Thomas Tschersich im Gespräch mit Professor Norbert Pohlmann

00:00:25:01 – 00:00:42:00
Professor Norbert Pohlmann
Ich freue mich sehr, in der heutigen Ausgabe Köpfe der IT Sicherheit Thomas Tschersich zu begrüßen. Thomas Tschersich ist Geschäftsführer der Telekom Security und Chief Security Officer der Telekom AG. Thomas. Fängst du damit an, erst mal uns darzustellen?

00:00:42:06 – 00:00:51:19
Professor Norbert Pohlmann
Wie bist du eigentlich? Zweite Die Sicherheitgekommen und welche? Ja, wahrscheinlich sogar unterschiedliche Gestaltungsmöglichkeiten, die die beiden Rollen bei der Telekom bieten?

00:00:51:21 – 00:01:13:20
Thomas Tschersich
Na ja, fast alle. Norbert, freu mich, dabei zu sein. Es ist tatsächlich irgendwie ein Unfall gewesen, wie ich zur Sicherheit gekommen bin. Es ist schon ein bisschen länger her. Es war in den 90er Jahren des letzten Jahrhunderts. Klingt schon schräg, weit weg und wir waren damals zwei junge Kollegen in einer Einheit, die sich mit den internen Netzen der Telekom beschäftigt hat.

00:01:13:22 – 00:01:43:09
Thomas Tschersich
Und das heißeste Thema damals war XY 500 Verzeichnisdienste und jeder von uns wollte dieses Thema haben. Es gab aber ein Sicherheitsproblem und einer musste sich um die Sicherheitsprobleme kümmern und nur einer durfte in das 500 Und mein Chef hat damals entschieden Nee, du machst jetzt bitte Sicherheit an der Stelle und na, damals war das so ein bisschen frustriert, weil das ja das Hauptthema eben nicht war und niemand darüber gesprochen hat.

00:01:43:09 – 00:02:07:04
Thomas Tschersich
Und das war eher so, so Ende der Karriere. Wenn ihr so in die Sicherheit rein gehst. Du wirst von niemanden geliebt, Du bist immer der, der sagt, was nicht geht und rückblickend betrachtet Heute redet niemand mehr über 500, aber alle reden über Cybersicherheit. Also das war jetzt gar nicht so verkehrt und eigentlich. Also meint mein damaliger Chef schon ein ganz gutes Händchen, mich da in die richtige Richtung zu schubsen.

00:02:07:06 – 00:02:33:18
Thomas Tschersich
Aber wo ich mich mich nie mit zufrieden gegeben hab, ist das Sicherheit immer die Ausrede ist für alle Dinge, die nicht gehen. Und das habe ich versucht über die letzten Jahre zusammen mit meinem Team genau anders zu leben im Unternehmen und haben gesagt, wir machen dann alles richtig, wenn wir nicht die Eskalation bekommen vom Business, weil wir in den Projekten sind, sondern wenn wir die Eskalation bekommen, weil wir nicht in den Projekten sind, weil wir eben nicht mithelfen können.

00:02:33:20 – 00:02:56:10
Thomas Tschersich
Und das haben wir über die letzten Jahre geschafft. Und das ist auch die perfekte Brücke eigentlich zu der zu dem zweiten Teil der Frage der Gestaltungsmöglichkeiten. Ich glaube, das hängt in erster Linie von dem Mindset ab, mit dem du unterwegs bist, bis du mit einem Verbots mindset unterwegs. Oder bist du mit einem Mindset unterwegs? Ich will dem Business helfen, dass die sich auf ihren Job konzentrieren können und denen einfach Risiken wegnehmen.

00:02:56:12 – 00:03:00:03
Thomas Tschersich
Und dann hast du irre Gestaltungsmöglichkeiten.

00:03:00:05 – 00:03:02:02
Professor Norbert Pohlmann
Und das funktioniert auch bei der Telekom.

00:03:02:04 – 00:03:21:00
Thomas Tschersich
Das funktioniert total super. Ich will jetzt nicht sagen, dass wir immer nur von jedem geliebt werden. Also manchmal musst du dann halt auch mal Nein sagen, aber das ist recht selten. Also wir haben einige 100 Projekte im Jahr, die wir begleiten und es ist weniger als eine Handvoll, wo wir tatsächlich mal sagen müssen, so geht das nicht. An der Stelle.

00:03:21:02 – 00:03:46:08
Thomas Tschersich
Das hat sich ganz gut eingesprungen und ich meine, du hast meine meine beiden Rollen ja schon angesprochen. Jetzt natürlich auch mit der der Verantwortung für externes Geschäft für externe Kunden ist natürlich noch mal was ganz anderes. Man lernt jeden Tag auch von seinen Kunden. Also es ist nicht nur so, dass wir unseren Kunden helfen und die schlauer machen, sondern wir lernen ja auch ganz viel von unseren Kunden und von deren Geschäft.

00:03:46:10 – 00:03:49:07
Thomas Tschersich
Und das macht es einfach so spannend.

00:03:49:09 – 00:04:05:02
Professor Norbert Pohlmann
Ja, das ist eigentlich schon meine erste inhaltliche Frage. Ein Du hast viel Erfahrung jetzt mit der Telekom, weil du ja auch für die Sicherheit verantwortlich bist, aber auch von den vielen Kunden. Genau. Wie beurteilst du denn eigentlich jetzt die IT Sicherheitsl age zurzeit?

00:04:05:04 – 00:04:26:15
Thomas Tschersich
Na ja, ich glaube, das hättest du mich vor 20 Jahren auch schon fragen können. Ehrlich gesagt ernst, aber nicht hoffnungslos. Und da hat sich eigentlich gar nicht so viel dran verändert. Wir reden natürlich häufig davon, das nimmt alles dramatisch zu mit den Cyberangriffen. Das ist objektiv natürlich auch richtig. Aber was auch richtig ist Natürlich hat das Maß an Digitalisierung ja auch deutlich zugenommen.

