top of page
Hintergrund

Geschäftsrisiko Cyber-Security

Laut World Economic Forum war Cyber-Security eines der größten wirtschaftlichen Risiken im Jahr 2020. Betrifft dieses Risiko nur die großen und bekannten Unternehmen? Können sich Geschäftsführer:innen von kleinen und mittelständischen Unternehmen in Sicherheit wiegen? Und wenn die IT ausgelagert ist, geht es sie dann noch etwas an oder muss sich jemand anders damit beschäftigen? Und ist Cyber-Security nur ein technisches Thema oder müssen andere, begleitende Maßnahmen eingeleitet werden?

Geschäftsrisiko Cyber-Security

Freitag, 23. Juni 2023

Laut World Economic Forum war Cyber-Security eines der größten wirtschaftlichen Risiken im Jahr 2020. Betrifft dieses Risiko nur die großen und bekannten Unternehmen? Können sich Geschäftsführer:innen von kleinen und mittelständischen Unternehmen in Sicherheit wiegen? Und wenn die IT ausgelagert ist, geht es sie dann noch etwas an oder muss sich jemand anders damit beschäftigen? Und ist Cyber-Security nur ein technisches Thema oder müssen andere, begleitende Maßnahmen eingeleitet werden? Sascha Maier, Head of IT & Cyber Resilience bei IWC Schaffhausen und Sandra Aengenheyster, Beraterin, Autorin und leidenschaftliche IT-Kommunikatorin und -Übersetzerin, beantworten diese und viele andere Fragen. Sie erklären, welche Elemente für ein resilientes Sicherheits-Ökosystem notwendig sind. Sie geben klare Beispiele und praktische Tipps, um zu verstehen wie das Thema ganzheitlich zu adressieren ist. Mehr dazu auch auf geschaeftsrisikocybersecurity.de.

Transkript

Ashley: Willkommen zur nächsten Ausgabe der Taktsoft Campus Podcast. Schön, dass ihr wieder dabei seid. Heute habe ich Sandra Aengenheyster und Sascha Maier bei mir. Sascha ist Head of IT in Cyber Residence bei IWC Schaffhausen, verantwortlich für IPC, IT und Informationssicherheit. Er hat bei IWC eine ganz praktisch und preisgekrönte Security Awareness Kampagne implementiert. Sandra ist erfahrene Übersetzerin zwischen IT und den anderen Unternehmens Fachbereichen. Wir wollen uns heute über das Thema Geschäftsrisiko Cyber Security unterhalten und das nicht nur aus einer technischer Sicht. Ich freue mich auf das Gespräch. Hallo, Sandra. 
Sandra: Hallo, Ashley. 
Ashley: Hi. Hi. Hi, Sascha. 
Sascha: Hey, Ashley. Hi. 
Ashley: Hi. Schön, dass ihr Zeit für uns gefunden habt. Heute. Ähm, ja. Das Thema heute ist das Geschäftsrisiko. Cybersecurity. Da wollen wir mal einsteigen. Ähm, aber vielleicht zum Anfang ist es dann wirklich, ich sage mal so, für mich als auch als Geschäftsführer so wichtig, weil viele Leute denken Ach, es werde, ich muss mich wo nicht treffen oder ich habe meine ganze IT ausgelagert. Ich muss mich dann einfach mal nicht drum kümmern. Jemand anders kümmert sich drum. Ist es das dann wirklich der Fall Sascha oder wie wichtig ist dieses Thema heutzutage? 
Sascha: Na ja, ich denke das Thema wird immer, immer und immer wichtiger. Wir haben gesehen, dass im letzten Report von der World Economic Forum Global Cybersecurity eins der größten Risiken ist. Ich denke man, man kann das nicht einfach auslagern, das Problem oder einfach lösen. Es reicht ja nur schon, wenn du irgendwie ein Phishing Email bekommst. Du klickst da drauf, dann kommt irgendein komischer Login, da gibst du deine Daten auf, bamm, dann war's das eigentlich schon. Da kannst du gar nicht groß viel machen, was man machen kann. Man kann natürlich Online Services auslagern, man kann seine komplette Infrastruktur auslagern. Aber auch hier ist eigentlich der Geschäftsführer oder die Firma wieder verantwortlich. Wer bekommt den Zugang dafür? Also zum Beispiel Du hast einen neuen Mitarbeiter, der neue Mitarbeiter bekommt ein Zugang zu irgendwelchen Systemen, zum Beispiel ein CRM System mit Kundendaten und du konfiguriert das falsch und dann und dann. Ja oder er hat oder irgendwo irgendein Leak passiert und die Login Daten von ihm tauchen auf. Auch dann ist es eigentlich passiert. Also da gibt es schon wirklich viel Möglichkeit. Auslagern kann man das Problem nicht zu 100 %, aber bis zu einem gewissen Grad auf jeden Fall. 
