Transcript
Früher hat man immer gesagt, der Mitarbeiter ist der schwächste Glied in der Kette, das sage ich aber nicht. Für mich ist es wichtig, einfach den Kontakt und den Blick, Kontakt zu den Mitarbeitern vorzuhaben. Es ist wichtig, dass du auf die Menschen eingehen kannst. Du hast so ein gewisses Helfer-Syndrom. Ich versuche eben nicht nur das theoretische Wissen zu haben, sondern versuche auch die Menschen zu verstehen, die dahinterstehen. Hallo und herzlich willkommen zum Human Firewall Podcast. Wir haben heute eine ganz besondere Folge und ich freue mich sehr, einen besonderen Gast zu haben, wenn ich das mal so starten darf. Mir gegenüber, und zwar virtuell gegenüber heute, sitzt Thomas Zollner. Thomas ist ein international erfahrener Cyber Security Professional mit über 25 Jahren Erfahrung im Bereich IT-Management, Provider-Management, Informationssicherheit und IT-Betrieb. Thomas ist CISO und Global Head of Security bei TDK Electronics, einem international tätigen Hersteller elektronischer Bauelemente und Systeme mit über 21.000 Mitarbeitenden. Und was TDK noch alles macht, darüber reden wir gleich nochmal im Detail. Ich habe mich persönlich TDK immer noch mit einer Audiokassette in Verbindung gebracht. Das ist so ein bisschen mein Kindheitsding, glaube ich da. Thomas, und deswegen habe ich versucht, ihn hier einzuladen, denkt, dass Technologie nur ein Teil der Lösung ist und dass der menschliche Faktor von Awareness bis hin zu Usability ebenso entscheidend ist. Wir haben uns in einem Webinar kennengelernt von Daniel Holzinger von Collided und ich habe mich damals so gut mit ihm verstanden. Es war so spannend, was Thomas zu erzählen hatte, dass ich direkt gesagt habe, Thomas, wir müssen das fortsetzen. Und an der Stelle habe ich es geschafft, das irgendwie in eine Fortsetzung zu kriegen. Insofern, Thomas, vielen herzlichen Dank, dass du heute da bist. Ich freue mich sehr, dass du es geschafft hast. Ja, vielen Dank für die Einladung, Christian. Auch ich freue mich, wenn wir die Möglichkeit haben, unser Gespräch zu vertiefen hier ein bisschen. Und wir werden sozusagen in so ein paar Themen heute reinspringen. Ich würde gerne mit dir über Security-Kultur in einem internationalen Konzern reden, über Supply Chain und Partner-Netzwerke, aber natürlich auch darüber, wie wir so Behavioral Change wirklich reinkriegen. Thomas, wir haben hier so ein Ritual im Podcast. Wir starten, also diese kleine Tradition, wir starten immer mit so ein paar Icebreaker-Fragen, also simplen Entweder-Oder-Fragen, wo wir einfach versuchen, einfach einmal schnell zu gucken, wo können wir dich hinschieben? Bist du bereit? Ich bin bereit. Gut, dann Thema Musik hören. Hast du alles auf Streaming-Diensten oder bist du noch Oldschool und hast, weiß ich was, CD, Kassetten oder Vinyl zu Hause? Also ich bin wirklich einer, der nur noch auf Streaming-Diensten unterwegs ist. Ich habe meine Kassetten und CDs vor Jahren schon entsorgt und höre mir das an, was aktuell am interessantesten ist, nach Stimmung und Laune. Dann bist du einen Schritt weiter als ich. Ich habe meine Sachen noch, weil ich mich nicht traue, sie zu entsorgen, aber ich benutze sie nicht mehr. Das ist so, ich glaube, die Vorstufe zum Entsorgen wahrscheinlich. Genau, wenn man irgendwann mal Platz braucht, dann geht man dazu über und sagt, okay, jetzt schmeiße ich sie einfach weg. Wahrscheinlich müsste ich nochmal umziehen. Jeder Umzug reinigt ja sowas. Altes System oder neues Risiko? Was beschäftigt dich mehr? Neues Risiko. 100% Security oder 100% Usability? Boah, das widerspricht sich manchmal, aber ich würde sagen 100% Security. Im best case hast du die Security, die auch Usability irgendwo mitdenkt. Das ist, glaube ich, der Schlüssel. Lieber präsentieren oder lieber zuhören? Sowohl als auch. Ich bin keiner, der die Teile immer mit einlädt in einer kleinen Meeting. Muss ich ehrlicherweise sagen, finde ich auch am interessantesten, weil du ja in der Interaktion eigentlich am meisten rumkriegst. Dann letzte Frage hier am Deadline am Montagfrüh oder am Freitag 17 Uhr? Freitag 17 Uhr. Okay, dann danke dir. Du hast deine Eisberger Fragen schon erfolgreich hinter dich gebracht und ich würde so ein bisschen in das Thema reingehen, über das wir auch gesprochen haben in diesem Webinar, nämlich Cybersicherheit in so globalen Organisationsstrukturen, wie ihr es seid. Und ich glaube, bevor wir sozusagen thematisch tief reinhüpfen, wäre es erstmal kurz wichtig zu klären, wer ihr eigentlich seid. Ich habe das am Anfang schon gesagt. Meine Idee von CDK ist immer noch so, ich hatte früher so eine goldene Audiokassette und das war so als Kind mein Heiligtum, so ein bisschen. Das sah auch so schön golden aus. Inzwischen macht ihr sehr viel mehr als nur Audiokassetten. Ich habe einen Werbetrailer gesehen damals, der zeigt, dass ihr so ungefähr alles macht. Kannst du vielleicht mal ein bisschen Licht ins Dunkel bringen? Wo finden wir aktuell TDK? Ja, also wenn ich unseren Slogan nennen darf, TDK ist in everything, everywhere. Ja, wie du schon gesagt hast, wir sind wirklich heutzutage überall vertreten. Wir stellen tatsächlich keine Kassetten mehr her, auch keine CD oder Linge mehr, wie es damals zu den Zeiten noch gab. Diese Zeiten sind vorbei, aber man kommt natürlich aus dieser Phase oder aus dieser Epoche heraus. Und TDK Electronics ist ja ein Teilkonzern der TDK in Japan, ein guter Konzern. Wir kommen aus der Siemens-Branche und waren der sogenannte Bereich der passiven Bauelemente. Passive Bauelemente sind da vertreten, wo ich heute Kondensatoren habe, Spannungswandler habe, Transistoren habe, Sensoren habe, verschiedenste Arten von Sensoren oder Piezo-Bauelemente, die in sämtlichen Bereichen der Industrie heutzutage aufzufinden sind. Wie du schon gesagt hast, wir sind überall vertreten. Das heißt also, TDK global, wir haben ja weltweit über 100.000 Mitarbeiter, ist heute stark vertreten im Mobilfunkbereich, im Consumer-Bereich, im Rechenzentrums-Bereich, im Automobilbereich, ganz klar. Aber auch im weißen Konsumkühler-Bereich, das heißt also Kühlgeräte, Waschmaschinen und dergleichen, auch da ist TDK überall existent. Es gibt nicht, wo wir nicht sind. Ich habe gerade überlegt, ob es nicht vielleicht einfach zu fragen gewesen wäre, wo seid ihr nicht? Irgendwie, das ist ein Ausschlusskriterium. Aber wenn ich mir das anhöre, also so ein großer Konzern, weltumspannend, in so vielen Ländern tätig und dann auch die Dimensionen. Das heißt, ihr arbeitet ja dann in sehr komplexen