Claudia Plattner im Gespräch mit Professor Norbert Pohlmann

Norbert Pohlmann: 00:00

Herzlich willkommen auf dem Marktplatz IT Sicherheit. Mein Name ist Norbert Pohlmann. Ich spreche mit wichtigen Persönlichkeiten über, die Lage der IT Sicherheit, neue Bedrohungen und Angriffe, innovative IT Sicherheitsmechanismen und die Umsetzung von mehr IT Sicherheit für unsere digitale Zukunft im Podcast Köpfe der IT Sicherheit. Also ich freue mich sehr, dass für die erste Ausgabe Köpfe der IT Sicherheit Claudia Plattner, dass ich Claudia Plattner gewinnen konnte und Claudia Plattner ist seit dem ersten Juli zweitausenddreiundzwanzig Präsidentin des Bundesamts für Sicherheit in der Informationstechnik und liebe Claudia, bitte schilder doch erst mal kurz, wie Du zur IT Sicherheit gekommen bist und welche Gestaltungsmöglichkeiten dir die Rolle als BSI Präsidentin bietet. Nee, damit kann man schon

Claudia Plattner: 00:51

‘n ganzen Podcast an sich führen mit dieser Geschichte. Erst mal ganz vielen lieben Dank für die Einladung. Ich freu mich sehr, hier zu sein. Und ja, ich sag auch gerne was dazu, wie ich denn hier gelandet bin. Ich komm eigentlich aus der aus der IT und da dann vorher eigentlich aus der Mathematik.

Claudia Plattner: 01:06

Also ich hab Mathe studiert, also gar nicht Informatik und bin dann aber so nach der Dotcom Blase sozusagen in die IT reingerutscht, wenn man so will. Habt ihr auch von der Pike auf gelernt und war jetzt so die letzten ja Jahrzehnte gefühlt immer im Bereich IT Management. Also es kommt aus der klassischen CIO Rolle eigentlich und nicht so sehr aus der CISA Ecke, also mehr aus der Digitalisierungsecke als aus der Sicherheitsecke, wenn man so will. Und ja, dann war ich zufällig also auch schon in einer öffentlichen Institution, wenn auch einer europäischen, nämlich der EZB. Und dann kam eines Tages ein Anruf aus dem Innenministerium hier der Bundesrepublik Und die sagten, Frau Plattner, wir hätten hier ‘n Thema, würden Sie mal vorbeischauen.

Claudia Plattner: 01:45

Und ja, der Rest ist Geschichte. Seit dem ersten Siebten dreiundzwanzig, Du hast es grad schon gesagt, bin ich, darf ich mithelfen, mich das Thema Cybersicherheit zu kümmern? So exklusiv für Sicherheit habe ich das vorher nicht gemacht, weil wie gesagt, ich hatte ja immer IT, für die Sicherheit natürlich eine Riesenrolle gespielt hat, aber eben halt nicht die einzig zentrale Rolle. Jetzt darf ich mich exklusiv dieses Thema kümmern und da ist auch wirklich noch genug zu tun. Und das mache ich in dieser Rolle Präsidentin des BSI.

Claudia Plattner: 02:12

Da gibt’s schon eine ganze Menge Gestaltungsspielraum. Jetzt ist die große Frage, worauf Du anspielst. Gibt auch manche Limitierungen, Politik ist Politik, die ist manchmal auch anstrengend. Das gehört aber mit dazu, aber grundsätzlich können wir sehr viel im BSI für dieses Land tun und das machen wir auch und das wollen wir auch.

Norbert Pohlmann: 02:27

Sehr schön. Genau, die erste Frage, die ich hier sehen wollte, ist genau, wie also beurteilst Du eigentlich die Lage der IT Sicherheit?

Claudia Plattner: 02:34

Die Frage krieg ich ganz, ganz, ganz oft und meine Antwort ist eigentlich immer die gleiche, nicht gut genug. Weil die Frage ist gar nicht so sehr, sind wir jetzt in ‘nem Ranking der größten Nationen auf Platz fünf oder auf Platz sieben oder auf Platz dreizehn? Ist eigentlich völlig wurscht, weil die Frage ist viel eher, sind wir gut genug? Und wenn man sich klarmacht, dass es nicht nur eine Frage dessen ist, wie verwundbar man potenziell ist oder wie angreifbar man potenziell ist und da haben wir sicherlich auch noch eine Schippe draufzulegen, sondern es hat auch was damit zu tun, wie attraktiv ist man denn als Ziel. Wenn man sozusagen einfach auch ‘n lukratives Ziel ist, wir sind immer noch eine ganz, ganz starke Wirtschaftsnation und damit ist natürlich auch irgendwo bei uns was zu holen in Form von Know how, in Form von von natürlich aber auch Geld, klassische Renten mehr Angriffe.

Claudia Plattner: 03:19

Dann muss man sich klarmachen, dass wir attraktiv sind und dann muss man auch klar konstatieren, wir haben nach wie vor ein gigantisches Problem im Bereich IT Sicherheit und insofern lautet mein Fazit eindeutig, noch nicht gut genug.

Norbert Pohlmann: 03:31

Noch nicht gut genug. Du hattest eben über ‘n Ranking gesprochen. Gibt’s ‘n Ranking zwischen Ländern und wenn ja, wie

Claudia Plattner: 03:37

sind wir da eingeordnet? Ja, es gibt verschiedene Rankings. Also die EU, die ENISA macht macht ein Ranking. Da gibt’s immer verschiedene Schwerpunkte. Es gibt auch verschiedene Indizes weltweit, in denen wir auch eingeordnet sind.