Ashley: Ja und auch wenn das technologisch ausgelagert ist, die Verantwortung kann dann nicht ausgelagert werden. Das ist richtig, höre ich zwischen den Zeilen. Und auch dieses Beispiel, dieses Beispiel Es gibt eine neue Mitarbeiter, aber das gilt genauso. Wenn jemand die Firma verlässt, richtig, dann möchte seine Daten dann gelöscht werden und nicht mehr aktiv sind. 
Sascha: Na ja, ich sage mal so ein ganz klassisches Beispiel, was wir ganz, ganz viele Unternehmen sehen, egal welche Größe, aber ich komme da rein, ich bekomme ein Login, also zum Beispiel mein Vornamen Sascha Meyer. Ich habe Zugriff auf Email, ich habe Zugriff auf Office, ich habe Zugriff auf SAP. Und so weiter. So, jetzt gehe ich aber hin und abonniere mir einen Online Service für irgendein Marketing Tool. Da gehe ich mir meine meine Kundendaten rein, verschicke E Mail Templates, was auch immer. So, ich kündige, verlasse das Unternehmen, was passiert? Mein Account wird gelöscht für E Mail Exchange SAP, aber dieser online service, der ist nicht verbunden mit der Firma, der bleibt offen. Also wenn ich das Passwort noch weiß, dann kann ich auch im Nachhinein da hingehen. Das gleiche gilt auch für Social Media Accounts. Das sehen wir ganz, ganz oft in den vielen Firmen, dass die sind ja nicht verbunden. Ich kann ja nicht mein Instagram oder Company, Instagram Account oder Facebook mit meinem Firmen Account koppeln. Und beim sogenannten Off Boarding als Mitarbeiter werden diese Sachen fast immer vergessen. Oder die Passwörter werden nicht geändert. Es gibt da Tools und Methoden, wie ich das abfangen kann. Ja, definitiv. Aber ganz ehrlich natürlich ein Big Risk. Und das kann ich nicht auslagern. 
Ashley: Ah ja, verstehe, verstehe. Und dann auch dann haben wir gehört es, dass das Thema World Economic Forum. Ja, eine der Topthemen, da gibt es ein paar, ich sag mal so, Statistiken dazu. Ich meine, das Thema ist auch komplexer geworden mit dem Thema IoT oder auch jetzt im Krone Zeiten Remote arbeiten. Leute arbeiten von Heim Office gibt es, dann gibt es ein paar Statistiken, um diese Aussage dann zu belegen. 