00:04:26:17 – 00:04:51:18
Thomas Tschersich
Das heißt, die Angriffsoberfläche, die grundsätzlich da ist, die ist natürlich auch deutlich größer geworden. Und damit geht natürlich auch das Wachstum von Cyberangriffen und Sicherheitsvorfällen linear einher. Erst mal so kann man sagen, na ja, ist ja eigentlich nicht schlimmer geworden. Was aber de facto im Moment passiert, dass wir durch neue Methoden und ich will jetzt gar nicht dieser Hype Welle Künstliche Intelligenz reiten.

00:04:51:23 – 00:05:19:03
Thomas Tschersich
Aber wir sehen schon, dass alleine die Anzahl der der erkannten Schwachstellen in Standardsoftware Produkten sich in den letzten drei Jahren vervierfacht hat. Also es werden immer mehr Schwachstellen erkannt und ich glaube nicht, dass der Code jetzt, der darunter liegt, der Softwarecode irgendwie deutlich schlechter geworden ist, sondern ich glaube nur, dass die Erkennungsmethoden eben auch für die Angreifer deutlich besser geworden sind, weil auch die können automatisieren, auch die können künstliche Intelligenz benutzen.

00:05:19:05 – 00:05:44:16
Thomas Tschersich
Und das stellt uns natürlich vor große Herausforderung. Ich würde sagen, das größte Sicherheitsproblem ist nach wie vor das Fehlen von Software Updates. Wenn ich erfolgreiche Angriffe analysiere. Und da braucht man nur mal in die Zeitung schauen. Was man da so jeden Tag liest, ist fast immer die Ursache, dass irgendwo ein Softwareupdate gefehlt hat oder dass ein System schlecht konfiguriert war.

00:05:44:18 – 00:06:08:16
Professor Norbert Pohlmann
Wenn man jetzt das was hat auch schon mal gesagt hast die Wanzen wir in den letzten Jahren sie dann haben wir ja gesehen, das waren eigentlich die großen Unternehmen oder die großen mittelständischen Unternehmen. Genau. Und diese immer intelligenteren Analyse Angriffs und diese Angreifer? Genau werden wir in den nächsten Jahren sehen, dass die kleineren Unternehmen auch mehr angegriffen werden.

00:06:08:18 – 00:06:36:10
Thomas Tschersich
Die kleineren Unternehmen werden heute schon genauso viel angegriffen. Da reden wir vielleicht nur nicht drüber, weil das nicht so publik wird. Wenn der Bäcker oder Metzger um die Ecke einen Cyberangriff hat, dann steht es nicht direkt in der Zeitung an der Stelle. Das macht, glaube ich, den Unterschied. Aber auch diese kleineren Unternehmen haben die gleiche Herausforderung Angreifer, die, die schießen quasi erst mal komplett mit mit der Streumunition und gucken, wo sie jemanden treffen.

00:06:36:12 – 00:07:03:24
Thomas Tschersich
Und dann gehen die Gruppen und die sind ja sehr arbeitsteilig. Das heißt, einer sucht erst mal Schwachstellen und versucht die auszunutzen und der nächste guckt dann, ob er Erpressung starten kann und die schauen dann wirklich, Wen habe ich da erwischt und lohnt sich das da zu erpressen? Oder lohnt sich es halt eben nicht? Da sind die sehr sehr quasi industrialisiert unterwegs, die Angreifer Gruppen und das trifft alle Kundengruppen von den kleinen Unternehmen bis hin zu Privatkunden natürlich auch.

00:07:04:01 – 00:07:34:03
Thomas Tschersich
Und hoch natürlich zu den großen großen Preis Kunden für diese natürlich offenen lohnenswertes Ziel. Weil wenn ich den Webshop am Black Friday sage ich mal mit einem DDoS Angriff mundtot mache, dann ist natürlich der Reflex verliere ich das komplette Geschäft oder zahle ich jetzt ein Lösegeld bei einem Unternehmen? Immer eine schwierige Abwägung und dann ist man vielleicht schnell auch mal geneigt Bevor ich das ganze Geschäft jetzt verliere, zahle ich dann lieber.

00:07:34:05 – 00:07:42:12
Thomas Tschersich
Das Schlimme daran ist Zahlst du einmal, zahlst du eigentlich immer? Ja, und damit ermöglicht man eigentlich erst dieses kriminelle Geschäftsmodell.

00:07:42:14 – 00:07:51:12
Professor Norbert Pohlmann
Gibt es aus deiner Sicht in irgendwelche Branchen, die jetzt mehr betroffen sind als andere oder ist das gleich verteilt?

00:07:51:14 – 00:08:14:17
Thomas Tschersich
Also natürlich ist das Thema Industriespionage ein großes Thema, aber vielleicht muss man noch mal anders anfangen. Wir diskutieren heute sehr, sehr häufig über das Thema staatlich gelenkte Angriffe. Das macht aus meiner Sicht 5 % des Problems aus. 95 % des Problems sind eigentlich wirklich organisierte Kriminalität.

00:08:14:19 – 00:08:15:18
Professor Norbert Pohlmann
Und.

00:08:15:20 – 00:08:41:16
Thomas Tschersich
Ich bin immer ein Freund davon. Lasst uns doch erst mal den größten Teil des Problems lösen, bevor wir dann auf die, die wirklich bei schmierigen 5 % gehen. Nichtsdestotrotz diese 5 %, die gehen dann häufig gegen kritische Infrastrukturen, gegen Unternehmen, die extrem viel Geld in Forschung und Entwicklung investieren, wobei die typischerweise ja auch eigentlich besser gesichert sind, weil meistens diese Unternehmen entsprechende Fachabteilungen haben, die sich damit beschäftigen.

