Herzlich willkommen zu einer neuen Folge des Digital Breakfast Podcasts Episode 217!
In dieser Episode dreht sich alles um das Thema "Informationssicherheit und Compliance – Was braucht ein Unternehmen?". Gastgeber Thomas Barsch begrüßt den erfahrenen IT-Sicherheitsexperten und Gründer der VamiSec GmbH, Valerie Milke.
Gemeinsam sprechen sie über die Herausforderungen, die Unternehmen heute im Spannungsfeld zwischen zunehmender Regulierung, technischem Fortschritt und wirtschaftlicher Effizienz meistern müssen.
Valerie Milke gibt spannende Einblicke in seinen Werdegang – vom Penetration Tester über Prozessoptimierung in der sicheren Softwareentwicklung bis hin zum Aufbau umfassender Informationssicherheits-Managementsysteme nach ISO 27001 und anderen aktuellen Regulatorien wie NIS2, DORA und dem AI Act.
Freut Euch auf wertvolle Praxistipps, wie Synergien zwischen verschiedenen Compliance-Anforderungen genutzt werden können, welche Rolle Risikomanagement heute spielt, und wie Unternehmen durch eine smarte Kombination technischer und organisatorischer Maßnahmen ihr Sicherheitsniveau effizient steigern können. Außerdem gibt es Einblicke in aktuelle Trends wie Cloud Security und praktische Hinweise darauf, wie ein Fahrplan für die Informationssicherheit im Unternehmen aussieht.
Ob Ihr ganz am Anfang steht oder bereits tief in der Materie steckt – in dieser Episode bekommt Ihr geballtes Expertenwissen rund um IT-Sicherheit, Compliance und die Herausforderungen der digitalen Transformation.
Viel Spaß beim Zuhören!
TRANSKRIPT
Milke_Valeri [00:00:00]:
Dann eben einen Fahrplan zu haben, wo es hingehen muss mit den Maßnahmen, welche Maßnahmen müssen wir umsetzen. Das können technische Maßnahmen sein, das können organisatorische Maßnahmen sein. Wir stellen dann auch durchaus noch Quick-Wins heraus. Das sind dann schnelle Sachen, die irgendwo sehr effizient das Sicherheitsniveau erhöhen können. Und stimmen die dann mit dem Kunden ab, dass alle das gleiche Verständnis haben auch Maßnahmenplan und wenn das dann soweit steht, dann gehen wir dann in die Feinplanung.
Thomas Barsch [00:00:26]:
Hallo, ich darf euch recht herzlich begrüßen zu 1 weiteren Episode des Digital Breakfast Podcast und heute mit einem ganz, ganz besonderen Gast. Und ich freue mich riesig. Wir sind schon mehrere Wochen in Kontakt und ich darf den Valerie Milke begrüßen bei uns als weiteren Tech-Business-Influencer. Und was der alles drauf hat, das werdet ihr gleich erfahren. Hallo Valerie.
Milke_Valeri [00:00:53]:
Hallo Thomas.
Thomas Barsch [00:00:54]:
Schön, dass du da bist. Ich freue mich riesig.
Milke_Valeri [00:00:56]:
Ja, freut mich auch. Bei dem schönen Wetter, dass wir uns immer hier beim Podcast austauschen können zu den spannenden Themen.
Thomas Barsch [00:01:04]:
Genau, also schön, dass du an Bord bist und wir wollen uns ja jetzt ein bisschen, was heißt ein bisschen, wir starten einfach mal. Der große Überschrift ist ja Informationssicherheit und Compliance und du hast ja die Firma WAMISEK gegründet und vielleicht starten wir einfach mal ganz kurz. Wie bist du dahin gekommen? Wie bist du dahin gekommen, wo du jetzt stehst?
Milke_Valeri [00:01:24]:
Ja, dann hole ich einmal aus. Ich habe Informatik studiert mit Schwerpunkt IT-Sicherheit und dann vor 16 Jahren in der Beratung gestartet mit Fokus auf die technischen Aspekte der IT-Sicherheit. Sprich, hab PENT-Tests durchgeführt, Systeme auf Schwachstellen analysiert, viel im Bankenumfeld unterwegs gewesen. Banken waren ja schon immer stark reguliert durch die BIT. Und so habe ich Applikationen geprüft gegen international nahe Standards, zum Beispiel die Overspa ISVS Standards Level 3, eben zu schauen, ob eine Online-Banking-Applikation nach Standardtechnik entwickelt ist und eben schwachstellenfrei ist, zumindest auf einem gewissen Sicherheitsniveau vorhanden ist. Das Thema Pentesting, damit habe ich gestartet. Danach bin ich rübergegangen und bin dann in den Bereich Softwareentwicklung gegangen, also sichere Softwareentwicklung als Prozess aufzusetzen. Das heißt, dass man nicht nur irgendwo mal punktuell Pentest durchführt, sondern durch den gesamten Entwicklungsprozess sich die Security kümmert.
