Andreas Lüning im Gespräch mit Professor Norbert Pohlmann

Speaker 1: 00:00

Herzlich willkommen auf dem Marktplatz IT Sicherheit. Mein Name ist Norbert Pohlmann. Ich spreche mit wichtigen Persönlichkeiten über, die Lage der IT Sicherheit, neue Bedrohungen und Angriffe, innovative IT Sicherheitsmechanismen und die Umsetzung von mehr IT Sicherheit für unsere digitale Zukunft im Podcast Köpfe der IT Sicherheit.

Speaker 2: 00:25

Ich freu mich sehr, in der heutigen Ausgabe von Köpfe der IT Sicherheit Andreas Lüning zu begrüßen. Andreas Lüning ist Mitbegründer und Vorstandsmitglied der GDATA Cyber Defense AG. Und die GDATA Cyber Defense AG ist ‘n deutsches Unternehmen im Bereich der IT Sicherheit mit circa 600 Mitarbeiter mit Sitz in Bochum. Genau. Das Besondere ist, ihr feiert, glaub ich, jetzt im Mai euer vierzigjähriges Bestehen.

Speaker 2: 00:52

Lieber Andreas, bitte schilder doch erst mal kurz, wie Du zur IT Sicherheit gekommen bist.

Speaker 3: 00:58

Ja, das ist das ist kann man schon fast als Anekdote mehr oder weniger natürlich schildern. In der Tat, wir haben das Unternehmen neunzehnhundertfünfundachtzig vor 40 Jahren gegründet, damals natürlich nicht mit dem Aspekt der Cybersicherheit, IT Sicherheit. Solche Begriffe gab’s ja damals noch gar nicht. Und was, was uns fasziniert hat, war mehr oder weniger die Homecomputer Szene, die aufgekommen ist, dadurch, dass das viele Menschen plötzlich Atari Computer hatten aufs unter C 64 Hype gab’s mal. Das hat uns als Jugendliche natürlich auch mitgerissen und da ist irgendwann die Idee letztlich auch durch den Besuch Hannover Messe Cebit, was das das erste Mal mehr oder weniger da gab, Mensch, da kann man doch vielleicht auch eine Profession draus machen.

Speaker 3: 01:35

Und sind dann als quasi Start-up zum Gewerbeaufsichtsamt gegangen und haben dort ein Gewerbe angemeldet. Ich weiß den exakten Wortlaut der Gewerbeanmeldung jetzt nicht mehr, aber Cybersicherheit stand da bestimmt nicht explizit drin. Ja, dann verging im Grunde genommen tatsächlich 2 Jahre, wo wir Software gemacht haben für vor allen Dingen Atari ST Computer. Und und irgendwann war’s dann so weit, dass das irgendwie, ja, es war tatsächlich son Spiel, man man war ja jung, man hat gespielt logischerweise mit den Disketten, die man dann da hatte. Und da funktionierte tatsächlich ein Spiel nicht.

Speaker 3: 02:05

Und ich hab ‘n bisschen auf der Diskette nachgeforscht, was denn da kaputtgegangen sei, aber nur, dass man das reparieren konnte und da war ‘n Bootsektorvirus tatsächlich auf dieser Diskette drauf. Und in meiner Frischhaltebox, die man so neben dem Computer stehen hatte mit all den dreieinhalb Zoll Disketten, waren noch mehrere Disketten, die diesen Virus enthalten hatten. Das fand ich natürlich auch nicht besonders toll. B, dacht ich mir, Programmierer schreibst ‘n Programm dafür, dass das mal mehr oder weniger löscht. Das war relativ einfach in dem Falle.

Speaker 3: 02:35

Aber natürlich, ja, wenn das bei mir in der Diskettenbox ist, ist es auch in anderen Diskettenboxen. Und daraus ist dann das erste Produkt Antiviren Kit, haben wir’s damals genannt, auf den Markt gekommen. Und es konnte genau 2 Viren erkennen. 2 Computerviren konnte es erkennen, hat noch lange überlebt, die Ära des Atari STs bis, glaube ich, Anfang der Neunzigerjahre, da konnte es dann schon 15 Viren erkennen. 15, das ist immer noch, ich war noch nicht 2 Handvoll komplett.

Speaker 3: 03:00

Ja und nun dann ging letztendlich die Sache mit PC weiter, mit Windows weiter, Windows 95. Das Internet boomte und und da gab’s sich natürlich ‘n Selbstläufer für die, ja, jetzt dann IT Sicherheit. Heute sprechen wir nicht mehr von Computerviren, heute sprechen wir eigentlich von, ja, Sub up Drohungen.

