#116 Cybersecurity 2026 – neue Prioritäten — mit Alexander van der Steeg

00:00:00:

00:00:02: Herzlich willkommen bei Digital for Leaders, dem Bildungs-Podcast für Führungskräfte.

00:00:08: Ihr Host Jan Weirer beschäftigt sich als Gründer von University for Industry täglich mit den vielfältigen Themenfeldern der Digitalisierung.

00:00:18: Lernen Sie von spannenden Experten und anhand von Praxisbeispielen wie Unternehmen erfolgreich die digitale Transformation meistern!

00:00:27: Liebe Hörerinnen, liebe Hörern.

00:00:29: wenn wir über Digitalisierung reden dann müssen wir auch über Cyber Security reden und ich hoffe und bin mir eigentlich auch sicher dass Ihnen das klar ist.

00:00:39: Und wir hatten aus diesem Grund auch immer wieder in der Vergangenheit Folgen aus dem Ich sag mal Themenkreis Cyber Security.

00:00:48: In der aktuellen Weltlage ist das Thema Cyber Security glaube ich ja wichtiger denn je.

00:00:54: Und weil zwischen der heutigen Aufnahme, der Folge und der Veröffentlichung also dem ersten Sendetermin dann eigentlich doch meistens so ein paar Wochen und nicht nur Stunden liegen verknalf ich mir das mal jetzt ein aktuelles Beispiel einzufügen warum Cyber Security so wichtig ist.

00:01:09: Weil ich ehrlicherweise befürchte... dass in wenigen Wochen schon wieder was Neues und Schlimmes passiert ist.

00:01:14: Deswegen lassen wir das mal, ja also lasst mir mal das negative Highlight weg sondern einigen uns darauf.

00:01:19: das Thema ist wichtig!

00:01:20: Und ich möchte die heutige Folge so'n bisschen dazu nutzen mal so'nen Update zu dem Thema zu machen um einen aktuellen Blick draufzuwerfen.

00:01:28: deswegen geht es heute um Cyber Security Und wir wollen uns unter anderem damit beschäftigen, wie NIST II und der Cyber Resilience Act neue Anforderungen in diesem Bereich erzeugen.

00:01:43: Warum das aber auch durchaus sinnvoll ist?

00:01:45: Dass es da Anforderung gibt!

00:01:47: Ich konnte einen, wenn sie schon länger bei uns im Podcast zuhören, altbekannten Gast zu diesem Thema zurückgewinnen.

00:01:54: Er war in Folge einundseipzig schon mal da.

00:01:58: Damals ging es auch um Cyber Security und zwar um das Thema, wie kann ich eigentlich IT Asset Management in diesem Kontext nutzen?

00:02:05: Heute ist er wieder da.

00:02:06: Und wir machen so ein bisschen diesen breiteren Blick auf.

00:02:08: mein heutiger Gast ist Alexander Van der Steg CTO bei N-Tech Systems und auch einer der Host des wunderbaren Podcasts Let's Talk About Tech Baby!

00:02:19: Ich würde sagen in diesem Sinne Alexander let's talk about Cyber Security heute.

00:02:23: schön dass du da bist, wo du ein bisschen Zeit hast.

00:02:26: Vielen lieben Dank Jan und groß natürlich auch an deine Community, deine Zuhörer.

00:02:31: Freue mich auf jeden Fall über den Austausch.

00:02:33: ja.

00:02:33: Ja

00:02:33: du ich freue mich auch sehr bevor wir quasi ein bisschen einen Blick drauf werfen.

00:02:38: Cyber Security sagt doch erst noch ein paar Worte zu dir.

00:02:42: wer bist Du?

00:02:42: was machst du so?

00:02:43: Was ist auch so deine Tätigkeit wenn du nicht gerade Podcast mit mir auch nimmst?

00:02:48: Ja sehr gern klar also Ich bin wie du schon gesagt hast der CTO von Entex Systems dieser ganz, ganz tollen Rolle verantwortlich für die technologische Entwicklung unseres Unternehmens.

00:02:59: Primär IT asset Management was wir in der ersten Folge bei Digital for Leaders ja damals besprochen hatten also sprich Inventarverwaltung von der Beschaffung bis Verwaltungen wie werden die Gegenstände operativ entsprechend gemanagt etc.

00:03:17: mit Software-Metalizzen und Mitverträgen Also diese ganze Metadaten an einem Punkt mit unserem Produkt um einen Drei-nein-sechzig-Grad-Klick in dem Unternehmen natürlich auch gewährleisten zu können.

00:03:28: Das ist unser Grundthema, mit dem wir Geld verdienen und drum herum beschäftigen wir uns aber das passt auch daher zum heutigen Thema viel mit dem Thema der Daten wie weiterverwendet werden können unter anderem auch zum Thema Cybersecurity, aber auch Compliance, Auditierbarkeit, Kostenmanagement usw.. Und dieses Thema Cybersecurity ist gerade, wenn man sich die Thematik NIST-CAA dann anguckt.

00:03:55: Dann sind wir mal sehr spannend, wo wir ja heute reden werden und da schlagen wir rein!

00:04:00: Da bin ich auch sehr gespannt auf deine Fragen, die reinkommen und horche diese.

00:04:09: Wirklich nochmal ganz ganz basic anfangen einfach noch mal sozusagen so aus dem was du auch erlebst mit deinen Kunden, die ja euer Tool nutzen um ja auch fragestellende Cyber Security zu beantworten.

00:04:23: Aber warum müssen wir uns überhaupt?

00:04:26: mit Cybersecurity beschäftigen.

00:04:28: Ich habe das am Anfang so ein bisschen zu viel Sand gesagt, jeder sollte wissen warum es wichtig ist.

00:04:33: Aber in deinen einfachen Worten, warum ist es in einer digitalen Welt keine Alternative sich nicht mit Cyber Security zu beschäftigen?

00:04:41: Es gibt einen ganz tollen Satz, den fragen mich auch Kunden häufig ich dann quasi beantworten kann um dein eigenes Überleben des Unternehmens langfristig zu gewährleisten.

00:04:54: Das ist eigentlich die Kernaussage, mit der man das mit reinnehmen kann.

