestalter?

00:03:48: Was reizt dich an der zweiten Linie mehr als an der dritten wo du warst?

00:03:51: Ja das ist natürlich eine super Frage.

00:03:53: Ich glaube die Frage stellt sich jeder IT Auditor grundsätzlich irgendwann, will ich wirklich mein ganzes Leben lang gucken vom Seitenrand wie die Organisation gestaltet und ich darf prüfen wie das aussieht.

00:04:05: oder kommt irgendeiner Punkt an dem ich sage hey ich möchte auch mal aufs Spielfeld nicht auch mitmachen.

00:04:09: Ich möchte auch schauen wieso was aussehen kann wie man wirklich mit anpacken kann um nachher wirklich dann auch Ziele mit zu erreichen Klischee mäßig nachher zu kommen und zu sagen, ja ich guck mir mal an was du gebaut hast.

00:04:23: Und schau mal ob das alles so super ist und danach wiederzugehen oder festzustellen hey da sind aber noch Gaps... Aber die musst du jetzt selber beseitigen!

00:04:31: Da darf ich dir nicht behelfen weil ich muss ja unabhängig bleiben.

00:04:34: Genau das ist immer die Crux als IT Auditor.

00:04:37: Du warst ja sogar externe IT Auditoren und dann später bei Tyssen Group und dann TKI Interner Auditor.

00:04:44: Ich glaube, offiziell dürfen sie nicht beratend tätig sein.

00:04:46: Aber natürlich wirken die internen Auditoren dann doch schon in die Security mit rein.

00:04:53: Wann hast du gespürt?

00:04:54: Ich will Governance gestalten und nicht nur prüfen.

00:04:56: Eines richtig noch an dem Moment war das bei TKE, also dem Nachfolger der Thyssen Group Elevator oder Aufzüge.

00:05:04: Die haben Sie ja dann verkauft am US Investor.

00:05:07: Ich hatte mich gewundert Sören Ich wohne in einem Neubau, in der Hamburg-Harfen City und dann habe ich gedacht okay was sind das für Fahrstühle?

00:05:16: Da stand die ganze Zeit TKE drauf.

00:05:20: Das Logo sah so anders aus!

00:05:23: Ich will jetzt kein Bashing machen aber es sah wirklich aus wie ein ostasiatischer Billighersteller und ich hatte zeitweise tatsächlich Angst.

00:05:31: Und ich kam nicht darauf dass es tatsächlich zwischen Grupp ist.

00:05:35: Und du hattest mir aber dann erklärt, nee hör zu keine Angst lieber Delia.

00:05:40: Tyssenkrupp-Fahrstühle wurden verkauft an einen Investor, US Amerikaner Die Namensrechte allerdings nicht mitverkauft.

00:05:48: das heißt sie durften sich fortan nicht Tyssengruppe nennen sondern haben dann TKE benutzt.

00:05:53: Aber die haben das Branding und den Aufdreh auch komplett geändert.

00:05:56: der wurde ja irgendwie so jung dynamisch Hatte ein bisschen... Nicht so extrem also bisschen den Jaguarffekt Saison etwa.

00:06:04: Das als Anekdote nochmal, aber zurück zum Thema.

00:06:08: Wann hat das so gespürt?

00:06:10: Ich will Governance gestalten nicht mehr prüfen.

00:06:12: War da schon bei Tys & Crop oder wie war es?

00:06:14: Ja tatsächlich bei TKE!

00:06:15: Es ist irgendwann der Moment gekommen.

00:06:17: an dem war der Verkauf dann soweit fertig.

00:06:19: Dann ging's natürlich auch drum.

00:06:20: okay Wie sieht die Organisation der Zukunft aus?

00:06:23: Wie sieht IT der Zukunft für TKE hin?

00:06:25: von einem sehr zentralisierten Ansatz dass man sehr viel ingesourced hatte Dann hin zu einem eher outgesorsten Ansatz.

00:06:33: Wir bauen Aufzüge, wir wollen nicht IT-Dienstleister sein sondern wir sind da um auf Züge zu bauen.

00:06:39: und dann kommt in so einem KV-Prozess der Punkt an dem sagt man okay wie sieht denn die Security der Zukunft für TKI aus?

00:06:46: Und in dem Rahmen waren wir als Audit sehr, sehr tätig.

00:06:49: Hatten die Chance den Prozess mitzubegleiten wie so etwas designet wird regelmäßig auch zu prüfen.

00:06:55: In einem großen internationalen Unternehmen bedeutet das eben auch viel Reisen, viel Sehen mit vielen Kulturen zusammenzuarbeiten und dann aber auch viel Mitgestalten zu können.

00:07:05: Und in diesem Kontext kam irgendwann der Punkt an dem man sagt okay Das ist cool, was die machen.

00:07:12: Man kann da sehr viel lernen weil es wird sehr viel von der grünen Wiese gedacht.

00:07:15: wir können einmal neu denken wie können wir Die security der zukünftlichen gestalten in einem umfeld dass man eigentlich klassisch ja ein maschinenbau Umfeld nennen könnte?

00:07:25: das ist eher alt und grau nicht so sexy wie andere Produkte wie weiß ich nicht e-commerce zum beispiel sondern wirklich ein klassisches Produktionsumfeld, ich habe eine Produktion die ich schützen muss.

00:07:36: Ich hab'n Produkt was ich schützen muss, aber auch ganz viele sensible Informationen die ich Schützen muss.

00:07:41: und in dem Kontext ist es dann super spannend zu sehen wie einzelne Länder und auch einzelne Kontinente mit dem Thema Security umgehen.

00:07:50: weil je nachdem von wo man kommt gibt das natürlich auch andere Erwartungen an Security.

00:07:55: dazu kommen neue Anteilseigner der auch eigene Erwartung hat einen Vorstand der Erwartungen hat.

00:08:01: Man hat einzelne Bereichsleiter in verschiedensten Ländern, die Erwartung haben und in dem Kontext zu prüfen ist eine superspannende Geschichte weil man kann sehen, man kann gestalten, man können mit Menschen zusammen ein Ansatz entwickeln in so einer Prüfung was denn eigentlich getan werden muss?

00:08:17: Wo sind wir schon gut wo sind wir noch nicht gut wo wollen wir hin?

00:08:20: und irgendwann kommt an den Punkt an dem sagt man okay das habe ich jetzt auf fünf verschiedenen Kontinenten gemacht.

00:08:26: total spannend Aber könnte ich das nicht eigentlich auch?

00:08:30: Und dann entwickelt sich irgendwann so der Gedanke, hey jetzt sitze ich hier gerade in den USA.

00:08:34: Prüf wie in den U.S.A.

00:08:36: Security gelebt wird aber traue ich mir dass nicht eigentlich zu?

00:08:39: und dann kommt irgendein Punkt da sagt man das könnte ich mir glaube ich auch vorstellen.

00:08:44: Jetzt bist du von TKI zur AXA gewechselt.

00:08:47: schon vor einigen Jahren hast glaub ich auch immer mehr Verantwortung bei der AXSA bekommen.

00:08:51: in der sogenannten Second Line Die AXA ist hier BAFEN betroffen, genauso wie Banken und Finanzdienstleister.

00:08:58: Vielleicht zuhörer normal?

00:09:00: Kannst du kurz erklären, wie das Three Lines Modell ganz kurz aufgebaut

00:09:04: ist?".

00:09:04: Ja also relativ simpel wenn man so sagen will dass normale Tagesgeschäfte, die das klassische Management, die normalen Kontrollen dies in Prozessen gibt, liegen in der ersten Verteidigungslinie.

00:09:17: die immer laufen muss, egal ob die zweite oder dritte da ist.

00:09:20: Das heißt das ganz normale Tagesgeschäft wenn man nichts weiter tut... Da ist ein Internet-Kontrollsystem mit drin, da sind Managementkontrollen mit drin und genau das läuft so ganz normal im Tagesbetrieb.

00:09:31: Und da sind quasi die, ich meine rein von Rollenprofilen her.

00:09:35: wer arbeitet dort?

00:09:35: Sind es die Pentester?

00:09:37: Sind das die Incedentzhändler also die die quasi als erstes betroffen werden wenn es an Cyberangriff gibt oder...?

00:09:45: Genau, im Endeffekt ist das so.

00:09:46: Das ist aber zum Beispiel auch wenn man ans ganz normale Business denkt zB der Einkauf.

00:09:51: Ich gucke mir in jeder Kontrolle, in jedem Vertrag im Einkauf zum Beispiel an dass hier wirklich zwei Menschen auch geprüft haben und schickt nichts einfach nur raus was einer entschieden hat.

00:09:59: Das isst aber dann im Security-Umfeld eben auch da sich Vulnerability Scanning mache.

00:10:03: ich schaue ob meine Maschinen schwachstellen haben Und ich entwickle Pläne wie ich mit den Schwachstellen umgehen möchte.

00:10:09: Zweite Linie Da bist du

00:10:11: Genau, da bin ich.

00:10:12: Zweite Linie schafft eigentlich den Rahmen wie wir mit Security umgehen wollen.

00:10:16: Das ist das ganz klassische Policy Management.

00:10:19: Wir kennen es alle.

00:10:19: Es gibt eine Security-Policy und die schreibt mir zum Beispiel vor wie lang mein Passwort sein muss Wie komplex mein Password sein muss.

00:10:26: Das heißt Die zweite Linie ist klassischerweise dafür da Regeln aufzustellen Und zu überwachen dass die Regeln auch eingehalten werden.

00:10:32: Das kennt man klassischerweise, weil sich der Laptop nach sechzig Tagen meldet und gesagt wird hey ändert doch mal dein Passwort.

00:10:40: Und wir überwachen dann auch dass diese technische Kontrolle funktioniert und das alle Laptops eben auch nach sechszig Tage wenn das so eingestellt ist sagen hey bitte ender deinen Passwort damit du sicher bleibst.

00:10:50: Und da gibt es noch die dritte Linie.

00:10:51: das ist die internere Vision oder Internal Audit genannt.

00:10:55: Die dritte linie Im Endeffekt dafür da, damit die zweite und erste Linie funktionieren.

00:11:00: Das heißt wir haben im Endeffek das Freelines of Defense also drei Verteidigungslinien um sicherzustellen dass sowohl die erste als auch die zweite Verteiligungs-Linie funktioniere.

00:11:09: Damit das funktionieren kann muss internal audit oder die internere Vision unabhängig sein.

00:11:15: deswegen ist es klassischerweise so dass die internen revision direkt an den Vorstand berichtet um einfach Unabhängigkeit zu stellen.

00:11:21: Es ist aber auch so, wenn ich richtig informiert bin dass die dritte Linie auch die zweite Linie überwacht.

00:11:27: Richtig?

00:11:28: Genau das passiert klassischerweise weil man in einem normalen Kontrollumfeld ja immer von der Vorgabe kommt.

00:11:36: Das heißt klassisches Handwerkzeug im internal ordered ist Ich nehme mir die policy Die Richtlinie und schaue was denn überhaupt das Unternehmen vorgibt.

00:11:44: wie lang muss dann ein Passwort überhaupt nutzbar sein dürfen?

00:11:47: Wie komplex muss ein passwort sein?

00:11:49: Das heißt, die klassische internal audit Prüfung startet immer bei der Richtlinie.

00:11:53: Wenn in der Richt Linie schon festgestellt wird dass die Regeln im Endeffekt gar nicht passen zu dem was man schützen möchte zum Schutzniveau dann ist das eigentlich der erste Punkt der in einer Prüfungen auffällt.

00:12:06: Was ist denn so die unbeliebteste Security-Regel für den Mitarbeiter?