00:08:41:18 – 00:09:14:13
Thomas Tschersich
Die 95 % des Problems sind dann tatsächlich gar nicht mal mit irgendwelchen statistischen Häufungen, sondern da gilt das, was ich vorhin gesagt habe, das wird einfach einen Streuangriff gemacht und geguckt, Wen erwische ich zuerst? Und wenn wir dann hören, das war ein gezielter Angriff auf irgendein Krankenhaus, das ist in den seltensten Fällen ein gezielter Angriff. In den allermeisten Fällen ist das ein Zufallsangriff, weil irgendjemand bei einer Schadsoftware dann doch geklickt hat und die Schutzsysteme nicht ausreichend waren und dann die Schadwirkung eben eingetreten ist.

00:09:14:15 – 00:09:35:20
Thomas Tschersich
Das erleben wir schon. In der Presse wird häufig dargestellt zielgerichteter Angriff gegen irgendwie Krankenhaus gegen bestimmte Unternehmen. Ganz oft ist es aber wirklich einen Zufallsangriff. Ich will damit sagen, dass es gar keine gezielten Angriffe gibt. Um Gottes Willen, natürlich gibt es die auch, aber die überwiegende Mehrheit der Angriffe ist eher diese Zufallstreffer.

00:09:35:22 – 00:09:51:11
Professor Norbert Pohlmann
Es wird immer darüber diskutiert, dass die Angreifer natürlich auch im Internet feststellen können Haben die Unternehmen großen Umsatz und große Gewinne und die dann als erstes angegriffen werden, weil damit die Lösegeldforderungen größer sein können. Ist das aus deiner Sicht erkennbar oder?

00:09:51:13 – 00:10:18:08
Thomas Tschersich
Ja klar. Also das ist natürlich von den Reportern gesagt, die sind ja regelrecht industrialisiert unterwegs. Ja, die machen sich eben auch ihren Business Case und sagen, wo kann ich schnell zum Erfolg kommen und wo eben nicht. Und das ist es, was wir häufig unterschätzen dass die sehr gut organisiert und sehr arbeitsteilig sind. Ich will das mal an einem Beispiel machen einen DDoS Angriff Distributed die neu auf Service, also eigentlich nur Überlastangriff gegen zum Beispiel einen Webshop.

00:10:18:10 – 00:10:39:18
Thomas Tschersich
Und nehmen wir noch mal dieses Beispiel Der der Webshop am Black Friday. Dann gibt es Gruppen, die führen den Angriff durch. Es gibt andere Gruppen, die kümmern sich dann um die Erpressungs emails. Es gibt eine nächste Gruppe, die kümmern sich dann um das das Lösegeld eintreiben oder die Geldwäsche quasi und das Ausquetschen von Bitcoins dann wieder richtiges Geld.

00:10:39:20 – 00:11:02:23
Thomas Tschersich
Also die sind da sehr, sehr arbeitsteilig unterwegs. Das Infame ist, es gibt eben auch Angreifer Gruppen, die stellen einfach nur die Werkzeuge bereit und von denen Angriff gegen einen Webshop, den kann ich mir schon für 20 US Dollar pro Angriff irgendwo mieten im Darknet. Ich habe eine Geld zurück Garantie es nicht funktioniert. Ja, ich kann mit PayPal bezahlen.

00:11:03:00 – 00:11:13:06
Thomas Tschersich
Ich habe mir sieben mal 24 Hotline wo ich anrufen kann wenn ich Probleme habe. Also das ist komplett durch industrialisiert. Das ist absurd, aber leider ist das so.

00:11:13:08 – 00:11:17:06
Professor Norbert Pohlmann
Ist in DDOS das große neue Thema.

00:11:17:08 – 00:11:36:17
Thomas Tschersich
Ja, wir sehen DDoS extrem viele Angriffe. Wenn ich schaue, was bei uns im Backbone Netz. Wir haben DDoS Schutz Systeme, mit denen wir nicht nur unsere Infrastruktur schützen können, sondern auch unsere Kunden schützen können. Wir sehen in der Größenordnung circa 30.000 Angriffe allein in Deutschland, die durch das Netz transportiert werden. Jeden Monat.

00:11:36:19 – 00:11:38:06
Professor Norbert Pohlmann
Leben mehr als 600.

00:11:38:11 – 00:12:03:05
Thomas Tschersich
30.000. Die überwiegende Mehrheit davon liegt so in der Größenordnung bis zu zehn Gigabit pro Sekunde. Es gibt aber auch immer mal wieder welche, die 234 100 Gigabit pro Sekunde haben. Und jetzt kann man sich selber ausrechnen, wie dick ist meine Internetleitung? Ich glaube, die allerwenigsten werden werden. Zehn Gigabit pro Sekunde haben. Das heißt, die überwiegende Mehrheit dieser 30.000 Angriffe ist dazu geeignet.

00:12:03:05 – 00:12:27:02
Thomas Tschersich
Eigentlich jeden Internetanschluss von mittelständischen bis großen Unternehmen irgendwo ein Stück weit platt zu machen. Eine Herausforderung, die es hier gibt. Man man kann technisch diese Angriffe einfach aus dem Netz rausfischen. Da gibt es entsprechende Filtersysteme, die machen das auch sehr, sehr zuverlässig. Aber unsere rechtliche Lage gibt das gar nicht her, weil das eben ein Eingriff ins Fernmeldegeheimnis wäre.

