Andreas Rohr über digitale Resilienz, KI und Verantwortung

00:02:09:08 – 00:02:31:03
Dr. Andreas Rohr
Herzlich willkommen auf dem Marktplatz Die Sicherheit. Mein Name ist Norbert Pohlmann. Ich spreche mit wichtigen Persönlichkeiten über die Lage der Sicherheit. Neue Bedrohungen und Angriffe, innovative IT Sicherheitsmechanismen und die Umsetzung von mehr Sicherheit für unsere digitale Zukunft. Im Podcast Köpfe der alte Sicherheit.

00:02:31:03 – 00:03:01:02
Prof. Norbert Pohlmann
So ja, willkommen, meine Damen und Herren und ich freue mich sehr, in der heutigen Ausgabe Köpfe der IT Sicherheit Dr. Andreas Rohr zu begrüßen. Dr. Andreas Rohr ist Geschäftsführer der Det CSU Deutsche Cybersicherheit Organisation mit Sitz in Berlin und der Slogan auf der Webseite lautet Engineering Security together, also gemeinsam gegen organisierte Cyberkriminalität und Wirtschaftsspionage für mehr Sicherheit für alle.

00:03:01:02 – 00:03:19:04
Prof. Norbert Pohlmann
Das ist quasi ja fast unser Slogan auf dem Marktplatz Gemeinsam für mehr Sicherheit und Liebe Andreas. Erst mal schön, dass du da bist und vielleicht kannst du uns erst mal kurz über deinen persönlichen Werdegang erzählen. Also wie bist du? Zeit, die Sicherheit und deine jetzigen Position gekommen?

00:03:19:06 – 00:03:45:12
Dr. Andreas Rohr
Ja, danke, Norbert, dass wir das Gespräch heute führen können, mache ich gerne. Andere teilhaben zu lassen, bekommt man da eigentlich in die Sicherheit? Das war nicht immer ein geradliniger Weg. Und auch bei mir ist es so, dass ich gar keinen muss wir heute sagen so klassischen Weg in die, die Sicherheit hatte oder in die Cybersecurity, sondern dass das eine ganze Reihe von Stationen war, die mir die Möglichkeit gegeben haben, an das Thema irgendwie heranzukommen.

00:03:45:14 – 00:04:17:04
Dr. Andreas Rohr
Ich werde nicht sagen, dass das per Zufall war, aber viele Dinge davon waren mit Sicherheit gar nicht so geplant. Gestartet bin ich mal irgendwann in einem Rechenzentrum mit zur Anwendungsentwicklung. Netze, die sicher miteinander zu verbinden und damals halt noch über Firewalls und über Terminalservices, so dass man tatsächlich Zonen voneinander getrennt hat. Ähm, bin dann im Bereich der NATO in Berührung gekommen mit der Konzeption von sogenannten Cyberoperationen.

00:04:17:07 – 00:04:46:08
Dr. Andreas Rohr
Das ist schon deutlich über 20 Jahre her. Aber das ist das, was man heutzutage unter Nations oder etwas persistent Events kennt, also so zielgerichtete Angriffe. Und damals war das noch in weiter Ferne und mehr Theorie und Konzeption mit so anfänglichen Laboren. Aber das war so, die waren so die ersten Gehversuche für offensive und defensive Cyberoperationen, die ja heute für Resilienz besonders relevant sind.

00:04:46:10 – 00:05:20:13
Dr. Andreas Rohr
Und dann, weil ich das gemacht habe, hatte ich dann die Chance, zwei Jahre lang noch irgendwie stellvertretender die Sicherheitsbeauftragte oder so vom Forschungsministerium zu sein, wo man dann die politische Dimension von Sicherheit bekommt, die nicht immer nur sachlich orientiert, sondern sehr viel auch was mit Konsens und Verhandlung und Ausgleich von verschiedenen Interessen damit zu tun hatte. Und das hat mich ein Stück weit dann in eine Situation gebracht, die auch für Industriekonzernen wie relevant war.

00:05:20:13 – 00:06:06:10
Dr. Andreas Rohr
Was mich dann zu RWE verschlagen hat, wo es zunächst mal darum ging, für die Gruppe in Richtung Forensik Dinge aufzubauen und für den Finanzmarkt regulierten Tradingbereich, da sozusagen auch die Funktion zu übernehmen, also für den Energiehandel, der ja selber auch kritisches Element mittlerweile ist, wenn es darum geht, Versorgungssicherheit herzustellen. Und da gab es aufgrund der kritischen Infrastruktur auch schon erste Berührungspunkte mit zielgerichteten nationalstaatlichen Angreifern, damals noch mehr aus einer Spionagesicht heraus für Vertragsverhandlungen, also auch mit Russland zum Beispiel, aber eben auch schon Anfänge zu Beschütze mich eigentlich besser im Bereich der Energieerzeugung, was ja auch ein wesentlicher Bestandteil ist.