00:12:12: Also ich glaube es ist eine Kombination aus.

00:12:14: nach sechzig oder klassischerweise neunzig Tagen musst du deinen Passwort ändern.

00:12:18: Das muss eine gewisse Länge haben.

00:12:20: das heißt man kann nicht einfach irgendwie ein zwei drei nehmen und dazu noch, man darf nicht die letzten zehn Passwörter benutzen.

00:12:27: Ja gut, das fördert die Kreativität oder verlangt Kreativity ab.

00:12:33: was mich ja persönlich am meisten nervt ist sobald ich in einem anderen WLAN bin MFA immer wieder immer wieder Und das, was die meisten Menschen unterschätzen für mich ist die größte Erfindung des einundzwanzigsten Jahrhunderts.

00:12:49: Ich sage das bewusst scherzhaft... Die Apple-Funktion!

00:12:53: Nämlich wenn du irgendwo einen SMS bekommst von einem MFA Dienst,... ...dass er sie direkt in den Browser überträgt, nämlich deinen sechsstelligen Code.

00:13:03: Das ist etwas, was ich glaube, dass das Leben oder mein Leben immens erleichtert hat.

00:13:09: Naja, das Thema Versicherung oder Finanzdienstleister generell sind ja extrem von dem DORA-Projekt betroffen.

00:13:18: Ich würde sagen es ist kein Projekt, sondern ein Programm.

00:13:22: Es wirkt ja übergreifend auf die gesamte Orga ein!

00:13:27: Wir hatten vorher in der Bankenwelt oder auch in der Versicherungswelt das Thema BIT, VIT.

00:13:32: Ich weiß gar nicht ob man ISO hatte in einer Bankenwelt.

00:13:35: Da bin ich nicht so informiert aber das waren die Vorläufer glaube ich von DORA.

00:13:40: Das heißt Regelwerke mit denen man schon wenn man sie dann implementiert hat.

00:13:43: VIT für Versicherung, BIT für Banken.

00:13:46: Schon relativ viel aufgesattelt hat was das Thema IT Security Vorgaben und auch IT Sicherheit angeht.

00:13:53: Trotzdem, das habe ich immer wieder gehört durch unsere Gespräche mit CIOs und CSOs war Dora jetzt kein einfacher Marsch.

00:14:03: Sondern schon extrem schmerzhaft an vielen Stellen.

00:14:07: Was war dein allererster Dora Moment als du nämlich von einer nicht so hart regulierten Industrie zu ner Bank kamst?

00:14:18: Und was hat dieser Dora-Moment in dir ausgelöst?

00:14:20: Könntest du dich daran erinnern!

00:14:23: Ja absolut, ich kann mich sogar noch sehr genau an den Tag erinnern.

00:14:26: Ich bin im Endeffekt im Regelmedium mit meinem Chef gewesen und der hat mir eigentlich gesagt hey du bist jetzt gerade neu bis noch gar nicht so lange dabei!

00:14:34: Ich habe eine super Möglichkeit dass du die AXA kennenlernen kannst.

00:14:37: Wie wäre es denn mit einer Dora-Programmenleitung?

00:14:39: Das sind sieben Teilprojekte das passt schon.

00:14:42: da kannst du einmal die gesamten AXAs kennenlern weil das ist im endeffekt die Möglichkeit durch alle Bereiche die wir in der VIT ja schon bearbeiten mussten viel, viel intensiver noch mal durchzugehen und zu schauen wie wir die neue Regulierung anwenden.

00:14:57: Okay was hat das emotional ausgelöst?

00:14:59: Warst du so relativ unbeflegt vielleicht auch naiv und gesagt hoch okay Dora klingt ja an sich melodisch ganz netto oder

00:15:08: ich glaube tatsächlich in dem moment weil die größte schwäche die größste stärke nämlich dass man mit dem umfeld vorher in der form noch gar nichts zu tun hatte.

00:15:14: das heißt ich kam natürlich mit meiner audit brille ich guck mir das erst mal an Ich schau erstmal wie das gemacht wird und dann gucke ich, was denn eigentlich getan werden muss.

00:15:27: Das ist ja dieses klassische Handwerkzeug, was ich hier aus dem Audel mitgebracht habe.

00:15:31: Und das hat auch super funktioniert!

00:15:33: Man guckt sich das an, man denkt okay auf dem Papier sieht es erst mal machbar aus.

00:15:39: wenn man sich dann tiefer reinarbeitet merkt man ok die Anforderungen sind schon sehr... An vielen Stellen detailliert im Vergleich zu einer VAIT-BAIT.

00:15:46: Da gab es ja immer noch Interpretationsspielräume, eine Dora ist dann sehr genau gewesen mit dem was man tun muss.

00:15:52: Die Menge an Anforderungen war natürlich in der Form neu weil wir kommen aus einer Kapitel getriebenen VAIT.

00:15:57: die BAIT war da nicht anders und wir implementieren Sicherheit oder einzelne Prozesse und Strukturen so wie das die Regulatorik vorsieht.

00:16:08: Dora hat die größte Herausforderung eigentlich dass wir prüfen müssen, wie wir das in den Gesamtkontext unterbringen.

00:16:16: Weg von Wir schauen uns silomäßig einzelne Anforderungen an hinzu.

00:16:20: Wie schaffen wir es denn dass unsere Second Lines zusammenarbeiten?

00:16:23: Wir haben da beispielsweise das Thema Auslagerungsmanagement mit drin.

00:16:28: Da geht's natürlich drum wie du deine Lieferketten absichern kannst.

00:16:31: im IKT Bereich klar.

00:16:33: aber wenn ich dann zum Beispiel die Security Second Line und die Second Line die bei mir das auslagerungsmanagement per Richtlinie steuern soll, nicht zusammenbringen.

00:16:43: Dann habe ich natürlich irgendwo einen Governance-Loch.

00:16:46: und die größte Herausforderung ist eigentlich diese Governance Transformation zu schaffen damit ich nachher in den IT und den Fachbereich mit einer geschlossenen Idee reingehe wie denn Dora als Ökosystem aussieht.

00:17:00: vielleicht so ein bisschen aus dem Nähkästchen.

00:17:03: Ich hab einen sehr geschätzten Kollegen der mir immer gesagt hat mir es egal wie die Regulierung heißt.

00:17:07: wir haben schon andere Regulierungen gehabt.

00:17:10: Am Ende des Tages muss es in den aktuellen Kontext implementiert werden.

00:17:15: Wir dürfen's nicht siloartig denken, weil dadurch erzeugst du natürlich massive Kosten.

00:17:19: Das heißt wenn dich ein Paralleluniversum aufbauen ist das sehr gefährlich.

00:17:23: ich kann zwar dann sehr genau sagen habe ich Dora jetzt umgesetzt oder nicht aber die Kosten sind immens hoch und wir sehen ja zum Beispiel die starken Synergien aus einer VAIT und einer Dora.

00:17:33: Wir sehen die Synergie aus einer ISO-Central-Synergieneis und einer Dorah.

00:17:37: Das heisst viele von den Sachen sind schon da Manche besser, manche schlechter.

00:17:42: Und im Endeffekt geht es darum eine Integration zu schaffen und nicht was Neues obendrauf zu

00:17:47: bauen.".

00:17:48: Dieses Integrated Governance-Modell, das du ansprichst ist ein super spannendes Thema für viele Zuhörer auch weil das Thema IT-Complaints vor allem Dora echt so eine Kostenfalle mutieren kann ja also tatsächlich auch mutieren weil das kann unendlich groß werden.

00:18:05: Bevor wir aber dazu kommen, erzählen uns mal kurz wie dein Bereich gerade aufgestellt ist.

00:18:09: Damit die Zuhörer und Zuschauer auch mal kurz die Flughöhe verstehen, auf der du operierst.

00:18:14: Wie viele Leute hast Du im Team?

00:18:16: Was ist Deine Führungsspanne?

00:18:18: Und dann würde ich gerne nochmal gleich wissen, wie die High Critical Value Assets sind von den typischen Versicherungen.

00:18:25: Aber gern erstmal zu Deiner Führungsspanne!

00:18:27: Ja, ich durfte vor zwei Jahren bei AXA mit einem Team aus fünf Personen anfangen sehr fokussiert auf Informationssicherheit und Governance.

00:18:36: Das heißt klassisches ISMS.

00:18:39: wie sind die Richtlinien aufgebaut?

00:18:41: Wie arbeiten wir mit den Richtlinie?

00:18:43: Wie stellen wir sicher dass die Richtlinge auch eingehalten werden?

00:18:47: habe über die letzten zwei Jahre mit dem DORA Programm dann auch das Thema physische Sicherheit und das ganze Thema rund um Notfallmanagement Geschäft Fortführungsmanagement integriert in dieses Governance-System.

00:19:01: Und wir sind gerade dabei unter dem Thema Dora natürlich auch dann die weiteren Disziplinen zu integrieren, das ist beispielsweise eine IT Governance.

00:19:10: Das ist grundsätzlich ein Thema wie wir mit IDV umgehen und wie wir damit verkehren wollen.

00:19:16: Aktuell sind wir mit mir inklusive fünfzehn Personen.

00:19:21: Da sind dann feste Kolleginnen und Kollegen bei AXA fest angestellt sind oder inklusive auch externe Kräfte.

00:19:31: Genau das sind aktuell fest Angestellte alle fünfzehn inklusive mir und jeder hat so natürlich seinen eigenen Bereich, sein eigenes Skill Profil.

00:19:41: Mir ist tatsächlich sehr wichtig dass wir einen guten Skill Mix haben.

00:19:45: ich habe teilweise Mitarbeitende die aus der sehr technischen Richtung kommen.

00:19:49: Ich hab Mitarbeiter die dann natürlich stärker aus der Regulatorik Ecke kommen Die teilweise aus der Ecke Notfall Management kommen Und wie wir in der Konstellation damit umgehen.

00:20:00: Wir haben jetzt über dein Weg gesprochen vom IT Auditor zum Governance Architekten.

00:20:06: Lass uns mal kurz wegkommen von Rollen, das ist der Grund warum ich mich extrem auf dem Podcast mit dir gefreut habe.

00:20:12: ist was steht eigentlich auf dem Spiel bei einer Versicherung?

00:20:17: Weil Security in einer Versicherung klingt für viele oder generell überhaupt.

00:20:22: das Thema Versicherung klingt ja Obwohl die Aktien natürlich da hervorsticht, was Arbeitgeberaktraktivität und Modernität angeht.

00:20:29: Aber am Ende klingt Versicherung für viele nach Paragraf- und Policies.

00:20:34: Und wenn dann noch IT Security oder zweite Linie dazu kommt, dann ist das recht.

00:20:38: Ich würde mal gerne einen kurzen Deep Dive machen, und zwar die Gronio wählen.

00:20:43: Dabei geht es um Datensysteme Assets, deren Verlust nicht nur teuer wäre... oder ein Diebstahl auch nicht nur teuer wäre, sondern vor allem Menschenleben gefährdet.

00:20:55: Wenn wir nämlich über Versicherungen sprechen dann wie gesagt reden wir nicht nur über irgendwelche Schadensakten oder die Reiseversicherung oder sonst was, sondern große Häuser wie auch die AXA jetzt eine ist, gehen ja als Systemversicherer und sichern auch ganze Volkswirtschaften ab.

00:21:12: Dazu zählen kritische Infrastrukturen Flughäfen Auch Kulturgüter, also die Van Gogh-Museen dieser Welt.

00:21:22: Die Mona Lisa im Louvre, ähnliche Institution aber auch politisch exponierte Personen.