Sandra: Genau. Also es gibt natürlich diverse, also die, ich sage mal die Angriffs Arten haben sich nicht geändert. Das hat sich sicher in Zeiten von Kurve IT neun und zehn verstärkt. Insbesondere ich habe das gerade noch mal nachgeschaut. Sind im Prinzip die Angriffe, insbesondere um alles, was so Homeoffice angeht, natürlich gestiegen. Die Art und Weise also technisch gesehen ist die Vorgehensweise im Prinzip immer noch die gleiche. Also Phishing Attacken zum Beispiel um die 20 % habe ich irgendwo gelesen. Es haben die Angriffe seit Corona zugenommen. Und natürlich ist es auch so, da habe ich jetzt ehrlich gesagt gerade keine Statistik gefunden. Aber ich habe sehr viel dazu auch gelesen, dass viele Unternehmen dadurch, dass sie relativ kurzfristig ihre Mitarbeiterinnen und Mitarbeiter ins Homeoffice schicken mussten, haben die natürlich auch keine total ausgereiften Lösungen an der Hand gehabt. Also nicht, wer noch mit Desktops arbeitet und seine Mitarbeiterinnen und Mitarbeiter noch nicht mit Laptops ausgestattet hat. Da sind schon sehr viele Vorgänge einfach mal so hopplahopp passiert, wo man Leute irgendwie mit Infrastruktur versorgen musste, wo man sich plötzlich die Frage stellt Müssen die denn jetzt auch eigentlich drucken? Wenn ja, wie drucken die denn dann? Da dürfen sie plötzlich ein Heim Gerät, also ihr eigenes Gerät anschließen. Was ist mit jemandem, der keinen, der kein Telefon hat? Wie lösen wir das denn? Wohin werden denn dann die Telefonanrufe weitergeleitet? Ich habe diverse, selber diverse Telefonate geführt, womit Leute sagen, ich kann sie nicht verbinden, wir haben keine Telefonanlage oder wir haben eine Telefonanlage, aber unsere Mitarbeiterinnen und Mitarbeiter haben kein Handy. Also das heißt, in der Situation im letzten Jahr sind sicher sehr viele offene Flanken entstanden, die man auch einfach ausnutzen konnte. Ich will nicht sagen, dass das totale Chaos ausgebrochen ist, so weit würde ich da nicht gehen. Aber natürlich ist auch viel Fantasie gefragt gewesen, um die Situation zu meistern. Und solche fantasievollen Situationen kann man auch ausnutzen, wenn man mit krimineller Energie unterwegs ist. 
Ashley: Ja, und auch das Thema Bring your own device wie wie du gerade gesagt hast, ja, da bin ich halt zu Hause, ich habe mein PC, ich nutze das um um den Firmen Zugriff zu bekommen. Ja ob das. Aber ob das Heim Gerät sage ich mal so, wirklich richtig abgesichert, richtig abgesichert ist oder nicht, ist natürlich dann eine andere Frage. 
Sandra: Genau. Und das heißt natürlich auch, das sowieso schon, aber jetzt möglicherweise noch mehr als vorher eine große Unsicherheit herrscht. Also es ist schon sehr Angst getrieben, dieses ganze Thema, dass die Angst davor, dass was Schlimmes passieren kann. Das stimmt auch. Es hat aber eher einen ungewissen Charakter. Wenn ich Geschäftsführerin eines produzierenden Unternehmens bin, eines kleinen, vielleicht weiß ich gar nicht unter Umständen, was ich denn tun muss und tun kann. Und ich habe gar nicht das Know how dafür, mein Unternehmen entsprechend auszurüsten. Und dann ist es natürlich in Saschas und meinem Interesse auch gewesen, zu sagen Dann stellt euch doch bitte die richtigen Fragen. Also dann muss man, wenn man einen Service, wie du gerade sagt, es aussieht, auslagert, dann muss man eigentlich auch in der Lage sein, selbstbewusst mit dem entsprechenden Dienstleister zu sprechen und zumindest seine Sprache zu verstehen und zu wissen Was kann ich den denn fragen? Was kann ich denn überhaupt an Informationen weitergeben, mit denen dieser Dienstleister etwas anfangen kann? 
Ashley: In den letzten Endes heißt es dann Man braucht ein System. Ich sage mal so Was widerstandsfähig ist und resilient ist, das ist eigentlich, wo man hin muss. 
Sandra: Ja, und man muss eigentlich auch einfach der Tatsache in die Augen sehen, dass es eine Gefahr gibt und dass sie da ist und dass man damit aber auch leben muss und dass man im Prinzip aber auch einfach selbstbewusst dieser Situation entgegentreten kann. Also man muss da wirklich den Stier bei den Hörnern packen. Leugnen nützt an der Stelle einfach nichts und den Kopf in den Sand stecken, sondern man muss sich eben einfach die Gedanken machen Was ist denn notwendig? Was brauche ich denn für mein spezielles Unternehmen, um ein Sicherheitssystem aufzubauen, also um es gegen einen Angriff von außen zu schützen? Aber auch wie muss ich vor allen Dingen, das spielt auf das Thema Resilienz an, in diesem Fall, wie muss ich denn auch mein eigenes Unternehmen ausstatten, damit alle wissen, welche Situation denn auftauchen kann? Also wo kann ich denn unter Umständen auch ungewollt einfach ein Tür öffnen, obwohl sich das eigentlich nicht wollte als Mitarbeiterin zum Beispiel. 