00:06:06:12 – 00:06:30:24
Dr. Andreas Rohr
Und von dem Weg und da war ich ja quasi schon auch deutlich stärker einer Security bin ich dann zum Volkswagenkonzern gewechselt, genaugenommen zum zum Cop. Sie damals, der gesagt hat, das brauche ich eigentlich für alle meine Gesellschaften, das wissen, was ich da damals mehr schon arbeiten durfte mit dem Teams, um die Security des Konzerns und seiner seiner Gesellschaften voranzubringen.

00:06:31:01 – 00:07:04:09
Dr. Andreas Rohr
Genau. Und weil die Volkswagen auch. Da schließt sich der Kreis in der jetzigen Position mit Gründer der der Service Ost wurde ich damals gebeten oder hatte die die Chance, die der Zitrone zu konditionieren und bin dann seither auch in Gestalt einer Rolle bei der jetzt also tätig? So gesehen sind die sich die angefangen in so Rechenzentrum stätigkeiten ist aber so zwei 2002 bis heute sind in so ein eher nicht geplanter Werdegang zu Security.

00:07:04:09 – 00:07:17:23
Dr. Andreas Rohr
Zumal man wissen muss, dass ich eigentlich keine formale IT hier Ausbildung habe, sondern Wirtschaftsingenieurwesen und und Mathematik. Aber man lernt halt mit seinen Aufgaben, würde ich sagen sehr schön.

00:07:18:00 – 00:07:40:20
Prof. Norbert Pohlmann
Andreas, Du bist ja jetzt mit den großen Firmen ständig unterwegs und sie habt ja auch viele, sagen wir mal Circle, wo ihr mit entscheidenden Unternehmen oder wichtigen Unternehmen in Deutschland halt versucht, die Lage zu diskutieren oder halt auch zu überlegen, wie man halt gemeinsam besser sichern kann. Aber mit all deinem Wissen und mit all deinen Dingen, die du tust.

00:07:40:20 – 00:07:47:02
Prof. Norbert Pohlmann
Wie würdest du denn die IT Sicherheit zurzeit beurteilen?

00:07:47:04 – 00:08:20:02
Dr. Andreas Rohr
Das ist natürlich eine sehr, sehr allgemeine, schwierige Frage, die zu beantworten ist, weil gibt es wahrscheinlich keine keine am. Allgemeingültige Antwort, die für alle gleichermaßen wie richtig oder priorisiert ist. Grundsätzlich glaube ich, kann man sagen, dass die Bedrohungslage dem würde ich das mit unterschreiben, was man auch vorlesen kann, angespannt ist und bleibt. Allerdings ist die Dynamik, in der in dem Zuwachs oder der Veränderung nicht so hoch, wie es häufig manchmal versucht wird darzustellen.

00:08:20:04 – 00:08:43:06
Dr. Andreas Rohr
Tatsächlich nehmen wir wieder mal, weil wir das auch bei Volkswirtschaften kennen, dann natürlich die Bedrohung und auch die Anzahl zu, aber nicht exponentiell, sondern ich glaube, du hast das auch auf deiner Vorträge mal gesagt, dass der Schaden tatsächlich tatsächlich deutlich größer wird. Also die Effektivität der Angreifer wird größer, aber nicht zwingend die Menge der Angreifer. Und das würde ich auf jeden Fall unterschreiben.

00:08:43:08 – 00:09:38:02
Dr. Andreas Rohr
Das hängt zusammen mit der Professionalisierung, die über die letzten zehn Jahre stattgefunden hat und auch die. Die würde man denn beim Militär sagen, die Proliferation von, ich sag mal techniktechnischen Herangehensweisen oder Methoden von den Angreifern in die organisierte Kriminalität und das sehen wir auch dort, dass die Effektivität einfach steigt. Und wenn man dann schaut, dass auf der anderen Seite die Komplexität für die Verteidiger zunimmt, weil man halt sich in hybriden Infrastrukturen bewegt, sehr viel abhängig Ähnlichkeiten zu Partnern hat, zu seiner eigenen Zuliefererkette beispielsweise oder zu Partnern ganz allgemein, dann ist klar, dass diese beiden Faktoren geführt dazu führen, dass man das sozusagen die Lage vielleicht weniger gut ist als noch vor Jahren, aber de facto

00:09:38:02 – 00:10:00:09
Dr. Andreas Rohr
es einfach hat sich nur die die Zusammensetzung aus meiner Sicht geändert und die Frage ist eher wie fokussiere ich mich, dass ich die die wichtigen Dinge, die mir besonders am Herzen liegen, als Organisation, als Unternehmen oder auch als staatliche Akteur, wie ich dort quasi in der Lage bin, die Sachen, die ich wirklich schützen will, zu schützen und nicht so flächendeckend Gießkannenprinzip vorzugehen.

00:10:00:11 – 00:10:22:03
Prof. Norbert Pohlmann
Wie würdest du denn jetzt das Verhältnis zwischen den staatlichen Angriffsakteuren bezeichnen und den Kriminellen, die halt über Grenzen mehr Lösegeld verlangen oder andere Angriffe durchführen, um an Informationen heranzukommen? Genau. Hast du da so eine Idee, wie das so verteilt ist oder was? Wo wir uns mehr Sorgen machen sollten.