00:21:28: Also ich kann mir vorstellen... Ich weiß jetzt nicht und will es das auch nicht sagen ist auch nicht Ziel dieses Podcasts Aber der Bundeskanzler Merze wird ja auch irgendwo versichert sein.

00:21:36: Dahinter steht eine stille aber gewaltige Verantwortung für ganze Märkte, für Reputation in vielen Fällen auch für Menschenleben.

00:21:45: Mir fährt er das Beispiel Zeugenschutzdaten ein.

00:21:48: Ich habe einen Verwandten, der bei PAMOGA LKA arbeitet.

00:21:52: Manchmal beim Bier erzählt er mir halt... Er ist jetzt nicht mit dem Zeugenschutzprogramm irgendwie betraut aber da sagt auch dass das beim LKA selbst beim LKA die wichtigsten Daten sind, die an LKA zu verwalten hat.

00:22:06: Ich erinnere mich aber auch in einem Film Oceans Eleven eine meiner Lieblingsfilme.

00:22:10: dort war es ja so ... dass ein Raub gelungen ist, ich glaube bei einem Casino und einer der Filme.

00:22:16: Nicht nur wegen der technischen Brillianz oder mit der Biegelsappenkeit eine der Diebe sondern weil Insider Zugang zu Bauplänen hatten.

00:22:26: Und gerade wenn es neuer Kunde ist oder sonst was liegen wahrscheinlich Bauplähne... ...eine Versicherung auch digital vor.

00:22:36: Gerade deine Abteilung muss diese Daten schützen!

00:22:41: Es gibt so eine Worstcase-Senare, glaube ich.

00:22:43: An Insider exfiltriert Grundrisse vom Fort Knox oder von der Deutschen Bundesbank.

00:22:49: Architekturpläne eines hochsensiblen Kunden für ein Systemversicher, da genau solche Risiken deckt, wäre das irgendwie kein Kino wie Ocean's Eleven sondern der Worst Case.

00:22:59: Mit massiven Folgekosten Menschenleben sind in Gefahr und einen nicht jetzt zu definierten regulatorischen Impact.

00:23:07: Wenn du jetzt auf diese listisch aus, die ich gerade so ein bisschen dargelegt habe.

00:23:11: Was zählen für dich zu den drei Top Assets?

00:23:14: Man sagt ja auch Cognue-Wählen aus Security Sicht, die auf keinen Fall kompromittiert werden

00:23:19: dürfen.".

00:23:20: Ja, ich glaube interessant ist an der Stelle erstmal wie man da hinkommt.

00:23:24: Wir können natürlich alle sagen okay Versicherung ist ja ein Produkt das betrifft uns ja alle.

00:23:29: Jeder von uns hat in irgendeiner Form irgendeine Versicherung und dementsprechend Ist das auch für viele Menschen relevant, wie natürlich die Daten hinter den Versicherungen geschützt werden?

00:23:37: Weil jeder kennt es.

00:23:38: Die Versicherung fragt Nachweise an oder fragt gewisse Dokumente an damit man die Versicherung erst mal abschließen darf.

00:23:45: Das kann zum Beispiel für eine Krankenversicherung sein was man denn in der Vergangenheit hatte letzten zehn Jahre, letzten fünf Jahre.

00:23:52: Das kennt man ja so wenn man ne private Krankenversichere abschliessen will oder eine Zusatzversicherung.

00:23:58: Das Geschäftsmodell von Versicherung ist ja Risiken zu managen.

00:24:03: Das heißt im Endeffekt ich zahle dem Versicherer Geld dafür, dass er von mir ein Risiko übernimmt, das sich zum Beispiel krank werde als Beispiel.

00:24:11: und natürlich haben wir dann hochsensible Daten in jeder Versicherung die ein gewisses Sortiment anbietet.

00:24:18: Das heisst jeder versicherungstyp hat natürlich auch spezielle Daten die dann angefordert werden.

00:24:23: Und mittlerweile kann man ja alles versichern was man irgendwie versicheren kann.

00:24:27: Also man kann sich gegen jedes Risiko schützen, sofern eine Versicherung dafür ein Produkt anbietet.

00:24:33: Dann gibt es Spezialversicherer die natürlich besondere Dinge versichern können, die jetzt nicht so klassisch sind.

00:24:38: aber es gibt natürlich auch ganz normale Vollversicherungen wie zum Beispiel die AXA, wie die Allianz oder die Generale und in dem Kontext ist es natürlich spannend sich erstmal das Produktportfolio anzugucken.

00:24:49: was habe ich überhaupt im Portfolio drin bei der AXa?

00:24:53: AXA ist ein klassischer Krankenvollversicherer, das heißt ich habe eine private Krankenversicherung.

00:24:57: Das ist ne Vollversicherung Ich hab Zusatzversicherungen und in dem Kontext sammle ich natürlich auch viele Daten von meinen Versicherten ein weil ich möchte ja gerne das Risiko so genau wie möglich schätzen um für mich als Unternehmen aus sicherzustellen dass sich das risiko richtig bewährte.

00:25:12: diese Daten müssen natürlich gesammelt werden.

00:25:14: genauso im Rahmen jeder Krankenversicherung die läuft Sammle ich natürlich dann für die Rechnung auch gewisse Nachweise ein.

00:25:21: Das heißt, der Versicherer hat einen Schaden macht ihn bei mir geltend.

00:25:24: Ich will gewisse nachweise.

00:25:26: ich lese Diagnosen Bedeutet im Endeffekt Im klassischen Versicherungsalltag hat man permanent mit hochsensiblen Daten Von Menschen von Institutionen aber auch von teilweise ganzen Ländern zu tun und dementsprechend muss man die natürlich ja richtig absichern.

00:25:43: Wissen das Daten sind jetzt am Ende Daten, aber man muss ja priorisieren oder ich glaube klassifizieren ist das richtige Wort.

00:25:52: Das ist tatsächlich eine super spannende Frage und dass es auch der Punkt an dem klassische Kosten für Compliance eigentlich in die Höhe schießen können wenn nicht nämlich genau diese Klassifizierung falsch mache.

00:26:02: Das Ziel ist natürlich das so zu schützen, dass es richtig geschützt ist und das bedeutet eben Ich will natürlich herausfinden was hochkritische Daten sind um die besser zu schützen als in Anführungsstrichen normale Daten.

00:26:15: Ich nehme klassischerweise in meinem Alltag eigentlich immer das Beispiel Speiseplan der Betriebskantine.

00:26:20: Das ist unkritisch, wenn irgendwer diese Daten bekommt dann weiß er was ich vielleicht zum Mittag gegessen habe okay?

00:26:25: Wenn ich das aber gleich setze mit den Daten zb mit kranken Daten also wirklich Daten von Menschen Diagnosen und ähnlichem Dann kann man sehr viel mit diesen Daten machen wenn man sie bekommt.

00:26:36: Und dieser Impact Den ich dadurch generiere den muss ich natürlich richtig abschätzen.

00:26:43: Ich werde dich jetzt auch nicht in irgendeine Versuchung bringen.

00:26:45: Das haben wir im Vorfeld schon besprochen, aber was mich noch mal technisch interessiert, vielleicht da reichen auch manchmal Buzzwords.

00:26:52: Wie schützt man technisch die hoch sensibelsten Daten?

00:26:54: Gibt es da bekannte Regelwerke oder Security Frameworks oder Security Technologien, die man da anwenden muss?

00:27:04: Eine HMS Zertifizierung habe ich schon einmal gehört oder ähnliches?

00:27:08: Ja, tatsächlich ist erst mal spannend sich zu überlegen warum die Daten denn überhaupt kritisch sind.

00:27:12: Also ein schönes Beispiel ist ein Kreuzfahrtschiff.

00:27:15: Ein Kreuzahrtschif hat auch Operating Technology das heißt keine Informationssysteme sondern wirklich Systeme die man braucht damit es Kreuz Fahrtschiff funktioniert.

00:27:24: Ein Kreuzfahrt Schiff ist klassischerweise nicht als Internet angeschlossen

00:27:27: d.h.,

00:27:27: die ganzen Seekarten die das Kreuz-Fahrt-Schiff braucht, damit es fahren kann wären ja super super angreifbar, die könnte man verändern wenn es eben von außen angreivbar wäre.

00:27:38: Das ist eigentlich ein schönes Beispiel wie man hoch kritische Technologien schützen kann.

00:27:41: bei der Versicherung hat man ähnliche Dinge.

00:27:44: das heißt man muss sich überlegen okay was will ich denn überhaupt schützen und warum will ich es schützen?

00:27:50: Da gibt's ja im Endeffekt verschiedene Möglichkeiten wie ich vorgehen kann.

00:27:54: also jeder kennt zum beispiel eine Business Impact Analyse Was passiert wenn das System ausfällt?

00:27:59: Was passiert mit meinem Geschäftsbetrieb kann nicht dann noch funktionieren.

00:28:03: Das ist eine klassische Methodik aus dem Geschäftsfortführungsmanagement, um eben zu prüfen ob ich Hochrisiko Assets habe oder ob ich Cronio wählen habe.

00:28:13: Klassischerweise aus der Informationssicherheit kennt man auch das Thema CIA also Verfügbarkeit, Integrität und Vertraulichkeit.

00:28:21: D.h.,

00:28:21: Ich bewerte die Dimensionen, die ich in der Informationssicherheit habe, um sicherzustellen dass ich weiß was passiert wenn etwas mit diesen Daten passiert.

00:28:30: Und das ist genau der Punkt, wo man prüfen muss.

00:28:33: Okay wie müssen denn meine Dimensionen an der Stelle eigentlich geschützt werden?

00:28:36: Sind die alle gleich schlimm?

00:28:38: Dementsprechend muss ich dann natürlich auch entsprechende Kontrollen haben weil ich schütze zum Beispiel Daten, die eine Integrität geschützten werden müssen.

00:28:45: Das können z.B.

00:28:46: auch Krankendaten sein Jahresabschlussdaten auch ein normales Beispiel anders als wenn ich die Vertraulichkeit schützen will.

00:28:54: Ich verstehe... ich kann mir auch vorstellen dass diese Am höchsten klassifizierten Daten nur ein ganz, ganz bestimmtes Personenkreis Zugriff darauf haben dürfen.

00:29:06: Wenn wir jetzt zum Beispiel Fort Knox Baupläne nehmen, dürfte das CEO von der Generale oder von der AXA oder von wem auch immer einfach so reingucken?

00:29:17: Wahrscheinlich nicht, oder?

00:29:18: Klassischerweise versucht man ja genauso die Vertraulichkeit sicherzustellen, das heißt es sollen nur auf die Daten zugegriffen werden können, die man wirklich benötigt.

00:29:26: Jetzt kann man natürlich zur Recht fragen braucht der Vorstand einer Versicherungsgesellschaft Zugriff auf diese Daten?

00:29:31: würde ich erstmal spontan sagen nein.

00:29:33: Wenn es natürlich zu einem Fall kommt und Fort Knox ist infiltriert worden Und alle fragen sich, okay hat der Versicherer das nicht geprüft?

00:29:41: Dann kann das natürlich businessrelevant werden.

00:29:43: Das auch der Vorstand Bescheid weiß und genauso muss man eben vorgehen.

00:29:47: die Vertraulichkeit ist eben dann stark einzuschränken.

00:29:50: also der Zugriff ist stark einzustrenken um die vertraulichheit sicherzustellen.

00:29:54: wie funktionieren solche zugriffe?

00:29:57: rein technisch?

00:29:58: wir laufen sowas in der realität ab.

00:29:59: Also im Endeffekt mit BIT und VIT ging ja die große EM-Entwicklung eigentlich so richtig los, weil dann hat der Regulator gesagt nein du musst deine Zugriffe schützen.