00:12:27:02 – 00:12:49:05
Thomas Tschersich
Und ich kann das eben nur dann machen, auf ausdrückliche Zustimmung eines eines Kunden. Nur blöderweise Der Kunde stimmt ja erst dann zu, wenn er betroffen ist. Dann ist aber zu spät. Das heißt auch wir politischen Handlungsbedarf, dass wir auch hier unsere Rechtslage mal ein Stück anpassen. Häufig haben wir da Sorge, dass wir in eine Debatte mit Netzneutralität kommen.

00:12:49:05 – 00:12:58:12
Thomas Tschersich
An der Stelle Aber ich Ich habe noch niemanden gesehen, der gesagt hat, ich möchte gerne Opfer eines DDoS Angriffs werden. Also das ist für mich eine theoretische Debatte, die wir dafür.

00:12:58:14 – 00:13:18:12
Professor Norbert Pohlmann
Wenn man jetzt noch mal diese Angriffsvektoren betrachten, die gerade so erfolgreich sind, gibt es da irgendwie Technologien, die besonders gerne angegriffen werden oder Systeme? Sind das mehr interne Systeme? Sind das die Websysteme, also Also kann man da irgendwie Unterschiede machen oder?

00:13:18:14 – 00:13:46:11
Thomas Tschersich
Also eigentlich, wenn ich, wenn ich schon heute das meiste was passiert heute Prozentual sind Ransomware Angriffe also gegen gegen dann Endpunkte also gegen PCs und und Server eingerichtet. Da kann man sich recht gut mit einer Detektion und Response Software schützen. Eine normale Antivirus reicht da einfach nicht mehr aus. Das was jahrzehntelang die die Lösung war, muss man heute ersetzen durch eben intelligentere Lösungen.

00:13:46:13 – 00:14:12:02
Thomas Tschersich
Und das zweite sehr, sehr, sehr Prominente ist eben DDoS. Ja, und dann kommt eine ganze Zeit lang gar nichts, wenn ich einfach auf die Statistiken gucke. Wenn ihr aber ein bisschen den Blick mal in die Zukunft wage und die Zukunft ist jetzt nicht von heute an in zehn Jahren, sondern eher von heute an in drei, vier Wochen, würde ich schon sagen, weil wir sehen erstens Begriffe ist dieses Thema Deep Face Angriffe mit Ey ein Riesenthema, was uns beschäftigt.

00:14:12:02 – 00:14:42:06
Thomas Tschersich
Denn im Lexikon wird in Zukunft wir sind das erste Mal in der Menschheitsgeschichte an einem Punkt angelangt, wo wir unseren Augen und Ohren nicht mehr trauen können. Und den Satz muss man mal auf sich wirken lassen. Also was bedeutet das? Woher weißt du jetzt eigentlich, dass das tatsächlich ich bin, der mit dir redet und nicht ne KI? Und in Wirklichkeit sitzt hier irgendwo eine Assistentin oder ein Assistent von mir, der es nur so anhört wie ich und so aussieht wie ich.

00:14:42:08 – 00:15:06:09
Thomas Tschersich
Das kann heute alles faken. Das ist heute überhaupt technisch gar kein Problem mehr. Das geht sogar in Echtzeit. Ich kann heute Avatare bauen. Um die zu trainieren, brauche ich eigentlich zwei Minuten Video, Material und Audiomaterial. Und damit baue ich den virtuellen Avatar und kann den alles sagen lassen. Und das wird was mit uns machen. Es wird auch was mit uns, mit unseren Demokratien machen.

00:15:06:11 – 00:15:33:12
Thomas Tschersich
Also stell dir vor, am Vorabend der Bundestagswahl oder zwei Tage vorher kommen auf einmal irgendwie kompromittierende Videos der Spitzenkandidaten. Das kriegt man wahrscheinlich gar nicht mehr so schnell aus der Welt. Und das wird dann mutmaßlich ja das Verhalten der Wählerinnen und Wähler verändern und das heißt die goldene Gefahr auf uns zu, die weitaus größer ist, als nun relevant für Relevanz für das Business zu haben.

00:15:33:14 – 00:15:58:08
Thomas Tschersich
Und damit wir uns mit auseinandersetzen. Die gute Nachricht hier ist es gibt ja Lösung, also so etwas wie digitale Identitäten. Ich kann mit digitalen Identitäten natürlich wieder eine Ende zu Ende ähm Beweiskette aufbauen in unserem Fall hier könnte man zumindest mal sagen, es ist das Gerät von Norbert Pohlmann. Auf der einen Seite was mit dem Gerät von Thomas de Maiziere auf der anderen Seite spricht.

00:15:58:10 – 00:16:23:11
Thomas Tschersich
Wenn ich jetzt noch Biometrie mit reinnehme über die die Videokamera, eine Gesichtserkennung etc. da kann ich sogar die Personen erkennen, denn das heißt, wir können so was bauen, aber wir müssen das erstens mal auch tun und zweitens mal, glaube ich, werden wir dann sehr schnell wieder in einen gesellschaftlichen Diskurs reinkommen, der sich damit beschäftigt. Wie gehen wir eigentlich mit biometrischen Daten um?

00:16:23:13 – 00:16:48:01
Thomas Tschersich
Wir kennen und du bist ja auch schon extrem lange in der IT Security unterwegs und kennst auch diese Debatten, die wir schon alle hatten. Was ist denn eigentlich mit Biometrie und gab es schon diese Aufregung, wo es um um Fingerabdrücke auf dem Personalausweis geht? Hier geht es jetzt dann auf einmal um Gesichtserkennung und andere Themen. Also eigentlich noch viel näher an an den intimen Lebensbereich quasi.