00:10:22:05 – 00:11:06:20
Dr. Andreas Rohr
Im Sinne von auftreten? Also wie häufig das auftritt haben? Das ist natürlich schwer, schwer abzuschätzen, aber so vom Gefühl her mit den Fällen, mit denen wir betraut werden. Ich sage mal bei so einer fünf, maximal zehn Prozentigen Anteil, bei jeden Angriffen und zu 90 % am finanzmotivierten oder aktivistischen Gruppen, die halt am erst mal nicht die zwar mittelbar, vielleicht auch staatlich toleriert oder auch gefördert sind, dass das Personal die die Verteilung dort der Zusammenhang zwischen finanzmotivierten Angreifern und beispielsweise dem russischen Staat oder auch auch chinesischen staatlichen Stellen ist teilweise schwimmend.

00:11:06:20 – 00:11:40:09
Dr. Andreas Rohr
Dass die ermuntert werden oder toleriert werden, Dinge zu tun. Und da könnte man natürlich sagen, da gibt es dann wieder auch nur eine Beschaffung von Devisen bei Nordkorea, eine sehr große Rolle für deren Atomprogramm beispielsweise. Das heißt, da verschwimmen die Grenzen so ein bisschen, was die Auftraggeber und Motivationslage angeht. Also da kann es auch wenn man möchte, vielleicht mal in so 13040 Prozentige staatlich mit gelenkter Organisationsform gehen, ohne dass das jetzt direkt einem politisch gesehen dem Staat zuzuordnen wäre.

00:11:40:11 – 00:11:45:24
Prof. Norbert Pohlmann
Gibt es denn Bereiche, die jetzt besonders getroffen sind?

00:11:46:01 – 00:12:17:21
Dr. Andreas Rohr
Für die klassischen Disziplinen wie Cyberspionage ist ganz klar, dass da die Rüstung, die die staatlichen Institutionen ganz klar im Vordergrund stehen, also so ein Auswärtiges Amt oder wenn es um. Darum geht es mit dem Kanzleramt Dinge zu tun. Das ist, glaube ich, völlig klar, dass das geheimdienstliche Interesse ist. Das hat sich aber auch nicht geändert, außer dass der Cyberraum dazugekommen ist, dass das gibt es schon seit gefühlt ja seit Jahrhunderten.

00:12:17:23 – 00:12:46:22
Dr. Andreas Rohr
Allerdings für die hybride Bedrohung, die ja auch immer wieder in der Presse zu lesen ist das schon auch so, dass militärisch gesehen das, was man unter Pre Positioning bezeichnet, also sich vorzubereiten, auch mit Blick auf militärische, ich sage mal Cyberoperationen, dass man da kritische Infrastrukturen ins Visier nimmt, also wenn es um Energieversorgung, um Logistik und solche Themen geht, die halt im Kriegs oder im bewaffneten Konflikt falle, von besonderer Bedeutung sind.

00:12:46:22 – 00:13:25:24
Dr. Andreas Rohr
Es kann auch Telekommunikation sein, ähm, die insofern von Belang sind, als dass man dort entweder zeigen können möchte, dass man zuschlagen könnte, wenn man wollte. Das ist so ein bisschen das, was auch wir bei russischen Akteuren sehen, wo auch der Verfassungsschutz jetzt kürzlich wieder gewarnt hat. Und das ist aber nichts Neues. Aber normale in Anführungsstrichen nicht hyper kritische Infrastrukturen wie die, die ich gerade genannt habe, die sind von, ich sage mal eher opportunistischer Spionage Interesse, ansonsten aber Kriminelle, die finanz motiviert sind, denen es erst mal völlig egal in welcher Branche man ist, sich da was zu holen.

00:13:26:01 – 00:13:36:24
Prof. Norbert Pohlmann
Das aber wenn wir die beschriebene Lage, die du jetzt skizziert hast, betrachtet, was bedeutet denn das für die Unternehmen und was bedeutet das jetzt für uns als Gesellschaft?

00:13:37:01 – 00:14:11:16
Dr. Andreas Rohr
Na ja, für uns als Gesellschaft bedeutet es, dass wir eigentlich als Staat und Gesellschaft abhängig sind davon, dass häufig halt privat geführte Unternehmen einen wesentlichen Bestandteil unserer eigentlich kritischen Daseins irgendwie bestreiten und deshalb tatsächlich auch aus meiner Sicht zu Recht aus der regulatorischen Sicht höhere Anforderungen erfüllen müssen als die, die da nicht zu beitragen. Jedoch ist, glaube ich, die Verantwortung des Staates, hier helfend zur Seite zu stehen, hervorzuheben.

00:14:11:16 – 00:14:51:14
Dr. Andreas Rohr
Das heißt, dass man zur eingangs gesagt, dass Dinge gemeinsam gemacht werden sollten und nicht der Staat und seine Funktion schützt sich so gut wie es geht mit seinen Organen und und Behörden. Und die Wirtschaft macht das halt auf ihre Art auf eine wirtschaftliche, in einer wirtschaftlichen Betrachtungsweise, glaube ich, bedeutet das, dass wir auch aus einer gesellschaftlichen und staatlichen Interesse heraus möglicherweise nicht nur Nutzen und Kosten gegeneinander abwägen dürfen, sondern auch ein übergeordnetes Ziel, wo aus meiner Sicht der Staat auch eine Steuerungsfunktion hat, die vielleicht an anderer Stelle noch noch ausbaufähig ist, wenn es um Zusammenarbeit geht.