Claudia Plattner: 03:49

Das ist mal schlechter, mal besser, aber es ist definitiv nicht am unteren Ende, ja? Das ist das ist schon klar. Aber der entscheidende Punkt ist ja tatsächlich wirklich gut genug, Fragezeichen. Wenn irgendjemand sich quasi nicht gut schützt, resilienstechnisch nicht gut aufgestellt ist, aber auch nie angegriffen wird, das ist auch kein Problem. Wir werden halt sehr viel angegriffen.

Claudia Plattner: 04:05

Ja. Klar, wie unterstützt wir denn

Norbert Pohlmann: 04:07

zum Beispiel die Unternehmen, die sind nicht gut oder nicht gut genug, zu beurteilen? Also habt ihr Tools, Mechanismen, die die Unternehmen nutzen können, dann ihre eigene Level an IT Sicherheit festzustellen?

Claudia Plattner: 04:21

Ja, klar. Also unser unser primärer Job ist ja, insgesamt das Level wirklich an IT Sicherheit, an Cyber Resilienz wirklich nach oben zu bringen. So und dazu gehört gehört eine Menge. Da gehört auch übrigens nicht nur der Titel zu, sondern wirklich auch Prozesse, Menschen, das das ganze das ganze Spektrum. Und wir haben sehr, sehr viele Instrumente dafür.

Claudia Plattner: 04:38

Das geht los bei so Sachen wie ‘nem Cyberrisikocheck, wo man sozusagen den den Firmen, die die anderen, also dort den Sicherheitsfirmen etwas an die Hand gibt, womit sie ihre Kunden betreuen können. Und das funktioniert quasi wie son strukturiertes Interview mit ‘n bisschen mehr, wo man dann am Ende quasi rauskriegt, da steh ich. Und das ist das, was ich jetzt tun muss. Das ist ‘n superspannendes Instrument, kann ich echt nur empfehlen. Gibt auch noch ‘n noch ‘n Partner dazu, also son Ergänzungsthema aus Baden Württemberg.

Claudia Plattner: 05:06

Die haben jetzt etwas, nennt sich Cyber Sicherheitscheck. Das ist für die selbst aus für Selbstausführung eine Selbsterklärung. Da also da gibt’s eine Menge Methoden, nicht nur von uns, sondern auch von anderen. Das ist mir auch wichtig, dass das immer auch schön ineinandergreift. Aber es gibt auch bis hin zu Managementhandbüchern.

Claudia Plattner: 05:20

Also wir haben auch Managementhandbuch, was quasi ‘nem CEO mal erklärt, wie er denn ‘n vernünftiges Gespräch mit ‘nem Saison führt, welche Fragen er denn stellen muss, was denn wichtig ist, worauf er achten muss oder Sie, gerne Sie. Also das ist uns ganz wichtig, so wirklich diese ganze Bandbreite anzubieten von hier ist ‘n kleiner Mittelständler, der braucht das. Da ist ‘n Großunternehmen, die brauchen das. Da ist ‘n einzelnes CEO, der braucht das. Wir bieten ganz viel Hilfe und Kooperation an, denn am Ende des Tages müssen die Firmen sich alle schützen.

Claudia Plattner: 05:48

Die müssen das auch ‘n Stück weit selber machen und wir versuchen ihnen dabei zu helfen, dass sie das möglichst gut hinbekommen.

Norbert Pohlmann: 05:53

Gibt es denn aus eurer Sicht Bereiche, die jetzt besonders betroffen sind oder besonders gefährdet sind?

Claudia Plattner: 05:59

Also für mich immer, ich sag immer die KMUs. Die kleinen und mittleren Organisationen. Es sind nicht nur die KMUs, also nicht nur die Unternehmen, sondern eben halt auch die Institutionen. Und also alles, was so so so klein- und mittelgroß ist, ist ganz oft, Stand heute, noch nicht in der Lage, sich entsprechend ausreichend zu schützen. Das gilt für öffentliche Institutionen wie Kommunen Kommunen zum Beispiel, Universitäten, Krankenhäuser eben halt genauso wie für mittelständische oder kleine Unternehmen.

Claudia Plattner: 06:23

Da ist ganz oft, da gibt’s ‘n paar Leute, die sich die IT kümmern. Da gibt’s aber nicht wirklich dieses Thema Cybersicherheit in Form von entsprechenden Menschen, die das wirklich auch entsprechend nachverfolgen können, sich drum kümmern können, Tools einkaufen, Monitoring aufsetzen. Und das sind die, die uns tatsächlich am Ende des Tages am meisten Schwierigkeiten machen, weil das sind spannende, lukrative Ziele oft mit ‘nem ganz, ganz großen Know how. Deutschland lebt von wirklich ‘nem den den Champions im Mittelstand, aber eben halt nicht unbedingt im Bereich der Cybersicherheit schon so gerüstet, wie wir das eigentlich brauchen. Also KMUs sind unser großes Sorgenkind.

Norbert Pohlmann: 06:56

Wenn wir jetzt mal son anderen Blickwinkel auf das, was grade da draußen so passiert ist, das Investment. Also genau, wie siehst Du, ist das Investment, was jetzt die KMUs oder die großen Unternehmen grade investieren in in in Cyber Sicherheit? Ist das groß genug oder Potenzial nach oben?