00:04:58: Also da gibt's zwei Aspekte dabei über Leben im Sinne von wirtschaftlich aber auch aus Risikonhaftungstechnischen Gründen, die heute auch relevant werden bei den beiden Punkten.

00:05:10: Das heißt also du sagst es ist keine Alternative.

00:05:12: und dann sind wir da glaube ich genau an dem ja Punkt wo wer in sechsundzwanzig Heute eine Gefahrenlage haben, die auch noch mal im Vergleich zu vor einigen Jahren durchaus verschärft ist.

00:05:25: Hast du da ein paar Einsichten für uns?

00:05:30: Worüber wir hier eigentlich reden?

00:05:32: Im Grunde genommen reden wir von dem größten wirtschaftlichen Bedrohungsrisiko rein der Bitkom aber auch andere Wirtschaftsinstitute geben ja auch die Gefahrenlager raus.

00:05:44: BSI wäre so ein Klassiker noch Die besagen, dass es noch nie so kritikal war ein Unternehmen seine digitalen Services und auch natürlich dann nach außen hin sich zu öffnen am Markt anzubieten.

00:05:58: Das ist als einer der Punkte.

00:05:59: wenn man die Wirtschaftskriminalität die Schäden in der Volkswirtschaft nur in Deutschland mal betrachtet Dann sind wir da in einem hunderte hundete Milliarden Euro Bereich.

00:06:12: das heißt wenn wir zwei dreihundert Milliarden Schadensrisiken ausgeht, ist das nicht ein Kavaliersteleg.

00:06:19: Die Grupporientierung, die volkswirtschaftliche Leistung von Deutschland liegt etwa bei vier Billionen Euro.

00:06:25: Damit immer mal so eine Einordnung kommt.

00:06:27: Also zehn Prozent der Gesamtwirtschaftsleistungen von Deutschland wird aktuell verhindert, grob geschätzt mit Dunkelziffer laut den

00:06:40: Statistikern.".

00:06:42: Und das heißt einfach sozusagen ein wahnsinniger wirtschaftlicher Impact, der da ist natürlich auch so zu sagen.

00:06:47: Einfach eine eine durchaus steigende Verwundbarkeit wenn ich immer mehr Prozesse digitalisieren was ich ja mache weil mir das all die Vorteile bringt und dann ist es schon so dass das zumindest ich auch in meinem Umfeld wahrnehme.

00:07:00: Das Ja also bisschen auch so.

00:07:03: der durch durch die weltpolitische Lage ohne dazu viele Details zu gehen aber hat sich natürlich auch die die Angriffsmenge einfach in Europa massiv erhöht.

00:07:13: Ich habe eine Bekannte, die arbeitet bei einem Energiefersorger, bei einem Lokalen und die sagt einfach naja seit dem russischen Angriff auf die Ukraine was sie an Angriffen auf ihre Infrastruktur haben ist jetzt kritisch.

00:07:25: das noch ein ganz besonderer Bereich ja aber dass es einfach nach oben geschnellt ist.

00:07:30: Ist das ein Bild wo du sagst?

00:07:31: Das ist einfach so dass da auch jenseits von den rein wirtschaftlichen Interessen auch weitere Interessen die Angriffs Häufigkeit und Intensität erhöht haben.

00:07:42: Also die Motivation, wenn man sich Motivationsgründe anschaut für Angriffe sind die nicht mehr rein dem Schaden orientiert zu betrachten.

00:07:51: Das heißt dass ich grob glinde gesagt nicht mehr den Hacker sagen kann ja der möchte mich nur bestrafen der möchte vielleicht dann im zweiten Schritt dann nur Lösegeld für mir haben.

00:08:02: Nein!

00:08:03: Die Motivion ist auch politisch sie ist vielleicht sogar über das politische hinaus für bestimmte Gruppen, Interessensgruppen von Relevanz.

00:08:13: Das heißt ich habe vielleicht Bevölkerungsgruppen Nord gegen Südkorea.

00:08:19: machen wir mal als Beispiel.

00:08:21: Es sind zwar auch zwei unterschiedliche politische Systeme aber da geht es auch um gesellschaftliche Aspekte.

00:08:26: Sind die Szenarien?

00:08:27: Die Motivationen für die Angreifer größer denn je?

00:08:31: Iran kriegt man als Beispiel jetzt wenn mir das Ganze mit reinbringt der geht es neben einem Das ist ein Mix von allem auch um einen Wirtschaftskrieg und am Ende auch darum, um Einfluss zu bekommen.

00:08:43: Also das bedingt natürlich diese ganze Motivation und das hat Ausstrahlungseffekt in allen möglichen Bereichen weil wir ja im Klammer das jetzt mal Jan du weißt aber wie ich das meine digitalem Dorf leben.

00:08:59: ob ich jetzt von einem Hacker in Nordkorea angegriffen werde von seinem Kinderzimmer aus oder von einer professionellen Gruppe, die versucht wirklich Einfluss zu nehmen auf meine Produktionslinie, meine Logistik-Hallen.

00:09:13: Wenn er wirklich versucht da was einzuschleusen, habe ich alle Szenarien, die ich mir in irgendeiner Form vorstellen

00:09:19: kann.".

00:09:21: Und ich glaube, dass es eigentlich das, was am Ende des Tages ist.

00:09:25: Ist dann auch egal wie ich angekissen werde weil die Probleme sind da und das heißt nicht muss mich darum kümmern die Dinge abzusichern.

00:09:31: Da sind wir jetzt bei der zweiten Seite der Medaille also auf der einen Seite sozusagen diese Bedrohungslage die aufgrund dieser Welt Situation die auf Grund der zunehmend Digitalisierung einfach riesig ist und diesen gigantischen Schaden hat Ja, und dann haben wir aber die Seite das dagegen was gemacht wird.

00:09:47: Und wenn ich da so ein bisschen zurückschaue vor zehn elf Jahren als wir irgendwie auch bei University for Industry angefangen haben unsere ersten e-Learnings rund um Security zu machen war es so ja alle wussten irgendwie wahrscheinlich sollte man sich mit beschäftigen.

