Cloudflare TV

­čöĺ Digitalisierung- welche Rolle spielt Cybersicherheit?

Presented by Frank Giessen, Thomas Hemker
Originally aired on 

Die Digitalisierung ist eine der zentralen Herausforderungen, die Unternehmen gegenw├Ąrtig bew├Ąltigen m├╝ssen, um auf dem (nationalen und internationalen) Markt wettbewerbsf├Ąhig zu bleiben. Eine wichtige Aufgabe dabei: Cybersicherheit. Insbesondere in den vergangenen 20 Jahren wurde das Aktionsfeld der klassischen IT-Sicherheit auf das Internet bzw. den Cyber-Raum ausgeweitet. Die wachsende Bedeutung von Cloud-Diensten, die zunehmende Verbreitung und Nutzung von mobilen Endger├Ąten, die Datenschutzrechtskonformit├Ąt nach der DSGVO und die damit einhergehenden Auswirkungen auf die Arbeitsorganisation (Remote-Working, Homeoffice usw.) haben die IT-Sicherheit immer wieder vor neuen Herausforderungen gestellt.

Thomas Hemker verf├╝gt ├╝ber 25 Jahre Expertenerfahrung im Bereich Cyber-Sicherheit. Bei der Deutsche Cyber-Sicherheitsorganisation GmbH verantwortet er seit 2020 als Business Director den Managed Service Threat Detetcion & Hunting (TDH). Davor war er 10 Jahre lang Director Security Strategy im CTO Office von Symantec, leitete die europ├Ąischen Pre-Sales Aktivt├Ąten der PGP Corporation und f├╝hrte Systems-Engineering Organisationen bei Network Associates. Er ist im st├Ąndigen Austausch mit Sicherheitsverantwortlichen in Unternehmen, Beh├Ârden, Organisationen und Akteuren der Sicherheitsindustrie. Neben seiner technischen Expertise u.a. in den Bereichen Netzwerk- und Systemsicherheit, Threat Intelligence, Kryptographie, PKI und DLP verf├╝gt er ├╝ber grosse Erfahrung im Produkt-Management, der Beratung und dem Business-Development. Thomas Hemker ist Sprecher auf Sicherheitskonferenzen, Autor von Fachpublikationen und h├Ąlt diverse Industriezertifizierungen. Er vertritt die DCSO beim TeleTrust e.V., und ist Teil der ENISA CTI Stakeholder Group.. Zudem ist er Mitglied bei (ISC)2, ISACA, CSA, HamDG und Mitgr├╝nder und fr├╝herer Vorstand des (ISC)2 Chapter Germany und war Vertreter im Information Security Forum (ISF) Advisory Council

German
Privacy Week

Transcript (Beta)

Hallo Thomas. Hallo Frank. Sch├Ân, dass du da bist. Ja, wir legen auch gleich los. Mein Name ist Frank Giessen.

Ich arbeite seit April 2020 f├╝r Cloudflare in Deutschland und ich freue mich, dass ich Sie heute hier bei Cloudflare TV begr├╝├čen kann.

Ich spreche heute mit Thomas Hemker, Businessdirektor bei der Deutschen Cybersicherungsorganisation, kurz DCSO genannt.

Und unser Thema ist Digitalisierung.

Welche Rolle spielt Cybersicherheit? Thomas, nochmal vielen Dank, dass du heute Zeit f├╝r uns hast.

Sehr gerne. Ja, du verantwortest als Businessdirektor seit 2020 bei der DCSO den Bereich Management Service Threat Detection and Hunting.

Du warst zehn Jahre lang Direktor bei, Direktor Security im CTO-Office von Symantec.

Dein Netzwerk besteht unter anderem aus den sicherheitsverantwortlichen Unternehmen, Beh├Ârden, Organisationen, sowie anderen Akteuren der Sicherheitsindustrie.

Deine technische Expertise ist unter anderem im Bereich Netzwerk, Systemsicherheit, Threat Intelligence, Cryptography, PKI, DLP und vielem mehr.