Produktionsumgebungen, in sehr großen Lieferketten und eigentlich mit 100.000 Mitarbeitenden weltweit. Das klingt erstmal nach einer sehr, sehr großen Herausforderung für die Cybersicherheit. Ja, das auf jeden Fall. Wie gesagt, wir sind sehr international vertreten, haben sehr viele unterschiedliche Kulturen. Wir haben ein sehr unterschiedliches Staffing an Mitarbeitern letztendlich auch. Die unter einen Hut zu bekommen und die Gedanken, eine IT-Sicherheit im Unternehmen zu tragen, ist natürlich schon immer eine Herausforderung. Das glaube ich. Würdest du sagen, je größer und globaler die Organisationsstruktur, desto größer auch die Cyberbedrohung? Nein, würde ich jetzt nicht unbedingt sagen. Die Cyberbedrohung ist natürlich immer dann hoch, wenn man interessant auf dem Markt erscheint. Das heißt, wenn heute, wir spüren es zum Beispiel, wenn Olympiade ist, dann ist TDK immer sehr stark im Fokus, weil wir das Merchandising betreiben für Olympiade oder jetzt Formel E zum Beispiel sind wir auch sehr stark vertreten im Merchandising-Bereich als Hauptsponsor von Porsche. Daher sind natürlich dann die Angriffe gesteigert, wenn solche Events stattfinden. Ansonsten würde ich mal sagen, läuft man genau wie jedes andere Unternehmen auf dem Markt. Großunternehmen oder bei Großunternehmen fällt es natürlich mir schwerer, Angriffe zu tätigen als bei kleinen Unternehmen. Das wäre so die logische Schlussfolgerung irgendwo. Glaubst du, es verbergen sich mehr Schlupflöcher, die eher übersehen werden in einem großen als in einem kleinen Unternehmen? Ja, sicherlich. Bei Shadden IT hat jedes Unternehmen und je größer ich bin, desto mehr Shadden IT findet man irgendwo, wenn man genau hinschaut. Ich habe letztens den Spruch gehört, das neue Pendant zu Shadden IT ist eigentlich die Shadden KI. Würdest du dem zustimmen? Ich nutze nicht ein und alles. Also Shadden KI, Shadden IT ist beides auf gleichem Niveau mittlerweile. Das ist spannend, finde ich. Da gehen wir auch gleich noch mal drauf ein. Aber eine Sache, über die wir auch kurz geredet haben in diesem Webinar und das mich immer noch beschäftigt, so aufgefächert wie ihr seid über die Länder auch, wie schaffst du den Spagat zwischen dem, was so der globale Standard sein sollte, aber auch dem, was dann eben lokale Anforderungen ist? Ja, also wichtig ist hier, dass man auf jeden Fall sehr stark mit DIGL zusammenarbeitet in den Bereichen, die auch lokalen Anforderungen kennen, sprich was sind die lokalen Regulatorien, die Gesetze, die aufliegen. Du musst ständig informiert darüber sein, wenn neue Gesetze, Anpassungen stattfinden in den jeweiligen Ländern, um entsprechend agieren zu können auch. Das heißt also hier ist es notwendig, dass wir mit jedem Land eigentlich immer wieder in Verbindung stehen mit den DIGL-Reformen, um dann im Austausch zu sein, wenn Anforderungen kommen, wie wir sie erfüllen können, dann auch entsprechend. Ja, und wie erlebst du das? Ist dieser globale Standard realistisch, also kriegst du den hin oder sagst du, eigentlich ist so viel Differenzierung nötig für die regionalen Standorte, dass ich mich eher auf Differenzierung einlasse als auf einen Standard? Ich versuche Standards einzuführen oder zu halten. Es kommt natürlich immer auf die geopolitische Situation drauf an, was ist möglich, was ist nicht möglich. Je nachdem, wir kennen ja unsere Freunde aus China zum Beispiel, die gerne Regulatorien definieren, die sagen, das und das dürft ihr nicht einführen bei uns. Da haben wir die und diese Vorgaben, die eben nicht erfüllen können und dürfen. Also das ist die Herausforderung, die wir da wirklich haben. Die kann ich sehen. Das ist ja nicht nur eine technologische Herausforderung, sondern auch eine sehr menschliche. Und das wäre so ein bisschen auch ein Punkt, der mich natürlich interessiert. Ich erinnere mich, dass du in diesem Webinar gesagt hast, Technologie ist bei dieser ganzen Thematik ein Teil der Lösung. Der menschliche Faktor von Awareness bis Usability ist ebenso entscheidend. Kannst du darauf noch ein bisschen eingehen, vielleicht auch gerade in dem Kontext? Ja, also speziell geht es eben darum, unterschiedliche Kulturen mit dem Thema Awareness zu beschäftigen. Das heißt, ich glaube, heute ganz einfach, Kollegen in Asien reagieren anders als Kollegen in Deutschland auf Awareness. Ein europäischer Mitarbeiter ist möglicherweise sehr experimentell unterwegs, ein asiatischer Kollege eventuell weniger. Also da ist eine andere Sichtweise und Arbeitsweise dahinter auch. Kannst du das kurz so ein bisschen decrypten? Experimentell unterwegs? Ja, man nutzt gerne Schlüpflöcher, um Lösungen einheitlich oder vereinfacht zu machen. Wenn man weiß, es gibt diese Möglichkeit und wird von der IT blockiert, zum Beispiel aus Sicherheitsgründen, dann wird einfach geguckt und wird gesucht, welche Lösung könnte ich dann verwenden, um dann das Problem zu beheben für mich. Das ist in den asiatischen Staaten weniger der Fall. Okay, das habe ich verstanden. Ich glaube, bei uns diese Workarounds, die du bezeichnest, die es eben immer wieder gibt, ich glaube, die entstehen natürlich auch aus einem Nichtverständnis des Verbotes, wo ich nicht die Gefahr sehe oder nicht verstehe, warum ich das nicht machen darf. Und der zweite Punkt liegt, glaube ich, in dem von dir angesprochenen Thema der Usability. Wenn ich also zu irgendeiner KI mir Zugang verschaffe und den Arbeitsprozess in einem Bruchteil der Zeit erledige, dann ist einfach der Konflikt zwischen Security und Usability sehr groß. Ja, das ist richtig. Diese Waage, die man immer wieder treffen muss, zu sagen, okay, was ist für mich wichtig, was kann ich akzeptieren und was nicht. Und daraus entsteht auch diese Schatten-ID oder KI, Schatten-KI, wie du gesagt hast. Weil eben diese Usability notwendig ist. Jeder meint, eine Lösung zu haben, die vielleicht besser ist, als die, die ein Unternehmen anbietet. Und deswegen ist auch Awareness-Hat einfach sehr wichtig in dem Bereich. Also da würde ich total zustimmen. Und ich glaube, dass das einfach in einem Unternehmen mit 30 Mann nicht ganz so schwierig ist, weil man einfach sich nochmal hinsetzen kann, informieren. Man bekommt auch viel mehr mit durch das Bürolaufen und so weiter. Aber bei 100.000 ist es doch eine andere Dimension. Das heißt, wie versuchst du sozusagen diesem Problem Herr zu werden? Versuchst du einfach sehr viel Awareness zu machen? Versuchst du sehr viel aufzuklären? Ist das der Schlüssel? Es ist Teil des Bereichs auf jeden Fall, ja. Also zum einen ist es natürlich