00:10:05: Ich habe schon das Gefühl, dass da so ein bisschen das Verständnis zumindest bei den Kunden, bei denen ich unterwegs bin.

00:10:11: Das ist durchaus besser geworden.

00:10:13: aber es ist ja auch was passiert auf der regulatorischen Seite und da hatte ich ja schon zwei Themen durchaus auch angesprochen mit Miss Zwei und dem Cyber Resilience Act.

00:10:24: Kannst du da bevor wir glaube ich auf die beiden mal doppelklicken?

00:10:27: Mal so ein bißchen so das größere Bild zeichnen?

00:10:29: wo stehen wir damit dem Thema Regulatorik und dem auch in meiner Wahrnehmung ja größeren Augenmerk, dass vielleicht muss man sagen endlich auf den Themen ist.

00:10:39: Ja kein Thema!

00:10:40: Ein Aspekt noch vielleicht zu dem Angriffssanario?

00:10:43: Die Angriffskosten sind massiv gesungen.

00:10:46: Da können wir wenn du willst später vielleicht mal drauf eingehen.

00:10:48: das ist ein ganz großes Thema für die Hecke.

00:10:50: es ist extrem günstig anzugreifen was die Menge der Angriffe natürlich bedingt.

00:10:55: und auch einen Satz von einigen bekannten amerikanischen weil da kommen auch einige der großen Lieder her in dem Cyberseckbereich, die sagen du brauchst als Verteidiger nur einen Fall von tausend zu haben der durchkommt.

00:11:11: Der dein Problem wird.

00:11:12: aber als Angreifer brauchst du von Tausend Angriffsszenarien nur einen Erfolg einfach um diese beiden Fälle mal dieser Szenarie gegenüberzustellen.

00:11:21: das heißt man hat quasi da millionenfache Unterschiede wie wie Quasi verteidigung und Angriff zu bewerten sind.

00:11:30: genau Die Politik versuchte ja bei NIST II, da gehen wir als erstes darauf ein.

00:11:36: Versuchte einen Rahmen zu schaffen.

00:11:37: Das heißt es gibt schon, wir haben häufig in der Politik natürlich Diskussionen über das Gesetze keine Sicherheit schaffen aber dass Rahmenwerke vielleicht vorhanden sind oder entsprechende Bereiche halt von den Politikern vielleicht dann angekündigt wurden, aber keiner sich dafür interessiert.

00:11:57: Grundsätzlich ist aber NISTII erstmal ein Gesetz, das die Motivation hat folgende Kritikpunkte halt im Bissen einzudäumen.

00:12:08: Das heißt es gibt generell unzureichende Cyberresilienz in den Unternehmen vor allem in der EU.

00:12:15: Das ist ja ein Gesetz was primär auf die EU greift, auf Unternehmen die dort sitzen.

00:12:19: und es gibt gerade bezüglich dieser Resilienzen der Widerstandsfähigkeit von Unternehmen mit dem Themen die wir kurz angerissen haben aus dem Aspekt der EU Zwischenmitgliedsstaaten, Sektoren.

00:12:31: Einfach Probleme die analysiert worden sind und dafür wurde ein Gesetzesrahmen geschaffen jetzt im Dezember zweitausend zweiundzwanzig explizit das Datum geschaffen wurde.

00:12:44: Das heißt wir reden auch von dem zeitlichen Verlauf dreieinhalb Jahre mit Umsetzungsdauer

00:12:48: usw.,

00:12:50: der jetzt auch schon vergangen ist.

00:12:53: per se verpflichtet diese Richtlinie dass die Staaten selbst eigene Cyber-Sicherheitsstrategien definieren und diese in nationales Recht umwandeln.

00:13:07: Diese NIST II Grundlage definiert einige Kernpflichten, die die Unternehmen und deren Haftbarkeit betreffen.

00:13:16: Ich frage jetzt mal anders herum, kennst du einige, bevor ich da quasi jetzt einsteige und mal ein paar Punkte benenne, Kernpflichte, die durch NISTII entstehen?

00:13:25: die dann gesetzlich manifestiert Pflicht sind.

00:13:29: Ja, also das was mir was ich in Diskussionen erlebe was glaube ich gerade sich bei den Führungskräften festgesetzt hat ist ja erst mal so sagen diese Verantwortung mit der Haftbarkeit die es sich daraus ergibt für die Geschäftsführung.

00:13:41: Und dann das, was ich da sehr stark immer wieder wahrgenommen habe ist, dass auf einmal das ist Augenlärk.

00:13:46: Auf jeden Fall müssen wir mal einen gescheiten Risikoansatz machen.

00:13:50: Ist das wo ich positiv wahrgenommen haben?

00:13:53: Dass sich etwas in den Köpfen verändert hat, was in meiner Wahrnehmung sehr stark durch das NIST II getrieben wurde.

00:13:59: Ja, trifft schon einige Aspekte sehr gut.

00:14:02: Hafbarkeit bei NISTII.

00:14:03: also man würde jetzt sagen eigentlich ist ja der Geschäftsführer immer hafbar.

00:14:08: Da gibt ja dieses Jagon, der Geschäftsführer ist eh mit einem Beinem Knast in der Regel.

00:14:12: Er haftet für alle was es entsprechend gibt!

00:14:15: Aber das ist grundsätzlich so... Es wird klar festgelegt wenn gewisse Regularien, denen es zwei vorgibt, gewisse Dinge die nicht eingehalten werden, da zählen auch Meldeversäumnisse dazu.

00:14:24: Nicht reiner dass etwas passiert und dann muss ich bezahlen.

00:14:27: Nein, auch wirklich Dokumentationsversäumnisse, dass sich als Geschäftsführung eines Unternehmens im Rahmen dieser Grundlage gewisse Kriterien hat ob es betroffen ist oder nicht, dann eine Haftbarkeit vorliegt.

00:14:41: Das heißt der Geschäftsführer haftet sogar privat.

00:14:45: Er haftet nicht über deinen Rechtskörpern die GmbH, die AG oder was auch immer, sondern es kann runtergehen bis auf die persönliche Haftigkeit im Rahmen seines Privatbesitzes.