Speaker 2: 03:18

Genau, aber als ihr gegründet habt, genau, war die dann schon klar, das Thema IT Sicherheit könnte son großes Thema sein, jetzt sone große Firma wie DGDATA damit zu beschäftigen? Also war das 85 schon erkennbar oder genau dann 87, als ihr dann angefangen habt, dieses Antivirenensystem zu programmieren?

Speaker 3: 03:38

Ja, das konnte man da Also so visionär, dass das, ich bin jetzt nicht anmaßen, dass wir das gewesen sind. Das zieht sich sicherlich in der Geschichte von Gillata wie ‘n roter Faden mehr oder weniger seit neunzehnhundertsiebenundachtzig durch. Und in dem Prinzip, in den Neunzigerjahren waren diese Computerviren ja teilweise auch spielerischer Natur, dass Buchstaben von vom Bildschirm heruntergefallen sind und ein Krankenwagen von links nach rechts mit viel Tatütata durch den Bildschirm gefahren ist. Letztendlich nur erst also die Zweitausenderwende herum wurd’s dann doch durchaus etwas krimineller. Und und wir haben uns bei Giddharta entschlossen, ab 2005, 2006, 2007, das ist ‘n bisschen unscharf, ausschließlich den Bereich IT Security nur noch zu unterstützen vom Unternehmen her und haben das letztendlich auch in den letzten Jahren noch mal deutlich gemacht, wie hieß es auch vorher geht, Data Software AG beispielsweise.

Speaker 3: 04:24

Software war ein wesentlicher Bestandteil unseres Daseins. Mittlerweile sind es Dienstleistungen und deswegen ist es mittlerweile auch, dass Verteidigung mehr anonymier im Vordergrund steht. Und deswegen heißt es mittlerweile, jeder Cyber Defense AG.

Speaker 2: 04:36

So, wenn Du jetzt aus deiner Sichtweise die Lage der IT Sicherheit, in der wir uns ja jetzt als Deutschland, Europa in der Welt befinden, wenn Du die jetzt einschätzen würdest, wie würdest Du die beschreiben, also die IT Sicherheitslage?

Speaker 3: 04:51

Es geht uns, glaub ich, sehr, sehr viel Kapital vor allen Dingen verloren dabei, dass man sicherlich besser einsetzen könnte, als letztendlich theoretisch in Sicherheitsmaßnahmen zu investieren, weil da gar nicht so notwendig ist, als auch natürlich diese diese Summmann Ransomware beispielsweise zu zahlen beziehungsweise den den Verlust oder Prestigeverlust zu tragen, den man bei einem Cyberangriff sicherlich hat. So, in den letzten Jahren muss man doch zunehmend feststellen, dass sich Hackergruppen doch sehr professionalisiert haben. Sie sind besser organisiert aufgestellt. Sie haben zum Teil auch ‘n staatlichen Hintergrund. Letztendlich sehen wir vor allen Dingen, dass das leichte Ziele zum Teil angegangen wären.

Speaker 3: 05:30

Dass es da, wo letztendlich Infrastruktur nicht so mit mit mit mit Investitionen gefüllt war wie beispielsweise bei uns in Deutschland. Die Kommunen, das Gesundheitswesen, das Bildungswesen, da sehen wir große Ansätze, die die da Hackergruppen dort fahren, genau diese Institution anzugreifen.

Speaker 2: 05:45

Sagen wir mal, genau, also Menschen zu ködern, ist vielleicht ‘n ganz gutes Beispiel da. Sagen wir mal, ich merk das immer wieder. Wir merken ja, dass mit KI die Phishing-E-Mails deutlich besser werden und genau. Also ich selber als als ja als Fachmann, ich hab mir jetzt angewöhnt, meine E-Mails immer morgens zu löschen, wenn ich wach bin und wenn ich mutiger bin, weil abends Also ich kann die selber gar nicht mehr unterscheiden. Also sagen wir mal, also ich bin der Meinung, also sagen wir mal, wir als Menschen, wir sind völlig überfördert.

Speaker 2: 06:15

Und ich glaube, dass wir uns natürlich Gedanken machen müssen, wie die Technologie uns helfen kann, mit dieser Überforderung klarzukommen. Also ich glaube, wir müssen schauen, dass wir am Ende Technologien haben, die uns Menschen freimacht von von von den großen Verantwortung, zum Beispiel eine Phishing-E-Mail zu erkennen?

Speaker 3: 06:35

Es ist sicherlich ‘n Zusammenspiel, weil es es geht ja einerseits, wie Du sagst, Bewusstseinsschulung. Dabei erkenn ich mehr oder weniger diese diese trickreich angesiedelten E-Mails, diese Phishing-E-Mails tatsächlich an gewissen Merkmalen. Das ist in der Tat sehr, sehr hart und sie in der Tat morgens mal zu betrachten und nicht in 1 Stresssituation oder kurz vor oder nach 1 Autofahrt mal eben mit ‘nem Handy drüber zu gucken, das ist also sicherlich schon mal ‘n guter Ansatz. Den kann man auf jeden Fall fahren, sollte man auch. Aber es geht, glaub ich, nicht nur die Awareness von von diesen Phishing Mails.