Ashley: In unserem Vorgespräch? Sandra Wir hatten genau über die Systeme gesprochen, wo ich mache, ich mache alles dicht, aber vielleicht ungewollt passiert was. Ich fand dieses Bild, um das ein bisschen einzuleiten, das Thema Das Alte Burg. Ich fand das wirklich ein hervorragendes Bild, um dieses Problem darzustellen. Wenn du das mal vielleicht mal ein bisschen erzählen könntest. Ich glaube, das wäre sehr interessant. 
Sandra: Ja, ich habe die ganze Zeit, ich denke ganz viel in Bildern und ich habe mir vorgestellt, was. Passiert, wenn ich meine Burg also beispielsweise im Mittelalter total sicher mache. Ich habe einen Graben, da ist viel Wasser drin. Vielleicht schwimmen da irgendwelche Dinge drin, die mich davon ab die Angreifer davon abhalten sollen, reinzukommen. Ich ziehe die Brücke hoch und eigentlich glaube ich, ich bin vor Angreifern sicher, das passiert auch. Ich habe alle Sicherheitsmaßnahmen ergriffen. Und dann gibt es aber ein Liebespaar. Eine Person wohnt in der Burg und eine Person wohnt im Dorf zu Fuße der Burg am Fuß der Burg. Und die finden Naja, aber wir sind ja nicht gefährlich, wenn wir uns heimlich treffen und durch die Hintertür irgendwie Ein und Auslass regeln. Da wird schon nichts passieren. Die Tür ist aber auf, da braucht nur jemand vergessen, die Tür abzuschließen. Oder man hat überhaupt vergessen, dass es diese Tür gibt. Aber die beiden, die sich dann nun unbedingt sehen wollen, die werden schon einen Weg finden ohne eine böse Absicht. Trotzdem ist da eine Tür und wenn sie auf bleibt, dann ist auch die hochgezogene Brücke nichts wert. Also das ist so, das ist so das Bild, was mir immer im Kopf herum schwebte. 
Ashley: Nein, ich finde, das ist ein sehr schönes Bild, weil wir hatten vorhin gesagt, okay, es ist ein Thema für den Geschäftsführer. Die Verantwortung liegt aber in deinem Beispiel, die die Liebespaar, die sind, ich sag mal so, das ist ein Mitarbeiter oder eine Mitarbeiterin. Das heißt, was muss ich tun, um diese dieser Bewusstsein innerhalb des Unternehmens darzustellen, das wirklich die Leuten in deinem Beispiel, denn das, dass diese Hintertür nicht aufgemacht wird, es ist genauso. Aber ich sag mal so mit IT Sicherheit, ich sag mal so, gibt es irgendwelche Ideen oder Beispiele von Kampagnen wie wie kann ich dieses dieses Message transportieren, dass es nicht nur bei den Geschäftsführer legt? 
Sandra: In einer idealen Welt, wenn ich das kurz noch mal einführen darf, wäre das natürlich schön, wenn ich als Burgherren mit allen Leuten reden könnte und sagen könnte es. Mag sein, dass ihr da vielleicht Liebesaffären außerhalb der Burg habt, aber wenn das so ist, dann kommt doch bitte zu mir und lasst uns darüber reden, wie wir das machen wollen. 
Ashley: Genau. Genau dieses offen auf offen damit umgehen Sache bei der bei der. Bei der IWC in Schaffhausen. Das war ein Thema. Dieses Thema Awareness, wo du auch einen Preis für diese Awareness Kampagne gewonnen hast. Kannst du dazu ein paar Fakten erzählen? Eigentlich was? Was? Warum macht man so eine Awareness Kampagne? Welche Art und Weise macht man das? Macht man das nur einmal? Könntest du dazu uns was erzählen? 
Sascha: Natürlich. Also grundsätzlich muss ich hier, sagen wir ein bisschen bisher eigentlich auf das Thema Technik eingegangen und wirklich auf das Thema Awareness. Grundsätzlich, wenn ich Security in einem Unternehmen betreibe, egal in welcher Größe, gibt es eigentlich immer drei Sachen, die ich zu beachten habe. Das eine sind die technischen Aspekte, dass ich halt wirklich hingehe und wie kann ich mein Unternehmen technisch absichern? Das andere sind die organisatorischen Sachen wie laufenden Prozesse ab was gibt es denn für Regeln? Was gibt es denn für Policies? Und wenn ich beides wirklich gut umgesetzt haben will, dann muss ich natürlich auch den den Menschen involvieren, den Mitarbeiter, egal auf welcher Stufe involvieren. Und das sind genau die, die Punkte, die wir auch hier beackert haben. Wir haben fünf Preise gewonnen, nicht ein auch. 