00:14:55: Also eine ganz andere Art der Verbindlichkeit, die eigentlich hier geschaffen wird um dem Thema ein hinreichende Aufmerksamkeit zu geben.

00:15:02: so würde ich das interpretieren?

00:15:04: Absolut!

00:15:05: Hundertprozentig weil in der Hintergrund war ja es gibt ja warum heißt das Projekt Gesetz eigentlich NIS II?

00:15:11: Es gab ja schon vorher einen anderes.

00:15:12: also es gab die erste Netzwerk- und Informationsrichtlinie.

00:15:16: da gab es auch ähnlich strukturelle Themen Verpflichtungen usw.

00:15:21: Aber es gab gewisse Ausprägung nicht so wie beim zweiten Gesetz.

00:15:25: Und der entscheidende Punkt ist, wenn man mal auf die Kernpflicht einhegt was müssen denn die Unternehmen überhaupt machen?

00:15:32: Also grundsätzlich betrifft bei NIST II das Thema dass es auf jeden Fall eine existente dauerhaft und wiederkehrende Risikoanalyse unten kontinuierlich jetzt Risikomanagement geben muss.

00:15:45: also sprich wir haben ja dein Beispiel zu dem Energieversorger Wir können das einfach weiter verwenden.

00:15:54: Wie haben die ihre Risiken analysiert?

00:15:57: Und bei welchen Risiken?

00:15:59: gibt es welche Pläne, die ich einfach aus einer Schublade rausziehen kann damit ich dann schnell handeln kann.

00:16:05: Das muss es dann geben das muss auch dokumentiert sein und jederzeit nachwasbar sein.

00:16:12: Zweiter Punkt der drin ist Es gibt nachvollziehbare Meldeprozesse für Sicherheitsvorfälle.

00:16:17: Beispiel Jeder liest eine Zeitung Heckt bei Bookings, hekt bei diesem Energieversorger sind irgendwelche Kundendaten abgeflossen.

00:16:25: Kann passieren?

00:16:26: Sollte nicht passieren weiß jeder.

00:16:28: und jetzt ist die Frage wie läuft denn jetzt der Meldeprozesse?

00:16:30: wer muss wie in welcher Form informiert werden?

00:16:32: da ist ja nicht nur der Kunde von Betroffenen da sind vielleicht Behörden von Betroffen öffentliche Institutionen aber auch Vielleicht wenn es Unternehmensverbund ist vielleicht der Mutterkonzern usw.

00:16:44: Und natürlich daraus resultierend wenn man diesen Meldeprozess betrachtet logischerweise auch Maßnahmen für das sogenannte BCM.

00:16:55: BCM als Punkt noch mal heißt Business Continuity, Management ist ein schwieriges Wort also dauerhafte Betriebsbereitschaft, dauerhaft arbeiten.

00:17:05: Vierundzwanzig sieben auf gut Deutsch ne?

00:17:07: Betriebaufrechter

00:17:08: halten quasi würde man wahrscheinlich auf Deutsch sagen oder?

00:17:11: Korrekterweise ja genau.

00:17:13: und die Maßnahmen, die in dieses BCM eingezahlt werden.

00:17:18: Die müssen auch definiert operativ gesteuert sein und jederzeit eigentlich greifen.

00:17:24: Das heißt ich habe für alle Varianten, die kommen können.

00:17:27: Alle erdenklichen Maßnahmen, alle erdenklichen Risikovariationen einen Plan B in meiner Schublade.

00:17:36: Es sind jetzt keine obskure Dinge, da kommen noch ein paar Punkte gleich dazu.

00:17:39: Keine obskuren Dinge die ich zu fragen würde.

00:17:42: Man würde ja sagen der gesunde Menschenverstand wenn man so ein bisschen das titulieren würde.

00:17:47: aber es ist verpflichtend gerade dass das Thema dokumentiert wird und gerade in dem Rahmen natürlich verbindende alle Unternehmen oder diese Regularien fallen auch wirklich haben müssen

00:18:00: Dieses verpflichtende und dieses ist ganz oben aufgehängt, dass es eben so ein bisschen auch meine Wahrnehmung geworden.

00:18:05: Dadurch ist einfach mehr Augenmerk auf Themen gegangen die man wahrscheinlich davor schon hätte angehen sollen.

00:18:11: aber in der Realität was halt man einen könnte?

00:18:14: Man sollte mal Thema.

00:18:14: so'n bisschen

00:18:15: übliche Szenarien Jan hat jeder von uns auch schon privat gehört.

00:18:19: ich bin doch so klein Ich werde doch ähnlich gehen üblichen Szenaren wie Wir haben doch nur einen Exchange-Server im Internet hängt.

00:18:32: Da ist das sonst gar nichts, also quasi geringe Schnittmenge vielleicht mit digitalen Services oder andere Aussagen wie wir reagieren da drauf wenn es dann erstmal losgeht.

00:18:43: ich glaube nicht daran dass mir das passiert.

00:18:45: Also diese... Ich würde jetzt von Frustragen.

00:18:48: Falschen Einschätzungen, weil man gar nicht weiß wie weit Digitalisierung in unserer Volkswirtschaft aber auch betriebswirtschaftlich schon fortgeschritten sind haben sicherlich bei der Gesetzgebung für dieses zwei Gesetz dazu geführt dass die Haftungsfragen vielfach ausgeweitet werden.

00:19:08: Wenn du ja bitte

00:19:10: Es gibt doch zwei Punkte, Lieferkettensicherheit.

00:19:12: Also ich bin auch für Probleme und Risiken in der Lieferkette.

00:19:16: muss ich mir die Dinge noch überlegen?

00:19:18: als Beispiel das ist ein wichtiger Punkt.

00:19:20: also es gibt nochmal einen lieferketten Sorgfalt Verpflichtungsgesetz überlegt was so heißt.

00:19:25: Das Deutschen empfinden super Gesetze zusammen aber die Groh der Zuhörer wird wissen was er ist.

00:19:33: D. h. Liefer ketensicherkeit ist ein Thema in demnächst zweibereich d. h., wenn ein Schaden durch Baustein zum Beispiel, wenn ich ein Produkt anbiete in der Lieferkette vorliegt oder einen Hack, der vielleicht auch im Rahmen meiner Infrastruktur arbeitet.