Milke_Valeri [00:02:23]:
Das fängt dann an im Grunde mit der Architektur, Bedrohungsanalyse, Source Code Reviews, dann halt die gesamte Softwareentwicklungs Lifecycle abzusichern. Bin dann aus diesen rein technischen Themen in den Compliance-Bereich rein. Das heißt die ISMS-Implementierung nach ISO 27001. Unter anderem bin zertifizierter ISO 27001 Lead Auditor. Sprich, ich habe dann Unternehmen begleitet und auch ein SMS von scratch implementiert nach ISO 27001, sich da entsprechend nach außen auch besser aufzustellen, sicher aufzustellen und die Sicherheit über das Zertifikat, was dann nach außen entsprechend vorzeigbar ist, durchaus mittlerweile auch von Kunden angefragt wird, gezeigt werden kann, nachgewiesen werden kann. Ich bin dann praktisch aus der technischen Beratung in die Compliance rein, 15 Jahre lang Beratung für 3 verschiedene Beratungshäuser, für die SoftCheck, für die Etjet und für die Incentives und habe dann Ende letzten Jahres mich entschieden, die WAMI-SEC zu gründen, die Unternehmensberatung für IT-Sicherheit und Compliance, die vom Portfolio her das abbildet, was ich die letzten 16 Jahre gemacht habe. Die technischen Aspekte der IT-Sicherheit und die Compliance-Aspekte. Das heißt, man will ja als Unternehmen sich zum einen wirklich sicher aufstellen, Resilienz gegen Cyberangriffe aufzubauen, Und zum anderen aber ist mittlerweile Informationssicherheit nicht nur eine rein intrinsische oder intrinsisch motivierte Geschichte, sondern ist auch durch die EU reguliert.
Milke_Valeri [00:03:55]:
Wir haben mittlerweile DIN-S2, die DORA, Cyber Resilience Act, sodass Informationssicherheit auch irgendwo vom Gesetzesgeber, von der EU in dem Fall, gefordert ist. Das gab es früher punktuell, im Bankenumfeld BAET, für kritische Infrastrukturen gab es das auch schon mit dem BCI-Sicherheitsgesetz, jetzt auch noch nicht so lange wie die BAET, aber es gab es das schon. Und mittlerweile verschmilzt das ganze Thema IT-Sicherheit und Compliance. Und so habe ich mich, haben wir uns entsprechend hinentwickelt und jetzt die BarmiSec aufgestellt. So sind wir jetzt vom letzten Jahr auf ein achtköpfiges Team angewachsen. Wir haben Experten, die sich auf die technische Komponente fokussieren, das, womit ich gestartet habe vor 15, 16 Jahren und dann halt eben die Compliance-Aspekte. Was für uns auszeichnet, ist eben, dass wir das Thema Tiersicherheit umfassend anbieten können, sowohl eben die technischen Aspekte bedienen als auch dann die Compliance umsetzen.
Thomas Barsch [00:04:49]:
Im Vorgespräch, was mich beeindruckt hat, weil ich habe mich da so ein bisschen natürlich auch auseinandergesetzt mit dem Thema, wobei ich ja kein Spezialist, aber vielleicht habe ich doch die eine oder andere richtige Frage und ich habe mir die Frage gestellt, Mensch es gibt eine Sniz 2, es gibt Dora, es gibt Iso und so weiter. Es gibt so viele Dinge und ich jetzt, ich sage jetzt mal als C-Level, der letztendlich die Verantwortung hat, ich frage mich ja dann, ja sorry, was brauche ich eigentlich? Und das hat mir ganz gut gefallen, weil ich habe genau in die gleiche Richtung gedacht als Laie. Ich habe gesagt, okay, es kann doch nicht sein, dass ich immer wieder von vorne anfange, sondern es gibt ja eine gewisse Schnittmenge bei den verschiedenen Dingen. Und vielleicht sagst du mal was, weil das hat mir sehr, sehr gut gefallen, wie ihr da vorgeht. Also ihr macht nicht erst NIST 2 und dann DORA und dann das und dann das, sondern das hat mir sehr, sehr gut gefallen. Sag da noch mal ein bisschen was dazu für unsere Hörer.
Milke_Valeri [00:05:40]:
Ja genau, also wenn man jetzt aus dem Ursprung geht, die ISO 27001, das ist ein Standard für Informations- und Sicherheitsmanagementsystem. Das heißt, das gesamte Konstrukt, meine Risiken, meine Maßnahmen im Unternehmen zu steuern. Das ist eben erforderlich, sich nach ISO 27001 zu zertifizieren. Und mit NIST 2, mit DORA, kommt die EU die Ecke und fordert genau das von den Unternehmen. Das heißt, wenn ich mein ISMS aufgesetzt habe nach ISO 27001, ich kann mich zertifizieren lassen, ich kann meinen Sicherheitsstandard nachweisen und kann das im Grunde nutzen, sich auch compliant gegenüber der Regulatorik aufzustellen. Das heißt zum Beispiel, was NIST 2 fordert, ist ein Risikomanagement, ist Sicherheit in der Lieferkette. Die Themen habe ich genauso in der ISO 27001 im Rahmen des eSMS. Das heißt mit den Controls aus der ISO kann ich die Anforderungen der NS2 bedienen und auch der DORA bedienen.