Speaker 3: 07:08

Was, was wir letztendlich oftmals sehen, wenn wir zu tatsächlichen Vorfällen gerufen werden, dass auch ‘n bisschen ja die Systemkonfiguration, Systemadministration tatsächlich ja nicht versagt hat, aber nicht das nötige Bewusstsein im Bereich der IT Security aufgebracht hat. Da sind zu oftmals zu viele Fehler gemacht worden, gleichsinnige Passwörter, Benutzung von nicht speziellen Rechnern für Administrationsaufgaben et cetera. Das führt dazu, dass es eben ein zu leichtes Spiel ist zum Teil für für für Hackergruppen, dort auch letztendlich Fuß zu fassen.

Speaker 2: 07:42

Also genau, also wenn wir jetzt noch mal darüber sprechen, also genau deine Aussage ist, dass eigentlich die Basics in der IT Sicherheit oft bei den Unternehmen, die dann halt erfolgreich angegriffen werden, sich nicht umgesetzt worden sind. Also schlechte Passwörter, schlechte Konfiguration. Also Dinge, die man eigentlich, wenn man sorgfältig dafür verantwortlich ist, für eine Infrastruktur machen müsste, nicht gemacht ist.

Speaker 3: 08:05

Zumindest könnte man die Messlatte damit wesentlich höher liegen. Normalerweise, selbst durch eine normale Phishing Mail bekommt man normalerweise ja als Angreifer auch nur die Credentials mehr oder weniger von von 1 Person in einem Unternehmen. Das ist noch keine administrativen Rechte im besten Falle natürlich logischerweise. Das heißt, was ist der Prozess der, also der Erreichung mit höheren Privilegien, ist dann natürlich, dass das die nächste Aufgabe 1 Hackers. Und die wird ihm oftmals tatsächlich zu einfach gemacht, indem’s einfach die Credentials von einem Administrator auf einem lokalen PC wiederfindet und oder letztendlich die Passwörter zu einfach sind im Unternehmen.

Speaker 3: 08:39

Das das sind so, die wir leider, leider immer sehr, sehr häufig finden, grade wenn sich nicht nur eine Erstanzeichen gezeigt hat, ob ein Hacker eventuell im Unternehmen tätig ist, sondern dass mehr oder weniger die dann normalerweise ja anhängliche Erpressungs-E-Mail gekommen ist und und Systeme sich angefangen haben, sich zu verschlüsseln.

Speaker 2: 08:59

Gut, wenn wir jetzt mal darüber nachdenken und sagen, okay, was können wir denn eigentlich tun, gemeinsam mehr IT Sicherheit zu erlangen? Das ist ja, sag mal, die erste Frage, genau, ihr seid jetzt, sagen wir mal, ‘n eine Firma, die halt hilft, Cybersicherheit zu erhöhen. Also sagen wir mal, was kann GDATA tun oder was tut GDATA, halt die Situation zu verbessern?

Speaker 3: 09:22

Wir kommen natürlich mit eben 1 Antiviruslösung aus dem Schutzbereich. Das heißt, wir versuchen eine möglichst hohe Mauer, meine IT Infrastruktur zu bauen. Dadurch, dass ich etwas detektieren kann, was böse ist, dadurch, dass ich Firewallregeln einführe oder dass ich im Netzwerk nicht unabhängig, eigentlich nicht so breit kommunizieren kann. Das ist sind alles Schutzmechanismen. Das ist, weil ich ‘n Grundstück hätte und ich bau ‘n Schutzzaun drumherum.

Speaker 3: 09:47

Nun wissen wir alle natürlich, ich kann noch son gutes Schloss haben, noch son guten Schutzzaun. Wenn da jemand mitm Panzer kommt und durchfährt, dann fährt er da durch. Das heißt, ich muss tatsächlich anfangen, Anzeichen zu sammeln und das bedeutet natürlich zum Teil Fachwissen dabei. Und da kommen solche Systeme wie Systeme, XTR Systeme natürlich im Einsatz, die nicht nur etwas schützen, sondern auch detektieren, ob tatsächlich ein Angriff momentan stattfindet und dort schon geeignete Gegenmaßnahmen ergreifen können. Das ist, glaub ich, die die Zukunft, wo’s hingeht.