00:19:46: Ein Drittanbieter oder jemanden den ich dabei habe ist das auch ein Thema, wenn es zwei wo gemerkt.

00:19:53: und dann natürlich die Klassiker Dokumentation und Reporting.

00:19:56: also als Beispiel.

00:19:59: Was ja in diesem Cyber Security-Umfeld immer relativ wichtig ist, dass ich eben die Dinge nicht nur irgendwie mache sondern auch eine sehr strukturierte Art und Weise mache was ja auch aus den Dingen wie siebenundzwanzigtausendeins oder so.

00:20:10: Ja oder zweiundsechzigvier viertreinem Produktionsumfeld über die Normen ja klar reklementiertes Wie ich damit umgehen muss?

00:20:16: Korrekt korrekt also alles feind Also nichts wo jetzt sagen würde das ist ja jetzt total abgedreht.

00:20:20: Das haben die Unternehmen vorher nicht gemacht

00:20:23: Aber viele haben es nicht gemacht.

00:20:24: aber eine Frage noch Weil das haben wir noch nicht so ganz klar angesprochen nur nur implizit wer es davon betroffen.

00:20:31: kannst du das nochmal klarstellen.

00:20:33: Es gibt sehr weitreichende Regularien.

00:20:37: also sprich wenn wir jetzt als Beispiel die Betroffenheitsanalyse machen würden muss jeder prüfen in welchem Rahmen er natürlich davon betroffen wäre.

00:20:49: gibts BSI Seite auch, es gibt Unternehmensgrößen die davon dann da betroffen werden Größen in Anführungszeichen von Millionen umsetzen.

00:20:59: Also, fünfzig Mitarbeiter ist so eine ordinäre Größe.

00:21:04: Meine fünfzig Millionen legt mich nicht ganz fest an.

00:21:07: Fünfzig Millionen Jahresumsatz und ein paar andere Kriterien.

00:21:11: Es ist ein Mix von bestimmten Bereichen die alle deswegen sage ich das explizit zu alle prüfen sollten.

00:21:17: Alle, die hier zuhören sagen Ich weiß es nicht.

00:21:19: Nicht?

00:21:20: Ich gehe jetzt mal auf die BSI Seite und prüfe dort meine Betroffenheit

00:21:25: Ja.

00:21:26: Dann gehe ich drauf und da ist ein Fragenkatalog mit sehr, sehr vielen Fragen dabei.

00:21:31: Und da kann ich dir grundsätzlich... Ich würde mal orientieren, so eine Stunde die sagen eigentlich weniger investieren und prüfen ob ich in der Betroffenheit davon gesetzlich dabei wäre weil ich muss ja gegenüber dem BSI dort eine Anmeldung als deutsches Unternehmen machen, weil es ein nationales Pflicht durch die Ausprägungsgesetz ist und dann kennt das BSI mich.

00:21:54: Ich weiß, dass ich mich dann committed habe, dass sich diese Verantwortlichkeiten, diese Themen machen möchte.

00:22:02: Das es dann funktioniert!

00:22:04: Und damit hast du auch schon eigentlich meine nächste Frage nämlich beantwortet, wenn ich jetzt hier zuhöre und so feststelle.

00:22:10: Vielleicht sollte ich mich ein bisschen mehr mit dem Thema beschäftigen.

00:22:13: wie gehe ich das jetzt an?

00:22:15: Du sagst im Prinzip dass das ist die Antwort ja, nämlich auf diesen Betroffenheitsprüfungen definiert zweit am DSI zu gehen.

00:22:22: nun mal nachzugucken bin nicht denn in der Tat vielleicht nicht davon betroffen dann sollt ich mich ja trotzdem mit den Themen beschäftigen.

00:22:28: also um Gottes Willen nur weil man irgendwie klein ist kann man trotzdem zugrunde gehen, an einem Cyber Security Vorfall.

00:22:36: Aber die Frage ob man da eben gesetzlich betroffen ist, kann man relativ einfach über die BSI Webseite klären?

00:22:40: Als einer der Faktoren.

00:22:42: eine zweite ist es gibt unabhängig von den zwei Gesetzen habe ich genügend Mitarbeiter genügt Umsatz auch immer die Variante in dem Gesetz die sagt wenn ich einen systemkritischen Einfluss habe, wie der Energiebetreiber.

00:22:56: Wie zum Beispiel ein Unternehmen das eine Monopolstellung hat in bestimmten Bereichen?

00:23:00: Dann bin ich... deswegen ist dieser Maßnahmenkatalog mit den Betroffenheitsfaktoren so komplex anders nochmal zu gewichten.

00:23:07: Das heißt jemand, der wenn er übergeheckt wird für viele zum Problemen wird auch von den zwei betroffen

00:23:17: sind.

00:23:19: Ich würde einfach sagen, wir tun genau diesen Link für Sie in die Show Notes stellen.

00:23:22: Weil dann wird dieses Thema Prüfung glaube ich sehr real und dann können sie da drauf klicken und können da die kurze Zeit darauf verwenden?

00:23:28: Und dann haben sie deine Antwort.

00:23:29: jetzt lass uns noch auf was zweites schauen was zumindest beim meinen Kunden hier häufig auch Produkte produzieren ja Für einige, ich sag mal Aufregung aktuell sorgt.

00:23:43: Das ist das Thema Cyber Resilience Act also CRA.

00:23:47: Das is auch so eine der Neuerungen die uns in Jahr zwanzig sechsundzwanzig irgendwie in Europa beschäftigt.

00:23:54: Kannst du da auch eine ähnliche Einordnung geben?

00:23:56: Was sind das?

00:23:57: Genau es ist ein Gesetz was so nicht aktiv ist, was Erstanwendung findet ab Dezember in seiner Vollumfänglichkeit.

00:24:04: Da gibt es noch Übergangsfristen für bestimmte andere Themen, aber was beinhaltet das Gesetz?

00:24:09: Es regelt letzte Endes oder verpflichtet Hersteller und Anbieter von digitalen Produkten gewisse Sicherheitsanforderungen über die gesamte Zeit des Produktzyklus anzubieten.