Milke_Valeri [00:06:35]:
Regulatorik. Da kommen natürlich so ein paar Spezialthemen noch hinzu. Zum Beispiel bei der NS2 habe ich noch die Anforderungen zum Insolent Management. Ich muss meine Cybervorfälle, IT-Sicherheitsrelevante Vorfälle auch melden. Ich habe entsprechende Fristen. Ich habe zum Beispiel eine Meldefrist für die Erstmeldung bei Nachrichtens 2 innerhalb von 24 Stunden. Das heißt, diese härteren Anforderungen, die kommen noch on top. Aber ich sage mal, eine Baseline an Maßnahmen, die habe ich mit der ISO 27001 schon erfüllt.
Milke_Valeri [00:07:04]:
Das heißt, man kann das sehr schön kombinieren und sich dann zum einen eben compliant aufstellen und zum anderen auch sicher aufstellen. Das wäre das eine Thema. Das andere Thema, was compliance angeht und auch Synergien angeht, ist KI-Compliance. In dem Bereich der KI-Verordnung aus der EU. Das hat keinen reinen Fokus auf Informationssicherheit. Das hat eben den Fokus auf die Einhaltung der entsprechenden Anforderungen für KI-Systeme für Unternehmen in der EU. Aber auch da brauche ich ein Risikomanagement. Und wenn ich jetzt ein Risikomanagement nach ISO 27001 etabliert habe, dann kann ich das nutzen, mein Risikomanagement für KI-Compliance mit umzusetzen.
Milke_Valeri [00:07:44]:
Oder das Thema Asset-Management. Ich muss meine Assets kennen. Das muss ich für die Informationssicherheit und das muss ich auch für die KI-Compliance. Das heißt, da geht es natürlich nur die KI-Assets, aber das kann ich dann wunderbar nutzen, wenn ich entsprechend mein Asset Management aufbaue, dass ich in diesem Zuge auch identifiziere, wo habe ich meine KI-Systeme, welche Risikoklasse nach dem AI-Act, nach der KI-Verordnung. Hier habe ich eine High-Risk-KI, eine Limited-Risk-KI oder eine Low-Risk-KI. Und entsprechend der Klassifizierung der Risikoklasse ergeben sich dann unterschiedliche Anforderungen. Zum Beispiel bei Limited Risk, also bei beschränktem Risiko auf Deutsch, sind das dann die Anforderungen der Transparenzpflichten im Wesentlichen. Bei High-Risk-KI, und da sprechen wir in der Regel von KI, die durchaus schon häufig in Unternehmen Anwendung findet, Das ist dann zum Beispiel eine KI, die im Personalwesen Anwendung findet.
Milke_Valeri [00:08:35]:
Wenn ich Profile scanne oder Stellenbeschreibungen erstelle, dann bin ich im Personalwesen schnell schon im High-Risk-Bereich. Und dann habe ich eine Anforderung, dass ich ein Risikomanagement brauche. Das heißt, ich muss eine Risikoanalyse durchführen. Das kann ich dann halt auch wunderbar mit meinem Management-System zur Informationssicherheit kombinieren. Das heißt ich habe dann nicht mehr eine Parallelwelt aufgebaut. Ich habe kein Informationssicherheits-Management-System auf der einen Seite und KI-Management-System, also Informationssicherheits-Management-System ist das die 27001 und beim KI-Management-System ist das die 42001. Die kann ich dann halt kombinieren und dadurch massive Synergien schaffen.
Thomas Barsch [00:09:12]:
Also ich hatte ja auch Produktion und so. Und bei der Produktion, so als Analogie, gibt es ja so einen Teileverwendungsnachweis. Also wo ist jetzt welches Teil drin? Und wenn ich das jetzt auf Informationssicherheit Compliance übertrage, sage ich, ich habe Risk Management und wo findet jetzt das Risk Management überall Anwendung? Also in den verschiedenen Bereichen. Und dann gibt es halt, wie gesagt, noch Mathematik vorderklammer, das ist für alles. Und dann gibt es halt ein paar Spezialitäten in der Klammer, das ist dann halt nur für den Bereich. Aber dann weiß ich, ich habe dann keine doppelten Aufwände, sondern ich habe dann die Spezialmodule, so nenne ich sie jetzt einfach mal, linehaft und dann habe ich die anderen, die dann halt bei mehreren Systemen dann auch die Anwendung finden und dadurch wird das Ganze natürlich dann auch, ich sage jetzt mal, effizient.
Milke_Valeri [00:09:56]:
Ja, also genau und da hast du es schon genau richtig angesprochen. Wenn ich jetzt praktisch, also zum einen habe ich da keine Parallelwelten mehr aufgebaut, zumindest wenn es gut ineinander greift. Wenn es zu weit weg ist, dann kann man es ja immer noch separat haben. Aber wenn es gut ineinander greift, dann sind wir in dem Bereich KI-Compliance und Informationssicherheit. Da kann man das sehr gut zusammenführen. Was hier auch noch zu bedenken ist, der Vorteil, der entsteht, für die Geschäftsleitung, für die Unternehmensleitung ist es auch wichtig, dass alle Risikomanagement-Systeme praktisch nach oben reported werden, dass ich meine Risiken als Unternehmer von allen Bereichen kenne. Das ist eben nicht nur irgendwo ein Risikomanagement, Früher gab es schon mal Risikomanagement im Bankenumfeld. Da gab es irgendwo Risikomanagement für Banken, wo es eher finanzielle Risiken geht, in dem Umfeld.