00:14:51:16 – 00:15:08:01
Prof. Norbert Pohlmann
Okay, das heißt also, wenn wir jetzt über die große Herausforderung jetzt auf der Basis der genau der, der die Sicherheitslage, die wir diskutiert haben, sehen, ist Zusammenarbeit, eine organisierte, koordinierte Zusammenarbeit, die große Herausforderung.

00:15:08:01 – 00:15:34:00
Dr. Andreas Rohr
Oder es ist da, wo wir am meisten gewinnen können aus meiner Sicht. Das kann ich jetzt als große Herausforderung sehen, weil sich über die letzten Jahre die Bereitschaft, also gerade weil bei den Verfassungsschutzämtern und beim BSI sowieso schon seit längerem, aber auch in Gänze sich gezeigt hat, dass sie offener sind, auch mit Industrie und Wirtschaft Dinge zu teilen und nicht nur ich sage mal nachzufragen, Was ist denn bei euch los?

00:15:34:02 – 00:15:57:09
Dr. Andreas Rohr
Und es geht auch in die andere Richtung. Ich glaube aber, dass das ausbaufähig ist und es insbesondere auch die Trennung zwischen und den den föderalen Strukturen, also die Landeshoheiten versus Bundeshoheit ist sicherlich etwas, was. Eine ein oder anstelle ein Hemmschuh darstellt, so wie es aktuell organisiert. Ich meine das aus gutem Grund mal so organisiert worden, aber ich will das gar nicht.

00:15:57:11 – 00:16:40:20
Dr. Andreas Rohr
Sozusagen Abrede stellen. Allerdings ist die Effektivität der Zusammenarbeit Landes und Bundesstellen nicht so gut, wie sie sein könnte. Ich glaube, da sind wir an einer Stelle bürokratisch in einem Zusammenhang und dann magister man sich nur mal an das Wimmelbild für unsere Organisation in Deutschland erinnern von der Frau von der Stiftung für Neue Verantwortung, Was er da regelmäßig aktualisierte, Da sieht man eigentlich Teil des Problems, das heißt da eine Konsolidierung und möglicherweise auch eine straffere Führung, was denn tatsächlich die Intention des Staates ist, zusammen mit anderen zivilgesellschaftlichen oder oder auch unternehmerischen Elementen zusammen zu arbeiten.

00:16:40:20 – 00:16:44:23
Dr. Andreas Rohr
Ich glaube, da haben wir eine Chance, noch deutlich besser zu werden.

00:16:45:00 – 00:17:05:16
Prof. Norbert Pohlmann
Wenn wir jetzt mal ein bisschen konkreter werden. Also noch mal genau, was müssen wir tun, um mehr IT Sicherheit zu erlangen? Also, und sagen wir mal, was sind die, die die die Cyber Sicherheitsmechanismen jetzt auf einer personell organisatorischen, aber auch auf einer technischen Ebene Genau und da macht ihr ja jetzt relativ viele für viele Firmen was sind denn so die?

00:17:05:16 – 00:17:14:13
Prof. Norbert Pohlmann
Die, die die Herausforderung, was man wirklich umsetzen muss, um halt jetzt mehr Sicherheit erlangen zu können.

00:17:14:15 – 00:17:39:10
Dr. Andreas Rohr
Solange wir das so sagen, weil ich wieder vielleicht an anderer Stelle ist, gibt’s eigentlich bei fast jeder Organisation bei Hausaufgaben Themen, die mich auf dem aktuellen Stand halten, sich darüber klar werden, welche kritischen Geschäftsprozesse man hat, die vielleicht auch in einem Backup Konzept besonders berücksichtigen und sicherstellen, dass das vielleicht auch überprüft. Der Zustand ist, dass man sich wiederherstellen kann.

00:17:39:12 – 00:18:13:21
Dr. Andreas Rohr
Diese ganzen Vorsorge und und und. Hygienemaßnahmen, den es jetzt mal auch außer dass ein Passwort Sicherheit und und auch ich habe auch wenn es von von von Mitarbeitern auf der einen Seite das sind diese klassischen Hausaufgaben, die schon die letzten 20 Jahre irgendwie hatten, sowieso so gemacht werden sollen, wenn man das ernsthaft betreibt und und eben nicht, ich sage mal dunkle Ecken, wenn ich sage mal, die da vor sich hin gammeln, irgendwie zuzulassen, dass das ist sozusagen der, der der sexy Schwester von dem, was man tun sollte.

00:18:13:23 – 00:18:49:24
Dr. Andreas Rohr
Darüber hinaus, es ist glaube ich, wenn man ein bisschen moderner drauf schaut, es notwendig, dass man annimmt, dass man keine hundertProzentige Sicherheit herstellen kann. Man kann sich mit den ganzen vorgenannten Hygienemaßnahmen sehr gut aufstellen, um die. Gutes Management seiner IT haben, seiner Partner oder seine Schnittstellen usw. Aber wenn man annimmt, dass Angriffe trotzdem initial erfolgreich sein können, was wir jeden Tag sehen, dann ist sozusagen die Detektion und Fähigkeit, also Dinge sichtbar zu haben und noch viel wichtiger, darauf reagieren zu können, ein ganz wesentliches Thema.