00:16:48:03 – 00:17:04:08
Thomas Tschersich
Ich glaube aber nicht, dass wir eine andere Chance haben werden, in der Zukunft eine Ende zu Ende Sicherheit zu garantieren, ohne solche biometrischen Daten zu nutzen. Und das müssen wir in einer Art und Weise machen, dass die dann am Ende natürlich nicht auch missbraucht werden kann. Das wird die große Herausforderung sein.

00:17:04:10 – 00:17:27:06
Professor Norbert Pohlmann
Wird also das ist ja auch ein großer Forschungsbereich von uns genau so! Ich persönlich geht erst mal davon aus, dass die EU Wolle, die wir haben werden, uns natürlich helfen. Wird, diese Identität, also die Identität zu überprüfen. Das heißt also, in zwei Jahren hätten wir mit unserer EU Wallet uns hier gegenseitig identifiziert und dann hätten wir gewusst, wer da ist.

00:17:27:08 – 00:17:49:20
Professor Norbert Pohlmann
Und Aber klar, das Thema ist riesengroß. Also ich bin bei dir. Alles was mit Fake ist, ist eine riesen Herausforderung. Aber noch mal auf einer Forschungsebene haben wir schon die letzten fünf Jahre geforscht und glauben, dass wir Technologien haben, die auswandern. Finde ich halt immer nur es sind ja Infrastrukturen, die wir halt gemeinsam machen müssen. Ich nicht nur in Deutschland, sondern in Europa.

00:17:49:20 – 00:17:53:07
Professor Norbert Pohlmann
Und die Frage ist Kriegen wir das Gemeinsame hin?

00:17:53:09 – 00:18:15:18
Thomas Tschersich
Absolut. Ich glaube auch, die Technologie ist da und es geht um die Implementierung und wir müssen auch ein bisschen weiterdenken als nur das mal Person zu Person Kommunikation haben, weil letzten Endes brauche ich ja auch Maschinen, Identitäten. Ich brauche die Identität von dem Webshop. Ich möchte ja auch wissen, ist der Onlinehändler wirklich der Onlinehändler oder ist das eine Fake Seite?

00:18:15:20 – 00:18:46:23
Thomas Tschersich
Das heißt, es geht durchaus weiter. Vielleicht an dieser Stelle auch noch mal ein anderer Hype das ganze Thema Quanten Computing, weil das ist ja auch so gefühlt, zumindest in der Wahrnehmung. Wenn der Quantencomputer da ist, gibt es keine Sicherheit mehr, weil sämtliche Kryptografie gebrochen wird. Auch da möchte ich mal mit mit aufräumen, weil ich glaube auch da die Technologie ist da, die Mathematik ist da, die Algorithmen sind da, um auch quantensichere Algorithmen zu implementieren.

00:18:47:00 – 00:19:11:04
Thomas Tschersich
Das ist gar nicht das Problem. Unser größeres Problem ist hier auch wieder Wie implementiert ich das und wo habe ich eigentlich schwache Algorithmen? Also eigentlich dieses Erkennen, Wo ist ein schwacher Algorithmus, den dann auszutauschen, um dann wieder sicher zu sein. Das ist genau das gleiche Grundprinzip Technologie ist vorhanden, aber wie schaffen wir es denn zeitgerecht die Technologie dann auch ins Feld in den Masseneinsatz reinzubringen?

00:19:11:04 – 00:19:41:17
Professor Norbert Pohlmann
Ist ja, wenn wir jetzt noch mal über IT Sicherheitsmechanismen diskutieren, die wir brauchen, um halt deutlich besser zu sein für unsere digitale Zukunft, haben wir schon gesagt. Also Fake ist das Riesenthema und genau die Kryptographie. Wir brauchen halt irgendwie schon Crypto Agilität überall eingebaut. Genau. Aber was sind denn sonst noch eigentlich die IT Sicherheit Sicherheitsmechanismen, wo du glaubst die IT Sicherheits Anbieter jetzt investieren sollen?

00:19:41:17 – 00:19:48:04
Professor Norbert Pohlmann
Also die Technologien, die wir heute, morgen oder übermorgen brauchen? Ich weiß gar nicht, ob das.

00:19:48:04 – 00:20:16:16
Thomas Tschersich
Unbedingt eine technologische Herausforderung ist, vor der wir stehen. Ich glaube, die wirklich größte Herausforderung ist die Demografie bei uns. Wir werden in den nächsten 456 Jahren rund 20 % weniger Erwerbstätige zur Verfügung haben, das halt alleine auf dem gleichen Niveau weiter arbeiten wollen. In allen Industrien, wie wir es heute machen, wird das gar nicht ohne Automation funktionieren oder ohne Migration.

00:20:16:16 – 00:20:42:06
Thomas Tschersich
Verlagerung in in Nische, offshore wohin auch immer. Also in Länder, wo wir vielleicht nicht das Demografieproblem haben. Ein großer Teil wird eben dieser Automation sein. Da ist die gute Nachricht, da kann uns KI auch helfen. Also kann nicht nur irgendwo Risiko, sondern ist auch eine Chance für uns, in die Automation zu gehen, schneller zu werden, Angriffe schneller zu erkennen, noch größere Datenmengen schneller auszuwerten.

00:20:42:08 – 00:21:10:04
Thomas Tschersich
Ich glaube, das sind die Themen, wo gerade die großen Hersteller sowieso schon alle unterwegs sind. Geht es um Geschwindigkeit und um um mehr Daten in kürzeren Zeiträumen auszuwerten, um Angreifer schneller zu erkennen im Netz und schneller zu stoppen. Glaube, das ist das Hauptthema. Und noch mal zurück zum Anfang Wir lassen uns gerne von diesen ganzen Hypes irgendwo treiben und sind dann auf jeder Hypewelle unterwegs.