Claudia Plattner: 07:15

Ja, ich glaube, wir haben da Potenzial nach oben und wir haben da auch Potenzial nach oben wirklich in in im ganz positiven Sinne. Also wir haben die Zahlen des Bitkom, die zieh ich dabei immer gerne gerne zu Rate. Bitkom Verband schätzt die Schäden durch Cyberkriminalität in Deutschland in zwanzig vierundzwanzig auf einhundertneunundsiebzig Milliarden. Das ist eine astronomische Zahl. Das sind über vierzig Prozent des Bundeshaushalts.

Claudia Plattner: 07:37

Das muss man sich mal mal klarmachen, meine ich jedenfalls. Hab den letzten Zeit Egal, irgendwas in der Richtung. So. Ja. Und jetzt haben wir vergleichsweise dazu auch für den Bitkom haben wir Investitionen in Cybersicherheit, die auch gewachsen sind.

Claudia Plattner: 07:49

Ich meine jetzt von elf Komma drei Okay. Komma sechs drei. Wunderbar. Du kennst die Zahl perfekt. Also elf Komma drei.

Claudia Plattner: 07:56

So, da ist ‘n da ist ‘n Faktor dazwischen. Faktor fünfzehn, sechzehn, keine Ahnung, ich hab’s nicht gedacht, nur überschlagen. Und für mich an der Stelle ganz klar, wenn wir mehr in Cybersicherheit investieren würden, würde in deutlich höherem Maße die Zahl der Schäden nach unten gehen. Wir hätten immer noch eine richtig, richtig positive Bilanz. Wir würden deutlich mehr rausbekommen, wenn wir ‘n Ticken mehr investieren würden.

Claudia Plattner: 08:18

Das ist eine Rechnung, die sich wirklich lohnt. Das ist ‘n Business Case, den man eigentlich nicht ausschlagen kann als Nation.

Norbert Pohlmann: 08:22

Aber sagen wir’s mal, ‘n bisschen mehr. Also sagen wir mal, wenn ich jetzt mal eine Annahme treffen würde, würden statt elf Milliarden zweiundzwanzig Milliarden investieren. Zum Beispiel? Genau. Hätten wir dann direkt nur neunzig Milliarden Schaden, hätten wir dann nur fünfzig Milliarden oder nur zehn Milliarden.

Claudia Plattner: 08:37

Ich wage nicht, diese diese Prognose zu treffen. Was ich Ich bin aber sehr überzeugt davon, dass es mehr als zehn Milliarden oder elf Milliarden, genau zu sein, sein werden, die wir dann dabei an Gesamtschaden sparen würden. Also elf Milliarden zusätzliche Investitionen würden sicher mehr als elf Millionen Einsparungen in den Cyberkriminalitätsschäden bewirken. Da bin ich mir ziemlich sicher.

Norbert Pohlmann: 08:58

Wenn wir jetzt genau über Investitionen diskutieren und sagen, wir müssen auf jeden Fall mehr machen, also wenn Du jetzt, sagen wir mal, die alten Sicherheitsanbieter siehst, also die, die die Produkte Lösungen zur Verfügung stellt, was würdest Du denen denn sagen, was sie tun sollen, damit halt die Sicherheit besser wird?

Claudia Plattner: 09:18

Für mich ganz, ganz wichtig und das sag ich auch allen, die, mit denen wir uns da unterhalten, besetzt die Nischen bitte. Besetzt die Nischen und sorgt dafür, dass ihr grade auch moderne Technologien gut nutzbar macht. Also egal, ob das Cloud Technologien sind, ob das KI Technologien sind, Netzwerktechnologien, also überall dort, wo sozusagen im Zweifelsfall auch auch Hersteller, auch aus anderen Nationen eine große Rolle spielen, bringt dieses Add on, dieses Sicherheit made in Germany, dieses on top, dass einfach sagt, so kannst Du’s übrigens sicher verwenden und im Gegensatz zu so sind weiterhin Tür und Tor offen. Also dieser Teil wäre mir persönlich super-, superwichtig. Und ich glaube, da könnten wir richtig viel bei machen, weil wir haben ja eine Eigenschaft in in in in Deutschland.

Claudia Plattner: 10:02

Wir sind ja schon sehr genau und wir sind vielleicht auch ‘n bisschen paranoid, machen wir doch eine Tugend draus, ja. Also ich glaube, aus aus diesem aus diesem Gefühl für wo eine Gefahr lauern könnte, kann man mit dem technischen how, das wir in diesem Land haben, wir haben exzellentes technisches Know how in dem Bereich, wenn man das verbindet, kann man, glaube ich, diesen Teil der Wertschöpfungskette, diesen Sicherheitsteil der Wertschöpfungskette, den könnten wir hervorragend besetzen und das wäre auch meine Bitte an die Industrie, hier wollen wir euch. Hier könnt ihr richtig viel bringen. Und da können auch wir als BSI helfen, zu sagen, guck mal, hier, so kann’s gehen, ja? Das ist doch ‘n Das ist das ist eine Erfolgsgeschichte.

Claudia Plattner: 10:35

Das würde ich mir wünschen.