Dar├╝ber hinaus vertrittst du die DCSO beim TeleTrust TV. Du bist Teil der Enisa CTE Stakeholder Group, sowie Mitglied in diversen anderen Security Organisationen, Foren, Gruppen.

Kurzum, ein absoluter Cybersicherheit-Experte. Und deswegen freue ich mich, dass wir heute ├╝ber dieses spannende Thema sprechen.

Zun├Ąchst m├Âchte ich mal wissen, wie geht es dir?

Wie erlebst du diese ungew├Âhnliche Zeit im Homeoffice?

Wenig reisen. Wie gehst du damit um? Wie geht dir bei der DCSO damit um?

Ja, das ist eine sehr gute Frage. Also, ich erlebe die Zeit als Herausforderung, aber auch als positive Herausforderung.

H├Ąngt auch nat├╝rlich damit zusammen, dass ich jetzt gerade mehr oder weniger halt w├Ąhrend dieser Zeit auch dann eine neue Aufgabe ├╝bernommen habe, die du gerade angesprochen hast.

Und das ist nat├╝rlich erstmal sowieso eine sehr spannende Zeit.

Am Anfang hatte ich nur das Gl├╝ck, dass ich relativ h├Ąufig auch mit meinen Kollegen dann halt zusammen sein konnte, auch physisch.

Aber das hat sich nat├╝rlich jetzt wieder erledigt f├╝r eine gewisse Zeit.

Aber wir haben dann schon einen guten Modus operandi gefunden, halt auch remote zu arbeiten und auch dann in den sozusagen mehr oder weniger dauerhaften Webmeetings und Videochats miteinander gut zu kommunizieren und gut zu arbeiten.

Das haben wir halt auch gesehen, dass ├Ąhnlich wie bei anderen Unternehmen hat nat├╝rlich diese Krise, dass diese Art von Arbeit nat├╝rlich total befeuert.

Und es ging dann halt auch viel schneller, als man eigentlich gedacht hat, dass man das machen k├Ânnte, auch auf einem sicheren Weg.

Und wir haben nat├╝rlich viel gelernt, lernen immer noch viel.

Und das Reisen, da ist es nat├╝rlich so, ich war ja jemand, der immer viel und gerne verreist ist.

Aber ich genie├če auch die Zeit, die ich jetzt nicht unterwegs sein muss, muss ich auch ganz ehrlich sagen.

Aber ich reise auch irgendwann bald mal wieder gerne zu Kunden und zu Events physisch und so weiter.

Ja, also ich glaube auch. Ich glaube, am besten kommt man ja irgendwie durch das Thema, wenn man jetzt genau, wie du sagst, die angenehmen Dinge einfach auch genauso empfindet und das genie├čt.

Und trotzdem hoffen wir ja alle ein bisschen darauf, dass wir ein St├╝ck unseres normalen Lebens wiederfinden.

Ich meine, das wollen wir mit Sicherheit haben.

Und da sind wir auch mal guter Dinge, hoffe ich mal.

Aber wie du schon gesagt hast, Digitalisierung, ein riesen Thema.

Und dar├╝ber wollen wir heute reden. Welche Rolle spielt da die Cybersicherheit?

Es ist eine der zentralen Herausforderungen der Unternehmen, die sie gegenw├Ąrtig bew├Ąltigen m├╝ssen, um auf dem internationalen und nationalen Markt wettbewerbsf├Ąhig zu sein.

Und dass dabei die Cybersicherheit eine wichtige Rolle spielt und dass sie insbesondere in den vergangenen 20 Jahren dieses Aktionsfeld quasi von der klassischen IT-Sicherheit auf das Internet bzw.

auf den Cyberraum, dass sie das ausgeweitet hat, das ist ja mit eine Begr├╝ndung, warum das Thema so wichtig ist und so eine Bedeutung dazugewonnen hat.

Die wachsende Bedeutung von Cloud-Diensten, die zunehmende Verbreitung und Nutzung von mobilen Endger├Ąten und die auch damit einhergehenden Auswirkungen auf die Arbeitsorganisation, ja Stichwort hier auch Remote Working Home Office hast du schon genannt, haben wir kurz gesprochen, haben die IT-Sicherheit immer weiter vor neue Herausforderungen gestellt.