Milke_Valeri [00:10:41]:
Aber jetzt kommt das Risikomanagement der Informationssicherheit hinzu. Und das ist ja auch wichtig, weil das sind ja teilweise existenzielle Risiken, die auf das Unternehmen wirken. Und deswegen kann man das halt auch sehr schön nutzen, das Reporting in die Unternehmensleitung vorzunehmen, wenn es konsolidiert ist.
Thomas Barsch [00:10:57]:
Du musst ja auch, also Risikomanagement heißt ja für mich, Es gibt ja die verschiedenen Stufen. Akzeptiere ich ein Risiko, dann nehme ich es in Kauf und bewerte es. Oder sage ich, ich tue was dagegen oder ich mache gar nichts. Also ich minimiere das. Ich mache das gar nicht, dass ich kein Risiko habe, was natürlich meistens das Blödeste ist, weil man dann, dann macht man auch kein Geschäft. Oder ich sichere das ab über eine Versicherung und so weiter. Also das muss ja immer dann letztendlich C-Level irgendwann entscheiden. Und eine saubere Grundlage zu haben, denke ich, braucht man natürlich einen guten, fundierten, schlüssigen Unterbau, der auch dann die Entscheidungsgrundlage bietet für das Risikomanagement.
Thomas Barsch [00:11:34]:
Was machen wir?
Milke_Valeri [00:11:35]:
Und die Versicherungen, die haben ja auch ihr Risikomanagement. Das heißt, die Versicherungen, die haben ja die meisten Erfahrungswerte, wie teuer eigentlich so ein Cyberangriff ist. Das heißt, ich habe das Thema Cyberversicherung verfolgt, so ungefähr die letzten 10 Jahre, wo ich die ersten Versicherungen, Cyberversicherungen schon mal gesehen habe. Dann habe ich das Cyberversicherung mit abgeschlossen, für Unternehmen begleitet beim Abschluss. Da sind die Beiträge, Versicherungsbeiträge, die sind so steil gegangen, weil die natürlich die Versicherungen mit den Erfahrungswerten festgestellt haben, oh, das kriegen wir ja gar nicht vernünftig mit den niedrigen Beiträgen mehr finanziert. Und so sind die Beiträge auch immer weiter hochgegangen. Und da kommt halt auch wieder hinzu, wenn ich alle meine Risiken versuche abzusichern, dann gehen die Beiträge halt auch schießend in die Höhe. Weil die Versicherungen, die haben ja dann entsprechend ihre Fragebögen, so Questionnaires, wo man dann beantworten kann, welche Maßnahmen hat man, welche Maßnahmen hat man nicht.
Milke_Valeri [00:12:26]:
Und je schlechter man aufgestellt ist aus Informationssicherheitssicht, desto höher sind die Beiträge. Und wenn ich da, ich sag mal, einfach eine Falschaussage, das ist halt auch ganz gefährlich, wenn ich da bei einem Fragebogen irgendwo ein Kreuzchen zu viel setze, weil ich sage, okay, ich hab das, Pi mal Daumen, aber dann hat man das doch nicht vernünftig umgesetzt, wenn man nachher das nachweisen muss bei der Versicherung bei einem Cybervorfall, da könnte die sich Versicherung auch querstellen. Und das gab es auch schon mal, dass die Versicherung dann halt nur einen rudimentären, also einen Cyberangriff, der mir bekannt ist, Millionenbeträge, sind da ein Schaden entstanden. Versicherung hat 100.000 Euro bezahlt. Weil die Maßnahmen nicht erfüllt waren, weil die da zu optimistisch in den Fragebogen beantwortet haben. Und wenn man es realistisch beantwortet, sind wieder die Beiträge hoch. D.h., am Ende des Tages, man kann mit den Versicherungsrisiken delegieren, aber wirtschaftlich ist es nicht, sich vor Maßnahmen zu sträuben und sagen, wir machen jetzt alles, wir versichern alles.
Thomas Barsch [00:13:20]:
Eigentlich muss man schon so viel machen, dass man fast keine Versicherung mehr braucht.
Milke_Valeri [00:13:24]:
Und dann kommen ja noch die Compliance hinzu, mit einem Zweimotorrad. Wie will man sich gegen die EU-Compliance versichern? Weiß ich nicht, das ist jetzt nicht mein Feld, aber da wird es halt auch schwierig bei der Compliance, wenn man dann noch Compliant ist.