Speaker 3: 10:17

Das Problem dabei ist, was ich sehe, ist es nur, dass diese Systeme deutlich komplexer sind. Vorher hatte man eine Lösung installiert und sagte die Firewall Regeln, okay, die kann ich einmal einrichten oder ich kann sie auch nachbessern, wenn ich ‘n gutes System aus habe. Ich hab eine Antivirenlösung, die kann ich installieren, die läuft ja dann, bekommt ihre Updates. Ich bin fertig damit. Ich in den Bereich der der Angriffserkennung gehe und und einem möglichen Response diesbezüglich auch aufstellen möchte, dann benötige ich mehr Wissen.

Speaker 3: 10:45

Und dieses Wissen müsste theoretisch in der IT Abteilung, im Systemhaus 1 Unternehmens sein, was wiederum natürlich schwierig ist, weil na ja, die denken natürlich auch kaufmännisch und wie viel Prozent meines Umsatzes mach ich beispielsweise mit IT Sicherheit. Das sind in der Regel so 5 bis 6 Prozent. Wie viel verdien ich mit sonstigen Beratungsdienstleistungen? Das ist wesentlich mehr. Von daher haben wir ein Problem, dass genügend Wissen, Fachwissen tatsächlich in dieser Welt vorhanden ist.

Speaker 3: 11:14

Gleichzeitig haben wir Fachkräftemangel, so wir’s, nenn’s ja auch gerne auch Arbeitsmangel. Wie kommen wir dahin? Das heißt, wir können nur über Dienstleistungen, glaube ich, die die über gewisse Sensorik in gewisse Sensoren in Unternehmen erfassen können, was dort tatsächlich anlegt mit gewissen Regelwerken, vielleicht auch mit künstlicher Intelligenz zur Auswertung dieser Regeln erfassen können, was dort momentan nicht stimmt und nach ‘nem Best Practice Prinzip mehr oder wenn ihr die ersten Maßnahmen einleiht.

Speaker 2: 11:39

Ja, aber was was bedeutet das? Also sagen wir mal, genau, also sagen wir mal, ‘n Unternehmen hat dann jetzt nicht mehr

Speaker 3: 11:45

so eine

Speaker 2: 11:45

Antiviruslösung, sondern ihr habt deutlich mehr an Technologien. Ihr habt Sensoren, ihr ihr ihr nutzt die Firewall, ihr könnt die Firewall Regeln beeinflussen oder oder wie wie wie sieht eure im

Speaker 3: 11:58

Grunde genommen genau darauf hinaus, da dass man wesentlich mehr Informationen verarbeitet. Die Cases, nennen wir sie ja. Mhm. Also die die Indikatoren, die einen einen momentanen Angriff tatsächlich auch nach nach mehr oder weniger sichtbar machen können, dass man die logischerweise sieht. Es geht alles dahin hinaus, dass sich man sich damit abfinden muss.

Speaker 3: 12:19

Man wird angegriffen, man der Schutzzwang, den kann ich so hoch machen, wie ich will. Der wird niemals ausreichen zu 100 Prozent. Kann vieles abwehren, keine Frage von Skriptkidis und solche aller Dingen. Aber ich muss mich damit abfinden, dass eventuell jemand tatsächlich in mein Netzwerk hereinkommt. Und dann muss ich dafür eine Lösung haben, was passiert eigentlich genau in diesem Falle?

Speaker 3: 12:40

Mhm. Und und da müssen sich, glaub ich, viele Unternehmen drauf einstellen, dass das ein Thema werden wird, dass sie nicht ohne Weiteres vom Tisch mit 1 Softwarelösung lösen können.

Speaker 2: 12:49

Aber Du hast den Fachkräftemangel angesprochen, also Mhm. Genau, also wir haben mal eine Studie gemacht, da sind wir zu den DAX Unternehmen gegangen und haben mal überlegt, wie viel Mitarbeiter haben die eigentlich? Und am Ende ist da rausgekommen, dass die DAX Unternehmen, dass da jeder tausendste Mitarbeiter in der IT Sicherabteilung ist. Das heißt also, statistisch gesehen hat jedes DAX Unternehmen hundertreihen 131 Mitarbeiter. Das wird aber jetzt bedeuten, dass halt, sagen wir mal, ‘n ‘n ‘n, meinetwegen auch ‘n ‘n ‘n ‘n Champion mit 50 Mitarbeiter ja eigentlich nur ein Tausendstel der 50 Mitarbeiter an IT Sicherheit haben sollte statistisch.

Speaker 2: 13:26

Also das ist natürlich viel zu wenig. Also sagen wir mal, die die die Frage ist, genau, also ist das der Ansatz, dass wir sagen, okay, wir wir versuchen noch gar nicht mehr, IT Sicherheits Menschen einzustellen, sondern wir geben IT Sicherheitsdienstleistung raus. Das heißt, wir suchen uns ‘n Dienstleister, der halt mit Sensoren reinkommt und der mit Sicherheitsmechanismen, die dagegen wirken oder die erkennen, reinkommt und dann als Dienstleistung für mich, kleines Unternehmen, dann für Sicherheit sorgt, ist das, was wir in der Zukunft erwarten können oder machen müssen?