00:18:49:24 – 00:19:17:04
Dr. Andreas Rohr
Und das läuft seit unter dem Stichwort Security Monitoring und Instant Response, dass man da sich entsprechende Prozesse und Fähigkeiten schafft, Angriffe überhaupt zu erkennen, wenn sie denn mal erfolgreich sind und dann auch darauf zu reagieren. Und. Einhergeht das quasi aus einer. Sozusagen. Wenn man ein bisschen die Zukunft schaut, dann sind Angreifer aber derzeit noch nicht bezwungen, weil sie immer noch erfolgreich genug sind.

00:19:17:04 – 00:19:53:23
Dr. Andreas Rohr
Gerade die ganz motivierten, mit klassischen Mitteln voranzukommen. Dass sie irgendwann umschwenken werden, auch auf Nutzung von, ich sage mal Automatismen, die jetzt nicht KI sagen, aber dazu außer Konkurrenz um die nutzen schnellere Abfolge von Angriffen zu haben. Und das bedeutet, dass wir anfangen müssen, ähnlich zu denken, auch wenn es vielleicht heute noch nicht zwingend notwendig ist. Aber wenn wir erst anfangen, uns Gedanken zu machen, wie wir uns selber automatisieren können und mit der Hilfe von KI für bestimmte Analyseschritte oder Detektion, dann werden wir da für einen gewissen Zeitraum uns als Hintertreffen gelangen.

00:19:53:23 – 00:20:19:21
Dr. Andreas Rohr
Und da müssen wir jetzt anfangen, uns mit der Rolle von KI ja jede Menge Fallstricke, auch vielleicht Bedenken mit sich bringt, die quasi jetzt zu adressieren, so dass wir dann wie Sie brauchen, so in zwei, drei Jahren spätestens, dass wir die dann auch zur Verfügung haben in einer Art, wo wir sagen, das können wir souverän betreiben da ein was passiert und der findet jetzt nicht irgendwelche Leaks nach außen statt, nur weil man irgendwie so, sondern so ein KI Algorithmus hat die benutzt.

00:20:19:23 – 00:20:44:21
Dr. Andreas Rohr
Das sind Themen, die wir uns jetzt vornehmen müssen. Und davon, wenn wir das mal weglassen, ist dazu auch eingangs gesagt, dass Kooperation und Community ein ganz wesentlicher Punkt und das schließt aus meiner Sicht den Start mit ein, Das heißt, die, die die beidseitige Versorgung mit Dingen, die man voneinander lernen und wissen kann, spielt eine ganz wesentliche Rolle. Da helfen wir aber auch Branchenverbände.

00:20:44:21 – 00:21:14:13
Dr. Andreas Rohr
Und ich würde mir wünschen, dass der Staat sozusagen seine Sicherheitsarchitektur, wie es die Cyberabwehr, Zentrum und andere Themen insofern modernisiert, als dass es eine bessere Durchlässigkeit gibt zwischen Industrie, Wirtschaft, damit als auch sozusagen zivilgesellschaftlichen Fähigkeiten, die da sind, aber eben auch unseren Sicherheitsbehörden. Und ich glaube, dass da diese Einbahnstraße, die wie sie lange Zeit existierte, jetzt sich aufweicht.

00:21:14:13 – 00:21:50:20
Dr. Andreas Rohr
Aber dass wir dadurch, glaube ich, schneller und und auch tiefgreifender vorangehen können. Und zuletzt glaube ich, dass die. Dass niemand, dessen Kernkompetenz nicht IT und Security ist, wirklich gut aufgestellt ist, wenn es um um den den eigenen Schutz geht und man tatsächlich drüber nachdenken sollte, auch das wie in einem Partner Ökosystem zu betrachten und sich professionelle Unterstützung zu holen für das, was ich immer gerne so Hausaufgabenservices, dass man sich auf sein eigenes Business, seine eigenen Prozesse, seine eigenen kritischen Dinge konzentrieren kann.

00:21:50:22 – 00:22:17:04
Prof. Norbert Pohlmann
Was anfangs gesagt, dass man diese STANDARD Themen wie Passwortsicherheit und und Updates, dass das immer noch eine große Herausforderung ist und das schon seit 20 Jahren. Genau. Warum tun die Firmen sich so schwer mit diesen Basis Dingen, die wir seit 20 Jahren predigen? Die umzusetzen? Was ist der Grund? Warum haben wir das nicht im Griff? Oder warum sind wir da nicht halt auf Stand der Technik?