Norbert Pohlmann: 10:37

Ja, also das ist jetzt sone Ansprache an die IT Sicherheitsanbieter, dass sie halt mehr in die Nischen reingehen sollen. IT Security made in Germany ist ‘n Thema, was wichtig und richtig ist und souverän agieren zu können. Aber genau, was würde das BSI oder Du denn den Anwendungsunternehmen sagen, was sie tun müssen, halt ja besser geschützt zu werden?

Claudia Plattner: 11:01

Also ich befürchte den ganzen den ganzen Betreibern von von IT, ich will’s mal so nennen oder den Nutzenden, für die habe ich leider die relativ harte Botschaft, die da lautet, ihr müsst euch drum kümmern. Ihr müsst euch drum kümmern und es kostet Kraft und Ressourcen, da kommen wir nicht drum rum. Das in Partnerschaft mit guten Unternehmen zu machen, Sicherheitsdienstleisten, die euch dabei helfen können, ist klar, das ist das Gebot der Stunde. Aber nichtsdestotrotz, ihr werdet nicht darum ihr werdet nicht umhinkommen, euch darum zu kümmern, eure Systeme abzusichern, euch Asset Management zu kümmern, Patchmanagement, Business Continuity Management, alles fancy Wörter, aber im Wesentlichen geht’s drum, vorbereitet sein für, wenn was schiefgeht, Back ups haben, sicherstellen, dass man dass man neueste Softwarestände hat, Back ups wieder einspielen, üben. Das sind die Sachen, die mir der wichtig sind.

Claudia Plattner: 11:49

Und bei den kleinen Unternehmen sag ich immer, wenn eure IT nicht differenzierend ist, also wenn ihr sozusagen kein IT keine IT Bude seid oder für eure Produkte wirklich gute IT braucht, sondern einfach auch mit ganz normalen Dingen auskommt, wenn ihr in Handwerksbetrieb seid, dann bitte sucht euch ‘n guten Dienstleister, der das für euch macht und kümmert euch nicht drum. Lasst es Menschen machen, die sich drum kümmern können. Sorgt dafür, dass die euch sagen, wie ihr euch verhalten könnt, sicher unterwegs zu sein. Das ist mein Tipp für kleine Unternehmen. Lasst es jemand anders machen.

Claudia Plattner: 12:18

Kümmert ihr euch euer Geschäft, nämlich gute Leistungen zu erbringen. Geld zu verdienen, das ist ja euer Zweck und euer Job und das auch anderen zu übernehmen.

Norbert Pohlmann: 12:28

Also wir haben mal hier im Institut für Internetsicherheit eine Studie gemacht. Wir haben die ganzen DAX Unternehmen analysiert und haben halt festgestellt, dass bei den DAX Unternehmen jeder tausendste Mitarbeiter sich mit IT Sicherheit auseinandersetzt. Und wenn man das jetzt statistisch sieht, hat ‘n DAX Unternehmen im Schnitt hunderteinunddreißig Mitarbeiter in der IT Sicherheitsabteilung. Genau, deswegen können die sich halt gut schützen. Wir haben halt viele Dinge.

Norbert Pohlmann: 12:50

Genau, wenn ich jetzt son mittelständiges Unternehmen nehme, jetzt mal einfach zu rechnen und sagen, wir hätten jetzt hundert Mitarbeiter, dann würde das ja statistisch bedeuten, dass sie nur ein Zehntel Arbeitskraft in IT Sicherheit investieren, wenn das gleich ist. Die die Frage ist, haben wir denn genug Dienstleister, die diesen KMUs, wie Du die genannt hast, dann wirklich unterstützen können oder müssen wir da noch dafür sorgen, dass wir mehr Mittel oder dass wir mehr Dienstleister haben, die halt den Kleinstunternehmen helfen können, sich dann zu schützen, weil sie selber nicht die Ressourcen aufbauen können?

Claudia Plattner: 13:21

Ich vermute, dass wir noch nicht überall die richtigen Angebote im Markt haben. Das ist aber eine reine Vermutung. Also wenn ich mir vorstelle, ich bin son Unternehmen mit hundert Leuten, genau dein Beispiel und ich hab da im Prinzip ‘n Zehntel, das wird nicht funktionieren. Keine Chance. Mit den DAX vierzig, wir haben einen Kreis mit denen, mit den Cisos, wir treffen uns regelmäßig.

Claudia Plattner: 13:40

Das das ist eine Top Mannschaft, da kann man richtig was mit machen, Top Mann und Frauschaft, aber in ‘nem mit ‘nem Zehntel wird das nix. So und was brauchen die denn? Eigentlich bräuchten die ‘n IT Sicherheitsdienstleister nebendran, der sich komplett ihre IT Sicherheit kümmert. Was würde das denn bedeuten? Das würde bedeuten, dass Du nebendran jemanden hast, der in der Lage ist, mit deinem IT Dienstleister die Verbindungen herzustellen, die benötigt werden.