Speaker 3: 14:02

Also wenn ich größere Unternehmen vor mir habe, DAX Konzerne, große mittelständische Unternehmen, Die haben eine Infrastruktur, die haben ein sogenanntes Security Operations Center wahrscheinlich durch ihre Fachkräfte intern im Unternehmen abgehandelt. Die sind sehr gut aufgestellt. Die benutzen ihre eigenen XTR Lösungen, die haben ihre Firewalls dementsprechend auch gesichert abgesichert, die haben Netzwerke abgeschottet. Da ist in der Tat sehr, sehr viel Krebs drin dabei. In der Tat kann das keiner leisten, der eine jetzt nach deiner Rechnung 0.1 Prozent Stelle hat.

Speaker 3: 14:33

Der der das funktioniert ja nicht, weil diese 100 Leute in ‘nem größeren DAX Konzern, sagen wir mal das als als Größenordnung, die unterhalten sich ja untereinander über die Vorfälle, die in diesem Unternehmen stattfinden und und bauen dementsprechend ihr Wissen auf. Eine 0.1 Stelle kann das natürlich nicht. Der müsste sich ja austauschen mit ebenfalls 0.1 Stellen über ganz Deutschland, über Europa oder sonst etwas hinweg, überhaupt zu erfassen, was nennen wir’s ja, eigentlich beinhaltet, was momentan tatsächlich in in diesen entsprechenden Gruppierungen läuft, wo sonst noch Angriffe stattgefunden haben. Das kann man nur, ja, nicht zentralisiert, aber letztendlich, glaub ich, distribuiert tun. Und ich glaube ja, in der distribuiert tun.

Speaker 3: 15:14

Und ich glaube ja, in der Tat, der Dienstleistungsaspekt kommt dazu trage, dass letztendlich eine gewisse Sensorik aus dem Unternehmen rauskommt zu in die Hände von Dienstleistern, die darüber tatsächlich ein Meinungsbild abbilden können und die sich auch untereinander unterhalten und dementsprechend eine größere Gruppe bilden.

Speaker 2: 15:28

Aber genau, wenn Du sagst jetzt Zusammenarbeit, also sag mal, wenn wenn ihr jetzt Dienstleistungen erbringt oder Sensoren habt, Genau, dieses Wissen, was ihr von dem einen Unternehmen habt, genau, könnt ihr das halt auch für andere nutzen? Also ist, sagen wir mal, auch als Dienstleister, dass er sagt, okay, wir haben meinetwegen jetzt 1000 Kunden oder 5000 Kunden und wir sehen die insgesamt und wir haben die Fünftausenden im Blick und können dann jeden Einzelnen mit dem Gesamtwissen halt besser bedienen, als wenn wir nur einen hätten.

Speaker 3: 15:58

Das ist genau der Fall. Ja, definitiv, weil der Datenbestand, der zustande gekommen ist durch die verschiedenen Sensorik, eben aus auch verschiedenen Unternehmen, der beinhaltet natürlich auch, dass man das natürlich dieses Wissen auf alle Unternehmen wiederum verteilt. Es gibt Ausnahmen davon, das sind zum Teil nicht Behördenstrukturen, staatliche Natur, noch zum Teil das Bankenwesen, das ‘n bisschen ausgenommen davon ist. Das heißt, deren Sensorik darf normalerweise nicht in diesem Public Pool, sag ich mal, übertragen werden. Aber auch da muss man natürlich sehen in Zukunft, inwieweit das sinnvoll ist oder auch nicht sinnvoll ist.

Speaker 3: 16:34

Ich bin, finde, dass es nicht besonders sinnvoll war, natürlich auch diese diese Behörden und und da Unternehmen sind eventuell natürlich Angriffsziele und das ist auch interessant für andere Unternehmen.

Speaker 2: 16:46

Genau, wenn ich jetzt genau drüber nachdenke, Du hattest eben gesagt, genau, dass es Angriffsgruppen gibt, die möglicherweise auch staatlich orientiert sind. Genau, Sweet Intelligent. Ist das für euch ‘n Thema? Also beschäftigt ihr euch damit? Also ist das, habt ihr son Sweet Intentitan Team, die halt die Hackergruppen beobachtet und sieht, was da grade passiert?

Speaker 2: 17:07

Oder arbeitet ihr mit den Strafverfolgungsbehörden zusammen? Wie ist das organisiert?