00:22:17:06 – 00:22:59:02
Dr. Andreas Rohr
Ich glaube, dass das was mit mit Priorität und mit Komplexität zu tun hat, mehr. Alle historisch gewachsene Infrastrukturen, Dienste usw. Und wenn man anfängt moderne, also passwortlose Dinge zum Beispiel einzuführen, wird man recht schnell feststellen, dass einem das quasi in Produktionsumgebungen oder produktionsnahen Dingen häufig nicht gelingt, weil da einfach teilweise Urwald, Technologie und Software da ist. Die die man quasi kompatibel halten muss und muss, man sich selber kompatibel halten muss und dann gibt es halt alle Sorten von und ich will das gar nicht Ausreden nennen, aber sozusagen Rahmenbedingungen, die eine durchgängige Verbesserung im ersten Blick irgendwie verhindern.

00:22:59:04 – 00:23:26:11
Dr. Andreas Rohr
Und ich denke, dass die die Komplexität, Dinge unterschiedlich zu machen, ein möglicher Grund dafür ist und natürlich auch der das ist sehr glaube es ist schon noch immer mal gut gegangen. Das finde ich jetzt nicht die goldene Lösung, die vielleicht sogar glaubhaft machen sollte, wo er sagt okay, die dieses Geld jetzt für die Goldrand Lösung, die spare ich mir und und mach dann das was damit zwingend notwendig ist.

00:23:26:13 – 00:23:55:20
Dr. Andreas Rohr
Und ich glaube, dass die die Beschäftigung mit Security als integraler Bestandteil einfach noch mal mehr auch in die Entscheidungskörper rein muss, damit das nicht nachträglich gebaut wird, weil dann funktioniert die Welt einfach nicht. Das heißt, wir müssen das über die Design. Phasen hinweg versuchen zu implementieren und dann Legacy durchaus mal Legacy sein lassen. Also so was wie Produktion und dann gut, dann ist das halt so und ich werde das auch nicht ändern.

00:23:55:20 – 00:24:16:02
Dr. Andreas Rohr
Aber dann muss ich halt einen anderen Weg wählen als ich habe eine Folie, die dritte Legacy in meinen meine Standardbetriebsprozesse und dann trenne ich ganz bewusst auf und nehme auch Nutzer, ich sage mal, Annehmlichkeiten, die dann nicht mehr da sind, weil es halt nicht Politik wird. Das in Kauf und sage ich habe jetzt zwei Welten, eine, die, die kriege ich nicht wirklich gut sicher gemacht, die schützt mich.

00:24:16:02 – 00:24:44:24
Dr. Andreas Rohr
So ein bisschen und da ist es nicht ganz so schön, da hinzugehen. Habe ich auch Schutzkleidung, wenn ich in Produktion gehe, da habe ich im Büro auch nicht oder nicht? Kann man sich das da auch vorstellen? Und dafür aber die neue Generation von Sachen für den Betrieb in irgendeinem Cloud oder Ab und und eigenem Rechenzentrum, dass man da vielleicht modernere Mechanismen wie SEO Trust und und ordentliche Authentication, Passwort Lose Mechanismen einbaut, um die ersten Sektoren einfach deutlich schwerer zu machen.

00:24:45:01 – 00:25:11:04
Prof. Norbert Pohlmann
Wenn wir jetzt einen kurzen Moment über Zahlen nachdenken oder sich gerne die Zahlen, die durch Cyberkriminalität entsteht, das sehen wir in den Studien. Das sind ja auch Schaden von 176 Milliarden nur in 2024. Und wenn wir dann sehen, dass nur nur 11,2 Milliarden in IT Sicherheit investiert worden ist, liegt das auch daran, dass wir zu wenig Geld ausgeben oder so?

00:25:11:04 – 00:25:24:05
Prof. Norbert Pohlmann
Aber die Frage ist, wenn wir jetzt doppelt so viel Geld ausgeben würden, würden wir dann halt den Schaden auch auf die Hälfte reduzieren können? Oder sind solche Rechnungen nicht erlaubt oder.

00:25:24:07 – 00:25:56:11
Dr. Andreas Rohr
Erlaubt es erst mal alle Rechnungen, dass sie die mitrechnen, Sie dazu sagen wir, das ist auch der Ausblick. Auch in zwei drei Wochen auch auch mal das diskutiert im Nebengespräch die also psychologische sozusagen Fragestellung Kann ich den Schaden halbieren, indem ich irgendwie meine Aufwände verdopple? Das wäre schön, weil gerade bei dem Vergleich von dem, wie zwei oder 3 Milliarden zu wie 200 oder 210 lässt sich besser rechnen.

00:25:56:13 – 00:26:38:07
Dr. Andreas Rohr
Dann habe ich irgendwie dann den 70 fachen, also sozusagen Return on Investment, wenn ich sozusagen das über umrechnet und die Rechnung darf man so nicht machen, aber lange Rede, kurzer Sinn Ich glaube, dass 111 moderate, moderates Anheben oder weniger zurückhaltenden Investitionen was Security angeht, auch in der Designphase in zulegen. Gut Fähigkeiten, das muss gar nicht verdoppelt sein. Würden signifikante Anhebung des oder kann eine Anhebung der Security, wo es am Ende haben, weil ich Dinge einfach durchgängig und vollständig mache, anstatt halt nur da, wo es gerade angezeigt ist.