Und das bedeutet ja, dass diese zunehmende Digitalisierung und Vernetzung, die ver├Ąndert die Wirtschaft, die ver├Ąndert auch die Gesellschaft, ja also sie ├Âffnet nat├╝rlich einzigartige M├Âglichkeiten f├╝r Wachstum, Zukunftsf├Ąhigkeit durch neue Gesch├Ąftsmodelle.

Sie hat einen Einfluss auf die Geschwindigkeit, ja auch die Komplexit├Ąt des digitalen Wandels und genau das stellt ja die Unternehmen auch auf eine Vielzahl von neuen Herausforderungen, die damit einhergehen.

Und da w├╝rde mich interessieren, wie bewertest du das, wie bewertet die GCSO diese neuen Herausforderungen, die dort auf uns alle zukommen?

Ja, die neuen Herausforderungen sind ja vor allen Dingen damit verkn├╝pft, dass Digitalisierung in den meisten Unternehmen bedeutet, dass halt das Abh├Ąngigkeitslevel quasi erh├Âht wird von digitalen L├Âsungen, digitalisierten Gesch├Ąftsprozessen und so weiter.

Das hei├čt, wenn da jetzt was ausf├Ąllt oder mal was nicht funktioniert, dann ist sofort der Gesamterfolg der gesamten Unternehmung halt in Frage gestellt.

Und das hat nat├╝rlich verschiedene Aspekte je nach Unternehmen, also wie sehr halt diese Unternehmen auf digitalisierte Anwendungen sozusagen vertrauen m├╝ssen oder halt darauf aufbauen, wir genannt das Gesch├Ąftsmodell darauf basiert haben.

Und auf der anderen Seite ist es nat├╝rlich so, dass diese Technologien, die da jetzt im Einsatz sind, alle nat├╝rlich nicht fehlerfrei sind.

Und durch dieses fehlerfrei sein in Form von Schwachstellen, die man hat, wird man eingreifbar.

Man hat nat├╝rlich auch die Notwendigkeit, ├╝berhaupt Experten zu bekommen, die diese Technologien dann auch sinnvoll betreiben k├Ânnen, dass man dann nicht durch irgendwie fehlerhafte Konfigurationen, Stichwort Cloud-Dienste, man hat da was in die Cloud gelegt und auf einmal ist es offen sichtbar f├╝r alle anderen, weil man da irgendwie vergessen hat, ein H├Ąkchen zu setzen.

Da gibt es ja gen├╝gend Beispiele daf├╝r. Und gerade diese Vergr├Â├čerung der Angriffsfl├Ąche durch Digitalisierung ist ein Thema, was f├╝r uns als Organisation sehr entscheidend ist, weil wir sehen nat├╝rlich viel mehr Angriffsinformationen, Bedrohungsinformationen, also einmal was Schwachstellen angeht und zum anderen nat├╝rlich, was die Ausnutzung dieser Schwachstellen angeht.

Und f├╝r das Otto -Normal-Unternehmen ist es fast nicht mehr m├Âglich oder ist es eigentlich nicht m├Âglich, diese ganzen Informationen sinnvollerweise zu konsumieren und dann auch zu verarbeiten, dass man auch wei├č, werde ich angegriffen?

Wenn ja, wer macht das? Wie werde ich angegriffen? Wie kann ich mich dann dagegen sch├╝tzen?

Sind die jetzt schon l├Ąnger dabei oder f├Ąngt der Angriff gerade erst an?

Was wollen die? Sind das personenbezogene Daten? Ist das mein geistiges Eigentum?

Muss sich das irgendjemand melden und so weiter? Und da kommen wir ins Spiel, weil wir halt dann in der Lage sind, quasi diesen ganzen Apparat als Managed Service den Kunden zur Verf├╝gung zu stellen.

Okay. Also das hei├čt, durch diese gr├Â├čeren Angriffsfl├Ąchen und durch diese Ver├Ąnderung ist das f├╝r euch etwas, worauf ihr schon vorbereitet seid und ihr arbeitet eigentlich auch schon in so einem Modus, m├Âchte ich das mal nennen.