auch mal die Präsenz vor Ort, dass man eben einfach auch mit den Leuten spricht. Das ist für mich mal ganz gut. Also ich sage, ich bin jetzt nicht jemand, der 24 mal 7 im Büro sitzt und von dort aus seine Schäfchen betreut. Für mich ist es wichtig, einfach den Kontakt und den Blick, Kontakt zu den Mitarbeitern vor Ort zu haben. Und unterstütze die in den jeweiligen Themenfeldern, ja. Und mache entsprechend Schulungen vor Ort auch. Wir machen genauso auch ab und zu mal Aktionen, wo wir die Mitarbeiter zusammenholen für Anschauungsmaterial, dass wir haben echte Vorfälle, die es gegeben hat zum Beispiel. Und zeigen dann auch, was ist passiert und wie kann man dem entgegentreten, dass es eben nicht wieder passiert. Also gerade eben solche typischen Voice-verschiedeneingriffe oder solche Sachen, ja. Und die Vorfälle sozusagen aus unternehmensinterne Vorfälle, also die euch passiert sind oder guckst du generell auf, was so an Vorfällen passiert sind? Sowohl als auch. Natürlich die, die dem Unternehmen basieren an erster Stelle, weil damit kann man auch zeigen, was. zeigen, was passiert tagtäglich oder was passiert bei uns. Damit kann sich auch ein Mitarbeiter leichter identifizieren, als wenn er was sagt, okay, ist ja bei jemand anders, das stört mich ja sowieso nicht. Klar, man erzielt ja immer wieder die Einschläge in Unternehmen, die relativ nah sind, wo Durchlieferketten eigentlich stattgefunden haben, was wir dann natürlich schon aufzeigen auch, dass es eben nicht nur bei uns passieren kann, sondern auch bei anderen Kunden. Da ist viel drin, auf das ich mal eingehen wollen würde. Ich finde zum einen diese Besuche vor Ort natürlich super. Heißt natürlich auch für dich, du musst viel reisen. Ich habe das ein bisschen gespürt, als wir versucht haben, den Termin für den heutigen Podcast zu finden. Da warst du immer irgendwo einmal rund um den Globus gelaufen. Und das zweite Thema, und das ist natürlich auch ganz wichtig, diese Beispiele. Und du hast es schon gesagt, umso näher die an der eigenen Erlebenswelt sind, umso besser funktionieren die. Ich glaube, das ist eine ganz wichtige Lektion für IT und für IT-Awareness, denn ich bin bei vielen Konferenzen oder Events und ich höre immer die globalen Schadenssummen und so. Und die sind auch katastrophal, die sind unglaublich groß. Die sind aber ehrlich, glaube ich, für viele Mitarbeitende einfach zu weit weg, weil das Zahlen sind, die man sich nicht vorstellen kann. Und das passiert dann irgendwo abstrakt auf einer globalen Ebene. Und da ist, glaube ich, wenn man denen ein Beispiel geben kann, so ist es in der Abteilung XY passiert. Das und das waren die Auswirkungen und vielleicht so kann es nicht wieder passieren. Wenn wir das machen, dann sind wir sicher. Finde ich psychologisch sehr, sehr stark. Ja, finde ich genauso, da stimme ich vollkommen zu. Das sagen mir auch die Mitarbeiter, wenn ich, sei es, dass ich im Internet einen Artikel erstelle zu einem Vorfall, der ein paar Tage vorher passiert ist, dann ist die Resonanz sehr hoch, weil sie eben einfach sehen, es stört auch uns. Es ist nicht nur extern bei anderen Firmen so, sondern eben auch bei uns und wie reagieren unsere Mitarbeiter darauf? Vor kurzem erst hat eine Mitarbeiterin in Spanien einen solchen Anruf gehabt, der sich ausgedrückt hat, als wenn er unser Präsident von der DDK wäre. Okay. Sie hat es aufgezeichnet, sie war also wirklich so schnell dabei, dass sie gesagt hat, ruf uns bitte nochmal zurück auf dem Festnetz und eben angerufen hat, sie hat das Telefonat mit aufgezeichnet und somit konnten wir es unseren Mitarbeitern auch dann entsprechend präsentieren und zeigen, wie kann man richtig reagieren. Also da hat es auch gezeigt, dass das Mitarbeitern bei uns im Unternehmen schon gut implementiert ist, sage ich jetzt mal, dass unsere Mitarbeiter schon aware sind auch und solche Beispiele sind natürlich dann immer das Futter in dem ganzen Thema dann auch. Das ist ja Gold wert, wenn du ein gutes Recording hast noch dazu und auch an der Stelle mal großen Respekt an die Mitarbeiterin von hier aus, schöne Grüße. Das ist ja auch wirklich eine Leistung, dann so cool zu sein, dass man sagt, ich nutze das quasi für einen Schulungsmoment oder zumindest zur Absicherung, anstatt darauf reinzufallen, weil das, was ja diese Voice Clonings eigentlich tun sollen, ist großartig Stress zu erzeugen. Man hat ja schon gemerkt, ihr habt auch diesen Stress in der Stimmlage des Anrufers, der war dann auch ganz schön genervt, dass er nochmal anrufen musste im Prinzip, aber es war gut so. Das heißt aber auch, ohne jetzt zu tief bei euch reinspringen zu wollen, ihr habt eine Kultur, wo es okay wäre, dem Chef zu sagen, hey, ruf nochmal aufs Festnetz an, was ja in dem Fall auch ein Sicherheitsfaktor ist dann. Ja, wir haben schon noch mehr Sicherheitsfaktoren, letztendlich, also das geht nur darum, dass man einfach mal sagt, aber wie gesagt, ich kann bei Voice Phishing, ich kann heute meine IP, meine Telefonnummer faken, das merkt man ja egal, ob der jetzt am Handy anruft oder am Festnetz anruft, es kommt im Prinzip die richtige Telefonnummer oder wirklich die richtige Telefonnummer angezeigt und daher ist es schon immer schwierig, auch das zu erkennen. Aber ich finde es total beeindruckend, dass jemand das erkannt hat und auch noch genutzt hat in irgendeiner Form. Das ist schon stark und ich kann mir auch gut vorstellen, dass das intern im Sinne von Schulungsmaterial natürlich Gold ist, also ein richtiges Voice Cloning mit allem, was dazugehört und dann zu sagen, hey, wir haben das gehört, wir waren sicher, weil wir entsprechend geschult wurden und sie lernt auch davon, damit wir gemeinsam weiter sicher bleiben, das ist schon cool. Absolut. Also ja, Respekt eingehen, das ist eine schöne Geschichte. Was hat denn der CEO dazu gesagt, dass er plötzlich seine Stimme da gehört hat? Ich habe mit ihm nicht direkt gesprochen, wie gesagt, unser Präsident sitzt in Japan, ich habe aber das Thema auch nach Japan geteilt und man war schon fasziniert davon, wie solche Anrufe stattfinden letztendlich auch, da es war nicht seine Stimme, also da ist man noch ein bisschen davon weg, aber es kommt irgendwann mal, dass ja auch diese Stimme simuliert werden kann, wenn man irgendwo eine Stimmaufzeichnung hat von jemandem, ich hoffe mal nicht von meiner Stimme jetzt bei eurem Podcast, dass dann Anrufe kommen, so nach dem Motto, der Thomas Zolder hat jetzt gesagt das und das, ja, und dann bin ich es halt gar nicht, ja. Und das ist dann, da kommen