00:26:38:09 – 00:27:23:22
Dr. Andreas Rohr
Und daher kann durchaus die Hürde für Angreifer damit so signifikant erhoben werden, dass man tatsächlich die Angreifer zwingt, evolutionär sich deutlich weiterzuentwickeln. Und da werden Gruppen, die nicht besonders schlau oder oder fortgeschritten sind, auf der Strecke bleiben. Das heißt, man kann da möglicherweise die Diode in einer Art und Weise zerlegen, dass Gruppen, die wir regelmäßig sehen, wo man sich fragt, warum die das eigentlich nicht ordentlich machen, ihren Job machen soll, über die Schulter guckt oder bei Vorfällen ist und feststellt, dass sie eigentlich sozusagen eher nach Skript vorgehen und und wenn sie da nicht weiterkommen, das noch dreimal probieren und dann trotzdem wieder scheitert und dann einfach von dannen ziehen, obwohl alles auf der Hand liegt,

00:27:23:24 – 00:27:49:09
Dr. Andreas Rohr
wenn man ein bisschen Ahnung hat, was man hätte tun müssen. Und wenn man da quasi einfach tatsächlich die Schrauben, dann schließt man diese Art von ich sage mal viel von wirklich guten Gruppen einfach aus. Und dann gibt es noch die Hälfte der Gruppen. Das könnte ein Effekt sein und das habe ich die These aus dem Grund unterstützen würde, dass da einfach eine Erhöhung der Security Ausgaben möglicherweise systematisch dazu führen kann.

00:27:49:09 – 00:28:15:04
Dr. Andreas Rohr
Aber dafür gibt es, glaube ich, Wissenschaftler, die diese Dynamiken deutlich besser. Beschreiben können als ich, wäre aber makroökonomisch gesehen auf jeden Fall eine Überlegung wert. Auch vielleicht mit der Bundesregierung und und ihrem ihrer Idee in Richtung Resilienz und Cybersecurity mehr zu investieren. Ähm mal vorzutragen und sagen okay, wie können wir das denn auch insbesondere für die öffentliche Daseinsvorsorge nutzen?

00:28:15:04 – 00:28:33:11
Dr. Andreas Rohr
Also spielen und Landes und und sonstigen Behörden, die ja sogar da Dienste erbringen, weil das ist zumindest mal etwas für die Stabilität und auch für das Zutrauen in Demokratie und wichtig da mehr zu tun. Und da könnte genauso ein Ansatz helfen.

00:28:33:13 – 00:29:05:17
Prof. Norbert Pohlmann
Nur hat es eben schon mal erwähnt, dass KI möglicherweise helfen wird, uns in der Zukunft besser zu schützen. Du hast es ja auch selber während der RSA Konferenzen Vortrag gehalten. Hast dargestellt, dass sie die CSU mit einem Kalispezialisten aus dem Silicon Valley zusammenarbeiten wird. Kannst du da ein bisschen konkreter noch mal kurz aufzeigen, wo ihr jetzt die meisten Effekte seht, wo KI helfen kann, die Wirksamkeit von vorhandenen Anti Sicherheits mechanismen zu verbessern?

00:29:05:19 – 00:29:37:20
Dr. Andreas Rohr
Also ich glaube, dass wir und das muss jetzt nicht zwingend aus dem Silicon Valley sein, es gibt ja auch gute Gutes, da haut innerhalb von Europa, warum machen wir das mit mit dem amerikanischen? Wenn ich das Studio, um genau zu sein es hängt im Wesentlichen damit zusammen, dass wir in einem Prototypenstadion eigentlich prüfen wollen, was denn eigentlich Ansätze, die sich auch eignen, gute Qualität zu liefern.

00:29:37:20 – 00:30:11:17
Dr. Andreas Rohr
Weil das aber nur KI per se ist, erst mal kein Heilsbringer, sondern es gibt ganz viel Potenzial und das aber mit angemessener Qualität zu unterfüttern und, und das ist eigentlich ein wichtiger Teil zu überlegen, wie kann ich das eigentlich souverän betreiben und für mich auch möglicherweise in geschlossenen Umgebungen nutzbar machen, Dass das, was wir da ausprobieren wollen und der, der der Benefit für die Gegenseite, also das Studio ist tatsächlich von uns aus einer Praxis, sich zu lernen, was wir glauben, welche Probleme zu lösen sind.

00:30:11:23 – 00:30:41:14
Dr. Andreas Rohr
Das muss nicht aus einer reinen Ich bin jetzt hier nennenden Gründer und habe mir jetzt ein Produkt überlegt und jetzt komme ich mal, was der Markt dazu sagt, sondern tatsächlich hier zu schauen aus der Praxis eben kommend wie kann ich oder was ist eigentlich notwendig, um in Summe besser zu werden? Also wir sind eher getrieben von Was sind denn eigentlich unsere gäbe es ja auch quasi nicht so reife Organisation, also Mittelstand oder auch öffentliche Verwaltung IT zu schauen, was brauchen die eigentlich?

00:30:41:14 – 00:31:02:18
Dr. Andreas Rohr
Und das sind eben nicht die Goldrand Saas Services möglicherweise, die die großen Plattformbetreiber irgendwie haben, sondern tatsächlich etwas, was man auch in verdaubarer Form kaufen kann. Und da diese diese ich sag mal Prototypisierung und die Themen so zu bauen, dass man einmal schaut, was was taugt und was ist eigentlich der nächste Schritt, um das in einer souveränen Form zu machen?