00:30:09: Du musst Vertraulichkeitssicherstellen.

00:30:11: Natürlich in Dora haben wir jetzt genau dieselbe Thematik, die wir aus der VIT schon kennen Im Vergleich zu anderen europäischen Ländern übrigens auch eine ganz spannende Thematiker.

00:30:20: Wir hatten ne VIT und vorher wenn man jetzt in einem multinationalen Konzern unterwegs ist tauscht man sich natürlich auch über ein europäische Dora aus und stellt dann fest, dass wir mit einer deutschen Fight eine starke Vorregulierung hatten die uns sehr viel Möglichkeiten schon bietet.

00:30:36: Weil wir schon viel eben per Regulatorik tun mussten.

00:30:40: Analog ist es bei IAM.

00:30:41: Wir hatten aus der VIT heraus schon sehr hohe Anforderungen an IAM Und dementsprechend mussten wir schon Systeme zentralisieren.

00:30:48: Wir mussten Systeme anbinden!

00:30:49: Wir müssen unsere Zugriffe schützen um genau sicherzustellen das nur die Zugriff auf die Daten haben die den wirklich auch brauchen.

00:30:56: Gute Stichwort hören Wie priorisiert Man im Dschungel von ganzen Daten und System die echten Kronio wählen.

00:31:03: Du hast das gerade angesprochen, ein Teil ist eine Business Impact Analyse.

00:31:07: Kannst du uns da nochmal ein zwei Tools mitgeben, die ihr gemacht habt?

00:31:13: Vielleicht auch ein bisschen auf die Praxis eingehen oder die unterschiedlichen Theorie und Praxis.

00:31:17: Ja, genau.

00:31:18: also wir nutzen primär wie der ganze Markt die Business Impact Analyse aus dem Geschäftsfortführungsmanagement.

00:31:24: Was passiert wenn ein Geschäftsprozess ausfällt?

00:31:27: Wie stelle ich sicher das ja wieder funktioniert und was brauche ich eigentlich dafür dass er funktioniert?

00:31:31: um die Schutzbedarfsanalyse bedeutet was muss sich wie schützen?

00:31:34: was habe ich für Daten überhaupt um natürlich nachher zu sehen welche kritischen Assets ich hab welche kritische Daten ich habe?

00:31:42: Das bedeutet im Endeffekt in einem Großkonzern Nicht, dass wir in der second line alles selber einwerten sondern wir stellen die plattform bereit.

00:31:50: Um eine bis ins impactanalyse durchzuführen um meine schutzbedarfsanalyse durch zu führen und am ende des tages benötigen wir die fachbereiche und die it weil das sind Die Einheiten die das wirkliche wissen haben über ihre daten die sagen können okay was was verarbeitet denn für daten in meinem system?

00:32:07: Was habe ich überhaupt hier für Daten in meinem Akten schrank liegen?

00:32:12: und dementsprechend sind wir natürlich stark darauf angewiesen, dass wir eine sehr einfache Methodik haben die leicht anwendbar ist.

00:32:20: Die aber komplex genug ist um eben sicherzustellen das wir auch unterscheiden können zwischen hoch kritischen Daten und total unkritischen Daten.

00:32:29: Und auf der Basis bestimmen wir dann natürlich das Schutzniveau für die einzelnen Daten.

00:32:33: Und wie läuft so was praktisch ab?

00:32:35: Ist das eine Excel-Tabelle, die hier rumschickt, die jeder online ausfüllen muss?

00:32:38: oder gibt es für mittlerweile sehr gute Tools.

00:32:41: Wie das Feedback der Fachbereiche eingesammelt wird.

00:32:44: Mittlerweile muss man da auf Automatisierung setzen.

00:32:47: wir sind darauf angewiesen dass wir eine Governance Risk & Compliance Plattform haben, die sicherstellt, dass die Daten verknüpft sind und dass wir die Bewertungen sehr simpel auswerten können.

00:32:59: in einem Workflow gesteuerten Tool eben auch sicherstellen können, dass diverse Fachbereiche und die IT möglichst effizient durch diesen Prozess durchkommen.

00:33:07: Ich glaube am Ende des Tages sind viele mit Excel gestartet und haben sehr schnell gemerkt was wir für Limitierungen dadurch haben plus was ja noch der wichtigste Punkt eigentlich ist.

00:33:18: wenn ich das ganze erhoben habe will ich damit weiterarbeiten.

00:33:22: Das ist natürlich in einer Excel-Landschaft sehr schwierig die richtigen Schlüsse aus diesen Daten zu ziehen.

00:33:27: Kannst du uns da mal so ein pragmatisches Beispiel nennen?

00:33:30: Ganz wirklich plakativ, was so'n Tool viel besser kann als Excel.

00:33:34: Im Endeffekt muss man sich überlegen dass man wenn man den Business Impact oder den Schutzbedarf von einem Asset bestimmen will also im Endeffekte meinem Geschäftsprozess habe ich viele verschiedene Dinge, die mitwirken damit der Geschäftsprozess funktioniert.

00:33:49: Das können Applikationen sein das können Server sein das kann eine Person sein die notwendig für den Prozess ist Standorte.

00:33:56: Das bedeutet ich baue eigentlich ein riesiges Datenmodell auf an Verknüpfung was sich brauche damit mein Geschäfts-Prozess funktioniert und auf allen Ebenen muss ich natürlich Einwertungen treffen wie wichtig diese Dinger eigentlich für dem Prozess sind.

00:34:08: Nennen wir mal ein Beispiel.

00:34:09: ganz plakativ Was is ne Frage die du an dem Bereich IT-Infrastruktur zum Beispiel stellst.

00:34:16: Und wie sieht so eine Antwort aus auf der Plattform?

00:34:18: Ganz plakativ, was passiert wenn dein Server ausfällt?

00:34:21: Wer beschwert sich bei dir, wer ruft zuerst an?

00:34:24: Ah ok!

00:34:25: Wer ist der Verantwortliche, dass er das dann beantworten muss?

00:34:27: Ist es der Leiter der IT Infrastruktur oder seniorige Mitarbeiter von ihm?

00:34:32: Oder wie sucht ihr die Zieggruppen aus?

00:34:33: Das ist genau einer der zentralen Herausforderungen gewesen.

00:34:36: wir mussten erstmal Verantwortlichkeiten für diese Assets schaffen.

00:34:39: Wir müssen natürlich gewisse Dinge, gewisse Ebenen auch sicherstellen.

00:34:43: Man könnte natürlich auch sagen wir haben zentrale Plattformen.

00:34:47: Je granularer wir aber in den Verantwortlichkeiten werden können, desto besser können wir zielgerichtet schützen.

00:34:52: Bedeutet wenn ich sage Ich habe ein Geschäftsprozess der zur IT Bereitstellung da ist und in dem hab ich fünfzig Assets Und die möchte ich alle gleich schützen dann habe ich eine sehr große Keule auf teilweise sehr unkritische Daten was dazu führt dass sich meinen Prozess maximal überregulieren würde und dadurch viel zu sehr schützen würde.

00:35:12: Je granularer wir werden können in den Verantwortlichkeiten, in den jeweiligen Assets und je genauer ich weiß was ich da eigentlich vor mir habe.

00:35:19: In dem ganzen Dschungel, den man so an Assets hat im Unternehmen.

00:35:22: Jeder kennt das große Problem mit zu komplexem Ex-Assetmanagement oder Lücken.

00:35:26: Datenqualität – das sind ja klassische Themen!

00:35:29: In der Security sagen wir immer wenn du ein gutes Assetmanagement hast dann hast du schon die Hälfte des Weges hinter dich gebracht.

00:35:33: Dann können wir natürlich auch daraus einen Business Benefit ziehen, wenn wir genau wissen was wir schützen müssen.

00:35:39: Welche Art von Asset wir vor uns haben und welche Kontrollen man eben braucht.

00:35:44: Klassisches Beispiel ist dafür, wenn ich weiß dass ich eine Applikation habe dann kann ich zielgerichtet Applikationskontrollen für zum Beispiel die Vertraulichkeit implementieren.

00:35:53: Wenn ich weiß das die Vertrouilligkeit hoch ist... ...wenn ich nicht weiß ob ich eine Application oder ein Server vor mir hab' Dann werfe ich Standardkontroller drauf und der jeweilige Verantwortliche für das Asset fragt sich warum er eigentlich bei einem Server Kontrolle für eine Applikation bekommt.

00:36:07: Moment!

00:36:07: Wenn ich jetzt genau zuhöre Dann wurde aus einer einfachen Abfrage, ihr nennt das Einwertung.

00:36:13: Also eine Einwertungen des Fachbereichs.

00:36:15: Ihr fragt den Fachbereich eine Frage und dann kommt die Antwort.

00:36:19: Entstehen daraus womöglich weitere Projekte aber vor allem Bedarfe dass man zum Beispiel Dinge noch konkreter priorisiert oder Rollen noch konkret dazu schneidet oder dass die Fachabteilung auch konkreeter über Verantwortung nachdenkt.

00:36:38: Das bedeutet im Umkehrschluss, dass so eine IT-Gavaninsabfrage durchaus schon rollenorganisatorisch auf die einzelne Tierabteilung dann Auswirkungen hat.

00:36:50: Was ist deiner Meinung nach oder deiner Erfahrung noch entstanden an Nebenprodukten, die die ORGA weitergebracht hat?

00:37:00: Was natürlich dazu führt das ich weiß welche Daten ich habe und wie kritisch sie sind es eben auch da sich schauen kann wie ich zum Beispiel ein Risiko bewerte.

00:37:10: Je nachdem, wie krettisch mein Asset ist kann ich eben auch das Risiko bestimmen was halt dahinter hängt und dementsprechend kann ich auch prüfen ob es jetzt schlimm ist dass meine Passwort Komplexität nicht eingehalten ist oder dass das eigentlich gar kein Problem ist.

00:37:22: Spannend an der Stelle ist auch, dass wir natürlich in diesem Modell berücksichtigen müssen ,dass wir natürlich immer eine Verknüpfung zwischen allen Assets haben.

00:37:30: Das heißt Ich kann als externer auf einen System zugereift ohne autorisiert Übereinfachste Applikation über Landry Movement sicherstellen, dass ich ins ganze Netzwerk komme.

00:37:42: Das ist natürlich immer die Gefahr wenn man das sehr siloartig prüft.

00:37:48: Dementsprechend müssen wir sicherstellen, dass die Kontrollen auch untereinander funktionieren.

00:37:51: Das heißt auch unkritische Assets müssen einen gewissen Grundschutz aufweisen.

00:37:56: Da habe ich noch mal eine Frage zu, Sören.

00:37:58: Welche minimalen Anforderungen sollte oder muss ein Asset-Management haben damit die Second Line oder die Security Governance damit optimal arbeiten kann?

00:38:08: Ja wir sind immer im Konflikt zwischen Einfachheit und Komplexität.

00:38:12: Je komplexer mein Modell ist desto besser kann ich damit arbeiten.

00:38:16: Je einfacher mein Model ist destso besser ist klassischerweise die Datenqualität.

00:38:20: Gib mir mal einen Beispiel.

00:38:21: Ein

00:38:21: Beispiel ist, dass ich natürlich um zu wissen das es ein Server ist einfach nur abfragen muss.

00:38:26: Ist es ein server ja oder nein?

00:38:27: Wenn ich aber auch weiß welches Operating System der server hat wenn Ich weiß wer diesen server im Unternehmen verantwortet wenn ich verschiedene andere technische Spezifikationen kenne desto genauer kann ich am ende natürlich die Kontrollen zuschneiden.