Thomas Barsch [00:13:37]:
Du hast jetzt ein Stichwort genannt, das möchte ich jetzt gerne mal aufgreifen, weil jetzt so in der Wahrnehmung, das natürlich auch immer aktuell ist und aktueller denn je. Ich sage jetzt mal Cyber Security schrägstrich Cloud Security. Vielleicht sagst du da noch ein bisschen was dazu. Also jetzt gerade euer Eindruck jetzt gerade auf dem Markt, was da passiert.
Milke_Valeri [00:13:57]:
Genau, also was wir feststellen, Das zieht sich durchweg von mittelständischen Unternehmen bis in den Enterprise-Sektor, dass es einen starken Shift gibt in die Cloud. Cloud-Strategien, neben den KI-Strategien, aber darüber haben wir ja schon gesprochen, sorgen dafür, dass immer mehr jetzt in die Cloud migriert wird und an Systemlandschaften in die Cloud migriert werden. Und da sprechen wir von der Azure Cloud, AWS Cloud, Google Cloud Plattform. Asiatische Unternehmen, Gesellschaften, zum Beispiel in China, die haben ja dann noch eine Compliance-Anforderung. Die dürfen ja mit ihrer Infrastruktur gar nicht in die amerikanischen Cloud Plattformen. Die nutzen dann die Alibaba Cloud. Wie auch immer, die großen Hyperscaler, die werden jetzt immer mehr benutzt, dort halt entsprechend die Entwicklungsprozesse auch aufzusetzen. Stichwort DevSecOps, da wird halt entsprechend in der Cloud entwickelt, die ICD-Pipelines in der Cloud aufgestellt.
Milke_Valeri [00:14:47]:
Da kann man sehr schön die Security mit integrieren. Und zwar ist es so, die klassischen On-Premise Security Systeme, Schwachstellenmanagement, klassischerweise hat man dann Agenten, die man installiert auf den Systemen Oder man hat Scanner, die dann halt irgendwo durchs Netzwerk scannen, was entsprechend extrem ressourcenhungrig ist. Und mit den Agents, also mit den Agenten, das sind dann praktisch Softwarebausteine, die auf dem System installiert werden, Agenten installiert werden, ist es auch betriebsaufwendig. Also man braucht da durchaus auch schon ein Team an Experten, die nichts anderes machen, außer meine Security-Infrastruktur zu betreiben. Durch den Shift in die Cloud habe ich jetzt neue Möglichkeiten, agentless zu arbeiten. Das heißt, ich gehe direkt auf die Cloud, ich kann über die Cloud API meine Daten ziehen, habe die volle Transparenz, was in der Cloud alles rumschwirrt, alles was keucht und fleucht. Ich habe damit auch das Thema Schatten-IT deutlich mitigiert, weil in der On-Premise-Welt kann ich mir irgendwelche Sachen installieren, Keiner kriegt das mit, außer das wird zufällig gescannt und wenn ich das mein Netzwerk entsprechend abschotte, dann kann es auch nicht gescannt werden. Also das ist ganz schwierig, 100% Schatten-IT in der On-Premise-Infrastruktur zu mitigieren.
Milke_Valeri [00:15:57]:
In der Cloud ist es viel einfacher, weil man hat, wenn man zumindest jetzt mit den globalen Rechten auf die Cloud zugeht, mit dem Global Reader sozusagen, man braucht eine Leseberechtigung natürlich, man braucht keine Schreibberechtigung in die Cloud, kann dann die Cloud monitoren. Man hat eine vollständige Inventarisierung der Cloud-Infrastruktur, ich kann die alle assets sehen, Netzwerke, Systeme, Container, alles was da rumfliegt, sehe ich über die API. Sehe dann alle Schwachstellen, die bei mir vorhanden sind. Kann dann auch potenzielle Angriffe erkennen und durch die Inventarisierung mit Graphen sehe ich halt auch, welche Systeme miteinander kommunizieren. Vom Stichwort her, das läuft unter dem Begriff C-NAP, Cloud Native Application Protection Platform. Da ist WIS 1 der großen Player, die jetzt da im Enterprise-Sektor vor allem Anwendungen finden und großes Interesse bekommen haben. Wenn man das vergleicht, das was man da an Visibilität hinkriegt über die Cloud API und Monitoringlösung. Das ist ungefähr eine Stunde API-Konfiguration und dann am nächsten Tag habe ich da schon meine vollständige Transparenz, was ich alles in der Cloud habe und mit allen Schwachstellen zusammen.
Milke_Valeri [00:17:00]:
Und die ganzen Schwachstellen sind auch untereinander, welche Systeme mit welchen kommunizieren, welche Systeme haben direkten Zugriff aus dem Internet. Das heißt, wo habe ich besonders erhöhtes Angriffspotenzial? Na, ob meine Schwachstelle dann irgendwo zum Beispiel Blockfall-J. So, wenn ich jetzt einen Blockfall-J-Schwachstelle habe, so wie das 22, meine ich, war das, habe. Und diese Log4J-Schwachstelle ist aber irgendwo im Hintergrund. Das würde dann direkt erkannt werden, okay, die ist nicht exponiert, ist erstmal halb so wild. Wenn es exponiert ist, und das kriege ich durch die volle Transparenz, weil ich habe ja die volle Visibilität auf meine Cloud-Infrastruktur, dann weiß ich auch, ob das wirklich ausnutzbar ist. Und das ist der große Vorteil. Man hat eben die Inventarisierung, die vollständig ist, ressourcenarm ist, was technische Ressourcen angeht, also ich brauche kaum Rechenpower dafür, und auch was arm ist an personellen Ressourcen.