00:21:10:04 – 00:21:30:20
Thomas Tschersich
Jahr letztes Jahr oder letzten Jahre. Was dann irgendwann Blockchain Red. Heute kein Mensch mehr drüber, obwohl die Technologie immer noch da ist und auch eine valide Technologie für viele Anwendungsfälle ist. Aber es geht heute keiner mehr drüber nach. Vor drei Jahren musste gefühlt jeder sterben, wenn er nicht wie jetzt bald ein Blockchain Projekt startet. Und so ein bisschen so ist es auch mit mit ei glaube ich.

00:21:30:20 – 00:21:51:16
Thomas Tschersich
Aber auf der anderen Seite ist das natürlich auch eine sehr, sehr valide Technologie, die vieles verändern wird in Zukunft. Aber es wird eben nicht mehr der Hype sein in fünf Jahren von jetzt, sondern dann wird es eben alltäglich Technologie sein. Und das ist aber auch gefährlich, weil viele vergessen, dann schnell auch mal die Vorteile, aber auch die Risiken von solchen Dingen.

00:21:51:18 – 00:22:21:00
Thomas Tschersich
Und so ist es. Und da kommt jetzt der der Bogen zum Anfang. So ist das eben auch mit dem Thema Software. Schwachstellen bei allen Halb und bei allen Themen, auf die wir uns fokussieren müssen. Wir dürfen nicht vergessen, regelmäßig die Garage aufzuräumen und die Garage aufräumen. Heißt in dem Fall auch bekannte Sicherheitslücken mit Softwareupdate schließen. Da sind wir in Summe über alle Industrien, über alle Unternehmen, über alle Lebensbereiche extrem schlecht unterwegs.

00:22:21:02 – 00:22:38:13
Thomas Tschersich
Also wir brauchen keine Hintertüren, durch die die Angreifer gehen, weil wir haben die Vordertür weit offen stehen oder in vielen Fällen nicht mal meine Vordertür eingebaut. Das ist eigentlich das Problem, was man mal fixen sollten. Und wenn man das im Griff haben, dann ist alles andere relativ einfach. Aus meiner Sicht.

00:22:38:15 – 00:22:46:05
Professor Norbert Pohlmann
Woran liegt das denn, dass das Thema Software Updates nicht so umgesetzt wird, wie wir es uns eigentlich wünschen würden?

00:22:46:07 – 00:23:09:13
Thomas Tschersich
Das fängt schon an, wenn du das mal einfach mal privat reflektierst, du zu Hause vor deinem Rechner sitzt und du schreibst gerade irgendwo einen Artikel, sagen wir mal, sondern poppt die Nachricht hoch. Softwareupdate jetzt oder später einspielen. Hand aufs Herz, was machst du? Na, du willst jetzt ja, natürlich deinen Artikel fertig schreiben. Klicks auf später. Eigentlich müsste da stehen.

00:23:09:15 – 00:23:35:01
Thomas Tschersich
Möchtest du es jetzt oder zuspät installieren? Und also diese diese vielleicht so nachher lässig Fairness So, das ist jetzt ja nicht so wichtig. Kann ich ja in einer Stunde immer noch machen. Das reicht oft aus, dass der Angreifer schon erfolgreich ist. Und in Unternehmen ist es ja noch mal komplexer. Dann gibt es Testprozeduren, wo jeder erst mal sagt Ja, wir wissen ja nicht, ob es vielleicht schiefgeht.

00:23:35:01 – 00:24:01:06
Thomas Tschersich
Und so müssen sie erst mal testen. Wir müssen Wartungsfenster haben, weil die Leute müssen ja arbeiten können und alles berechtigte Einwände. De facto ist es aber so, dass mehr Dinge schiefgehen durch fehlende Software Updates als durch fehlgeleitete Software Updates heißt das ist eine große Gefahr und man kann das ja auch smart lösen. Also ich kann natürlich hingehen und hauen in Softwareupdate raus und auf einmal steht alles still.

00:24:01:06 – 00:24:19:11
Thomas Tschersich
Hat ja ein großer IT Sicherheits Anbieter Ende letzten Jahres auch geschafft an der Stelle. Ich kann aber auch hingehen und sagen, ich wolle das erst mal nur auf 10 % meiner Geräte aus und guckt dann, ob die noch arbeitsfähig sind und wenn die arbeitsfähig sind, meist zwei Stunden später auf die nächsten 10 %. Und wenn das auch gut gegangen ist, dann auf alle.

00:24:19:13 – 00:24:48:12
Thomas Tschersich
Ich trotzdem sehr, sehr schnell. Ich muss aber nicht lange endlos lange testen und habe das dann auch innerhalb von 1 bis 2 Tagen vielleicht geschafft. Und ich glaube, diese Strategien, da geht es darum, diese Strategien zu verändern und zu sagen, ich mache nicht erst einen dreiwöchigen Regressionstest, bevor es ein Spiel wird, sondern ich versuche eben vielleicht mit kleinen Testgruppen in der Liveumgebung, wo ich kalkuliert in Kauf nehme, dass wenn jetzt in jedem Team 10 % meiner Ressourcen nicht mehr arbeitsfähig sind, dann ist das dumm.

00:24:48:14 – 00:25:06:03
Thomas Tschersich
Aber das bringt mich jetzt nicht um und die Firma steht an der Stelle. Und das ist übrigens auch, was der gerade zitierte Softwareanbieter ja in seiner Update Strukturen so reingebaut hat, was ein super zielführender Weg ist und und was uns eben einfach nach vorne bringt und schneller macht.

00:25:06:05 – 00:25:39:08
Professor Norbert Pohlmann
Ja genau, wenn man jetzt mal Du hat es eben schon mal auch über End Point Security gesprochen, genau jetzt, wenn ich mir das vorstelle. Und das andere Thema war, wir haben immer weniger Experten und wir wissen ja und zählen, was 100.000 IT Sicherheitsexperten in Deutschland nur genau, wie sieht denn da die Zukunft aus? Also hat das Unternehmen, muss es selber Kompetenzen aufbauen oder sieht die Zukunft aus, dass ich halt die End point Security über irgendwelche Sox verwalten lasse und einfach sage, ich baue keine Kompetenzen auf.