00:38:42: Das heißt ich bin irgendwo immer in konflikt zwischen frage ich zu viel ab und kann dadurch in den kontrollen genauer werden Oder frag ich zu wenig ab und werde dadurch in meinen Kontrollen ein bisschen ungenauer.

00:38:54: Und das ist natürlich eine sehr schöne Grenzkostenbetrachtung.

00:38:56: nachher, maximal ausgewachsenes Assetmanagement ist natürlich sehr schön weil du sehr genau bestimmen kannst was Du hast!

00:39:04: Du musst ja aber dadurch wieder einen Mehrwert in den Compliance-Kosten zeigen können.

00:39:08: Das ist ein guter, guter Übergang, Compliance kosten.

00:39:12: es gibt auf der CFO Ebene auch oftmals der Stichwort Kostenfalle Compliance.

00:39:19: Je mehr Regelwerke nämlich du hast, sei es jetzt DSGVO, DORA, Kritis oder was auch immer, desto mehr Prüffahrt ergibt es her.

00:39:29: Irgendwann kippt aber das Verhältnis.

00:39:31: Kontrolle kostet viel mehr als sie wirklich schützt.

00:39:35: Das heißt Regulatorie bringt nicht nur Sicherheit sondern bringt auch Last mit sich.

00:39:40: Viele Orgas merken dass er relativ spät so wie ich das heraushöre immer wieder aus unseren Gesprächen mit unserem Mandanten wie teuer ihre Kontrollenmechanismen wirklich sind.

00:39:49: Für unsere Zuhörer hier ist es mega interessant, AXA hat ja ein Audit-Steuersystem aufgebaut das alle Prüffade zusammen führt und die Kontrolle standardisiert und auch die Ressourcen dadurch dann natürlich optimiert.

00:40:05: Man nennt es glaube ich Integrated Governance Modell.

00:40:08: Kannst du uns ein bisschen was dazu erzählen?

00:40:11: Vor allem wie verhindere ich dass Kontrolle zur Wachstumsbremse wird?

00:40:15: Ja, das fängt tatsächlich schon auf der Richtlinien-Ebene an.

00:40:18: Ich muss natürlich sicherstellen dass ich eine klare Strategie habe wo ich hin möchte.

00:40:23: Wir haben ja als Risikofunktion alle das gleiche Ziel.

00:40:25: wir wollen risikentransparent machen und Entscheidungsgrundlage bilden Dass das Business entscheiden kann ob es das Risiko behandeln möchte oder ob es es akzeptieren möchte transferieren möchte.

00:40:37: Das ist natürlich das primäre Ziel.

00:40:39: Es geht nicht darum alle Risiken maximal zu eliminieren weil Risiko bedeutet auch Chance.

00:40:44: Und am Ende des Tages wollen wir sicherstellen, dass saubere Entscheidungen getroffen werden auf korrekten Daten.

00:40:51: Das führt eben dazu, dass gerade im Bereich Information Security die regulatorischen Anforderung immer höher werden?

00:40:57: Wir sehen es jetzt mit NANIS-II, wir sehen es mit dem EUAI Act – das sind natürlich jetzt Buzzwords, die aber auch dazu führen, dass wir wieder aus der Information Security Regulation haben werden und wenn wir all diese Regulierungen separat betrachten würden die aber eigentlich dasselbe Ziel verfolgen, nämlich Sicherheit geben.

00:41:16: Und Sicherheit geben bedeutet am Ende des Tages eine Entscheidungsgrundlage zu bieten um zu schauen wie man mit dem Risiko umgehen möchte.

00:41:24: Dann würde das natürlich die Kosten massiv treiben.

00:41:26: Das heißt ein Ziel ist es Die Regulierung nicht nur separat zu betrachten isoliert sondern zu schauen Wie wir das in das Management System integrieren können.

00:41:35: Das bedeutet, dass wir jede Regulierung neu bewerten müssen und prüfen müssen wie wir es in das aktuelle Garminensystem einbauen können.

00:41:43: Natürlich mit dem Ziel am Ende saubere Risiken generieren zu können um auf der Basis Entscheidungen treffen zu können.

00:41:49: Und zu schauen wie wir mit diesen Risiken eben umgehen wollen weil das ist das ultimative Ziel und dafür müssen wir verschiedene Vorschritte betrachten, die zum Beispiel wie mit dem eben angesprochenen Asset Management in der Datenqualität zusammenhängen.

00:42:02: Wenn wir wissen was wir schützen müssen können wir es effizient schützen.

00:42:05: wenn wir nachher merken dass wir Abweichungen zu Vorgaben haben müssen wir bewerten wie groß das Risiko der Abweicherung ist und wie priorisiert wird das Risikoeben eliminieren wollen oder steuern wollen?

00:42:17: Noch mal eine praktische Frage!

00:42:19: Wenn jetzt der EU AI Act kommt und NIST II wird ja auch kommen Wie soll ich mir das vorstellen?

00:42:25: Genau praktisch.

00:42:26: Was bedeutet ein integriertes Governance-Modell, heißt es?

00:42:31: Im nicht so guten Fall würde jetzt eine Versicherung einfach EO AI Act neben der DORA implementieren.

00:42:38: Sind Organisationen wirklich so doof dass sie das machen würden?

00:42:42: Ich glaube das hängt viel mit der Komplexität der Regulatorik zusammen.

00:42:46: AI hat jetzt natürlich sehr schnell Einzug in die Organisation gewonnen.

00:42:49: man sieht den Mehrwert.

00:42:51: Wir sind ja in Europa und vor allem in Deutschland eher schnell bei Regulierung.

00:42:55: Und wollen natürlich sicherstellen, dass die Risiken rund um Technologien auch gemanagt werden.

00:43:01: Abhängig davon wie man natürlich mit solchen Risiken umgehen will kann man auch separate Prozesse bauen.

00:43:08: wir müssen aber am Ende immer an das ultimative Ziel denken einem Geschäftsführer einem Vorstand die Möglichkeit geben, fundierte Entscheidungen zu treffen.

00:43:17: Und wenn ich beispielsweise Risiken aus der DORA separat betrachte genauso wie aus dem AI-Akt dann bekommt mein Vorstand verschiedenste Entscheidungsgrundlagen basierend auf verschiedenen Methodiken, die teilweise voneinander abweichen können.

00:43:30: und das führt natürlich dazu dass Ich als Vorstand der grundsätzlich wenig Zeit hat und natürlich möglichst viele Informationen möglichst schnell verarbeiten muss.

00:43:40: Erst mal verstehen muss, auf welcher Entscheidungsgrundlage dieses Risiko jetzt gebildet wurde.

00:43:45: Zurück zur eigentlichen Ursprungsfrage dieses Themas war wie kann man Kosten sparen?

00:43:52: Wie verhindert man die Kostenfalle Compliance?

00:43:55: Hast du da Erfahrungen sammeln können, die einer mitnehmen kann beispielsweise der sich Jetzt neu?

00:44:03: Nein.

00:44:03: Es wird sich keiner jetzt neu mit Dora beschäftigen, weil ich glaube im Januar mussten eigentlich alle auf Dora drauf sein.

00:44:11: aber wenn der Mann ist zwei was hier zu kommen.

00:44:14: das gibt viele.

00:44:15: es gibt viele Industrien die bisher kaum oder wenig reguliert waren und ich denke da an Supermärkte an Fleischproduktionen etc.

00:44:24: Ich glaube dass man durchaus davon lernen kann von jemanden wie dir, der schon Dora ein massives Programm implementiert hat.

00:44:33: Die Erfahrungswerte sind meiner Meinung nach übertragbar gerade was das Thema Kostenhandling angeht.

00:44:39: Hast du da einige Tipps?

00:44:41: Absolut!

00:44:42: Ich glaube der wichtigste Tipp ist erstmal überlegen was man wirklich neu machen muss.

00:44:48: wir sehen aus NIST II dass es sehr viele Diskussionen rund in den Meldeprozess gab.

00:44:53: alle Unternehmen die schon vorher kritis reguliert waren können da glaube ich nur überrascht gucken, weil die kennen das.

00:45:00: Wir haben gerade im Doraumfeld in anderen europäischen Ländern gesehen dass es dann noch keine Meldeprozesse an die Aufsicht gab.

00:45:07: Das führt natürlich dazu, dass das neu ist und dass das überraschend ist.

00:45:11: Genauso ist jetzt eigentlich Unternis zwei wenn man vorher noch nicht melden musste wenn etwas passiert, dann ist das erstmal neu.

00:45:16: Das muss man kulturell auch implementieren.

00:45:19: Das ist einer der meist unterschätzten Faktoren.

00:45:22: am Ende operiert immer der Mensch Bedeutet.

00:45:25: ich muss sicherstellen, dass der Mensch natürlich auch versteht was er tun muss in so eine Meldeprozess.

00:45:31: Genauso ist das mit dem normalen Incidentmanagement was man heute hat.

00:45:35: Das ist natürlich die Grundlage für jeden Meldaprozess.

00:45:37: wenn ich mein incident kenne Wenn ich ihn identifiziert habe klassifiziert und auch bearbeitet habe dann noch an die Aufsicht zu melden oder an die Behörde zu melden.

00:45:48: Das ist dann der letzte Schritt, wenn ich natürlich versuche parallel ein Meldeprozess und vielleicht sogar noch ein neues Incidentmanagement aufzubauen.

00:45:56: Dann merke ich natürlich okay da produziere ich eigentlich ineffizienzen weil ich habe schon einen Prozess wie ich Inzidenz behandeln möchte.

00:46:04: Da kann man das Meldewesen dann super hinten dran hängen.

00:46:06: und genau in diese Gedanken muss ich reinkommen.

00:46:08: was muss ich eigentlich tun?

00:46:10: Kann nicht dass mit etwas verbinden war sich schon im Unternehmen hab.

00:46:13: Wen muss ich an einen Tisch bringen, um welches Ergebnis zu erzielen?

00:46:16: Ja.

00:46:17: Kannst du mir vielleicht sagen warum viele DORA-Projekte wie parallel Welten funktionieren aktuell?

00:46:24: Ich glaube DORA ist nach der VAT und der BIT der Versuch diese Themen die es dann eben auch in der DORA gibt das Auslagerungsmanagement Informationssicherheit Informationsrisiko Management richtig zu verknüpfen.

00:46:40: waren ja kapitelartig aufgestellt und dadurch hat man sie auch kapitel-artig abgearbeitet.

00:46:45: Das fördert natürlich sie los, in der Dora denken wir nicht mehr in Kapiteln oder Abteilungen.

00:46:50: Wir denken in Abläufen Und genau diese Prozessdenke führt dazu, dass Unternehmen sich jetzt ganzheitlich mit Prozessen beschäftigen müssen.

00:46:59: Da kann man nicht mehr sagen Abteilung A macht Incident Management und Abteilungen B macht dann das Meldewesen sondern man muss sich zusammen an ein Tisch setzen und einen Prozess von Ende zu Ende denken um nachher das gewünschte Ergebnis zu erzählen.

00:47:12: Ja zu den Kosten nochmal!

00:47:15: Ganz pragmatisch.

00:47:16: wie verhindert man das was auch immer in Zukunft kommt?

00:47:21: Dora II oder keine Ahnung wer was kommen wird, nicht zu Kostenfalle wird.

00:47:26: Hast du da pragmatische Tipps?

00:47:28: Am Ende des Tages muss man überlegen was man mit der Komplenz erreichen will.

00:47:32: Man will wieder Regeln im Unternehmen aufstellen.

00:47:35: Man Will sicherstellen dass die Kontrollen im Unternehmen implementiert werden und das die Kontrolle eingehalten werden.

00:47:41: Das sind immer die gleichen Grundprozesse.