00:31:02:18 – 00:31:39:07
Dr. Andreas Rohr
Und ich glaube, dass wir in Europa da Nachholbedarf haben. Und wir haben uns entschieden, aufgrund der aktuellen Norm Verteilung auf der Welt das dort zu proben und das nach Deutschland zu transferieren und und hier zu schauen, wie kann man das aus der sowohl in sich betreiben und dann spielen. Auch das auch auf auf der Seite mit Thomas von geredet also von sich und wir sind uns auch einig, dass wir an der Stelle einfach möglicherweise die Agilität von Releases und die Skalierbarkeit von sowas wie der Telekom bekommen miteinander kombinieren sollten.

00:31:39:09 – 00:32:02:11
Dr. Andreas Rohr
Und dafür ist einfach auch Experimentieren notwendig. Und wenn Gelder aus einer aus einem Venture Studio dafür zur Verfügung stehen, dann können wir das möglicherweise. Und dann ist das auch schneller als ich sage mal, irgendwelche Forschungsanträge oder oder andere Sachen, die der Staat ja machen könnte, abzuwarten, weil die reden wir über Monate und eben nicht über Jahre.

00:32:02:13 – 00:32:27:18
Prof. Norbert Pohlmann
Wir sind jetzt zum Abschluss noch mal überlegen würde es was würdest du denn unternehmen, die sich jetzt schützen wollen oder müssen? Also unsere KMU’s, unsere Hidden Champions? Was würdest du denn Unternehmer sagen wollen? Was erste Zweitens, drittens ist, was er wirklich tun muss, um halt sich deutlich besser gegen Angriffe zu schützen und damit halt ja seinen Fortbestand aufrecht zu halten.

00:32:27:20 – 00:33:17:10
Dr. Andreas Rohr
Zunächst mal würde ich den Entscheidungsträgern oder dem Vorstand, dem Eigentümer mitgeben, dass Cyber Security kein Projekt ist. Also das als integraler Bestandteil oder kontinuierlichen Prozess begreifen, dass es zumindest für die für diese gerade nicht sehr IT affinen, also deren Kernkompetenz jetzt nicht um IT oder Software ist, bei Unternehmen durchaus schon häufiger begegnet, dass erst mal nichts technisches und das zweite, was ich im Prinzip und das habe ich eingangs oder zwischendurch auch schon mal erwähnt, glaube, dass die neben den den Hygiene Hausaufgaben tatsächlich die Investition in Detektion und Reaktionsfähigkeit und Resilienz, also sich auch mal was passiert ist, davon auszugehen kann was passieren.

00:33:17:12 – 00:33:34:23
Dr. Andreas Rohr
Dann muss ich halt wissen, was ist mir besonders wichtig, In welcher Reihenfolge und welche Fähigkeiten brauche ich, um reagieren zu können oder mich wieder aufstellen zu können, so dass ich den den Schaden, der entsteht durch Ausfall. Ich kann nichts mehr für meine Kunden tun, die können mich nicht erreichen usw. Ich kann keine Produktion steuern, dass ich den so klein wie möglich halte.

00:33:35:03 – 00:33:58:11
Dr. Andreas Rohr
Und wenn ich von dieser Decke komme, dann werde ich wahrscheinlich auch feststellen, dass ich meine Schwachstellen also nicht im Sinne von Sicherheits Schwachstellen, sondern Schwachstellen im Prozess in meinem Verständnis löse, was mich automatisch dazu bringt, Erkenntnisgewinn zu haben, der dann mal als Unternehmer oder unternehmerische Verantwortung tragende Personen dazu bringt, sinnvollere Dinge zu tun, als das vielleicht bisher bereits kostet.

00:33:58:11 – 00:34:20:14
Dr. Andreas Rohr
Irgendwie viel. Aber festzustellen, welche welche Rolle das eigentliche Business Prozess spielt, dass man halt resilient ist, das merkt man erst dann, wenn man es nicht mehr hat. Und das ist halt ein abstraktes Risiko, was nicht so gut zu greifen ist wie ein Zulieferrisiko und Finanzrisiko und Marktrisiko, das können ja alle in und auswendig. Dann so Bauchgefühl. Für Ihr Cyber Cybersecurity müssen Sie das noch lernen.

00:34:20:16 – 00:34:32:11
Dr. Andreas Rohr
Das werden wir haben. In den nächsten zehn Jahren glaube ich, das ist unausweichlich, auch mit den nachwachsenden Generationen. Aber bis dahin muss man sich da vielleicht systematischer mit beschäftigen, als sie das aktuell tun.

00:34:32:13 – 00:34:39:19
Prof. Norbert Pohlmann
Andreas Wir sind am Ende angekommen. Vielen Dank für deine Einschätzung. War jetzt alles sehr kurzlebig und noch mal vielen Dank.

00:34:39:21 – 00:34:41:22
Dr. Andreas Rohr
Besten Dank für dass es dabei sein durfte.