wir hin im Laufe der Zeit, ja, und deswegen ist es einfach wichtig, weitere Sicherheitsmechanismen zu platzieren, die im Falle solcher Anrufe dann entsprechend auch herangezogen werden können. Da bin ich komplett bei dir und ich glaube, die werden in sehr naher Zukunft kommen, diese Anrufe. Ich habe morgen mit einem Unternehmen gesprochen, die demnächst auch ein Podcast sein werden, die habe ich direkt gefragt, die tatsächlich systematisch angegriffen worden sind mit diesen Voice Clonings und da war die Stimme wirklich auch die Stimme. Das heißt, da wird man irgendein Recording genommen haben, um eine AI anzulernen und dann entsprechend zu arbeiten. Da ist es ähnlich wie bei euch, die haben es nicht recordet, das ist wirklich ein Präzedenzfall bei euch, aber die haben es eben auch geschafft, über die Kultur, über das Nachfragen und entsprechende Mechanismen hinzubekommen, dass das nicht legitim ist. Aber insofern, für mich ist das kein Science Fiction mehr, sondern wir sehen das jetzt. Das wird passieren. Und ich würde dein Beispiel gerne aufgreifen, auch für unsere Schulung, weil das echt gut ist. Ich finde die Idee auch, sich nochmal anrufen zu lassen und das aufzunehmen, muss ich ehrlicherweise sagen, da wäre ich selber gar nicht drauf gekommen. Sie hat gesagt, sie war in einem Meeting, ist aus dem Meeting rausgegangen, hat aber gebeten, nochmal zurückzurufen und hat an der Festdienstnummer gebeten, zurückzurufen. Es war wirklich interessant und klar, wenn man jetzt die Stimmlage kennt von Präsidenten und Präsidenten in Japan, war das jetzt komplett anders. Auch das Verhalten, das war nicht möglich, das war wirklich unter Druck, mit versuchtem Druck aufzubauen und entsprechende Informationen zu erlangen, die sie einfach nicht weitergegeben hat. Sie kennt dieses Verhalten einfach nicht von ihm und es war eine interessante Kommunikation über einen längeren Zeitraum hinweg. Und das zeigt wiederum viel an Sicherheit, dass Kultur ein wichtiger Punkt ist und auch das Kennen und auch das Wissen um das Verhalten der Leute durchaus nochmal ein Schlüssel sein kann. Also eine sehr menschliche Lösung in dem Ganzen. Toll, danke fürs Teilen auch an dieser Stelle. Ich glaube, das wird noch ein bisschen auch weitergeteilt werden. Ich werde das bei meinem nächsten Voice Cloning auch versuchen, die Stimme aufzuzeichnen. Die Idee ist super und ich würde es gerne hier im Podcast auch mal ausstrahlen. Mal gucken, ob ich das hinkriege. Eine Diskussion, die natürlich für euch eine allgegenwärtige sein wird, ist die um die Lieferketten. Und ihr werdet entsprechend eine sehr große Lieferkette haben von der Anlieferung von Rohstoffen, Materialien über die eigentliche Produktion und Fertigung bis hin dann zu Logistik und Distribution. Das heißt, die Frage, die sich mir stellt, ist einfach die, wie bewertest du die Cyberrisiken bei Lieferanten und bei Dienstleistern? Ihr werdet unglaublich viele davon haben. Das heißt, wie versuchst du das zu managen? Zum einen Teil wehren natürlich die Lieferanten in verschiedene Kriterien ein. Ich sage mal, es gibt für uns IT, OT-Dienstleister, Lieferanten für Services allgemein in dem Bereich betrachten. Das heißt, die müssen regulatorische Maßnahmen erfüllen, sei es mit Zertifizierung und so oder KISA zum Beispiel, da wir Automotive-Lieferanten sind oder im Bereich der europäischen Standorte im Prinzip auch. Gibt es zwei Anforderungen, die sie zu erfüllen haben? Weil auch da sind wir gefordert, die Sponsor-Lieferanten entsprechend einzufordern. Okay. Heißt also, da betrachten wir diese als separat mit einer höheren Anforderungsrate natürlich, bei Rohstoff-Lieferanten klassifizieren wir nach Kritikalität, das heißt, wie kritisch ist der Lieferant zu uns und wie findet der Austausch an Informationen statt? Es gibt Lieferanten, der findet einfach nur einen Rechnungsaustausch statt mit Bestellung und eine rechnende Lieferung, dann habe ich natürlich nicht technisch gesehen ein hohes Risiko, sondern ich habe vielleicht im Ausfall des Lieferanten aufgrund von technischen Gegebenheiten ein Problem, dann geht es halt im Prinzip auf einer anderen Ebene weiter. Das heißt also, da haben wir dann ein Quality-Management dabei, da findet unser Risk-Management auf einem anderen Level als IT statt, dann geht es darum. Also, man teilt die Lieferanten in verschiedene Bereiche ein. Gibt es irgendetwas, also die Eintragung erfolgt von dir? Nein, das wird beim Einkauf von mir gegeben, auf jeden Fall. Genau. Aber wenn ich jetzt als dein Lieferant eingeteilt bin in eine bestimmte Kritikalität beispielsweise, was heißt das für mich? Schaust du auf mich unterschiedlich dann? Ja. Also, prinzipiell findet jedes Onboarding bei uns als Lieferant über ein entsprechendes SAP-Modul statt, macht sein Onboarding entsprechend, muss uns verschiedene Nachweise bereitstellen, die wir entsprechend erfragen. Wenn wir weniger Informationen zurückbekommen, werden die halt entsprechend nachgefragt dann auch, sodass er die Anforderungen erfüllt. Oder er bekommt den Schlagenkatalog von uns zugesandt, wenn er eben die Anforderungen nicht erfüllt. Und daher ist es dann nicht so unnötig. Okay. Ist Human Risk dann Teil von diesem Anforderungskatalog? Human Risk im IT-Umfeld ja, aber nicht für Rohmaterial-Lieferanten zum Beispiel. Ah, okay. Gut zu wissen. Ich meine, auch die müssen natürlich gewisse Anforderungen erfüllen. Ja. Aber wir schauen jetzt, sagen jetzt, geben einen Nachweis darüber, wie du bei einer Mitarbeiterschule bist. Das ist eine Standardanfrage, die wir sagen, du musst mit Mitarbeitersicherheit auf Sicherheit schulen. Aber das Handhaben ist letztendlich dann Ihnen überlassen. Okay. Gebt ihr sowas vor wie ein Goldstandard oder sagt ihr einfach nur, wir gucken uns nur an, was ihr macht und wir wollen eben die Haken setzen? Oder sagt ihr auch, best case, würdet ihr, keine Ahnung, im Bereich von Human Risk zum Beispiel, systematisch kontinuierlich schulen und Phishing simulieren? Oder sagt ihr einfach nur, wir wollen wissen, dass ihr was getan habt, damit, dass wir diesen Sicherheitshaken machen können und wissen, da macht ihr auf jeden Fall was. Auch da gibt es zwei unterschiedliche Varianten. Wieder bei Exzellentiepspeise zum Beispiel, die bei uns in dem Unternehmen auch tätig sind. Das heißt, wir fahren auf unsere Ressourcen zum Beispiel, die intern mit IT-Services bei uns arbeiten, in der Fertigung oder im IT-Umfeld, die müssen bei uns dann intern in die Schulung mit einnehmen. Also so, dass wir einen eigenen Account bei