Milke_Valeri [00:17:47]:
Ich kriege im Grunde meine Sicherheit in der Cloud sehr gut in den Griff mit vernünftigen Lösungen. Das ist so, wohin die Entwicklung geht. Cloud-Strategie und Security wird meistens ein bisschen nachgezogen, lässt sich aber sehr gut mit vernünftigen Lösungen erreichen.
Thomas Barsch [00:18:00]:
Wenn ich jetzt mal so, wie gesagt, ich bin Laie, aber wenn ich mir jetzt einen gehobenen Hidden Champion oder so anschaue, der quasi 30 Länderorganisationen hat und alles on-prem, und ich meine die Cybervorfälle, ich beobachte das ja auch, Die greifen ja nicht bei dem an, der am besten ausgerüstet ist, sondern sie gucken, wo komme ich am einfachsten ins Netz und dann bin ich komplett drin. Und deswegen finde ich halt diese Cloud-Geschichte so spannend, weil das natürlich dann auch, ich sage mal, weltweite Bedeutung hat für Organisationen, wenn sie das komplett in die Cloud migrieren?
Milke_Valeri [00:18:33]:
Ja, absolut. Du hast es gesagt, man will ja da nicht irgendwo ein low hanging fruit sein. Die meisten Angriffe, die passieren dadurch, dass man halt eben da irgendwo in der Breite, einfach das schwächste, einfach das einfachste und am einfachsten anzugreifende System da hat in der Welt, der Cloud oder wo auch immer das System gerade rumschwirrt. Dass dann praktisch die Sicherheit unterdurchschnittlich war. Und das ist genau der springende Punkt. Man will als Unternehmen das Sicherheitsniveau so hoch setzen, dass sich ein Angriff nicht lohnt. Das heißt, man will überdurchschnittlich sein, halt nicht ins Kreuzfeuer der Angreifer zu gelangen. Weil sogenannte APT-Angriffe, Advanced Persistent Threat, zum Beispiel Stuxnet, die Urananreicherungszentrifuge im Iran, die da angegriffen worden ist.
Milke_Valeri [00:19:19]:
Das war ein zielgerichteter Angriff. Gegen solche zielgerichteten Angriffe, wo ein paar Jahre Entwicklung stecken, da kann man fast nichts dagegen machen. Betrifft aber die meisten Angriffe nicht. Also 99 Prozent der Angriffe sind Angriffe in die Breite. Höchstens minimal zielgerichtet, dass ich vielleicht mal meine Phishing-Mail noch ein bisschen anpasse, noch ein bisschen Informationsgewinnung betreibe vorher. Aber diese richtig zielgerichteten Angriffe sind sehr selten. Die meisten Angriffe, die meisten Opfer meiner Kunden, wenn ich da irgendwo mit einem Instant-Response-Fall unterstütze, da sind tatsächlich Angriffe in der Breite gewesen. Wir hatten einen Fall gehabt, da haben wir festgestellt, der Kunde-Opfer wurde von einem Crypto-Jacking-Trojaner.
Milke_Valeri [00:20:00]:
Das heißt, über 10.000 Systeme des Kunden wurden komprimiert und haben dann Kryptowährungen geschürft. Der Klassiker, zumindest war das früher sehr gängig, heute wird es ein bisschen seltener geworden, was wir festgestellt haben über die Forensik ist, wir haben den Miningpool gefunden vom Angreifer, wo dann praktisch alle Miner zusammengelaufen sind und dann haben wir praktisch die ganzen Opfer vorgefunden. Und da war unser Kunde mit unter von 20 weiteren Unternehmen, die da mit im Mining Pool reingeschürft haben. Er hat quasi dann, Das war ein typischer Angriff in die Breite. Das war kein zielgerichteter Angriff. Ein System war einfach schwächer als der Durchschnitt. Es war leicht angreifbar. Und dann sind eben diese ganzen leicht angreifbaren Systeme in den Mining Pool geschürft.
Milke_Valeri [00:20:47]:
Und Das ist genau der schwingende Punkt. Es geht nicht 100-prozentige Sicherheit, auch nicht 99-prozentige Sicherheit. Wir brauchen ein gewisses Sicherheitsniveau, was angemessen ist, wirtschaftlich ist, und kriegen damit am Ende des Tages für das Unternehmen eine ausreichende Resilienz hin.
Thomas Barsch [00:21:01]:
Ich hab grad wieder so ein Bild im Kopf für die, die nicht so tief drinstecken. Die probieren halt einfach die Türklinke aus. So und wenn er runter macht und die Tür ist nicht abgeschlossen, kommt er rein. Dann geht er doch da
Milke_Valeri [00:21:11]:
rein. Ja, so ungefähr, genau.