Ashley: Noch ohne. 
Sascha: Dass wir also, wenn wir schon über die Preise reden, nein, aber auch so eine Burg abzusichern, fällt mir spontan ein. Aber auch hier muss ich technisch ich muss gucken, wo die. Wo könnten die Angreifer reinkommen? Ich muss die Zugbrücke sichern. Ich muss gucken, dass die Bauwerke dick genug sind. Ich muss mich aber auch organisieren. Ich muss Wachen heben, Wachen patrouillieren lassen. Ich muss gucken Wen lasse ich denn da rein? Ich brauche einen Passierschein. Und am Schluss muss ich natürlich mein ganzes Personal um meine Soldaten der Burg drillen, damit die auch nicht auf irgendwelche Tricks trojanischen Pferde reinfliegen. Also das war jetzt so spontan improvisiert auf diese Burg, aber ich denke, es beschreibt die Situation ganz gut, weil in einem Unternehmen habe ich das genauso. Ich habe wirklich genau diese Schwachstellen, die halt organisatorisch immer ein Beispiel, was sehr, sehr häufig passiert. Man muss es nur in Google mal eingeben, sogenannte CEO Fraud CEO Fraud bedeutet nichts anderes wie Ich gebe mich als jemand von der Geschäftsleitung aus, typischerweise der SEO. Ich suche mir über LinkedIn einen ein Opfer, also zum Beispiel jemand aus der Finanzbuchhaltung, der vermutlich Zugriff auf die Zahlungssysteme hat. Und dann überlege ich mir ein gutes Opfer. Ich sehe ja, ich kann ja keine recherchieren. Meistens haben die dann auch von Instagram und Facebook Profile. Und wenn ich mein Opfer gefunden habe, präferiere ich ein Email. Und das sieht dann wirklich so aus, als ob es vom SEO kommt. Und da gab es in den letzten Jahren wie gesagt einfach mal Google nach SEO Fraud unter News und google.com. Und ich sehe dort wirklich, da gibt es Firmen, die haben Millionen über wesentliche Apps vor vier, fünf Jahren. Wenn ein Autozulieferer in Österreich zum Beispiel hat 40 Millionen € verloren mit SEO Fraud. Wir haben vor Financial Institutions, wo wirklich Hunderttausende verloren haben, in einem Klacks. Hier habe ich verschiedene Probleme. Das eine Problem, wo ich hier habe, ist technischer Natur, dass ich halt meine Emails nicht so hundertProzentig abgesichert habe, dass ich diese Sachen anfange oder diese Sachen markiere oder irgendwie einfach ein Mechanismus zum so Sachen blocken, weil es ist wirklich einfach, einen E Mail Header zu fälschen. Natürlich, wenn ich auf Free Play klicke, dann sehe ich den den wahren Absender aber im heutigen Outlook Microsoft Universum. Wenn ich dir jetzt eine Email schicke und im Namen von Cassandra und du hast hier zum Beispiel Skype drin oder in Teams, dann würde das wirklich so erscheinen. Also das würde wirklich in der Inbox so aussehen. So, so jetzt, das ist das eine. Das andere ist natürlich, was macht der Mitarbeiter da? Kommen wir auf den Faktor Mensch. Glaubt er dem, wird er misstrauisch. Wie sieht denn das aus? Und das kann man trainieren, das kann man, da kann man wirklich. Wir werden es schaffen. Und das andere natürlich der Prozess, die Organisation ist natürlich hat dieser eine Mitarbeiter aus der Finanzbuchhaltung wirklich Berechtigungen, um zum Beispiel 1 Million Franken oder Euro zu überweisen, ohne ohne ein Vier Augen Prinzip oder ein Prozess. Also einfach nur mal zu veranschaulichen eben die Symbiose zwischen Technik, Mensch und Organisation Ich. Wirkliche Sicherheit wird es nie geben, aber ich kann extrem viel machen, indem ich versuche, eine Balance zwischen diesen drei Bereichen zu schaffen. 