00:25:39:08 – 00:25:57:06
Professor Norbert Pohlmann
Es gibt halt Anbieter, die das für ganz viele Unternehmen machen und die halt Experten haben. Und ich habe nur noch ein System, was ich brauche, um meine Arbeit gut zu machen. Aber die IT Sicherheit, die lagere ich aus. Ist das die Zukunft oder ist das zu schwierig? Oder geht das in der IT Sicherheit nicht?

00:25:57:08 – 00:26:19:24
Thomas Tschersich
Ich glaube schon. Ich meine, was du jetzt natürlich mit mit dem CIO in der Sicherheit sicherheits anbieters den richtigen an der Stelle natürlich auslagern. Eine gute Idee. Aber tatsächlich ist es ja so ich meine, nimm mal die Deutsche Telekom als Beispiel. Wir brauchen jede Menge Fahrzeuge für unsere Servicekräfte. Deswegen würden wir jetzt nicht auf die Idee kommen, Autos selber zu bauen.

00:26:20:01 – 00:26:48:00
Thomas Tschersich
Das können die viel besser als wir. Das können. Wir können gut Telekommunikationsnetze bauen und betreiben an der Stelle. Also wir fokussieren uns auf unser Kerngeschäft und lagern ja in vielen Bereichen. Das geht ja jedem Unternehmen so Dinge aus an andere, die das einfach besser können und effizienter können. Wir und ich glaube, genauso ist das in der IT Sicherheit auch das wird noch sich verschärfen durch noch eine deutlich größere Herausforderung, durch die durch die Demografie.

00:26:48:02 – 00:27:10:14
Thomas Tschersich
Das ist aber auch überhaupt eigentlich kein Problem. Das Problem, was ich eher sehe, ist, dass wir in der Vergangenheit häufig in großen Unternehmen so ein Best of Brit Ansatz gefahren haben. Das hast du dann hinterher mit 40 50 verschiedenen IT Sicherheitslösungen, was eine riesen Komplexität aufbaut, wo du gar nicht mehr so viele Menschen findest, um diese Komplexität am Ende zu beherrschen.

00:27:10:16 – 00:27:36:14
Thomas Tschersich
Das andere Extrem was jetzt passiert ist, alle gehen in Ökosysteme rein. Also es gibt einen Hersteller, der fängt dann an vom Endpunkt über die Netze bis in die Cloud den kompletten IT Sicherheits Deck anzubieten. Das hat wieder das Risiko, dass du natürlich Gefahr läuft, in eine Abhängigkeit zu kommen. Und bei der nächsten Vertragsverlängerung dann ruft dann der Anbieter mal 30 % mehr auf und du hast keine andere Wahl als zu bezahlen an der Stelle.

00:27:36:16 – 00:28:04:14
Thomas Tschersich
Und das kann ich nur jedem raten, wenn er sich sein Sicherheitsdienstleister IT Sicherheits Anbieter aussucht, ein Stück weit auf dieses. Also wir nennen das Best of ICO Systems zu achten, aber schon raus aus dem Best of Great, raus aus der Komplexität. Aber nicht auf nur ein Eco System, sondern vielleicht eine gute Kombination aus zwei oder drei Ökosystem zu bauen, das mit einem Dienstleister, der der einem hilft, das zu betreiben.

00:28:04:16 – 00:28:29:15
Thomas Tschersich
Ich glaube, das ist eine gute Idee. Häufig gibt es dann auch Kunden, die Sorge haben, dann komme ich in die nächste Abhängigkeit. Bei dem Dienstleister, aber bei den Standardools, die wir heute eben aus diesen großen Ecosystem haben, kann ich auch immer einen Dienstleister wechseln. Und wenn ich das direkt vertraglich vereinbart, dass die die Möglichkeiten da gegeben sein müssen, was große Kunden üblicherweise auch tun, dann sehe ich da eigentlich gar keine Herausforderung.

00:28:29:15 – 00:28:55:10
Thomas Tschersich
Gar kein Problem. Dinge auch outsourcen. An der Stelle dort haben wir noch einen anderen, anderen Teil gefragt. Mit dem Thema Ausbildung und Qualifikation am. Viele, viele Unternehmen und IT Sicherheits Anbieter klagen heute über Fachkräftemangel und sagen Wir finden einfach keine Mitarbeitenden. Also ich kann für uns sagen, ich habe im Schnitt im Moment auf eine offene Stelle 80 Bewerber, also eine wirklich gute Bewerberlage.

00:28:55:10 – 00:29:21:09
Thomas Tschersich
Ich habe kein kein Problem, Talente zu gewinnen. Und das liegt aber auch daran, weil wir sehr, sehr viel investieren in Ausbildung und Qualifikation. Wir nehmen auch Menschen, die vielleicht gar nicht IT, Sicherheit oder Cybersicherheit studiert haben, und haben interne Ausbildungsprogramme zum Cyber Security Professional aufgebaut. Das machen wir seit über zehn Jahren, und das führt dazu, dass wir natürlich den Talentpool auch deutlich vergrößern.

00:29:21:11 – 00:29:50:15
Thomas Tschersich
Twitter aber auch dazu, dass ich natürlich Karriere Pfade aufzeigen kann, auch für für junge Leute, weil niemand möchte Ja, heute. Du hast dich, wie ich gesagt habe, was, was bei mir damals so der der Einstieg war, das war so dead End in Security, so einmal in der Security, immer in der Security ist auch ein Stück weit war, aber ich habe trotzdem eine Karriere gemacht in den von und diese Karriere Vater aufzuzeigen ist eben wichtig, wenn du Talente für dich gewinnen möchtest und wenn du die besten Leute haben wird.