uns haben zum Beispiel, sind sie auch der Schulung unterwiesen. Das heißt, sie müssen nachweisen, dass sie auch die Schulung, die wir bei uns machen. Spannend. Das heißt, dann habt ihr auch sozusagen euren Standards mit drin direkt. Genau. Vielleicht ein kleiner, kleiner, indirekter Sprung, aber thematisch bin ich noch beim Human Risk. Das Thema Sicherheitskultur. Ihr habt ja sozusagen viele Kulturen und unterschiedliche Einflüsse im Gesamtkonzern. Was sind aus deiner Sicht in einem so gefächerten, großen Konzern die wichtigsten Maßnahmen oder effektivsten Maßnahmen gewesen, um Sicherheitsverhalten tatsächlich zu verändern? Bei uns war es also wirklich, dass wir Trainings angeboten haben, die in der jeweiligen Landessprache waren. Das war, das ist einmal das ausschlaggebende. Du darfst nicht an einen Mitarbeiter rangehen mit Englisch oder mit Deutsch, der einer anderen Landessprache mächtig ist. Also das funktioniert nicht. Also jedes Training, jeder Phishing-Test muss so echt wie möglich sein. Schicke ich heute einen Englisch-Phishing-Test nach Indien, da reagiert keiner drauf vielleicht. Oder nach China, weil einfach Mitarbeiter die Sprache gar nicht können. Dementsprechend macht es natürlich auch Sinn, auch diese Schulungsmaßnahmen in dieser Sprache durchzuführen und kurz und prägnant vor allem auch. Also ich bin kein Freund von Schulungs-Sessions, die 15 Minuten, 30 Minuten dauern, wo der Mitarbeiter einfach nur durchblickt und nichts dabei rüberkommt letztendlich. Also kurz und prägnant, kurzer Test am Ende, um zu sehen, hat er es verstanden oder hat er es nicht verstanden. Bei dem deutlich mehr, in dem man fehlt. Im besten Fall noch so, dass diese Leistungskontrolle am Ende eben auch noch ein Lernen ist. Dass es ein bisschen spaßig da irgendwie durchkommt. Ja, oder so ein kleiner Wettbewerb zwischen den Kollegen einfach auch, um zu zeigen, schau, wie gut bin ich, wo stehst du, wie stehe ich da in der Probe und so ein gegenseitiges Challenging letztendlich dann auch. Und das hilft dann auch manchmal. Ist nicht in jeder Kultur machbar, aber es ist interessant. Ich glaube in den meisten aber, wenn man ehrlich ist, sozusagen das Kompetitive ist ja in uns. Die Frage ist, wie man es auslebt oder wie man es dann zeigt oder nicht, aber ich glaube, das ist in uns. Und bin auch bei dem, dass natürlich die Lerngesprache, im besten Fall in einer guten Version die Lerngesprache, damit es nicht so klingt, als wenn der holprige Deutscher irgendwie das kurz gerade übersetzt hat, sondern dass das wirklich so klingt, als hätte es jemand gemacht, der es auch Damit die Sachen auch authentisch sind und man sich nicht so fühlt als Anhängsel der Zentrale, die es in ihrer Landessprache gemacht hat, sondern dann wirklich sieht, man ist hier ernst genommen im Training. Wir reden im Podcast oft über die Rolle von Führungskräften in diesem Kontext, weil natürlich Mitarbeitende einfach oft gucken, was macht die Chefin, was macht der Chef? Und wenn eine Führungskraft nicht so richtig überzeugt ist von irgendwem, ist von Awareness, dann sehen wir häufig auch, dass es im Team nicht die Überzeugung genießt, wie es das eigentlich sollte. Hast du das Thema Führungskräfte besonders angefasst nochmal bei euch? Im Prinzip geht das Ganze vom Management aus schon. Also auch unser Management ist sehr stark im Thema Awareness mit involviert. Sie tragen das ganze Thema auch und somit geht es eigentlich bei uns durch alle Ebenen hinweg. Also ich mache da nichts, ich mache da keinen Unterschied zwischen Management oder Führungsebenen zum Mitarbeiterhirn. Der Content ist anders natürlich, aber es gibt keine Ausnahmen für uns, für irgendwelche Führungskräfte, die sagen, sie brauchen nicht Teil an Teil nehmen. Das Management nimmt Teil an Teil, jeder Mitarbeiter nimmt Teil an Teil und deswegen sage ich mal, eine Führungskraft ist ja eine Vorbildfunktion ja auch für die Mitarbeiter. Wenn die dem anders gegenüberstehen würden, wäre das schlecht. Sicherlich muss man sie manchmal überzeugen, weil es halt auch ein zeitlicher Aufwand ist, aber es ist einfach notwendig und wie gesagt, nicht nur durch Schulung, sondern eben einfach auch durch Events, die man veranstaltet zum Thema Awareness ist es einfach auch so, dass die dann auch mit im Boot sitzen. Ich bin komplett bei dir, die haben die gleiche Pflicht wie auch Mitarbeitende, die würde ich auch nicht anders behandeln, außer natürlich dass du sagst, das muss vielleicht anders angefasst werden. Ich würde so einen kleinen Unterschied sehen trotzdem, dass natürlich die eine gewisse Strahlwirkung, das auch eben sagt, Vorbildwirkung haben und das heißt für mich immer, dass die am besten frühzeitig in Kampagnen schon zeigen müssen, mir ist das Thema auch wichtig. Die müssen ja gar nicht sagen, ich bin IT-Experte, im Gegenteil, aber die können doch einfach sagen, das genießt bei mir hohe Priorität oder ich lerne auch gerade an dem Thema, das wäre ja auch authentisch. Deswegen kenne ich Unternehmen, die sagen wir, wenn immer wir was Neues machen, nehmen wir zuerst das Management mit rein und kaskadieren das so ein bisschen runter, damit auch Mitarbeitende, falls die Fragen haben und an Führungskräfte rangehen, eben auch potenzielle Antworten bekommen. Bist du auch ein Freund, das so runter zu kaskadieren? Sehr wenig. Also ich versuche das auf gleicher Ebene. Wir haben das Glück, dass bei uns im Unternehmen, auch wenn wir ein großes Unternehmen sind, relativ wenig Funktionsebenen haben. Es gibt nicht viele Ebenen, die bis nach oben zum CIO oder CEO gehen letztendlich. Dadurch ist zwar die Führungsebene auf einer Ebene platziert, aber die Vorgehensweise für mich ist im Prinzip die gleiche wie bei einem normalen Mitarbeiter. Vielleicht in der Fertigung, klar, da habe ich den Meister vorneweg, den Schichtleiter, der natürlich vorher Abstand geschult wird und der dann seine Mitarbeiter auch unterweist. Das ist ein spannender Punkt und wo du wahrscheinlich auch vom Format her oder von der Sprache und den Sachen anders vorgehen wirst, haben wir auch schon diverse Folgen darüber diskutiert, dass die Unternehmen, die es sehr erfolgreich machen in dem Bereich, es vor allem kurz machen. Du hast eben auch schon gesagt, diese Nuggets, diese kurzen Lerneinheiten, weil du natürlich auch in der Produktion immer den Konflikt hast zwischen den Zahlen, die die liefern müssen und der Zeit, die du von der Uhr nimmst, wenn du sagst, ich mache nochmal eine Session mittendrin. Jetzt hast du aber eben, wenn ich richtig zugehört