Speaker 3: 17:12

Also das Attribieren nennt man das ja, also die Herkunft von Cyberangriffen ist jetzt nicht unser hygienes Geschäft. Wir interessieren uns sehr dafür, letztendlich auch Schadfamilien Hackergruppen ausfindig zu machen, die gleich das Vorgehen haben. Das heißt, wir wir wir arbeiten dementsprechend mit denen, die Attribieren zusammen. Das sind vor allen Dingen bei uns die Strafverfolgungsbehörden, die natürlich typischerweise einen Aufklärungsansatz verfolgen. Das ist son Geben und Nehmen dabei.

Speaker 3: 17:37

Was, was wir normalerweise nicht tun, es steckt zwar dieser Intelligence Begriff ins Thre ins Thre, also sone Art, da guckt ja schon nachrichtendienstliche Tätigkeiten hinzu. In diesem Bereich bewegen wir uns tatsächlich nicht. Da sehen wir auch kaum Bewegung, also von von anderen Nachrichtendiensten, weil die sind sehr, sehr speziell natürlich bedacht, nicht in die Breite zu gehen wie ein Cyberkrimineller, sondern sehr gezielt natürlich vorzugehen. Das sehen wir in der Tat natürlich nicht. Aber ja, Strafverfolgungsbehörden letztendlich allein schon im sogenannten Fall, also im Vorfallsfall, treffen wir spätestens auf Strafverfolgungsbehörden, LKAs oder oder den BKA, die letztendlich beim Unternehmen genauso tätig sind wie wir auch.

Speaker 3: 18:19

Und und wir tun dann gemeinsam alles, dieses Unternehmen schnell wieder auf die Beine zu bekommen, aber gleichzeitig natürlich auch Beweissicherungsverfahren zu optimieren und eventuell sogar Straftäter hierzulande zu Attribieren oder eben durch weitere Regressionen eventuell, durch durch ihr Einziehen von Geldern oder Erlangen 1 internationalen Haftbefehls, dementsprechend ihre Reisefreiheit einzuschränken.

Speaker 2: 18:42

Ihr seid ja jetzt ‘n ‘n deutsches Unternehmen, ‘n europäisches Unternehmen und viele eurer Konkurrenten sind ja eigentlich mehr, kommen aus aus den USA oder so. Genau, könnt ihr daraus irgendwie Vorteile, Nachteile ableiten oder oder genau, wie würdest Du das einschätzen? Also genau, an welcher Stelle ist das gut, ‘n deutsches Unternehmen zu sein und an welcher Stelle ist es störend oder?

Speaker 3: 19:07

Die digitale Welt ist natürlich durchaus nicht durch eine, sagen wir mal, europäische oder deutsche Souveränität geprägt. Mhm. Wir stellen keine Prozessoren her. Wir stellen keine Betriebssysteme her. Auch letztendlich große, große Anwendungen im Bereich der kaufmänn kaufmännischen Systeme stellen wir ebenfalls nicht wirklich her mit 1 einzigen Ausnahme mehr oder weniger.

Speaker 3: 19:29

Sicherheit ist natürlich ‘n origines Anliegen, nicht nur letztendlich die physische Sicherheit, sind wir beim Militär, sondern natürlich auch die digitale Sicherheit ist aus meiner Sicht natürlich etwas, was souverän aufgestellt werden müsste. Da ist, glaub ich, noch viel Überzeugungsarbeit in vielen Köpfen notwendig, wirklich darzustellen, was Souveränität bedeutet. Bedeutet es beispielsweise, eine Google Cloud System einzukaufen mit der Hinsicht, dass man vielleicht mal die Backend Prozesse einmal kontrolliert hat oder sich einmal den Quellcode hat zeigen lassen, reicht das für eine Souveränität aus? Oder was passiert, wenn wenn diese Systeme aufgrund 1 Konfliktsituation oder 1 sonstigen politischen Situation oder auch nur 1 1 Änderung der Weltordnung, wie wir sie aus meiner Sicht momentan durchaus erleben, wenn diese Systeme nicht mehr so funktionieren, wie sie’s für uns sollten. Deswegen, da brauchen wir auf jeden Fall im Bereich der Sicherheit, glaub ich, wesentlich mehr Souveränität.

Speaker 3: 20:24

Und der Ansatz wär ja bei local, sagen wir ja immer ganz gerne. Ich ich sag mir, lokal können wir ja gerne etwas größer fassen im europäischen Sinne. Aber ich ich glaube, dafür brauchen wir hierzulande eine Lösung und wirklich eine Denkweise, die uns davon abhält, letztendlich uns uns abhängig zu machen von vielerlei Dingen, die sicherlich schnell von anderen auch auch geliefert wird. Was wir natürlich sehen, wir sind ein nicht kleines, aber mittelgroßes mittelständisches Unternehmen in Deutschland mit einem gewissen Outcome logischerweise, auch im Eurobereich. Wir sehen natürlich die Marktmacht, die zum Teil auch letztendlich von Übersee kommt.