00:24:25: also Beispiel Ich mache jetzt mal, jeder hat ein Handy.

00:24:29: Jeder einen Smartphone.

00:24:30: Jeder hat auch ein Notebook.

00:24:31: Jeder entsprächene digitale Produkte vielleicht für eine Kamera an der Haustür und eine Klingel usw.

00:24:38: Das heißt in der Gesetzgeber verpflichtet für diesen Zeitraum wo Produkte auf dem Markt sind gewisse Übergangsfristen, gewisse Zeiträume die einzuhalten sind quasi Sicherheitsupdates, Sicherheitsprozesse, die gesamte Prüf Prüfvariante anzubieten, das heißt es gibt ein paar Grundsätze beim CIA.

00:25:00: Die heißt Security by Design ist der erste Grundsatz, den es gibt.

00:25:04: haben alle schon mal irgendwo gehört, dass heißt ich entwerfe und bringe nur Produkte auf den Markt die sicher sind hört sich sehr trivial an und jeder weiß wenn wir jetzt diese Story in einem Auto sitzt Ganz so

00:25:17: einfach ist das nicht.

00:25:19: In einer sehr komplexe Produkte, ein Produkt... Das ist auch nicht ein Unternehmen.

00:25:24: Ein Produkt könnte sich unternehmen sein.

00:25:25: Wie wird Sicherheit zwischen diesen ganzen dann entsprechend gewährleistet?

00:25:30: Gibt es eine sehr komplexte Produktdesign-Frage und auch eine Haftungsfrage dabei?

00:25:35: Und trotzdem ist das Paradigme Security bei Design erst mal.

00:25:41: Es gibt beim CRA eine Pflicht für Updates.

00:25:47: Würdest du sagen, dass das ungewöhnlich klingt?

00:25:49: Dass man sollte meinen, dass es ganz selbstverständlich ist.

00:25:52: Aber wenn ich so die Produkte, die ich gerade auch aus der Branche wie Maschinen noch oder so kenne, dann ist es halt einfach technisch bisher nicht möglich gewesen, Update zu machen.

00:26:02: Sehr schönes Beispiel übrigens!

00:26:03: Auch gerade weil wir da ja BtoB hätten und jetzt quasi in der Kombination immer dabei.

00:26:10: Das heißt, wenn ich mir jetzt anschaue... Hersteller die müssen auf jeden Fall wie gesagt Lebenszyklus, Produkt wird angeboten und so weiter.

00:26:19: Sicherheits Updates für ihre Produkte, primär digitale Produkte.

00:26:24: Es gibt ja eine Kombination auch aus dem Auto, das ist ein Mix aus einem physischen Produkt und Software zum Beispiel Anbieten und Bereitstellen Und dass auch im Punkt aus diesem Bereich verpflichtende Updats und im Security bei Design Ansatz Wenn Schwachstellen da sind müssen sie es tun es possible ... beruben werden.

00:26:44: Hört sich auch einfach an, das heißt... Es sollte

00:26:46: selbstverständlich sein!

00:26:48: Ist es wahrscheinlich auch nicht?

00:26:49: Nein ist nicht selbstverständlig.

00:26:52: Es ist grundsätzlich so dass früher Schwachstellen auch verschwiegen wurden.

00:26:56: Das weiß man aufgrund von gewissen Audits.

00:26:59: Das weiss man auch von bestimmten ja ich sage jetzt mal schon fast investigativen Berichten die am Markt rausgekommen sind.

00:27:08: Schwachstellen wurden teilweise.

00:27:10: Hersteller antworten dann gar nicht mehr, wenn eine Schwachstelle rausgebracht wurde.

00:27:14: Backbauen, die Programme wurden eingestellt weil die Herstellern kein Geld mehr bezahlen wollten für diese Sucher nach gewissen Schwachsstellen und so weiter.

00:27:22: Das muss sehr zeitnah berufen sein.

00:27:24: da gibt es gewisse Korridore.

00:27:26: für bestimmte Dinge hängt auch von der letzten Endes von der Bewertung ab wie wichtig das Unternehmen ist damit dass dann auch gelöst werden kann das Produkt danach wieder sicher ist.

00:27:38: Wo entscheidender ist noch, Punkt drei und das fällt vielen Unternehmen auf den Füßen die Meldepflicht für Sicherheitslücken.

00:27:45: Das heißt wenn ich eine Schwachstelle habe muss ich letztens Public Announcement machen.

00:27:50: Sprich ich muss das melden.

00:27:51: da gibt es gewisse Plattformen europäisch amerikanische wo die CVEs quasi der Fehler als solches die Risikobewertung bis Level also bis Score von zehn dann rein müssen.

00:28:05: und sie müssen auch nochmal separat an bestimmte EU-Entitäten gemeldet werden, damit man wenn wir diesen Sicherheitsvorfall dann hat alle bewerten können ob sie zum Beispiel Selbstmaßnahmen in der Lieferkette ergreifen müssen.

00:28:20: Wenn ich ein Produkt einsetzte und weiß welche Schwachstellen es hat kann ich ja anders bewerten als wenn ich zu spät bekannt gebe wie wenn nicht verheimliche und so weiter und sofort.

00:28:29: also das ist wirklich.

00:28:30: das heißt also öffentliche Transparenz über schwachstellen und Sicherheitslücken wird ein riesiges Thema sein und wird uns dann, wenn das Gesetz dann vollumfänglich greift.

00:28:42: Ja, alltäglich im Heise in der Presse

00:28:45: usw.,

00:28:46: weil da auch bestimmt auch der eine oder andere Schützsohn drüber läuft, dann begegnen bin ich ziemlich sicher.

00:28:51: Das heißt aber im Prinzip, wenn ich versuche so auf ein bisschen höheres Level sozusagen zu heben, dass eine kommt von dem die Unternehmen als Organisation und das Management dahin zu bringen, dass sie einfach das was gesunder Menschenverstand ist nämlich tun.

00:29:09: Nämlich sich verantwortlich zu verhalten.

00:29:11: rund um das Thema sei was ich höre die sich darum zu kümmern, dass Sie im Unternehmen die entsprechenden Prozesse Methoden Tools haben eher um sicher zu sein.