Claudia Plattner: 14:07

Also zum Beispiel, wenn Du wirklich selber Systeme betreibst, die hast Du bei ‘nem IT Dienstleister, dann dafür zu sorgen, dass zum Beispiel hier ‘n ‘n ‘n Log Server da ist, dass dann Monitoring drauf ist, dass da ‘n SOC hinten dran steht. So, die Firma mit ihrem Null Komma eins, ja, und dann von den hundert Leuten sind vielleicht noch fünf IT Leute dabei, die son bisschen was in in dem Bereich vielleicht können, aber natürlich keine Spezialisten sind. Die sollten dann ausschließlich dafür darin dafür zu sorgen, dass der Dienstleister, der die IT macht und der Dienstleister, der die Sicherheit macht, dass die vernünftig miteinander arbeiten. Das wäre dann der Job, Aber eigentlich sollte die IT bei Sicherheit an der Stelle komplett ausgelagert sein, aber sie muss halt mit der IT verzahnt sein. Und da bin ich nicht sicher, ob wir immer schon die richtigen Angebote im Markt haben, beziehungsweise dass die die Firmen auch erreichen und die wissen, wie dieses Spiel zusammen funktionieren könnte und was dann auch ihre Aufgabe und ihre Rolle darin wäre.

Norbert Pohlmann: 14:58

Kann man das irgendwie noch mal motivieren oder gäbe’s die Möglichkeiten, sagen wir mal, diese Notwendigkeit, dass wir mehr Dienstleister brauchen, die halt auch finanziell gesehen so gute Angebote machen, dass die Mittelständ sich das leisten können.

Claudia Plattner: 15:13

Also ich glaube, wir müssen da noch mal rein. Lass es mich mal so formulieren. Auf meiner To do Liste steht’s Ja. Im Sinne von prüfen, wo wo wo sind wir da? Was sind gegebenenfalls die Gaps?

Claudia Plattner: 15:24

Oft gibt’s ja schon viel mehr in den einzelnen Bereichen, als man selber immer so jetzt ganz klar vor Augen hat. Also vielleicht liege ich hier auch ‘n Stück weit falsch, glaub’s aber nicht. Unsere Daten zeigen durchaus dahin, dass da ‘n ‘n ‘n Lücke ist. Aber nichtsdestotrotz, da noch mal tiefer reingehen, auch miteinander schauen, mit auch den vielleicht auch den Verbänden da schauen, was gibt es? Wo ist da die echte Not?

Claudia Plattner: 15:44

Wie kann man die gegebenenfalls lindern und wie können wir als BSI auch helfen, dass diese Angebote entstehen, beziehungsweise wenn sie denn schon da sind, auch die Richtigen finden? Richtigen finden. Und das ist son bisschen der Punkt. Also wir wir wir machen ja nix im Markt, ne. Wir greifen ja nicht in den Markt ein und so, das ist ja alles überhaupt nicht unsere Aufgabe, aber vielleicht können wir auch als Matchmaker hier und da ein bisschen dienen oder Impulse entsprechend setzen.

Claudia Plattner: 16:05

Das ist etwas, was wir uns durchaus noch vorstellen können. Wir sind aber dann noch in der, ich sag mal, explorativen Phase, wie das vernünftig aussehen könnte könnte. Im Moment haben wir als Vehikel die die Allianz für Cybersicherheit, die schon mal supergut darin ist, Vernetzung herzustellen Und wenn Vernetzung da ist, dann finden die Menschen auch so zueinander. Also da versuchen wir schon ganz viel zu befördern, da auch Informationen reinzubringen, aber ich könnte mir vorstellen, dass man da noch mehr machen kann.

Norbert Pohlmann: 16:28

Welche Bedeutung hat für dich Open Source jetzt nicht nur für IT Sicherheit, sondern halt auch für, ja, ganz normale meinetwegen Office Pakete oder andere Dinge. Ist Open Source, wo wir uns mehr drum kümmern müssen oder spielt Open Source nicht sone bedeutende Rolle?

Claudia Plattner: 16:44

Also aus meiner Sicht spielt Open Source eine superwichtige und ganz, ganz große Rolle. Also da muss ich ganz klar sagen, ich bin erst mal ‘n Open Source Fan, ich bin aber auch ehemalige IT Managerin. Das heißt, ich weiß auch, was es bedeutet, Open Source in einer, ich sag mal, nicht supporteten Form zunächst mal ‘n Unternehmen managen zu müssen. Da gehört, Du musst ‘n Lifecycle managen. Du musst dich alle Themen selbstständig kümmern, die im Zweifelsfall von jemandem, der dir eine eigene Software gibt, von dort gemanagt werden.

Claudia Plattner: 17:13

Also sprich, da ist eine Lücke, wie wird die geschlossen, wie ist Information, wenn irgendwas Vorfeld, kriegst Du als Kunde eine Information. Also da ist schon da ist schon sehr viel dann auch selber zu tun. Die Möglichkeit, diese Lücke zu schließen, ist, Du nimmst irgendwas Open Source Basiertes und hast Du jemanden zwischendrin, der quasi dieses Management für dich macht. Also ‘n Distribierter, der entsprechend auch eine Veredelung quasi in dieser Supportfunktion, in den Managementfunktionen auch drauf gibt. Das ist ‘n supergutes Modell, das kann ich mir an vielen Stellen wirklich gut vorstellen.

Claudia Plattner: 17:42

Wir müssen aber auch dafür sorgen, dass die Sicherheit der Open Source Anwendung selber entsprechend auch sichergestellt ist und das bedeutet, wir müssen dafür sorgen, dass Open Source Programmierer im Zweifelsfall auch das Funding haben, das vernünftig zu machen. Denn ansonsten haben wir sehr schnell Situationen, die brandgefährlich werden können und ich erinnere nur an den XZ Vorfall. Das ist höchst gefährlich, weil Open Source natürlich auch eine entsprechende Verbreitung hat. Also ich bin entfernt von Open Source. Ich bin der Meinung, idealerweise sollten alle Firmen ihre Ressourcen offenlegen, alleine schon deshalb, weil wir dann im Zweifelsfall gemeinschaftlich drauf gucken können, wo’s da noch hängt.