00:47:43: Ich starte mit einer guten Richtlinie.

00:47:46: ich prüfe wie ich regulatorisch in eine Richtlinien integrieren kann.

00:47:49: Ich schaue anschließend, wie ich die Richtlinie ins Unternehmen bringen kann in Form von zum Beispiel Kontrollen.

00:47:56: In Form von Anforderungen, in Form vom neuen Prozessen.

00:47:59: und Anschließend stelle ich natürlich auch sicher dass alle... ...die diese Kontroll eben ausführen müssen verstanden haben warum sie die Kontroll Ausführen weil wenn ich eine Kontrolle ausführe das Kontrollziel aber eigentlich gar nicht erreiche dann führt es auch nicht zu Akzeptanz für neue Dinge.

00:48:16: Der Faktor Mensch ist hier definitiv einer der Erfolgsfaktoren, weil wenn ich meine Organisation nicht mitnehme und eine neue Regulatur rück von oben nach unten in die Organisation drücke dann werde ich es nicht schaffen den Nachhaltigen Mehrwert zu heben, den ich heben möchte.

00:48:30: Dadurch muss sich nacharbeiten, weil Dinge nicht funktionieren und das führt natürlich eben wieder zur

00:48:34: Extrakosten.".

00:48:36: Wie schafft man eine regulatorische Einheit statt Redundanz?

00:48:41: Was ist da Geheimtrick?

00:48:43: Ich glaube es ist wichtig, dass man im Kopf hat das Dora nicht die erste und nicht die letzte Regulatur rück sein wird.

00:48:48: Es geht am Ende des Tages immer darum, Dora im Gesamtkontext zu integrieren und nicht on top additiv draufzusetzen.

00:48:56: Das ist der Erfolgsschlüssel um sichertzustellen, dass wir auch die Compliance-Kosten am Ende dieses Tages im Griff haben.

00:49:01: Wir haben jetzt viel über dein Werdegang gesprochen Sören!

00:49:04: Über die High Value Assets, die Chronio wählen die du schützen musst für jemanden wie die AXA und auch die Kosten, wie man diese ein bisschen in den Griff kriegt.

00:49:14: Es gibt ja wenn wir uns EUAI-Eggdodaganes II oder Critis angucken Unternehmen, die jetzt das erste Mal komplett betroffen sind.

00:49:23: Das heißt sie sind weder auf ISO noch sind sie auf irgendein anderes potenten Regelwerk aufgesattelt.

00:49:31: was glaubst du?

00:49:31: Wenn die jetzt NIS-II Prüfungen bekommen.

00:49:35: Worauf müssen die sich einstellen?

00:49:37: Rein emotional, wenn du jetzt einen Head of IT-Audit hast und intern oder ähnliches von dem größten Produktionshaus für Fleischproduktion in Deutschland... Was wären deine ersten drei Tipps?

00:49:51: Ich glaube das Wichtigste ist, wenn man die Ankündigung bekommt sollte man nicht nervös werden.

00:49:58: Wenn man nervös wird hat man sich nicht gut genug vorbereitet Weil auf diese Prüfung kann man sich hervorbereiten, man weiß was passiert.

00:50:05: Am Ende des Tages prüft der Regulator, was man hätte machen müssen.

00:50:09: Bedeutet wenn ich natürlich erst mit dem Brief anfange mir zu überlegen was ich machen muss bin ich schon viel zu spät.

00:50:16: Wie macht man ein kosteneffizientes Stuffing?

00:50:20: Wenn man jetzt Head of IT-ordered ist oder einen CISO, der in einem Jahr Zeit hat sich auf NIST zwei vorzubereiten wie?

00:50:28: was würde es ihm für Tipps geben?

00:50:30: Man sollte sich im Prüfungsfall überlegen, genauso wie mit Implementierungsfall wen man wirklich braucht.

00:50:34: Ich glaube klassischerweise zu viele Köche verderben am Ende des Tages den Brei.

00:50:39: Man muss Topmanagement Support haben und man muss die richtigen Leute an Bord haben um effizient Entscheidungen treffen zu können weil die Regulatur wird immer komplexer es wird immer schwieriger effiziente Lösungen implementieren weil es eben immer komplexer wird.

00:50:53: und am ende des tages muss man möglichst effizientes Entscheidungen in einem Big Picture treffen können.

00:50:59: Das heißt, das Zielbild muss klar sein und man muss möglichst schnell diese Entscheidung in dieses Ziehbild reinbekommen.

00:51:05: Okay, das heißt du brauchst auf jeden Fall ein Strategie Paper an Internist, dass eine Zielvision formuliert.

00:51:11: aber was mich noch mal interessiert ist... wen musstest du es daffen?

00:51:15: Holst so'n Big vorrein oder einen Next-Twenty.

00:51:18: arbeitest du mit intern Hiring holst du externe Freelancer rein und wie?

00:51:25: vor allem kann man das so schaffen, dass man nicht in die Kostenfalle Compliance reingerät.

00:51:31: Ich glaube wichtig ist erstmal die Bedarfe zu identifizieren.

00:51:34: Wenn ich weiß was mir fehlt dann kann ich entweder entscheiden ob das für mich ein Bedarf ist den ich längerfristig habe.

00:51:40: Dann kann ich das internsteffen wenn ich weiß... Gib mir mal

00:51:43: ein Beispiel.

00:51:44: Ein schönes Beispiel ist Auditkompetenz.

00:51:47: Also, wie gehe ich mit einem Prüfer um?

00:51:49: Wie bereite ich Dinge vor, dass die für den Prüffer verständlich werden.

00:51:52: Durch steigende Regulatorik und steigene Auditierung habe ich natürlich auch einen steigenden Bedarf intern an Auditkompetenz.

00:51:58: Das bedeutet das wir viel mehr Ressourcen brauchen, die verstehen, wie Prüfe arbeiten und wie Priefer denken.

00:52:04: Okay, wie würdest du das Team schaffen wenn du jetzt sagen wir mal... Wir hoffen nicht, dass es passiert aber sagen wir einmal Syrien würde AXA verlassen wäre.

00:52:13: jetzt kommt jetzt mit einem riesen Schatzer an komplexer Implementierungs-Erfahrungen, was Dura angeht zu einem Unternehmen das bisher null reguliert war.

00:52:25: Hat jetzt aber NIST II vor der Brust.

00:52:28: Der Vorstand sagt ihr schön dass du hier bist an deinem ersten Tag Lieber Sören Aber ich sag dir jetzt wir haben nicht viel Kohle.

00:52:35: Bitte sorg dafür dass wir die NISTII Prüfung nur in Monaten bestehen.

00:52:39: Wie würdest du vorgehen?

00:52:41: Das hat sich eine schöne Herausforderung.

00:52:43: Am wichtigsten ist, dass ich mir einen Überblick mache, wen ich überhaupt an Bord habe im Unternehmen.

00:52:48: Also wie ist das Unternehmen organisiert?

00:52:50: Wie sind die Abläufe?

00:52:52: Um dann zu schauen wer mir wirklich ein Mehrwert für DINES II Implementierung bringen kann.

00:52:56: also welche Bereiche muss ich angehen und wie schaffe ich das im Effizientesten?

00:53:01: Das bedeutet ich brauche natürlich Topmanagement Support weil nur so kann nicht schnelle Entscheidungen treffen Und Ich Brauche Fachkompetenz um einzeln bewerten zu können, wie ich die Regulatorik eben im Sinn vollsten in das Zielbild einbauen kann.

00:53:16: Das heißt, Zielbild definieren, Implementierungsschritte definieren und dann in Implementierungsstaten.

00:53:22: Was für Rollen bräuchtest du da?

00:53:24: Welche sind unerlässlich?

00:53:26: Klassischerweise hat man immer den sehr starken Link zwischen dem CISO und der IT.

00:53:30: Das ist jetzt bein des zwei zum Beispiel die Für Incident Management verantwortliche Stelle.

00:53:35: Das is aber zB auch die Für Risiko-Management verantwortliches Stelle Plus.

00:53:39: wir müssen natürlich auch prüfen, welcher anderen Stakeholder wir aus der IT benötigen.

00:53:44: Das können zum Beispiel Topmanager im ersten Schritt fürs Zielbild aus dem IT Betrieb sein.

00:53:50: das können Manager aus dem Application Management sein.

00:53:54: Das heißt was brauche ich wirklich um nachher effizient die Regulatorik erfüllen zu können?

00:53:58: Das heißt dein erster Ansatz wäre gar nicht so okay.

00:54:01: Ich baue jetzt eine Orge auf von zehn fünfzehn Leuten sondern hey wer kann mir jetzt intern helfen?

00:54:05: den binden wir jetzt ein Sei es ein Leiter für IT Infrastruktur oder auch vielleicht jemand aus Liegel, oder ähnliches.

00:54:12: Muss man immer einen Beratungshaus dazunehmen?

00:54:14: Eine Big Four oder eine Big Twenty?

00:54:17: Ich glaube dass man ganz wichtig am Anfang den Bedarf identifiziert wenn man merkt man hat zum Beispiel ein Skill Gap im Incident Management Man hat zwei unbesetzte Stellen und einen Leiter der sich mit dem Thema noch nicht befasst hat und man stellt fest okay Wenn ich den jetzt noch abskillen muss, dann sitze ich hier noch wahrscheinlich zwei bis vier Wochen vielleicht länger.

00:54:37: Reicht mir das?

00:54:39: Kann nicht das an Zeit aufbringen!

00:54:40: Wenn ich entscheide nein, dann brauche ich externen Support.

00:54:44: Wenn ich zum Beispiel merke... Das ist jetzt der das Problem mit dem Skill wenn ich zum beispiel merke dass ich zu wenig Hände habe.

00:54:51: Das heißt ich muss Dinge tun die sind klar definiert.

00:54:55: Das ist aber auch nur ein zeitlich begrenzter Bedarf, dann kann ich mir super im Beratungshaus reinholen.

00:54:59: Wir sehen bei Regulatorik halt dass das einen steigender Bedarf ist der permanent ist und das führt natürlich dazu, dass man die Zielbilder in den Organisationen hinterfragen muss.

00:55:09: Das heißt habe ich wirklich nur einen kurzfristigen Bedarf für eine Implementierung?

00:55:13: Wenn das implementiert ist läuft es dann?

00:55:15: oder habe ich permanente Bedarfe, die ich in meiner Organisation eigentlich abdecken müsste, die dann meistens über auf mehr Ressourcen hinauslaufen?

00:55:21: ...

00:55:22: als ihr das Thema Dora vor die Brust bekommen habt.

00:55:25: Wenn du jetzt rückblickend schaust, im Januar glaube ich war... ...die erste Barfin Prüfung für alle Versicherer.

00:55:32: Auf welchen Skill innerhalb eines Teams... ...rückblickende hättest du nicht verzichten können?

00:55:39: Ich glaube aus der Gavanins Perspektive ist es halt super wichtig eine sehr elementare Rolle in der Zielbilderstellung einzunehmen.

00:55:48: Das heißt es werden natürlich Menschen benötigt, die ... eher im Bereich Generalisten sind, aus allen Themenbereichen etwas verstehen... und aus der Perspektive dann super gute Schnittstellenarbeit machen zu können.

00:56:01: Also muss das jemand sein, der weiß wie man Server spiegelt?

00:56:04: Muss es jemand sein der weiß, wie man Verträge mit Hyperscalern analysiert?

00:56:12: oder was muss das für ein Mensch sein auf den du in diesem einen Dora-Projekt?

00:56:16: Wir reden jetzt nur von dem Dora Projekt!

00:56:18: Was war das für'n

00:56:19: Skill?!