habe, gesagt, du machst auch Events, also auch Veranstaltungen, wo du dann Führungskräfte mit einbeziehst. Kannst du da mal ein bisschen Licht ins Dunkel bringen, was du da genau machst? Ja, also wir haben einmal im Jahr eine Security-Woche, wo wir ähnlich wie bei AI-Themen zum Beispiel auch zu Security-Themen dann entsprechende Sessions haben. Es sind dann mal Vorträge zu einem bestimmten Thema, über die neuen Technologien zum Beispiel, einfach ein Quiz zu einem bestimmten Thema, wo man dann eventuell was mit gewinnen kann. Es sind Erfahrungsberichte aus der Realität heraus, Berichte. Es sind viele Ideen, die wir noch zusätzlich haben zukünftig, dass man einfach auch, ich habe Kontakt zu den Kollegen von BSI, die man mitholen kann zu Gesprächen dann auch letztendlich, die einfach aus der Realität von anderen Unternehmen berichten können. Und sowas ist dann immer sehr hilfreich und gerade die Themen eben, was intern im Unternehmen passiert. Wir haben sehr viele Gesellschaften. Darüber zu berichten ist natürlich dann auch mal für die Kollegen und für die Mitarbeiter sehr interessant. Ich finde es total spannend. Also diese Vor-Ort-Termine sind für mich ja immer auch so ein bisschen vertrauensbildende Maßnahmen zu IT-Security und auch zur Führungsriege. Ist das für dich auch ein Fokus, dass du sagst, ich will eben auch so ein bisschen, dass Leute wissen, wer wir sind und dass man auch zu uns gehen kann, wenn man, potenziell, wenn was passiert ist? Selbstverständlich. Also das ist bei uns, das ist eben das Thema, wo ich sage, IT zum Anfassen, also Security zum Anfassen. Also ich bin nicht jemand, der nimmt auf den Boden sitzt irgendwo im Unternehmen, sondern ich bin auch ein Mitarbeiter wie jeder andere, vielleicht auch eine Führungskraft wie jeder andere. Und jeder kann zu uns kommen. Also das sagen wir auch jedes Mal. Wir haben auch Aushänge für unsere Mitarbeiter, wenn sie was feststellen. Lieber einmal zu viel melden, als zu wenig melden. Und wir haben eine sehr gute Fehlerkultur im Unternehmen. Das heißt, man kann auch Fehler machen. Das muss man den Leuten einfach immer sagen. Sie unterstützen uns, sie helfen uns damit, wenn sie uns was erzählen und Informationen weitergeben. Und damit verbessern wir ja auch Themen, die vielleicht nicht so gut laufen oder wo andere Punkte auch fallen. Der Punkt finde ich super. Einfach zu sagen, ihr seid ja Teil unserer Maßnahmen. Ihr seid ja Teil der Verteidigungskultur, wenn ihr meldet. Ihr schützt euch, ihr schützt eure Kollegen. Ich glaube, das ist schon eine sehr starke Botschaft damit Leute rauskommen aus dieser, ich höre dem Thomas zu, wenn er über Sicherheit erzählt. Zudem, ich bin Teil seines Teams, wenn auch nicht direkt formal unterstellt. Nein, also es sind im Prinzip wie Glieder in einer Kette. Ohne die Mitarbeiter können wir so weit gar nicht kommen, wenn sie heute nicht reagieren würden. Früher hat man immer gesagt, der Mitarbeiter ist der schwächste Glied in der Kette. Das sage ich aber nicht. Ich finde ihn als wichtiges Glied in der Kette eigentlich, weil er einfach zur Sicherheit im Unternehmen beiträgt. Wir können technologisch, maschinell so viele Möglichkeiten implementieren, ohne den Mitarbeiter würde es nicht gehen. Das ist, glaube ich, eine ganz wichtige Geschichte, die man auch klarstellen muss. Wir haben über diesen Human Risk so viel gesprochen. Am Ende des Tages ist der Mitarbeiter auch die erste Verteidigungslinie und in Teilen die beste. Es geht über das Unternehmen hinaus. Wir haben ja auch Fälle, wo Mitarbeiter schon in der Lieferkette feststellen, hier kommt eine komische Mail von euch, bitte überprüft das mal. Ich glaube, euch ist was passiert. Und dann sozusagen ein Unternehmen, was einen hohen Awareness Grad hat, ein anderes warnen kann. Vorsicht, passt mal auf, da ist was im Busch. Und ich glaube, das ist auch wichtig, ich komme aus der Psychologie für mich sowieso, dass man den Menschen nicht als die Schwachstelle sieht, sondern als jemanden, der eher zur Schwachstelle gemacht wird, indem man ihm nicht hilft, indem man ihn allein lässt mit der Situation oder mit dem, was ihn gerade bedroht, beziehungsweise indem Angreifer ihn manipulieren. Und wir haben aus meiner Sicht auch die moralische Verpflichtung, Menschen zu schützen, indem wir den Awareness Grad erhöhen, indem wir den Leuten zeigen, was kann potenziell passieren und wie kannst du die schützen, wie kannst du auch andere schützen. Und dann werden wir gemeinsam erfolgreich. So ist es jetzt. Und ich sehe es auch immer so, dass es eben Mitarbeiter, die mir heute ein Training anbieten, das ist ja nicht nur für seinen Arbeitsplatz, den er damit auch schützt, sondern er nutzt ja diese Informationen ja auch für sich privat für mich, was ich auch immer sehr wichtig finde. Dass er eben einfach auch sagt, okay, dieses Teil an der Awareness, das Leben finden nach Hause, weil auch zu Hause kann ich angegriffen werden. Ja, und wenn ich dann entsprechend schon vorgewarnt bin, passiert vielleicht auch im privaten Umfeld weniger, als im Firmenumfeld. Da sprichst du einen ganz, ganz wichtigen Punkt an. Ich glaube, das ist auch zum Thema moralische Verpflichtung von uns, Leuten zu helfen, auch privat sicher zu sein, weil unser Lebensraum einfach immer digitaler wird. Und dort sozusagen zu wissen, wie man sich sicher bewegen kann, ist, glaube ich, eine unglaublich wichtige Kompetenz. Und ich glaube auch, das wäre noch ein zweiter Punkt, ich glaube, ich kann auch Leute noch motivieren, wenn ich ihnen klar mache, sie haben auch einen privaten Nutzen von diesen Trainings. Das heißt, weil einfach, dass ich mein Unternehmen schütze, ist schön und gut. Aber ich glaube, wenn ich jemandem sage, hey, damit kannst du auch dich schützen oder deine Kinder oder deine Partner und wie auch immer, dann ist das, glaube ich, nochmal eine zweite Ebenen-Motivation, die, glaube ich, auch wichtig ist, mit reinzugeben. Ja, also ich habe auch schon von Kollegen erfahren, wo sie eben zu Hause das Thema weiter mitgenommen haben, dann letztendlich auch, und erzählt haben, wo dann die Kinder gesagt haben, ups, das wusste ich mir so davon noch gar nicht. Ja, oder haben dann festgestellt, du weißt, es gibt auch noch die und die Möglichkeit, um den Fehler auszulösen. Oder dann gesagt haben, ja, dann haben wir vielleicht die Möglichkeit, auch unser Schulungsthemengebiet ein bisschen zu erweitern auch noch, weil es einfach Angriffstechnologien sind, die vielleicht auf Kinderseite ganz anders bedacht werden, als es auf unserer