Speaker 3: 20:59

Da sind wesentlich mehr Gelder, mehr Überzeugungsarbeit, mehr Menschen schlicht und ergreifend dahinter. Das das macht uns schon Sorgen. Und wir begrüßen sehr, glaub ich, dass zum Teil, man mag sein, ob’s sinnvoll ist oder nicht, dieses Sondervermögen aufzunehmen, dass zumindest der Aspekt Cybersicherheit mit, glaub ich, einhundert Milliarden Euro dort zumindest ein eine gewisse Akzeptanz gefunden hat, wie auch immer das jetzt unter die Leute gebracht werden wollen. Ich fänd es gut, wenn es im deutschen oder europäischen Raum bleiben würde, wenn wir denn so viel Schulden aufnehmen dafür und nicht letztendlich das Geld erst aufnehmen und dann woanders hin verteilen auf der Welt, weil wir werden’s wahrscheinlich so in der Form nicht wieder zurückkommen.

Speaker 2: 21:37

Wenn wir jetzt schon über Zahlen reden, also genau, es gibt ja die Zahlen, wo gesagt wird, dass über Cybercrime hundertsechsten 76000000000 Schaden verursacht werden. Also Cyber, also 176000000000. Und es gibt aber dann halt aber auch die Zahl, dass wir in der Summe als Investment in Deutschland 11200000000.0 investieren. Das heißt, wir investieren 11200000000.0, haben aber ‘n Schaden von 176000000000. Also ich denk immer, genau, wenn man jetzt son bisschen son son Gedankenspiel machen würde und sagen, wir würden jetzt mal doppelt so viel investieren, also sagen wir mal 22400000000.0 und wir hätten nur die Hälfte an Schaden dadurch, dann würden wir fast 80000000000 gewinnen.

Speaker 2: 22:20

Also das heißt, wir würden investieren und und diese Investition würde jetzt in Gewinne gehen. Das ist jetzt einfach nur ‘n Gedankenmodell. Aber sagen wir mal, wenn Du jetzt überlegen würdest, die Firmen würden doppelt so viel Geld ausgeben, wie sie jetzt ausgeben. Was würdest Du dir den Firmen raten, wo sie Geld ausgeben müssen, diesen Effekt, den ich mir wünschen würde, dass ich nur die Hälfte der Schäden habe, dann auch umsetzen würde? Vielleicht wird auch nur 5 Prozent reichen.

Speaker 2: 22:46

Also mir geht’s einfach darum, wenn wir jetzt mehr Geld ausgeben, an welcher Stelle müssten wir dieses Geld informieren, den Effekt besonders gut hinzukriegen?

Speaker 3: 22:54

Wie ich schon sagte, vor allen Dingen in XTR Systeme oder CM Systeme sollte investiert werden. Und letztendlich natürlich müssen wir kurz oder lang auch in Fachkompetenz natürlich investieren. Mhm. Uns fehlen auch Fachkräfte, diese Dienstleistung überhaupt zu erbringen, glaube ich. Wenn wir jetzt von allen mittelständischen Unternehmen ausgehen, sagen wir noch über 50, die dann letztendlich auch durch eine gewisse europäische Regulatorik einen gewissen Sie müssen letztendlich von von von der Verordnung solche Dinge einführen, dann dann kommen auch wir letztendlich oder auch andere in unserer Branche in den Verdouille natürlich nicht genügend Fachkräfte zu besitzen.

Speaker 3: 23:28

Nun haben wir natürlich Universitäten, Fachhochschulen, die die in diese Richtung ausbilden, die allerdings auch zum Teil sehr, sehr fachlich ausbilden. Es geht da darum wissenschaftliche Ansätze für IT Sicherheit.

Speaker 2: 23:40

Es geht

Speaker 3: 23:40

auch Dinge wie Kryptografie, Identity Management, Zero Trust Ansätze et cetera. Das ist alles wunderbar, hilft uns aber jetzt hier vor Ort zur Bedienung von von, glaube ich, Detection Systemen und und zur Eindämmung von von Sicherheitsvorfällen noch nicht so dramatisch sofort weiter. Deswegen mach ich mich beispielsweise stark für einen speziellen Ausbildungsberuf im Bereich, sagen wir mal, Fachinformatiker, die gibt es für Anwendungsentwicklung Entwicklung und und Systemadministration. Warum nicht auch ein Fachinformatiker für IT Sicherheit beispielsweise? Weil wir brauchen keinen, nicht nur den wissenschaftlichen Ansatz, den akademischen Ansatz dabei, sondern wir brauchen schlicht und ergreifend Menschen, die die Thread Intelligence tatsächlich überblicken können.