00:29:19: Das ist sozusagen die NIS II Sicht und es gilt eben ab einer bestimmten Branche unter Berücksichtigung von gewissen Risikofaktoren.

00:29:27: und das CIA kommt aus sozusagen der anderen Sicht nämlich über die Produktfrage rein und sagt pass mal auf es gibt jetzt all diese Produkte, die früher halt nicht digital waren.

00:29:36: Und da war's einfach.

00:29:37: aber dadurch dass inzwischen so wahnsinnig viele Produkte diese digitalen und vernetzten Komponenten haben.

00:29:43: Sozusagen müssen wir auch an dieser Stelle quasi Einfallstore systematisch ließen.

00:29:46: und das ist das was das CIA dann eigentlich probiert.

00:29:50: Ja weil früher das ist perfekt.

00:29:51: gesagt nochmal der Hinweis früher digitale Produkte nicht unter die übliche Produkthaftung und Produktregelungen gefallen sind.

00:29:59: Das ist quasi ein Gesetz gewesen, das war sehr alt im EU-Bereich.

00:30:03: Und jetzt sind digitale Projekte genauso wie physische Produkte irgendwelche Art.

00:30:09: Ich betreibe mal die Mikrowelle muss genau so funktionieren, genauso sicher sein wie das High End Software Produkt dass das quasi vereinheitlich geworden ist.

00:30:19: Dafür gibt es Regeln, Gesetze usw.. Und ein anderer Punkt ist ja da noch, weil das auch wichtig ist.

00:30:25: Durch die Gesetzgebung entstehen neue Haftungs- und Risikomöglichkeiten.

00:30:31: Stell dir vor du konntest vorher jemanden verklagen, weil die Mikrowelle explodiert ist.

00:30:38: Das ging ja im letzten Endes so.

00:30:40: Jetzt sagst du ich möchte jemanden verklagen, Oder weil es einen Schaden verursacht hat, weil ich wiederhole das hier nochmal.

00:30:49: Die Schwachstellen nicht gemeldet worden sind, weil unter Vorsatz quasi dieses Regel mit Security by Design gebrochen wurde.

00:30:56: dann hattest du vor wahrscheinlich extrem schwierige... ...schwierig überlegen, weil du musst als Verbraucher B to C musstest du nachweisen dass der Schaden da ist.

00:31:08: also der Kunde musste es nachweisen.

00:31:09: jetzt in diesem gesamten Tenor den sie gibt Es gibt noch ein anderes Gesetz, das nennt sich Produkthaftungspflichtgesetz.

00:31:18: Was auch von der EU bald rauskommt, da werden dem Verbraucher noch weitreichend ihre Themen reingebracht aber das zahlt auch auf den CRA ein.

00:31:27: dann hast du quasi ich kann jetzt auch wenn Software-Schaden dann da ist Haftung gelten machen und weil dort wird dann unterstellt Das war dann schon da und ich kann ja dann sagen, hier hast du den Fehler denn der da drin war jetzt gemeldet.

00:31:39: das kann nicht nachvollziehen ist er öffentlich.

00:31:42: Und wie schnell wurde das dann entsprechend gefixt?

00:31:44: Was gibt es davon?

00:31:45: Hersteller denn dafür eine Kommunikation und so weiter dass Räume btb auch aber auch btc ganz neue Haftungs- und Risiko Bewertungen ein wodurch eher in das Handeln kommt wahrscheinlich eher die btbi Seite als die BTC Seite.

00:32:00: Super spannend und danke für diesen Einblick in diese beiden Aspekte, die hoffentlich dazu führen dass wir in einer etwas sicheren Welt werden oder aber andersrum gesprochen.

00:32:13: In der die Angreifer stärker werden vielleicht hinreichend geschützt sind.

00:32:21: Kannst du ganz kurz zwei drei Worte noch sagen dazu wie KI?

00:32:27: Vielleicht auf beiden Seiten des Spiels aktuell auch ein bisschen verändert.

00:32:30: Das wird jetzt ein bisschen weg von diesen beiden regulatorischen Eingriffen an der Stelle, aber ich glaube das ist durchaus was wo wir noch kurz drauf schauen müssen wenn man uns mit Cyber-Sicherheit in den zwanzig und sechsundzwanzig beschäftigt.

00:32:42: Kein Problem!

00:32:44: KI ja... Ich weiß ja du bist da sehr heiß im Game unterwegs.

00:32:49: deswegen danke dass ihr mir die Frage stellt.

00:32:52: so wüsstest wahrscheinlich Antwort fast selbst.

00:32:54: Es ist grundsätzlich so, dass künstliche Intelligenzprozesse, wenn man sich den NIST-Zweibereich anguckt oder bei der IT-Sicherheitsfrage natürlich den Angreifern unglaublich viele Möglichkeiten bietet schnell und günstig anzugreifen.

00:33:08: Also seitdem die künstlichen Intelligenzen in der Softwareentwicklung aber auch in anderen Bereichen eingesetzt sind diese Preise wie man Angriffe designen kann wie sie durchgeführt werden gesungen.

00:33:20: Das ist einfach so, das kann man sehen.

00:33:21: Es ist sehr einfach das Ganze durchzuführen etc.

00:33:24: auch CEO Fraud, Analyse schreiben von echten Fake Text und soweit ja jeder das was so ein bisschen nachvollziehen kann wenn er weg geht vom Technischen sind da möglich.

00:33:34: Zweiter Aspekt ist aber auch die Produkte die natürlich auf der Verteidigungs Seite eingesetzt werden werden dadurch besser wodurch natürlich letztendlich eine Aufrüstung Wie früher im ersten und zweiten Weltkrieg stattfindet.

00:33:47: letztendlich, auf allen Ebenen die wir uns nur so vorstellen können.

00:33:51: Was auch die künstliche Intelligenz natürlich bei diesem Thema mit reinbringt, auch dort kombiniert mit dem EUAI gilt es natürlich wenn man das Ganze mit rein bringt auch das Sicherheitsthema zu bedingen.