Claudia Plattner: 18:18

Aber wir werden sehen, eins nach dem anderen, wir werden jedenfalls Open Source aktiv weiter begleiten und auch propagieren und fördern. Wir sind da erst mal grundsätzlich sehr dafür.

Norbert Pohlmann: 18:27

‘N anderes Thema, genau, Cybernation ist für dich, glaube ich, ‘n wichtiges Thema. Vielleicht kannst Du uns noch mal erklären, was Du jetzt unter Cybernation verstehst.

Claudia Plattner: 18:36

Ja, sehr gerne. Also das ist im Prinzip die, ja, die Strategie oder mehr oder weniger die Dachmarke, sag ich mal, die wir uns son Stück weit ausgedacht haben, als wir irgendwann mal angefangen haben aufzuschreiben, was müsste man denn eigentlich antun? So, und da kommt dann, ne, die berühmte DINA Null Tapete in Vier Punkt Schrift raus und dann stellt man fest, oh mein Gott, was ist ja das ist ja unglaublich, was da alles getan werden muss. Und wenn man dann noch mal genauer hinschaut, dann fällt immer auch sehr, sehr schnell auf, nicht alles in der Behörde. Das liegt definitiv nicht alles bei uns.

Claudia Plattner: 19:02

Das ist ja auch gut so, ne. Aber es wird sehr schnell sehr klar, wenn man da drauf schaut, wie wenig, nee anders, wie sehr wir einander brauchen, wenn das ‘n Erfolg werden soll. So, also wenn wir wirklich das Thema Cybersicherheit in Deutschland in den Griff bekommen wollen und das müssen wir meines Erachtens, müssen wir dann auch wollen, dann brauchen wir ein Miteinander. Wirklich von von Politik, Wirtschaft, Wissenschaft, Gesellschaft und dieses, okay, wenn wir im Prinzip ‘n ganzes ‘n ganzes Land son Stück weit in diese Richtung bringen müssen, dann müssen wir das zusammen machen und dann brauchen wir auch ‘n auch ‘n Dach, unter dem wir das tun und das ist die Cybernation Deutschland. Und wir haben dann die Maßnahmen dadrin gebündelt und gibt dann diese sechs Felder, Sei mal auf die Agenda heben, dafür sorgen, dass einfach jeder verstanden hat, vor allen Dingen auch die Chefinnen und Chefetagen verstanden haben, was das bedeutet, was sie tun müssen.

Claudia Plattner: 19:51

Resilienz erhöhen, das ist der Teil, den ich vorhin schon gesagt hab, das ist der Arbeitsteil, tut richtig weh. Der Teil Technologiekompetenz nutzen, also wirklich Technik antworten, auf Technik Fragen finden. Wir haben demnächst eine Initiative, Du erinnerst dich, unser E-Mail im Monat, ja, da geht’s technische Antworten auf Fragen wie Phishing. Wie löst man das technisch? Das wollen wir machen und dann Digitalisierung voranbringen, ja?

Claudia Plattner: 20:12

Nicht in diesem Legacy Limbo verharren, hier Legacy, da moderne Technologien und dieser dieser diese Bandbreite ist ganz schwer zu schützen. Cybersicherheit gestalten, also wie sehen die Produkte von morgen aus? Wie müssen heute technische Standards gemacht werden, damit die Produkte von morgen endlich sicher sind? Und last, but not least, wie kann man einen Markt dafür tatsächlich auch kreieren? Wie wie passiert da ein Ökosystem?

Claudia Plattner: 20:33

Was muss in der Wirtschaft passieren? Und da spielen natürlich dann die Sicherheitsanbietern auch eine riesige Rolle, aber da merkt man schon sehr schnell, Markt, wir sind eine Behörde, haben wir nicht so viel miteinander zu tun und trotzdem hat’s was mit den Problemen zu tun. Das ist die Cybernation dort.

Norbert Pohlmann: 20:46

Ja, also wenn ich jetzt mal sehe, also genau ein Punkt, den ihr immer beschreibt, ist ja Doppelarbeit zu vermeiden. Wenn man jetzt die DAX vierzig nimmt, die ja, sagen wir mal, im Schnitt hunderteinunddreißig Mitarbeiter haben, eigentlich machen die ja alle das Gleiche. Die sorgen für Sicherheit von von Linux, von von Microsoft, von von von Kommunikation und von von von Cloud Dienstleistungen. Also sagen wir mal, die die die Frage ist genau sone Organisation, dass man sagt, man bündelt Kompetenzzentren, die dann halt alle nutzen können, also sagen wir mal alle DAX Unternehmen, alle großen Mittelständler, aber auch die kleinen. Genau, wäre das organisierbar oder macht das gar keinen Sinn, oder?

Claudia Plattner: 21:26

Also es macht an Stellen garantiert Sinn. Also wenn mehrere Unternehmen sich zusammentun und zum Beispiel ‘n gemeinsames SOC bilden, kann ich nur sagen, ja, m’n paar Tageier. Also das ist definitiv, das das sind gute Ideen. Die DAX vierzig arbeiten schon relativ gut zusammen, muss man echt sagen. Die gehen auch mehr und mehr in die Frage, was können wir gemeinsam tun?