Seite sind. Total toll, danke für das Beispiel. Also zum einen finde ich das schon immer gut, wenn mir jemand erzählt, ich habe das auch zu Hause erzählt oder Familie, Freunden, irgendwem, weil in der Sekunde derjenige ja dann auch ein aktiver Botschaft für Sicherheit geworden ist. Das ist schon mal total toll und das zeigt ja irgendwie auch, dass er das verarbeitet hat, was du ihm gegeben hast. Und die zweite Ebene, ich glaube Feedback und Feedforward, dass das wieder zurückkommt. Du sagst, ich habe daraus noch eine Idee gewonnen, wie wir was ändern können, ist ja eigentlich perfekt, dass du eben auch den Leuten zuhörst und feststellst, da gibt es noch Ideen. Es ist auch wichtig in den Positionen, dass du einfach auch Informationen aufnimmst und Kritik auch annimmst, vor allem auch. Weil auch da kommt natürlich auch in Zukunft, dass Mitarbeiter sagen, da haben wir ein Problem oder haben die und die Schwachstelle eventuell, die wir erkennen im RBNS-Programm oder sonst wo. Ja, dann sagt man, okay, dann geben wir mal darauf ein und versuchen eine Lösung zu finden. Oder vielleicht ist es ja auch nur ein Anwenderproblem und nicht ein Lösungsproblem. Also es ist alles gegeben. Aber Leute fühlen sich halt ernst genommen. Das ist, glaube ich, wichtig, Leute ernst zu nehmen. Und zum anderen, wenn da wirklich ein Problem ist, ist das ja super. Das kannst du eigentlich gar nicht hoch genug einschätzen, wenn sich Leute darauf hinweisen, dass da noch etwas an Lücke geschlossen werden muss. Ich weiß eben am Thema Motivation, ich glaube, dass sozusagen das berufliche, aber auch das, du hast es schon genannt, die Nähe der Beispiele und so was, sodass man selbst subjektive Relevanz hat, aber auch der private Nutzen sehr motivierend sein kann. Ich würde gerne etwas Privater fragen. Was motiviert denn eigentlich dich, für das Thema noch so zu brennen? Ich brenne schon so lange. Es macht einfach die Vielfalt der Möglichkeiten, wie du heute angreifen kannst im Unternehmen, wie du dein Unternehmen schützt kannst. Es ist einfach so, ich möchte im Prinzip, dass auch die, die nach mir kommen, wenn ich mal im Ruhestand bin, sage ich mal, einen Arbeitgeber haben, der sicher ist. Es macht Spaß, mit Kollegen zu arbeiten aus anderen Unternehmen, die in gleichen Rollen tätig sind, zum Beispiel um den Austausch zu haben, um sich gegenseitig zu challengen auch und hier natürlich zu schauen, was bringt mein Unternehmen voran, sicher voran. Es geht nicht darum, Budget aus dem Fenster zu schmeißen, es geht darum, einfach nur die Sicherheit zu gewährleisten und zu sagen, okay, vielleicht kann man nochmal einen Monat ohne Angriffe geschafft werden, weil es lustig ist. Es ist auch ein wichtiges IT-Narrativ, zu sehen, dass der Nicht-Angriff eben auch schon ein Erfolg ist. Eine Sache hast du gerade nicht gesagt, die würde ich von außen bei dir immer sehen. Ich sehe, wie sehr du mit Herz argumentierst, wenn es um den Faktor Mensch geht. Ich habe das Gefühl, dass du einfach auch sehr gerne mit Menschen arbeitest und gerade in diesem Bereich fast schon eine Leidenschaft hast, dafür, Leuten zu helfen, sich online sicher aufzustellen. Oder liege ich damit ganz falsch? Dann korrigiere mich gerne. Nein, vollkommen richtig. Ich habe in meiner Jugend schon angefangen, ich war beim kritischen Hilfswerk, habe da einen Zug geführt von 45 Leuten, einfach da schon das Thema Sicherheit voranzubringen. Es war schon immer mein Thema, Sicherheit. Nicht in der IT damals, damals war es noch Unternehmensrettung, jetzt ist es eben IT oder Unternehmensrettung oder Unternehmenssicherheit. Aber auch in dem Bereich oder in der Erwachsenenbildung, wo ich tätig war, da hast du immer wieder, du willst das Wissen weitergeben, du willst die anderen motivieren, entsprechend auch mit dem Wissen aktiv zu werden und zu nutzen. Und das war schon immer bei mir, das hat mich mein Leben lang begleitet. Das ist ja eigentlich dann perfekt, dass du einen Beruf gefunden hast, wo du das quasi auch ausleben kannst, wo dieses Motiv irgendwo erfüllt wird. Es ist immer schön, das zu hören. Deswegen war ich in diesem Webinar damals so begeistert, weil ich dich vorher gar nicht kannte. Und jetzt hatte ich immer in meinem Kopf, davon muss ich mich entschuldigen, aber ein CISO von einem technischen Unternehmen eben sehr viel technischer erwartet, als du dann de facto dort gewesen bist, als du auch heute wieder so ein bisschen warst. Ich glaube, das ist auch ein Teil eures Sicherheitsgeheimnisses, wenn man das so sagen darf, dass ihr eben sehr menschlich seid, in dem, wie ihr das Konzept angeht und wie ihr mit den Mitarbeitenden umgeht und wie ihr auch das ganze Thema betrachtet. Wenn du jetzt so ein bisschen zurückguckst, du hast ja eine ganze Weile schon bei TDK agiert. Gibt es irgendwas, wo du sagst, das würde ich anders machen, wenn ich nochmal starten würde im Bereich Sicherheit? Da gehe ich mit Awareness anders um oder da rolle ich das anders aus? Ja, es ist immer eine Frage der Zeit, wann du was machst. Wo ich angefangen hatte bei TDK, da gab es die Möglichkeiten des E-Learnings doch nicht in der Form. Zeit. Es war noch anders aufgesetzt. Man hat noch sehr viele Schulungsmaterialien oder e-Learnings Es war noch anders aufgesetzt. Man hat doch sehr viele Schulungsmaterialien oder E-Learnings. selbst erstellt zum Beispiel und hat dann PowerPoint-Folien kreiert und die dann den Mitarbeitern zugewiesen, bis man dann mal richtige Schulungen eingeführt hat. Die Qualität hat sich natürlich im Laufe der Jahre verändert. Also auch die Informationen, die man mitnimmt, natürlich auch wenn man durch die Welt reist, wie du vorhin gesagt hast. Du kommst von einem zum anderen und du siehst immer wieder mal neue Themen, die aufpoppen irgendwo oder neue Gegebenheiten, die du dann natürlich in die Schulungsmassnahmen mit einfließen lassen kannst. Das kommt natürlich im Laufe der Zeit auch. Genauso auch diese Akzeptanz der Mitarbeiter vor Ort, dass du die Person bist, die ihnen dann quasi auch Fortschläge gibt und sie unterstützen kannst. Das kommt nicht von heute auf morgen. Das dauert einfach. Das ist eine Zeit. Man muss das Vertrauen gewinnen. Man muss die Ohren offen halten zu Problemen, die die Mitarbeiter letztendlich auch haben und versuchen, die umzufiltern. Das Thema Vertrauen gewinnen. Du hast mir mal erzählt, dass ihr eben auch teilt, wenn euch mal was passiert. Wenn du sagst, da ist was nicht geglückt oder so. Jetzt weniger wie so ein Fuck-up-Moment, aber einfach um zu zeigen, wir sind auch als