Ashley: Ja, vor allen Dingen auch, wie du sagst, dieser dieses Faktor Mensch wahr. Viele Leute denken, Sicherheit ist was Technisches. Ich dann in der Buchhaltung muss mich nicht drum kümmern, weil ich kein technischer Mensch bin. Aber genau dieses Beispiel, was du gerade gebracht hast, Sascha, zeigt ja auch solche Leute in Anführungsstrichen können angegriffen werden. Und genau dieses, dieses Thema Awareness zu bringen, dass jeder das versteht. Aber sind das Sachen, wo ich sage mal so zum Anfang des Fiskaljahr Jahres? Ich mache mal einen tag eine wellness kampagne und das war's bis zum nächsten Fiskaljahr. Oder wie? Wie organisiert man oder innerhalb eines Unternehmens? Was für eine Organisation brauche ich, um dieses Awareness erst mal zu schaffen und dann weiterhin diese Awareness, ich sage mal so, immer wieder, ich sage mal so als Topic mal hoch zu bringen. 
Sascha: Also Awareness selber ist eigentlich nichts anderes wie gute interne Kommunikation, gutes internes Marketing. Typischerweise läuft das so ab Wenn wir nicht eine Kampagne plane, gehe ich eigentlich mal hin und hol mir mal verschiedene Leute aus dem Unternehmen. Wir setzen uns zusammen. Typischerweise haben wir dafür hier im HR Human Resources mit dabei. Wir können auch legal dabei haben oder sonstige Stakeholder, wo ich eigentlich im Unternehmen dringenden habe. So, und dann unterhalten wir uns eigentlich mal zusammen. Was haben wir denn überhaupt für Probleme bei uns im Unternehmen? Das ist so, wir bilden uns Topics, also zum Beispiel Data. Datenschutz haben wir hier, Phishing, Emails, Social Engineering und wir beraten uns dann eigentlich immer. Was habe ich denn überhaupt für Kommunikationskanäle? Viele Leute kennen eigentlich nur Email oder Intranet, aber ich habe ich habe wahrscheinlich noch viel, viel mehr, also zum Beispiel die meisten Unternehmen kennen oder größeren Unternehmen kennen ein Format, wie zum Beispiel Financial Learn, das ist wirklich ein physischer Event vor Ort. Viele haben schwarze Bretter, wo ich vor Ort habe oder haben so Infos Screens, viele haben einen Mitarbeiter Magazin wo ich kann. Also es gibt ganz ganz viel Kommunikationskanäle und was ich mir dann überlegen muss ist natürlich, wo erreiche ich denn welche Mitarbeiter? In kleinen Unternehmen ist das was anderes, aber sobald ich über 100, 234 100 Mitarbeiter, dann habe ich verschiedene Zielgruppen. Bei IWC war das so Wir haben natürlich ganz, ganz viel verschiedene Zielgruppen. Wir haben von der Geschäftsleitung bis über Produktions, Mitarbeiter, Empfangs Leute, Marketing, Supply Chain und sonstiges. Die konnte ich natürlich alle ein bisschen verschieden erreichen. Also zum Beispiel die Leute in der Produktion haben wir über Info Screens, über Flyer, über QR Codes erreicht, dass die wirklich die Sachen anschauen können. 
Ashley: Aber ich denke ein wesentliche Punkt, was du da gesagt, das ist auch zum Anfang zusammenzusitzen und nicht nur wiederum von der technische Seite aus zu sagen Welche Probleme habe ich aber Produktion, aha, Accounting. Und so weiter. Und um, um, um auch in diesen ersten Schritt dann zu sagen Das ist ein Thema für das gesamte Unternehmen und nicht nur für einen Teil des Unternehmens. 
Sascha: Richtig und und das, darum geht es ja eigentlich in der ersten, also normalerweise, oder was man sieht den größten Fehler. Also man muss es so sagen, ich muss sagen, viele Unternehmen betreiben Awareness, zumindest nehmen sie es an, aber die meisten kaufen sich einfach ein Learning, machen ein paar Video. Weil sie das müssen für Compliance. Weil sie irgendwie Financial Institution oder ISO Zertifizierung. Dann haben sie zwei, drei Mal im Jahr irgendwelche Videos, die die Mitarbeiter angucken müssen. Dann klicke ich da drauf und wir kennen es doch alle. Als man das Video lauft, jetzt heute um 17:00 ist die Deadline zum 17 Reminder gekommen. Was mache ich? Ich mache Mach's um 16:00 auf. Klicke drauf. Oder halt. Oh, oh, jetzt mach Mensch was für ein Hm. Und genau. Und wir. 