Thomas Barsch [00:21:13]:
Wenn die Tür schon abgeschlossen ist, dann habe ich schon mal eine Hemmschwelle, dann gucke ich, oh, das ist aber auch ein kompliziertes Schloss, ja, das sind so die Maßnahmen, die schon ergriffen wurden und dann gehe ich weiter und suche mir ein, wo es einfach geht.
Milke_Valeri [00:21:24]:
Ja, und wenn es dann halt irgendwann eine vernünftige Awareness gab, dann habe ich meine 100 durchprobiert, dann haben alle 100 die Tür abgeschlossen gehabt, okay, Mist, dann geht der Angriff eine Stufe höher. Dann versucht er es jetzt über die Balkontür. Und dann haben aber auf einmal nicht mehr alle die Balkontür vernünftig abgesichert. Und dann von den 100 haben auf einmal dann 10 die Balkontür schlecht abgesichert. Und dann geht er doch wieder rein. Das heißt, man muss da sukzessive dranbleiben und ein Sicherheitsniveau anheben.
Thomas Barsch [00:21:49]:
Ja genau, das wollte ich meinen. Also immer gucken, wo, ich sag's jetzt einfach mal so, was ist der Reifegrad meiner Sicherheit, wo stehe ich, an welcher Stelle. Also was wäre das Maximale, was ich machen kann? Du hast es angesprochen, das muss natürlich dann auch gewisserweise wirtschaftlich sein. Wobei, da gibt es ja jetzt auch schon viele Rechnungen, die sagen Vorsorge ist besser wie Vorfall, wenn man das so hochrechnet.
Milke_Valeri [00:22:08]:
Wenn man das jetzt so ein bisschen mathematisch, es gibt ja diesen Grenznutzen, so, den erreicht man halt irgendwann, dann lohnt sich halt auch nicht mehr, noch weiter zu investieren, noch mehr Ressourcen, dann klar, kommt immer natürlich auch ein anderes Fall an, wenn man jetzt irgendwo im Geheimdienst unterwegs ist, Hochsicherheitsbereich, da wird viel mehr betrieben. Aber für das typische Unternehmen von KMU, da hat man halt den Grenznutzen irgendwo, sagen wir mal, über 90 Prozent. Ab dann lohnt es sich nicht mehr. Im Enterprise-Sektor muss man das natürlich noch einen Ticken anheben. Im Bankensektor typischerweise auch. Also die haben auch von Natur aus erhöhtes Angelspotenzial. Aber das ist halt da halt auch die Erfahrung, die man da an den Tag legt und aus Erfahrungen schaut, wo lohnt es sich noch zu investieren, ab wann kann man sagen, okay, da haben wir jetzt ein schönes Niveau erreicht, dass wir jetzt mit dem weiterfahren können. Und erreicht heißt natürlich nicht, dass man jetzt alles stehen und liegen lassen muss, dass es jetzt so läuft.
Milke_Valeri [00:22:58]:
Also kontinuierlicher Verbesserungsprozess ist auch natürlich in jedem vernünftigen Standard das A und O.
Thomas Barsch [00:23:05]:
Also habe ich auch ein schönes Beispiel, auch vielleicht wieder für die Zuhörer, generell das Thema IT. Früher war das so, da habe ich quasi den Motor ausgebaut und habe einen neuen Motor eingebaut. Und so erkläre ich es immer Leuten, die vielleicht nicht ganz so eine Affinität oder ein Wissen haben und sagen, okay, heute ist es so, ich baue den Motor aus, aber die Anschlüsse ändern sich. Die Anschlüsse ändern sich jede Sekunde. Also das, was jetzt da war, ist da und auf einmal kommen neue Anschlüsse oder welche gehen weg. Und jetzt ist die Frage, wie baue ich jetzt den Motor, den ich ausgebaut habe, ein? So, das ist die spannende Frage und da muss ich halt wissen, in der Sekunde, wo ich ihn ausgebaut habe, wie sah der da aus?
Milke_Valeri [00:23:42]:
Genau, da muss ich nonstop am Ball bleiben, wenn sich die Anschlüsse ändern oder, da sind wir schon wieder ein bisschen mehr in der IT, die Steuerung des Motors sich ändert, darauf muss ich auch reagieren. Deswegen muss man da immer am Ball bleiben und mit dem Unternehmen wachsen und sich mitentwickeln. Das ESMS muss sich mitentwickeln, mitwachsen. Ich meine klar, wenn ich jetzt als Beispiel jetzt als Startup loslege, 10 Mann bude, so jetzt nach 5 Jahren oder nach 10 Jahren habe ich fast mal 1000 Mitarbeiter, dann habe ich ein ganz anderes Angriffspotenzial, ein ganz ganz anderes Bedrohungsmodell, was ich dann halt wieder entsprechend angemessen adressieren muss. Deswegen muss sich das E-SMS mit weiterentwickeln, absolut.
Thomas Barsch [00:24:18]:
Valerie, noch vielleicht zum Schluss noch eine Sache. Wie ist denn euer Vorgehensmodell, wenn jetzt jemand ein Zuhörerinteresse hat und sagt, der will sich da mit dem Thema befassen. Wie ist da so ein Vorgehen? Welche Reihenfolge? Was macht ihr da?