die Experten nicht ganz sicher. Auch wir können mal auf irgendwas reinfallen. Das finde ich einen sehr, sehr spannenden Hinweis. Den wollte ich noch mit reingeben. Und vielleicht noch eine Frage, weil du eben auch das technische Hilfswerk erwähnt hast. Wir haben, ich würde sagen, überproportional viele CISOs schon in diesem Podcast gehabt, die im THW waren oder die Ersthelfer waren oder irgendwas. Ich verstehe das als so ein kleines Muster, was hier auftaucht. Welche Fähigkeiten sollten aus deiner Sicht Security Professionals heute unbedingt entwickeln und ist vielleicht sowas wie das Technische Hilfswerk oder ein Rettungsdienst ein guter Schritt dabei? Es kommt natürlich immer auf die Persönlichkeit an. Ich habe auch CISOs kennengelernt, die sehr stark auf ihren Regulatorien beruhen und nicht die Nähe zu Menschen. Es ist wichtig, dass du auf die Menschen eingehen kannst, dass du eben sagst, du hast ein gewisses Heldersyndrom. Zu sagen, ja, ich versuche eben nicht nur das theoretische Wissen zu haben, sondern versuche auch die Menschen zu verstehen, die dahinterstecken. Und das Wissen annehmen soll. Es ist anders, als wenn man Kinder unterrichtet in der Schule, die was Neues lernen wollen. Erwachsene sagen meistens, ja, weiß ich schon alles, kenne ich schon alles. Wie finde ich das an den Erwachsenen entsprechend weiter? Da hilft eine Hilfsorganisation, klar. Auch da habe ich ja Menschen unter mir, die entsprechend auf mich vertrauen, dass ich sie in den Wurffall schütze. Wenn ich sie in ein Haus reinschicke, wo ich sage, das könnte einstürzen, muss ich ja im Vorfeld schon das Wissen oder die Erfahrung haben, was passiert, wo ist die Gefahr für meine Mitarbeiter. Und dieses Erkenntnis kann man ja übers Leben hinweg mitnehmen und dann natürlich in solchen Fällen auch einsetzen. Das ist auch, glaube ich, eine sehr wertvolle Sache zu teilen. An der Stelle würde ich gerne mal so einen kleinen Strich ziehen und dich bitten, um eine kleine Einschätzung auf das Thema Cybersicherheit. Was wird aus deiner Sicht abschließend, was wird für große, globale Unternehmensstrukturen mit Blick auf Sicherheit immer relevanter? Was siehst du da in der Zukunft auf POP? Also zum einen natürlich KI-getriebene Cyberangriffe. Das ist für mich das größte Risiko überhaupt, dass die Qualität der Angriffe immer besser wird, dass man die Unterschiede zwischen einer Fake-Mail zu einer normalen Mail, dass das verschwimmt einfach. Du erkennst nicht mehr den richtigen Unterschied. Hier gilt es wirklich darum, zum einen technische Lösungen zu haben vielleicht, aber auch eben ein menschliches Feingefühl zu entwickeln. Ist es echt oder ist es nicht echt? Das wird sehr schwer werden in der nächsten Zeit, doch mehr. Dann habe ich natürlich das Thema Schatten-IT, Schatten-KI, dass eben Mitarbeiter versuchen, Lösungen zu nutzen, die nicht im Sinne des Unternehmens sind, aber vielleicht für ihren Use Case notwendig wären. Das ist auch immer so, wo ich halt versuche, die Mitarbeiter zu sagen, pass auf, wenn ihr ein Bedürfnis habt, dann sagt es uns. Wir können ja schauen, passt das in unsere Philosophie hinein oder nicht? Passt das in unsere Strategie? Können wir es so gehen oder nicht gehen? Oder warum können wir das nicht erlauben? Das ist eben auch so ein Faktor. Und dann natürlich das Thema Lieferketten, Angriffe über Lieferketten. Es gibt Dienstleister, die jetzt einfach nicht technologisch so weit ausgebildet sind, um ihre Umgebung zu schützen. Das heißt, wir müssen sicher sein, dass von unseren Dienstleistern kein Angriff auf uns rüberkommt. Und versuchen da die Barrieren entsprechend aufzubauen und zu überwachen halt auch. Ich fasse mich zusammen. Zum einen die Supply-Chain-Bedrohung, die wachsen wird, die ganzen KI-getriebenen Angriffe in der Qualität, aber auch in der Skalierung natürlich, dann noch ganz anders auftreten werden. Und ich bin bei dir, die E-Mails werden sich nicht mehr unterscheiden. Ich glaube, selbst die Fake-Video-Calls zählen immer noch Finger oder so. Diese Zeiten werden auch relativ schnell vorbei sein. Und das heißt, es braucht die technische Lösung, die das unterbindet oder zumindest flägt. Und es braucht aber auch vor allem den Menschen, der in irgendeiner Art und Weise psychologisch erkennt. Ich werde gerade manipuliert, emotionalisiert und im besten Fall das Ganze aufnimmt und zur Verfügung stellt für den Podcast. Und der dritte Punkt, wenn du sagst, Schatten-IT, KI, das hat für mich auch wieder ein Vertrauensthema. Zu wissen, wenn das von IT kommt oder von Security, dann ist das nicht, um uns zu bremsen oder sagen salieren. Das hat sicherheitsrelevante Aspekte. Und das ist genau das, was du sagst, das Erklären. Das ist, glaube ich, ein ganz wichtiger Punkt. Und im Zweifelsfall, wenn ihr eine Lösung findet mit den Leuten, dann finde ich, sind wir auch als die Sicherheitsverantwortlichen wirkliche Enabler. Wir sagen ja immer, wir enabeln Business. Ich glaube, wenn wir sagen, wir schaffen es hier, dass eine KI gut genutzt werden kann und sicher genutzt werden kann, dann ist das auf jeden Fall etwas Business-treibendes. Und das ist, glaube ich, auch sehr gut für das Image von Security, wenn wir sehen, wir brauchen zwar sozusagen den Raum dafür, aber dann schaffen wir es eben auch, dass wir Technologien einsetzen können, die uns sehr stark helfen unter den Voraussetzungen, dass sie eben auch noch sicher sind weiterhin. Thomas, es hat mir wieder unglaublich viel Spaß gemacht, mit dir zu sprechen. Ich freue mich sehr, dass das geklappt hat hier, auch wenn du ein Reisender rund um den Globus bist. Insofern danke schön, dass du dir die Zeit genommen hast. Ich weiß, dass es nicht leicht ist. Danke auch für die offenen Sachen, die du geteilt hast hier. Ich würde mich sehr freuen, wenn wir, weiß ich was, wenn wir eine nächste Session finden würden, ob es ein Webinar oder ein Podcast ist. Ich glaube, es sollte irgendwas geben. Und sage an der Stelle nochmal ganz herzlichen Dank, dass du heute hier warst. Sehr gerne, das hat mich auch gefreut, dich wiederzusehen, dich wiederzuhören. Und bis bald. Danke schön. Und für alle die, die den Podcast noch nicht abonniert haben bis jetzt, bitte macht das auf jeden Fall. Lasst uns gerne eine Fünf-Sterne-Bewertung da. Und wie immer, wenn euch die Folge gefallen hat, teilt die mit Kollegen, Freunden, Familie. Wir haben heute schon gehört, wir müssen alle sicher werden. In diesem Sinne vielen Dank und bis demnächst. Der Human Firewall Podcast von SoSafe wird produziert von early studios.