00:56:20: der unverzichtbar ist?

00:56:21: und wie war die Persönlichkeit, die unverzigbar ist?

00:56:25: Ich glaube gerade für das Projekt ist es halt sehr wichtig dass man regulatorisch liest versteht.

00:56:31: Und dann versteht was das für ein Unternehmen bedeutet.

00:56:35: Ist natürlich logisch wenn man Implementierungsprojekt hat, dass man grade in dem Fall sehr starke Analysefähigkeiten braucht.

00:56:40: Dass man sicherstellen kann dass man die regulatorische liest In dem Kontext auch versteht, was die Regulatorik erreichen möchte.

00:56:48: Was wir bisher im Unternehmen dafür getan haben und wie wir eine möglichst effiziente Implementierung hinbekommen.

00:56:53: Das heißt es ist irgendwas zwischen hands-on Lösungsorientiert aber trotzdem stark analytisch und sehr nah an der Regulatorik im ersten Schritt um erstmal das Minimum zu definieren was man per Regulaturik machen möchte.

00:57:05: Und was für eine Persönlichkeit muss dajenige mitbringen?

00:57:08: Sehr offen, sehr motiviert in neue Schnittstellen Themen reinzugehen.

00:57:14: Du meinst offen in der Kommunikation?

00:57:16: Genau,

00:57:16: lösungsorientiert.

00:57:18: Offen in der kommunikation sehr stark analytisch und sehr gut darin Menschen zusammenzubringen um Probleme gemeinsam anzugehen.

00:57:27: Okay das heißt der klassische IT-Prüfer wie er im Schubladendenken oftmals verankert ist Der Nerd der in seinem stehlen Camerlein sitzt.

00:57:38: Wir wissen alle dass es heute nicht mehr so ist aber die Stereotypen wirken noch.

00:57:42: Der wäre hier bei so einem riesen Dora-Projekt völlig fehl am Platz.

00:57:46: Völlig fehl an Platz nicht, aber nicht die kritische Ressource!

00:57:49: Wir haben natürlich trotzdem in allen Bereichen Spezialisten... ...die sich mit ihren Themen super auskennen und wenn es da einen Bedarf gibt dann muss er natürlich auch gedeckt werden.

00:57:58: Aber ich glaube der wirkliche Success Factor ist dieses übergreifende Schnittstellendenken.

00:58:02: Okay, super!

00:58:03: Jetzt haben wir viel über Dora gesprochen, über die Bafin.

00:58:08: Dora is ja der Gegenwart?

00:58:09: Was glaubst du...?

00:58:11: ist das nächste Kapitel der Governance Transformation.

00:58:15: Wenn nämlich heute GRC oder IT-GRC designed, sollte ja schon am besten morgen mitdenken.

00:58:23: Skalierung ist da ein Thema, Automatisierung neue Regime wie jetzt die EU AI Act sind ja bereits vor der Tür.

00:58:32: Wie baue ich Governance auf?

00:58:34: Die die Zukunft aushält?

00:58:35: Das wäre meine Leitfrage.

00:58:37: und vor allem Wie bereitet ihr euch auf das nächste GSC-Level vor?

00:58:43: Ich glaube, dafür müssen wir einmal gucken von wo die meisten Unternehmen kommen und dass ist eine sehr zerklüftete Governance.

00:58:49: Das heißt klassischerweise in verschiedensten Bereichen gibt es Richtlinien und die kann man sehr gut zusammenziehen und dadurch diese integrierte Governance schaffen.

00:58:58: Wenn man ein stabiles System hat was funktioniert?

00:59:02: dann funktioniert das nicht nur zum Beispiel im Kontext Dora.

00:59:05: Dann kann man einen EUAI Eck da auch rein integrieren So gesehen auch NIST-II.

00:59:12: man kann Kritis, man kann ISO darüber abbilden.

00:59:15: Das heißt wenn man ein stabiles Integrated Governance System hat führt es eben dazu dass man von neuer Regulatorik nicht überrascht wird sondern die in das Ökosystem was man hat einbauen kann.

00:59:27: und das führt eben dazu das wir von der Regulatorik Seite Wenn man dieses Integrated Government System eben hat Unabhängig davon, was die Regulatorik möchte schauen muss wie man eine Integration schafft.

00:59:40: Wenn das System robust ist funktioniert das.

00:59:43: Spannend ist aber an der Stelle wie man eigentlich die Effizienzen hebt in diesem System.

00:59:48: Das System steht okay Richtlinien sind soweit aufeinander abgestimmt.

00:59:54: Man hat Prozess in dem System dass man klassischerweise in den PDCA jährlich überprüft Was möchten wir tun?

01:00:00: Wie verbessern wir?

01:00:01: Was ist uns aufgefallen?

01:00:02: welche Risiken haben wir?

01:00:04: Ein ganz großer Hebel und das sehen wir ja auch in sowas wie KI ist eben Automatisierung von Technologie.

01:00:10: Das heißt, wie schaffen wir es denn mit gleicher oder weniger Ressource dasselbe Arbeitsergebnis zu erzielen?

01:00:16: Und zwar indem wir skalieren bedeutet Kontrollautomatisierung Prüfungsautomatisierung.

01:00:23: Dadurch schaffen wir wieder Wir haben es eben angesprochen die Assurance also die Sicherheit Dass das was wir tun funktioniert.

01:00:30: Gerade in den sensiblen Governance-Fragen braucht man ja oftmals Partner.

01:00:34: Wir haben das gerade ein bisschen angerissen, nämlich wenn du so ein neues Projekt hast, sei es ein Big Four oder aber auch ein Software Tool, das unterstützt und einen Headhunter im Personal für Mittler wie wir sind.

01:00:46: Man braucht Partner auf die man sich dann verlassen kann.

01:00:49: Welche Kriterien zählen bei deiner Partnerwahl wirklich?

01:00:52: Nimm mir das Beispiel Beratungshaus.

01:00:58: Von meiner Sicht wird das, glaube ich eines der wesentlichen Einkäufe gewesen sein die in den letzten zwei drei Jahren von Dora betroffen Abteilungen vollzogen haben.

01:01:10: Worauf achtest du da?

01:01:11: Weil im Rahmenvertrag.

01:01:13: der Big Four hat wahrscheinlich jede Versicherung ja.

01:01:17: wenn du aber in die Auswahl gehst wurde dir das vor oder wurde dir die Beratung in deinem Fall Vorgesetz hattest ein bisschen Mitsprach erreicht?

01:01:25: wie war das?

01:01:26: Am Ende des Tages haben wir einen ganz normalen Ausschreibungsprozess gemacht.

01:01:29: Das heißt, wir haben geprüft was wir genau benötigen.

01:01:32: Wir haben mal einen Bedarf sehr genau bestimmt und dann geschaut wer diesen Bedarf am sinnvollsten decken kann.

01:01:37: über eine Ausschreiben da konnten sich Unternehmen natürlich ganz normal dann präsentieren konnten zeigen welche stärken und welcher Schwächen sie eben haben.

01:01:44: das haben wir eben wieder analysiert.

01:01:45: okay wo?

01:01:46: Wo sehen wir die Unternehmen dann stark?

01:01:48: Wo sehen sie nicht so stark und wie hilft uns das dabei, unsere Story weiter zu treiben.

01:01:54: Am Ende des Tages haben wir ein Implementierungsprojekt mit Zielen und egal ob es intern oder extern ist am Ende muss ich schauen ob mir die Ressourcen die ich an Bord holen kann dass denen mehr Wert bringen können den ich brauche und damit eben auch meine Zielerreichung sicherstellen.

01:02:08: Was unterscheidet denn gute von großartigen Beratungspartnern oder Häusern?

01:02:14: Ich glaube wichtig Welche Ressourcen man sich an Bord holt, also wenn wir über Beratungsfäuser reden, reden wir immer über Menschen die für einen temporär arbeiten.

01:02:22: Was heißt ich habe einen temporären Bedarf?

01:02:24: Ich weiß was ich benötige ans Skill und das können zum Beispiel wie in unserem Beispiel angesprochen diese Schnittstellenmenschen sein, die genau wissen wie wir gewisse Dinge verknüpfen müssen.

01:02:34: Das können aber auch beispielsweise Security Architekten sein, das können IT-Architecten sein die sehr genau wissen wie wir Infrastrukturen bauen müssen.

01:02:45: Wie wir Assets schneiden müssen.

01:02:48: Wir haben gerade über das Thema Beratungshäuser gesprochen als externe Partner.

01:02:51: Wir sind ja auch ein externer Partner viele Versicherer und vermitteln im Cybersecurity Bereich sehr spezialisierte Profile.

01:03:02: Wenn du jetzt mal auf deine Erfahrungen zurückblickst mit Personalvermittlern, Headhunterinnen und Personalberatern wie die sich alle auch nennen.

01:03:10: Wie ist deine Erfahrung?

01:03:12: Woran erkennst du einen guten Personalvermitteler oder woran eher ein schlechten?

01:03:15: Wie sind deine Erfahrungswerte?

01:03:18: Ich glaube am wichtigsten ist dass man mir zuhört und versteht welchen Bedarf ich habe weil ich will kein Produkt von der Stange sein was man abarbeitet sondern ich will wahrgenommen werden.

01:03:29: Ich hab mir sehr genau überlegt was mein Bedarf ist und das soll auch gewürdigt werden.

01:03:34: Am Endeffekt für den Headhunter ja leichter, weil er genau weiß, wonach er suchen muss und welche Profile auf meinen besonderen Bedarf passen.

01:03:43: Woran erkennt man einen schlechten Headhunder?

01:03:46: Ich glaube, man merkt sehr schnell ob der Headhunter weiß was ich möchte oder nicht.

01:03:52: Das sieht man klassischerweise an den ersten Profilen die man bekommt Ob dahinter eine Story steckt, ob die Lebensläufe auf das passen, was ich eigentlich suche.

01:04:02: Das Matching also

01:04:04: Genau

01:04:05: Okay.

01:04:06: In welchen Situation macht ein Headhunter deine Meinung nach absolut Sinn und in welchen eher nicht?

01:04:12: Ich glaube, wenn wir in die spezielleren Profile gehen ist ein Headthunter sehr sinnvoll weil das Netzwerk natürlich viel größer ist Und vor allem wenn wir da hinkommen dass auch passive Kandidaten durch Headhunder angesprochen werden Die nicht direkt auf der Suche sein müssen.

01:04:27: Wie spezialisiert muss denn ein Profil sein damit einen Headhunter darauf suchen soll oder kann?

01:04:32: hast du dann konkretes Beispiel?

01:04:34: es ist einer der Die SMS verantwortet hat manchmal oder ein Pentestavisa, dein Erfahrungswert bisher.

01:04:42: Ich glaube vor allem in den neuen Regulatorik-Themen sind Herr Hunter sehr, sehr spannend weil genau diese Profile ja noch gar nicht im Markt stark aufgebaut sind.

01:04:51: also spezielle Profile die auf die neuen Trends gehen das kann KI sein Das können so Regulatorik Sachen wie Dora sein andere Dinge sein, wie schaffe ich denn ein integriertes Governance-System zum Beispiel?

01:05:06: Okay.

01:05:07: Den Headhunter braucht man ja um auch seine Teams zu skalieren wenn man innerhalb kurzer Zeit wirklich aufstaffen muss.

01:05:16: die Teams in der Governance stehen ja unter massiven Dauerdruck.

01:05:21: das ist das was man immer wieder hört.

01:05:23: dann diese Governance Arbeit.

01:05:25: Das ist ja so eine Art Kontrollarbeit, das ist Hochleistung auch mit psychologischen Nebenwirkungen.