Ashley: Kennen das. 
Sascha: So, das ist keine Awareness, das ist eigentlich ein Training, wo ich für Compliance mache und das um 17:00 habe ich das schon wieder vergessen. Wenn ich aber eine gute Kampagne macht, die vielleicht noch ein Gesicht hat, also ein Logo und ein Claim und ich kann auch Leute damit assoziieren und die geben mir auch noch Tipps und Tricks für privat. Also weil viel privat habe ich genauso diese Problem. Ich kriege ja genauso Phishing Emails privat wie im Geschäft. Wenn ich den Leuten noch wirklich Tipps und Tricks an die Hand geben kann, um um dort wirklich ein Value zu bringen, dann lieben die das und das kann ich sagen. Wichtig ist, dass ich immer wieder regelmäßig kommuniziere. Wir machen es so Wir bringen einen Newsletter, so ein Magazin, style, jedes Quartal. Wir machen zwischendurch Blogs, wenn's verschiedene Sachen hat. Vor der Pandemie haben wir drei, viermal im Jahr am Lunch Learn Events gemacht. Da haben wir zum Beispiel Hacker eingeladen, wo wir den wirklich gezeigt haben, den Leuten, wirklich den Endanwender. Wie sieht denn ein Hacker sowas? Was sieht denn der überhaupt? Und wenn ich jetzt auf so einen Link klicke, was passiert da? Ganz ehrlich, ein riesen Kino. Also wir haben immer so Limitation für 30, 40 Leute. Wir hatten Events, die mussten wir drei, viermal durchführen, weil so ein großes Interesse besteht. Und die Leute lieben das. Und das ist wirklich mit Emotionen aufgeladen. Die stehen am Schluss Schlange mit den Experten, haben da noch Fragen, oft auch privater Natur, wenn ich das so betreibe, was dann passiert. Ich schaffe eine Sicherheitskultur und eine Sicherheitskultur kann stärker sein wie jede Firewall. Warum? Die melden die Sachen und das will ich ja als Sie, als Zi, so als Security Expert oder als Verantwortlicher möchte ich doch, dass die Leute zu mir kommen und sagen Hey, pass mal auf, das stimmt irgendwas nicht. Und ich dann als Zizou, geh dann hin und sagte Vielen Dank, weil jetzt kann ich was unternehmen, ich weiß ja dann überhaupt, dass da was läuft, oder? Und und. Das ist wirklich das höchste Gut, was man halt aufpassen muss, wenn man als Security guy. Man soll kein Blocker werden. Oft höre ich von Firmen, die halt zum Beispiel Oh jetzt kommen die zwei Tage vor Go live und echt, die wissen das jetzt schon ein Jahr, diese Idioten. Wieso? Und das damit mache ich viel mehr kaputt wie wir nicht ziehen sagt was man auch bitte nächstes Mal involviert uns früher. Pass mal auf, wir können das, das, das und das machen. Okay, let's go. Und ich bin dann ein Partner und glaub mir, die Leute kommen damit natürlich als immer Ausnahme irgendwelche, ich sag mal Spezialisten, die muss ich dann, da muss man anders. Aber ganz ehrlich, was ich gesehen habe, auch in Firmen wie IWC, die meisten, da funktioniert es. Und ganz ehrlich, wenn man ein Business Partner ist, kommen die Leute und die wissen Security ist a wichtig für uns. B Es hilft, unsere Produkte und unsere Reputation zu schützen und die diesen Kohle gar ist, die helfen uns, die sind da für uns und dann funktioniert das auch. Das braucht aber eine gewisse Zeit, um das zu zu etablieren und danach muss es einfach gepflegt werden. 
Ashley: Ja und wie du sagst, diese dieses Kultur, dass es kein Angst Kultur oh ich vielleicht ist, habe ich jetzt was gefunden, was nicht sicher ist? Oh Angst. Ich sage dazu gar nichts, sondern genau umgekehrt, dieses Kultur der Offenheit. Ich kann zu jemand hingehen und sagen Hey, pass mal auf, ich habe gerade das, das und das sehen. Kannst du mir helfen oder was können wir da tun? 