Speaker 3: 24:21

Das kann man lernen. Man kann auch die die lernen dabei und letztendlich auch eine eine entsprechende Expertise an ein Systemhaus geben, an ein Unternehmen geben, was in diesen Fällen zu tun ist. Deswegen mach ich mich auch für einen solchen Ausbildungsberuf statt. Das dauert sehr, sehr lange, benötigt auch Investitionen, aber in diese Richtung sollte man auf jeden Fall gehen. Wissensvermittlung gehört sicherlich dazu.

Speaker 2: 24:42

Ja. Sag mal, wir merken ja immer, dass ja Firmen wie ihr ja auch halt unsere Studierenden schon im Bachelor abwehrbt und wir die kaum noch motivieren können, den Master zu machen. Aber genau, ich find den Ausbildungsberuf auch cool. Das ist natürlich dann noch mal dann eine gute Möglichkeit und genau, wir haben ja viele halt auch Abbrecher, die dann halt die Ausbildung machen und die dann auch wirklich, sind die sehr Wir

Speaker 3: 25:05

werden den Zukunft, wir werden den Zugriff beides brauchen. Wir brauchen sicherlich Akademiker, die Technologien entwickeln, die natürlich Dinge forensisch auseinander nehmen können, Mhm. Die sichere Produkte bauen, sicher programmieren, Standards setzen in diese Richtung. Aber wir brauchen tatsächlich auch so etwas wie den Handwerker, also den Security Analysten, den den Account Manager, die letztendlich Kundenbedürfnissen auch letztendlich gerecht werden dabei.

Speaker 2: 25:31

Wenn man noch mal zum Abschluss noch mal darüber nachdenkt, wie sieht denn die Zukunft von IT Sicherheit aus? Also genau, also wenn man jetzt sagt, vielleicht mal in 5 Jahren schaut, genau, hast Du eine Idee, genau, welche Herausforderungen wir in 5 Jahren lösen müssen? Oder hast Du da eine Vision, wo ihr euch hier hin entwickeln müsst oder oder oder wo die Angriffe sich hin entwickeln, da son bisschen zu sehen, was uns jetzt in den nächsten Jahren noch erwarten wird?

Speaker 3: 25:59

Also es wird immer irgend eine Form von Kriminalität geben. Sobald wir was Neues erfinden, wie sagen wir mal jetzt, der der Boom künstliche Intelligenz, wird das natürlich kriminelle Energie auch erzeugen. Das war, das zieht sich vom Römischen Reich wie ‘n roter Faden mehr oder weniger durch. Mhm. Technologie ist auch immer ‘n Angriffspunkt.

Speaker 3: 26:16

Das das, ich kann jetzt auch nicht sagen, welche was KI in 5 Jahren beispielsweise macht, welche Chips auf den Markt kommen, was Quantencomputing in der Tat macht, ist visionär relativ schwer zu fassen. Ich ich glaub, es ist wichtig, immer sehr nah am Ball zu bleiben, die Situation auch dementsprechend über seinen eigenen Tellerrand versuchen zu bewerten und ja innovative Menschen anzuheuern, die die letztendlich sich für die Sache genauso brennen, wie wir letztendlich damals gebrannt haben, auch diese kleinen Computerviren zu vernichten. Das ist, glaub ich, ist Also wenn Du jetzt haben willst, was passiert in 5 Jahren, ist das äußerst schwierig, sag ich mal, zu sagen.

Speaker 2: 26:51

Also wir müssen wach bleiben, wir müssen bleiben und wir müssen schauen, dass wir irgendwie vor dem Bug kommen. Und genau, das ist ja schon mal die 100000000000 können ja sicherlich helfen, vielleicht das zu schaffen, halt, sagen wir mal, wieder so in die Anfang Jahre zurückzukommen, wo wir das Gefühl hatten, wir haben noch alles im Griff, aber jetzt rennen wir hinterher?

Speaker 3: 27:13

Also ich ich glaube, natürlich sind Unternehmen selber dafür verantwortlich, diese Investitionen durch Förderung oder sonst etwas zu bekommen. Ich ich glaube, es geht aber auch dadurch, dass der dass der Staat in irgendeiner Weise wieder glaubhaft wird. Also wenn Kommunen, Gesundheitswesen, Krankenhäuser, Hochschulen angegriffen werden und lahmliegend, dann macht das keinen besonders guten Eindruck. Das ist so, als wenn da ‘n Schlagblock in der Autobahn ist. Das das kommt einfach schlicht und ergreifend nicht gut.

Speaker 3: 27:38

Und ich glaube, wir sind gut daran getan, dieses Geld auch letztendlich in diese Bereiche zu schieben, dass das professionalisierter aufgestellt ist und resilienter vor allen Dingen reagieren kann.