Claudia Plattner: 21:41

Da helfen auch wir son bisschen mit, dürfen da auch bisschen mitspielen. Wir haben eine Ration DAX vierzig Kreis gegründet, was mich total freut Und da helfen wir natürlich, wie gesagt, mit. Also die versuchen schon auch da an der Stelle zu finden, die Synergien zu finden. Insgesamt brauchen wir, glaube ich, dann noch deutlich mehr Zusammenarbeit auf allen Ebenen und wahrscheinlich auch übergreifend zwischen zum Beispiel eben halt den Großunternehmen wie DAX vierzig und auch den Mittelständlern. Ich sag immer, wenn ich in ‘nem in ‘nem Raum bin mit fünfhundert Leuten und ich frage, wer von euch hat sein IT Asset Management wirklich im Griff?

Claudia Plattner: 22:13

Dann geht immer drei Hände hoch. Und dann sage ich immer, ihr drei, euch brauche ich, weil ihr müsst es den anderen vierhundertsiebenundneunzig erklären, ja. Und da da ist, glaube ich, durchaus noch ‘n bisschen Luft nach oben, aber ich hab das Gefühl, auch da passiert was im Denken. Ich denke, das wird besser.

Norbert Pohlmann: 22:27

Ja. Also wenn ich halt immer wieder mal darüber diskutiere, dass ja die Unternehmen, sagen wir mal, jetzt insgesamt zukunftsorientiert sich überlegen könnten, dass sie sich halt zusammentun und den Anbietern sagen, hör mal, wir brauchen in der Zukunft meinetwegen 0 Trust oder andere Lösungen, dann haben wir immer halt auch das Problem, dass das ja auch gesetzlich nicht ganz so einfach ist. Wir haben ‘n Kartellrecht und Absprachen dürfen nicht getroffen werden. Gibt es da aus deiner Sicht irgendwie Möglichkeiten, das doch mehr zu forcieren oder vielleicht doch die gesetzlichen Rahmenbedingungen zu verändern, dass die Unternehmen ja, leichter miteinander kooperieren können und leichter miteinander die Dinge, ja, beauftragen können, die sie halt brauchen, sich besser schützen zu können?

Claudia Plattner: 23:11

Also meinem Verständnis nach, aber ich bin jetzt kein Jurist, ne, also alle Aussagen wie immer, alle Angaben wie immer ohne Gewähr. Mein Verständnis nach verbietet das Kartellrecht keine Zusammenarbeit, ja. Das ist, glaube ich, nicht das Thema. Und ich glaube, wir sollten auch an dieser Stelle nicht versuchen, in vorauseilendem Gehorsam irgendwo etwas rein zu interpretieren, was dort als Verbot gar nicht gegeben ist. Und ich kann mir nicht vorstellen, ich kann mir wirklich nicht vorstellen, dass meine Kollegen von vom Bundeskartellamt ein Problem damit grundsätzlich haben, wenn Menschen sich zusammentun, das Thema Cybersicherheit gemeinsam in den Griff zu bekommen.

Claudia Plattner: 23:47

Da gibt es sicherlich Grenzen, das ist gar keine Frage, aber wir reden ja hier nicht davon, dass man über die Cybersicherheit gegenseitig dann noch Preisaufsprachen macht, ja? Das ist ja gar nicht der Punkt, sondern man arbeitet in diesem Feld an der Stelle zusammen und ich glaube, das das geht, das gibt es recht her und ich glaube, man kann im Zweifelsfall da auch einen Dialog suchen, wenn man dann irgendwann tatsächlich mal an dem Punkt wäre, wo es ein Problem wird. Stattdessen sollten wir dieses Problem meines Erachtens nicht antizipieren, herbeireden und Sonstiges, sondern tatsächlich erst mal auf Kooperation und Gemeinsamkeit setzen Und wenn man dann wirklich feststellen, dass wir irgendwann ein Problem hätten, dann kümmern wir uns drum und da kann man sich auch darauf verlassen, dass auch ich dann mithelfe, in dem Dialog da eine gute Lösung zu finden, so ich mir, also so denn wirklich ein Problem da wäre, was ich mir, Stand jetzt, wirklich nur im Extremfall vorstelle kann.

Norbert Pohlmann: 24:31

Okay, also Du machst eher Mut und sagst, komm Ja. Und Macht.

Claudia Plattner: 24:35

Also ganz ehrlich, wenn sich ‘n paar Firmen zusammentun und ‘n gemeinsames Talk gründen, dann ist das keine Wettbewerbsverzerrung. Das kann mir keiner erzählen. Und also meiner bescheiden Meinung nach, ne, ich bin wie gesagt, ich bin kein Jurist, bin kein Kartellamt, sondern wahrscheinlich krieg ich jetzt Ärger, macht nix. Dann führen wir diese Diskussion, weil wir brauchen diese Zusammenarbeit. Und ich bin da eigentlich sehr zuversichtlich, ich mach da in der Tat Mut, tut das und dann sind wir weiter.