00:34:04: was passiert denn jetzt wenn mir die künstliche Intelligenz sagt dass ich übertreibe das jetzt extra aus dem Fenster springe oder bestimmte Dinge tun soll?

00:34:12: Wie ist denn der Haftungsregularien?

00:34:14: Wir werden da Minderheiten nicht ausgeschlossen und so weiter.

00:34:17: Das zahlt alles auf diesen ganzen Mix an Gesetzen, die wir da haben ein und befeuert das Ganze und macht das ganze sehr spannend aber auch leider für die Anbieter von Produkten komplex.

00:34:29: Ja du super!

00:34:30: Danke für diesen kurzen Ausblick.

00:34:32: ich glaube wir könnten noch eine ganze Folge nur über das Thema KI und Sicherheit machen.

00:34:37: Das wird ja zu lang.

00:34:42: Wir müssen uns vertragen für heute, vielleicht wenn du noch mal Revue passieren lässt.

00:34:48: wir sind so ein bisschen eingestiegen.

00:34:50: Was ist anders in Sachen Ausgleichslage Betrungslage und haben dann auf NIST II und CRA geschaut?

00:34:55: Was sind so für dich die Dinge, wenn du unsere Hörerinnen und Hörern denkst, die ja in den Unternehmen überwiegend sitzen Was kann man sich merken, was kann man heute mitnehmen?

00:35:04: Also so zwei drei Sachen die man sich bemerken sollte.

00:35:06: Also

00:35:08: wirklich die Verantwortung zu übernehmen und dann den gesunden Menschenverstand mit diesen die sind ja dokumentiert und festgelegt Maßnahmen endlich durchzusetzen egal ob das die NIS II Variante ist wo es dann um systemrelevante kritische Geschichten geht auf der demseite oder beim CIA um zukünftig sichere Produkte gibt macht dass so dass es ordentlich ist Ordentliche Produkte bauen ordentliche Dinge tun.

00:35:34: wenn ihr irgendetwas seht habt keine Angst sprecht mit euren Kollegen, mit eure Mitmenschen darüber auch als BtoC.

00:35:41: Wenn ihr Fehler seht wird es auch ein Thema sein.

00:35:43: meldet diese Fehler.

00:35:44: das hat jetzt dann mittelfristig Auswirkungen auf alle weil man dann die Sicherheit letztendlich erhöhen kann.

00:35:51: Ja ich finde dieses auch.

00:35:52: redet mit Euren Partnern.

00:35:55: Hast du zum Abschluss noch für unsere Hörerinnen und Hörern Empfehlungen?

00:36:01: Für ein Buch oder Podcast.

00:36:04: Ja, auf jeden Fall!

00:36:06: Du hast ja schon anklicken lassen.

00:36:08: Am liebsten würde ich natürlich meinen eigenen Podcast empfehlen.

00:36:10: Du hast da mal schon angekündigt.

00:36:12: Aber den solltest du empfehlten,

00:36:13: den verlinken wir natürlich auch.

00:36:15: Also

00:36:15: das ist der Liebste von dir.

00:36:16: Danke.

00:36:17: Es gibt einen Buch... Der Titel ist immer ein bisschen böse aber Vielleicht einfach nochmal reingehen.

00:36:23: IT Sicherheit vor dummies das kennt jeder so der Klassiker den.

00:36:27: es gibt schon die gelben Bücher schon seit ich weiß gar nicht.

00:36:29: Dreißig Jahren, vierzig Jahre schon fast die bücher am mark.

00:36:32: Einfach mal rein gehen einfach mal diese Grundlagen dass Grundverständnis mitnehmen wie wir ja Wie wir Sicherheit einfach anwenden können.

00:36:40: Wir reden ja auch.

00:36:41: vielleicht hören auch Menschen die gar nichts aus dem Tech Bereich kommen das ganze lehst mal rein.

00:36:45: schaut euch jetzt an Das müsste vom Rainer Gehrling sein, ich glaube der hat auch zwei drei andere Bücher geschrieben.

00:36:55: Einfach reingucken und sich mal ein bisschen inspirieren lassen... ...und vielleicht wenn man das hat auch ein paar Themen mitnehmen?

00:37:00: Cool!

00:37:01: Also wir verlinken das.

00:37:03: Und der Podcast den Alternativen die ich verlieh quasi dir empfehlen kann aber auch den Zuhörern das wäre Unfuck You Data.

00:37:12: Das habe ich glaube ich im ersten Podcast ausgeschrieben.

00:37:14: Ich bleibe dabei.

00:37:15: Das ist vom Christian Krug Ein Podcast, der geht es um Daten, Datenmanagement.

00:37:21: wie Daten eigentlich uns alle durchdringen und einfach mal reinhören ist ein super cooler Typ.

00:37:27: Und hat schon so manchen Gast dabei gehabt?

00:37:30: Also liebe Hörerinnen, liebe Hürre sie kriegen diesmal eine volle Ladung Sie bekommen die BSI-Empfehlung, sie kriegen den Let's Talk About Tech Baby mit Alexander das Buch und den Unfuck your Data zum zweiten Mal schon.

00:37:41: Das ist glaube ich auch ein Qualitätsmerkmal an dieser Stelle.

00:37:45: Mir bleibt jetzt nur zu sagen vielen Dank für die Einblicke, ich glaube eine sehr lehrreichen Einblick in Themen, die vielleicht für den ein oder anderen neu waren.

00:37:54: Und ich sag danke für den zweiten Besuch und freue mich schon auf in absehbarer Zeit einen dritten, glaub' ich!

00:38:01: Ja, danke auch und ich wünsche ganz viel Erfolg.

00:38:04: bitte abonnieren usw.

00:38:05: Für den Jan weil es ist super Podcast, bitte!

00:38:08: Danke dir!

00:38:10: Vielen Dank fürs Zuhören.

00:38:11: Wenn Ihnen diese Folge von Digital For Leaders gefallen hat, empfehlen Sie den Podcast gerne weiter.

00:38:17: Teilen sie ihn auf Social Media oder hinterlassen Sie eine Bewertung!

00:38:21: Um immer auf dem Laufenden zu bleiben folgen Sie Jan Weirer und University for Industry

00:38:26: auf LinkedIn.