01:05:31: Woran erkennst du dass dein Team erschöpft ist?

01:05:34: Ich glaube wichtig ist, dass man die Leistung in Governance Teams sichtbar macht weil man kann immer weiter arbeiten und wird immer weiter Dinge in einem PDCA-Zyklus finden, die man verbessern können.

01:05:45: aber es ist wichtig dass man auch die Leistungstrackt, dass Man auch die Erfolge feiert und dass man das Tempo dahin anpasst wie das teams eben auch verträgt.

01:05:54: Im Governance-Bereich ist das größte Problem, dass man sehr schnell Leute eben auch verheizen kann weil man ihnen zu viel zutraut und Menschen das teilweise selber nicht einschätzen können wie belastbar sie sind.

01:06:06: Das heißt wie gehst du davor?

01:06:08: Ich meine rein praktisch oder praktikabel woran erkennst du es bei deinem eigenen Team?

01:06:13: Dass die Leute vielleicht jetzt mal eine Pause brauchen...

01:06:18: ich glaube man merkt sehr stark an klassischen Führungsthemen Wie ein Mitarbeiter mit jemandem agiert, man merkt ob die Geduld eher aufgebraucht ist.

01:06:27: Ob man offen für neue Themen ist, ob man sich eher zurückzieht.

01:06:30: also klassische Führungsthemen helfen.

01:06:33: was sehr stark hilft ist Mitarbeiter mitnehmen das heißt fürs Zielbild sensibilisieren das Zielbild miterarbeiten lassen und am Ende des Tages auch dadurch Ownership schaffen.

01:06:45: und dadurch schafft man eben auch einen Motivationsschub.

01:06:48: Und gerade wenn man ein hochmotiviertes Governance-Team hat, merkt man auch sehr stark.

01:06:53: Wenn die Teams an die Grenzen kommen?

01:06:56: Gerade nach größeren Implementierungsphasen von neuer regulatorik?

01:07:01: Ich frage mal ganz provokant so sagst Man sollte sie mitnehmen in das Zielbild und dann sieht man ob jemand psychisch vielleicht erschöpft ist.

01:07:10: Ist es nicht doch lieber anders?

01:07:11: also muss man nicht nochmal vielleicht mit ihm auch abends mal ein Bier trinken oder Nachmittags auch mal zur Seite nehmen?

01:07:18: oder wie spürst du das als Führungskraft?

01:07:21: Verändern sich die Kollegen vielleicht, wenn einer eine zunehmende Erschöpfung hat.

01:07:26: Reden die weniger sind machen sie weniger Witze.

01:07:29: Wie spürste das im Alltag?

01:07:31: Ich glaube, es gibt keine Pauschal-Lösung.

01:07:33: Am Ende des Tages arbeiten verschiedenste Profile im Governancebereich und das sind verschiedene Menschen die hinter diesen Profilen hängen.

01:07:40: Und jeder ist für sich irgendwie besonders... ich glaube gerade in dem Governance Bereich braucht man ein Gefühl dafür wie Menschen agieren um auch zu merken wann sie erschöpft sind und wann sie eben eine Pause brauchen.

01:07:53: Wie schütze dich eigentlich persönlich?

01:07:55: Auch vor Themen wie Perfektionismus?

01:07:58: Ich glaube, Perfektionismus ist die größte Gefahr im Governance-Bereich weil man nie fertig wird.

01:08:03: Das heißt es ist eigentlich böse gesagt ein Hamsterrad in dem man immer weiterlaufen könnte.

01:08:09: und auch da analog zu den Teams ist es wichtig dass man für sich symbolisiert wann man eben Erfolge hat das man weiß wenn man Erfolger hat und dass man selber Stressresilient ist und auch Maßnahmen dagegen ergreift.

01:08:23: dazu gehört zum Beispiel regelmäßiger Sport dazugehören Hobbys.

01:08:28: Sobald man in diesem Hamsterrad bleibt und immer weiter versucht perfekt zu sein, brennt man sehr schnell aus.

01:08:35: Kommen wir zum Ende lieber Sören!

01:08:37: Du hast uns sehr viel davon berichtet was die AXA auf die Beine gestellt hat beim Thema Dora.

01:08:42: Viele Organisationen stehen aktuell da wo ihr vielleicht vor zwei drei Jahren mal wart gerade wenn man auf NIST II schaut, die ja technisch gesehen Kein Dora ist, eher eine Dora-Leitversion.

01:08:56: Aber wenn man von einem niedrig oder gar keinen regulierten Bereich kommt, wer ist der Transferakt den man hier vollziehen muss?

01:09:03: ja immens?

01:09:04: Wenn wir jetzt die letzten zwei Jahre als Lernfeld betrachten... Was war denn dein oder euer größter strategischer Durchbruch?

01:09:13: Ich glaube ein wichtigstes Stakeholder-Management.

01:09:15: Man kann regulatorisch nur nachhaltig implementieren, wenn man auch alle Stakeholders mitnimmt und die Bedürfnisse der Stakeholder versteht und wenn man nachhaltigt und möglichst einfach versucht, regulatorisch zu implementieren.

01:09:28: Was heißt ein Stake holder Management jetzt in deinem Kontext?

01:09:31: Heißt es um Stake Holders Mapping zu machen?

01:09:33: oder was heißt das methodisch genau?

01:09:36: Die abzuholen, Weekly Newsletter zu schreiben an den Stake holders?

01:09:40: wie geht so etwas ab?

01:09:42: Wie findet sowas genau statt?

01:09:44: Der Startpunkt ist wieder das gemeinsame Zielbild.

01:09:46: Wo wollen wir eigentlich hin, was es das Ziel mit der Regulatur, die wir implementieren wollen analog zu zum Beispiel auch Standards.

01:09:53: wenn man das Zielbild hat und die Akzeptanz der Mainstakeholder hat Kann man dann anfangen in die Implementierung zu gehen?

01:10:01: In der Implementierungen benötigt man zum Beispiel auch Fachbereiche, da benötigte man die IT.

01:10:06: Das ist unablässig und genau daher ist es eben wichtig auch wieder Akzeptanz zu schaffen und zu schauen dass alle Verstanden haben warum wir's tun das wir sichergehen dass wir sowas nachhaltig implementieren.

01:10:17: Worstcase ist natürlich, dass wir nach zwei Jahren merken.

01:10:20: Okay jetzt haben wir zwei Jahre was gemacht.

01:10:22: das funktioniert nicht.

01:10:23: folge Projekt.

01:10:24: Das ist glaube ich immer so der worst case gerade bei regulatorikprojekten weil es zeigt dass man sich vorher nicht genug mit dem zielbild und bedienste alkohol beschäftigt hat.

01:10:33: Was hat beim dorah projekt nicht funktioniert?

01:10:36: Und warum?

01:10:37: Ich glaube dora is ein sehr besonderer fall weil er von der eu vorgegeben wurde Die Implementierungsstandards sehr, sehr spät kamen.

01:10:47: Das heißt man musste eigentlich mit einer Implementierung starten ohne zu wissen was final kommt.

01:10:52: das hat ein sehr großes Level an Komplexität reingebracht weil man parallel in der Implementierungen und gleichzeitig in der Analyse, der neuen Anforderungen-Badie gekommen ist.

01:11:03: Dazu spielt noch rein das die Anforderung ja von der EU kommen und die BAFIN parallel erarbeitet hat wie sie sich Dora in Deutschland vorstellt.

01:11:12: Das heißt dieses permanente Analysieren an der Anfordererung in laufender Implementierung hat natürlich ein sehr hohes Level an Komplexität reingebracht.

01:11:21: Sören wir sind ganz am Ende angekommen.

01:11:23: Ein Format gibt es noch ganz am ende dass es unser sogenannte Hot Seed, zehn mal zehn Fragen.

01:11:29: Du hast sehr viel über Strategie, über Dora.

01:11:31: Über Partner gesprochen und über eure High Critical Assets.

01:11:36: Der Hot Seat wird das Echo sein dieser Episode.

01:11:39: Er zeigt wie man tickt ohne sich erklären zu müssen.

01:11:42: du kriegst von mir ca.

01:11:43: zehn Fragen und musst sehr kurz antworten.

01:11:48: Fangen wir an!

01:11:49: ISO-Siebenzwanzig Null Null Eins.

01:11:51: oder Dora?

01:11:52: Was macht dir mehr Bauchschmerzen?

01:11:54: Dora?

01:11:55: Schutzbedarfsfeststellung oder Risikoanalyse?

01:11:57: was würdest du eher gerne skippen?

01:12:00: Schutzbedarf-Feststellung.

01:12:05: Was war dein größtes Missverständnis über Governance, bevor du es selbst verantwortet hast?

01:12:18: Welche Entscheidung hat dir am meisten Vertrauen gebracht – intern oder auch eher extern?

01:12:24: Dass man gemerkt hat, dass man den Support vom Vorstand hat das zu tun was man tun möchte?

01:12:30: Wenn du ein Governance-Prinzip tätowieren müsstest, welches wäre es?

01:12:35: Die Regeln sind die Regeln.

01:12:39: Letzte Frage wenn dein ISMS eine Persönlichkeit hätte wie würde er sprechen?

01:12:44: Ich glaube das würde regelmäßig reflektieren was es besser machen könnte.

01:12:48: Super!

01:12:50: Das war's Siren.

01:12:50: viel vielen Dank dass du dir heute die Zeit genommen hast für meine Ehre dich hier zu haben.

01:12:57: ich hoffe die hat auch gefallen.

01:12:58: sehr danke dass ich dabei sein durfte.

01:13:01: Ich glaube, was man aus dem Gespräch mit Sören sehr gut mitnehmen konnte ist dass Dora am Ende gar nicht das eigentliche Problem ist.

01:13:08: Die eigentliche Herausforderung ist vielmehr wie Unternehmen grundsätzlich mit Governance umgehen und wahrscheinlich haben viele von euch genau das schon mal erlebt Neue Regulatory kommt rein und plötzlich entstehen zusätzliche Prozesse neue Kontrollschichten neue Reports neue Abstimmungen und oft auch komplette Parallelwelten.

01:13:25: Und genau dadurch wird Governance teuer langsam und schwer steuerbar.

01:13:30: Spannend war deshalb vor allem der Gedanke, Governance nicht als Sammlung einzelner Vorgaben zu sehen sondern als integriertes Steuerungssystem.

01:13:37: Also die Frage wie schafft man Strukturen, die nicht nur Dora tragen?

01:13:41: Sondern auch das was danach kommt?

01:13:44: denn mit Sicherheit wird Dora zwei Punkt Null kommt oder irgendeine nächste regulatorische Anforderungen.

01:13:49: und ich glaube ein Punkt der dabei besonders wichtig war Priorisierung.

01:13:53: Nicht alles maximal absichern zu wollen sondern wirklich verstehen, welche Assets kritisch sind und wo tatsächlicher Impact entsteht.

01:14:00: Und wo man mit Augenmaß steuern muss statt einfach überall die großmögliche Kontrolle draufzulegen.

01:14:06: Denn am Ende entsteht Resilienz nicht dadurch dass man möglichst viele Kontrollen baut Sondern dadurch das man die richtigen Dinge versteht sauber priorisiert und organisatorisch zusammenführt.

01:14:17: Vielen Dank an Syren für die offenen Einblicke und euch danke fürs Zuhören.

01:14:21: Wir hören uns bald bei der nächsten Episode.

01:14:28: Das war's CISO Unscripted.

01:14:30: Echte Entscheidungen, mutige Liederschebmomente und klare Learnings für Security- und Generziellieder!

01:14:36: Und wenn du spürst genau solche Menschen brauchen wir bei uns in der Company – melde dich gern!