00:29:50:15 – 00:29:53:10
Thomas Tschersich
Uns gelingt das heute ganz gut.

00:29:53:12 – 00:30:15:10
Professor Norbert Pohlmann
Thomas Vielleicht die letzte Frage. Genau. Wir sind ja hier vom Marktplatz und unser Ziel ist ja mit gemeinsam mehr Sicherheit erreichen. Das ist ja auch das, was so in der Cybernation diskutiert wird. Gibt es aus deiner Sicht irgendwelche Punkte, wo du sagst mit das müssen die Anwender, die Hersteller gemeinsam machen, damit wir noch besser werden in der Sicherheit?

00:30:15:12 – 00:30:49:07
Thomas Tschersich
Also ich glaube das was in der Sicherheit immer wichtig ist, das ist der Austausch, das ist auch der Austausch. Ich glaube, vor dem Angreifer gibt es keinen Wettbewerb auf der quasi betroffenen Seite und ich einfach mal das Beispiel der Telekommunikationskonzerne. Wir sind im sehr, sehr engen Austausch mit den Cyber Sicherheitsabteilung unserer Mitbewerber. Und wenn bei einem was passiert, informiert der typischerweise alle anderen auch, Weil wir sitzen alle in dem gleichen Boot irgendwo und und niemand ist da schadenfroh, wenn der andere jetzt Opfer geworden ist.

00:30:49:07 – 00:31:13:02
Thomas Tschersich
Im Gegenteil, wir versuchen uns wechselseitig zu helfen, auch wenn bei uns die Butter auf dem Brot im Wettbewerb dann nicht gönnen. Aber trotzdem, Da sitzen wir in dem gleichen Boot und die jeder, der heute Opfer wird und oder anderswo muss ich es formulieren Wenn mein Wettbewerber heute Opfer wird und ich weiß, warum er Opfer geworden ist, dann kann ich mich gegebenenfalls davor schützen, auch Opfer zu werden.

00:31:13:04 – 00:31:25:23
Thomas Tschersich
Dann trifft es den einen, mal den anderen. Wenn ich aber einen guten Austausch pflege, ist die Wahrscheinlichkeit, dass mehrere betroffen sind, deutlich deutlich geringer. Also am Ende profitieren alle von dem Austausch und diesen Austausch.

00:31:26:00 – 00:31:32:20
Professor Norbert Pohlmann
Ich finde das schön, dass das bei euch funktioniert und ich würde mir wünschen, dass das in anderen Branchen genauso funktionierte.

00:31:32:22 – 00:32:01:12
Thomas Tschersich
Ja, ich glaube sogar branchenübergreifend. Es gibt gute Beispiele wie die Cybersecurity Sharing alleine, wo wir mit vielen Großkonzernen da unterwegs sind, wo dieser Austausch sehr, sehr, sehr positiv ist und wo viele Unternehmen schon sich vor einer Schadwirkung schützen könnten, bevor sie tatsächlich Opfer geworden sind. Ich glaube, das müssen wir weiter, weiter ausbauen. Wir haben so ein bisschen immer wieder die Debatte wie ist der Staat eigentlich in diesem Kontext zu sehen und wie geht er mit Sicherheitslücken um?

00:32:01:12 – 00:32:26:22
Thomas Tschersich
Muss er davor wahren oder dann lieber für sich, für Nachrichtendienste etc., weil die Sicherheitslücken für sich behalten? Ich halte das für extrem gefährlich, weil eine Sicherheitslücke, die der Staat für sich behält, die kann auch der Angreifer aus der organisierten Kriminalität nutzen. Wir brauchen einen offenen Austausch hier und ich finde, auch da müssen wir die Zusammenarbeit mit dem staatlichen Sektor noch deutlich vertiefen.

00:32:26:24 – 00:32:53:00
Thomas Tschersich
Vor allen Dingen müssen wir aufpassen, dass nicht diejenigen, die den Austausch treiben, gleichzeitig irgendwo die Aufsichtsbehörde diejenige ist, die die in dem Austausch drin ist. Weil wenn ich offen bin und Dinge teile und dann aber befürchten muss, dass ich dann wieder regulatorischen Druck auf der anderen Seite kriegt, dann teile ich nichts mehr. Und wir müssen Mechanismen finden, wie wir diese Offenheit fördern, weil die wird uns in Summe nach vorne bringen.

00:32:53:02 – 00:33:01:12
Professor Norbert Pohlmann
Thomas Das war ein guter Abschluss. Vielen Dank für das Gespräch und ich wünsche dir in deinen beiden Rollen weiterhin viel Erfolg.

00:33:01:14 – 00:33:25:02
Thomas Tschersich
Danke Norbert dafür. Und wenn ich noch einen letzten Wunsch hier einfach in den Äther quasi mitgeben kann. Eine weitere Herausforderung für uns ist heute das ganze Thema Regulierung. Wir haben immer mehr Regulierung. Wir binden durch die Regulierung die wenigen Fachkräfte, die wir haben, in Reporting und andere Themen. Das müssen wir dringend stoppen. Und jetzt einfach mal erst mal Dinge umsetzen, um nach vorne zu kommen.

00:33:25:04 – 00:33:33:07
Thomas Tschersich
Sofern auch ein bisschen dickes Dankeschön mit einem Marktplatz. Und die die Transparenz, die du hier erzeugt, trägt glaube ich wesentlich mit dazu bei.

00:33:33:09 – 00:33:33:24
Professor Norbert Pohlmann
Danke dir!