Norbert Pohlmann: 24:57

Ja. Wenn man jetzt was gesagt, also genau, alle müssen zusammenarbeiten, die Forschung, die genau, die Firmen, die Anbieter, die Anwender, genau, wie wie kriegt man das denn organisiert? Also genau, habt ihr da noch mal neue Modelle, wie man jetzt die, ja, also die Stakeholder der IT Sicherheit den wirklich an einen Tisch kriegt, die dann gemeinsam sagen, das ist unser Ziel, so wollen wir in fünf Jahren, in zehn Jahren sein und das sind die Maßnahmen, wie wir dahin kommen. Also jetzt neue Zusammenarbeitsformen, gemeinsam Ziele setzen und dann gemeinsame Maßnahmen definieren, damit dann auch zielgerichtet alle das Gleiche tun. Also gibt’s da schon Ideen, wie man das letztendlich umsetzen kann?

Claudia Plattner: 25:42

Ideen gibt’s, aber zunächst mal muss man sich ja auch klarmachen, Du kriegst ihn nicht alle in einen Raum, ansonsten ist der Raum unglaublich voll. Und das gilt dann auch sogar für die Frankfurter Festhalle oder was auch immer jetzt ‘n großes Gebäude ist. Also das, so viele Leute kriegst Du nicht an einen Tisch. Das wird nicht funktionieren. Was wir aber haben und Stand jetzt schon, sind verschiedene Kreise, in denen genau das diskutiert wird.

Claudia Plattner: 26:01

Was uns noch fehlt, ist ein etwas strategischerer Ansatz, so wie Du ihn gerade beschrieben hast. Und da haben wir meines Erachtens noch ‘n Stück weit ‘n Gap und wir haben aber auch Ideen, wie wir das füllen können. Was Wir sehen uns selber da son bisschen in der in der in der Rolle eines Moderators, Du hast schon zu viel gesagt, Facilitator wäre son schönes Wort, da hab ich viel kein deutsches dafür ein, aber Du weißt, was ich meine. Da mitzuhelfen, dass genau diese strategische Perspektive miteinander auch entsteht. Wir haben verschiedene Ideen, wie wir das angehen wollen.

Claudia Plattner: 26:31

Eine Sache werden wir jetzt demnächst verproben, aber da mag ich noch nicht zu viel verraten. Das sollen dann auch die die Kollegen machen. Wir hatten auch mal über größere Formate wie Plattformen und Ähnliches nachgedacht, sind aber dann am Ende des Tages zurückgekommen auf, nee, es ist eigentlich mehr ‘n Netzwerkthema, dieses gemeinsame Einstimmen auf ‘n gemeinsames Ziel. Und das wollen wir jetzt noch mal son an der einen oder anderen Stelle verproben. Da kommt noch mal was.

Claudia Plattner: 26:51

Wir haben da Ideen, wir haben’s auch noch nicht aus den Augen verloren.

Norbert Pohlmann: 26:54

Das passiert viel. Also unser Marktplatz hat ja auch als Slogan, gemeinsam für mehr IT Sicherheit. Wir versuchen ja auch nur Dienste zur Verfügung zu stellen, wo alle was davon haben. Aber vielleicht noch mal so als letzte Frage, Du hast ja als BSI Präsidentin eine relativ hohe Verantwortung. Wie gehst Du eigentlich damit

Claudia Plattner: 27:10

Also wenn Du wissen willst, ob ich noch gut schlafe? Ja, schlafe noch gut. Also ich Ja, das liegt wahrscheinlich aber auch ‘n bisschen einfach an mir. Ich hab den Job genommen, weil’s weil er wichtig ist, weil’s jemanden braucht, der die sich kümmert. Und ich hab gesagt, ich kann das, ich ich ich helf mit, mach ich.

Claudia Plattner: 27:29

So, und dazu gehört auch die Verantwortung, die ist Teil des Jobs. Und ich geh damit eigentlich mit maximaler Gelassenheit Manche Dinge kann ich nicht ändern. Es wird Angriffe geben. Es wird auch erfolgreiche Angriffe geben. Unser Job ist dafür zu sorgen, dass es möglichst wenig sind und vor allen Dingen möglichst wenig wirklich verheerende Angriffe.

Claudia Plattner: 27:48

Nicht alles davon ist wirklich mehr unter unserer Kontrolle und ich geh abends schlafen meistens nach ‘nem sehr, sehr, sehr langen Arbeitstag mit ‘nem Gefühl von, mehr konnte ich nicht mehr machen. Ich hab wirklich alles gegeben, was ich konnte, das Beste, was ich habe, das Beste, was ich kann mit vollem Einsatz und ich weiß, dass viele meiner Kollegen das auch tun. Mehr geht nicht. Alles, was jetzt noch passiert, werden wir managen. Wir werden es professionell managen, aber wir haben zunächst mal alles dafür getan, dass es gut wird.

Claudia Plattner: 28:16

Und wenn wir alle mit diesem mit diesem mit dem Spirit da drangehen, dann haben wir, glaube ich, auch alle schon einen Riesensprung in der Cybersicherheit und in der Resilienz in Deutschland gemacht. Ich kann euch versichern, wir tun das.

Norbert Pohlmann: 28:28

Claudia, super Abschluss. Ich bedanke mich sehr für das Gespräch und wünsche dir noch ‘n erfolgreichen Tag in Berlin und die Kraft, die Verantwortung weiterhin guttragen zu können. Danke dir.

Claudia Plattner: 28:40

Dankeschön für das Gespräch. Hat viel Spaß gemacht.