Sandra: Genau. Also, das ist, ich denke mal, dass zwei ganz, ganz wichtige Aspekte sind. Zum einen natürlich das, was Sascha geschildert hat, wenn man sich mit also wenn man das nicht als IT Thema alleine betrachtet, sondern als kulturelles und unternehmens Thema dann und das Gespräch auch sucht, also mit allen Unternehmensbereichen, dann erfährt man eben auch die Zuwendung bzw erreicht das Verständnis. Was ist eigentlich mit was hat das denn eigentlich mit mir zu tun, wenn ich in wenn ich Personalchefin bin und der Sascha lädt mich zu einem Workshop ein, dann würde ich ihm vielleicht sagen Du, ich habe da echt kein Problem mit. Also irgendwie ihr habt doch unsere ganzen IT Systeme eingerichtet. In dem Moment, in dem ich aber das Gespräch führen kann und sagen kann es hat was mit dir zu tun, wie können wir dir helfen? Also erst mal das Bewusstsein zu erreichen, das ist, was mit mir zu tun hat und auch diese Verknüpfung schaffe. Dann wird es ja Teil der gesamten Kultur. Das ist, das heißt, man muss erst schon auch einen Schritt auf die Leute zugehen, die noch nicht verstehen, was es mit ihnen zu tun hat. Unter Umständen einfach, vielleicht auch, weil sie es nicht wissen. Aber um einen Schritt dann auch weiterzugehen und zu sagen okay, dann meldet mir bitte auch oder dann sagt uns, an welcher Stelle wir euch auch helfen können. Also es sind immer zwei Schritte, denke ich. Also erst auf die anderen. Zu, um dann auch etwas zurückzubekommen. Aber das erfordert eben auch, dass die Leute, mit denen ich spreche und die ich anspreche, also alle Zielgruppen verstehen, was das eigentlich mit ihnen zu tun hat. 
Sandra: Ja. 
Ashley: Ich versuche jetzt, aus dem Gespräch ein paar Sachen zusammenzufassen. Erst mal, dass das Bild natürlich, das bleibt jetzt bei mir im Kopf. 
Sandra: Sandra Tut mir leid. 
Ashley: Nein, nein, nein, nein, nein. Im Gegenteil. Nein. Aber wirklich so, dass man nicht nur, ich sag mal so die Tür vorne zumacht, aber wirklich überall schauen muss. Und dieses Thema Elemente, es ist nicht nur, es ist ein ein technisches Thema, aber nicht nur ein technisches Thema. Und wie du sagtest, Technologie, Organisation und Kommunikation. Das habe ich da rausgenommen als dieser Islam, so die drei wesentliche Elemente und auch das Thema Kulturschaffen. Eine eine offene Kultur, wo die Leute keine Angst vor dieses Thema haben, sondern die die Offenheit, sich über diese Themen zu informieren und auch Information weiterzugeben intern, wenn irgendetwas was gesehen wird. Ich glaube, wir könnten noch eine halbe Stunde oder noch länger über die über dieses Thema Cybersecurity reden, aber ich denke für die für die erste Version ist es da auf jeden Fall genug. Ich denke, das wäre. Nein, ich denke nicht. Ich weiß, dass das die Fehler gute Information für den Zuhörer weitergegeben habt. Ich möchte mich bei Dir, Sandro und bei Dir, Sascha, recht herzlich bedanken für eure Zeit und auch für die wirklich super Impulse, die er uns gegeben habt. Vielen herzlichen Dank dafür. 
Sandra: Ja, sehr gerne. 
Ashley: Sehr gern. Hat Spaß gemacht. Danke. 
Sandra: So gerne. Ciao. 
Sascha: Ciao. 
Sandra: Tschüss. 
Sandra: TaktsoftCampus Podcast! Der Podcast für Software und IT Professionals Im Taktsoft Campus Podcast beschäftigen wir uns mit einem breiten Themenspektrum, um euch zu helfen. Praxis Fragen zu Technologie, aber genauso Fragen zur Umsetzung, Prozessen oder Projektorganisation. Danke, dass er dabei wart. Euer Taktsoft Campus Podcast Team.
bottom of page