Milke_Valeri [00:24:31]:
Ja, also hängt natürlich immer davon ab, welche Branche, welches Unternehmen. Zunächst mal gilt es festzustellen, gibt es entsprechende regulatorische Anforderungen oder auch intrinsische Anforderungen. Ich sag mal so eine ISO 27001 Zertifizierung, Ist das vielleicht gewünscht? Gibt es Bedarfe vom Kunden, dass die Kunden da schon mal sagen, hier, liebes Unternehmen, habt ihr eigentlich eine ISO 27001 Zertifizierung? Wir haben seit neuestem die Anforderung, dass unsere Partner die Zertifizierung haben müssen. Also gibt es solche Anforderungen zunächst mal? Das wäre so der erste Step, festzustellen, gegen welche Anforderungen wirken auf das Unternehmen. Das wäre wirklich zuerst, oder eben regulatorische Anforderungen. Da sind wir wieder beim NIS2, DORA, Cyber Resilience Act, AI Act. Aus der Perspektive will man starten. Wenn wir festgestellt haben, wir haben die Anforderungen ISO 27001 und zusammen mit NIST 2 als Beispiel.
Milke_Valeri [00:25:19]:
Die beiden Anforderungen haben wir. ISO 27001 wird vom Kunden gewünscht, NIST 2 wird aus der EU gefordert. Das haben wir festgestellt. Dann gehen wir hin und machen eine GAP-Analyse. Das kann man auch, da sind wir wieder bei dem Thema Synergien, da können wir eine GAP-Analyse nach ISO 27001 und nach NS2 gemeinsam machen. Da müssen wir nicht jede Anforderung doppelt und dreifach, weil die ja zu 90 Prozent identisch ist, überprüfen. Wir überprüfen die Ergänzungen von NS2 und können damit dann erstmal schauen, wo stehen wir, welche Gaps haben wir, sprich welche Non-Konformitäten gegen den ISO-Standard und welche Non-Compliance gegen den NS2 haben wir. Wenn wir diese Non-Konformitäten identifiziert haben, machen wir einen Maßnahmenplan, dann eben einen Fahrplan zu haben, wo es hingehen muss mit den Maßnahmen, welche Maßnahmen müssen wir umsetzen.
Milke_Valeri [00:26:04]:
Das können technische Maßnahmen sein, das können organisatorische Maßnahmen sein. Wir stellen dann auch durchaus noch Quick-Wins heraus. Das sind dann schnelle Sachen, die irgendwo sehr effizient das Sicherheitsniveau erhöhen können, heraus und dimmen die dann mit dem Kunden ab, dass alle das gleiche Verständnis haben auf den Maßnahmenplan und wenn das dann soweit steht, dann gehen wir dann in die Feilenplanung, Verantwortlichkeiten, was macht der Kunde, wo können wir unterstützen, was will der selbst machen und dann wird umgesetzt und dann, wenn wir die Reife erreicht haben, sprich die Maßnahmen entsprechend umgesetzt haben, je nachdem was man vorhat, dann können wir dann zum Beispiel für NIS2 nochmal einen finalen internen Audit durchführen und wenn es dann in die ISO 27001 Zertifizierung gehen soll oder Automotive TSAC Zertifizierung gehen soll, dann machen wir nochmal einen formellen internen Audit mit Auditbericht, das halt auch dann entsprechend den Zertifizierungsstandards genügt. Dann internen Audit, dann kommt ein Management Review, dann wird das Ganze mit der Unternehmensleitung vorgestellt und dann haben wir dann unser Ziel erreicht, halt erstmal einen gewissen Standard zu erfüllen. Und dann schaut man halt, wie man das eben weiterhin betreibt. Da gibt es halt eben auch Möglichkeiten, das effizienter zu gestalten.
Thomas Barsch [00:27:10]:
Valerie, vielen, vielen herzlichen Dank. Ich freue mich riesig, dass du auch bei uns an Bord bist. Ja, Wir legen ja sehr, sehr großen Wert auch auf technische Tiefe, also nicht nur so oberflächlich, sondern dass man auch tiefer in die Themen rein gehen kann. Ich glaube, da bist du genau der Richtige, wen es interessiert. Du sollst dir auch mal die Seite anschauen. Ich habe noch nie jemanden mit so viel Zertifizierung gesehen. Da sind wir jetzt gar nicht drauf eingegangen. Guckt euch an.
Thomas Barsch [00:27:32]:
Schön, dass du da warst. Und wir haben ja noch mehr vor. Die Zuhörer können gespannt sein. Und vielen, vielen herzlichen Dank und auch von gutes Gelingen zusammen.
Milke_Valeri [00:27:41]:
Ja, danke dir auch, Thomas. Hat Spaß gemacht. Bis zum nächsten Mal.
Thomas Barsch [00:27:46]:
Okay, tschüss. Ciao. Okay, tschüss!
Milke_Valeri [00:27:47]:
Tschau!