Genau. Unser Modus ist sicherlich nicht ganz vergleichbar mit vielen anderen Unternehmungen in diesem Bereich, weil unser Modus halt ganz stark Community getrieben ist.

Das hei├čt, wir haben nat├╝rlich Kundenbeziehungen, die unsere Services in Anspruch nehmen, aber diese Kunden sind Teil einer Community, die wir hosten.

Also wir sind quasi die Moderatoren, die dann den Austausch unter diesen Community-Mitgliedern auch erm├Âglichen.

Und gerade der Austausch von Bedrohungsinformationen ist ein ganz wichtiges Thema, dass wenn halt jemand etwas hat, sofort die anderen auch wissen, da passiert gerade was, ich muss darauf aufpassen, ich muss danach schauen.

Und idealerweise ist es nat├╝rlich so, dass wir das dann halt automatisch machen.

Das hei├čt, nochmal zur├╝ck auf diesen Bereich der Bedrohungsinformationen.

Wir operationalisieren diese Bedrohungsinformationen, die wir dann aus verschiedenen Quellen bekommen.

Wir kuratieren die nat├╝rlich auch, dass man halt auch dann wirklich sinnvolle Informationen bekommt und quasi halt da das Rauschen von den wirklichen Informationen trennen kann.

Und dann k├Ânnen wir auch eben diese Angriffe von Angriffsgruppen, gezielte Angriffe, APTs, aber auch nat├╝rlich Cybercrime-Angriffe, dann halt rechtzeitig erkennen.

Und der Anwender, der Kunde, das Unternehmen, das mit uns zusammenarbeitet, kann nat├╝rlich dann auch schnell reagieren, um die Ausf├Ąlle oder die Auswirkungen, die dann auch finanzieller Art vielleicht sein k├Ânnen, m├Âglichst gering zu halten.

Okay. Also ein bisschen auch Prinzip einer f├╝r alle, alle f├╝r einen.

Wenn man diese Informationen shared, auf jeden Fall. Das ist ja auf jeden Fall ein guter Ansatz, w├╝rde ich sagen.

Inwieweit k├Ânnt ihr, kannst du das sagen, inwieweit gibt es eine ver├Ąnderte Sicht auf dieses Angriffsverhalten?

Seit der Pandemie hat sich da irgendetwas f├╝r euch ver├Ąndert?

Wenn ich es richtig verstanden habe, DCSO ist jetzt ja mehr orientiert Richtung gr├Â├čerer Unternehmen.

Ja, also auch eure Gr├╝ndungsunternehmen sind ja gro├če Schwergewichte hier in Deutschland.

Und deswegen finde ich jetzt die Frage eigentlich ganz spannend, ob ihr auch durch die Pandemie ein ge├Ąndertes Angriffsverhalten, ob ihr da neue Dinge festgestellt habt oder ├╝berhaupt irgendeine ├änderung oder ist das eher konstant geblieben und hat gar keinen Einfluss darauf genommen?

Es hat schon zugenommen. Also es gibt nat├╝rlich diese ber├╝hmten Beispiele, wo halt irgendwelche Phishing-Mails und so weiter, auch im Consumer-Bereich nat├╝rlich jetzt teilweise weniger bei Unternehmen, aber Unternehmen eben auch, Cyberbetrug, generell Cybercrime halt durch Corona befeuert worden ist.

├ähnlich wie das bei anderen gr├Â├čeren Ereignissen wie Olympischen Spielen und so weiter ja auch dann immer stattfindet, wo man im Zuge halt dieser Krisen dann halt eben auch eine gewisse Ausnutzung sieht.

Der Angreifergruppen, die stellen sich ja immer sehr schnell darauf ein, aber dieses ganze Thema Abwehr von Wirtschaftsspionage, aber auch Sabotage, zum Beispiel die ransomware und sowas, das ist vorher schon da gewesen, aber ist nicht weniger geworden, eher mehr geworden auch in Zeiten der Corona -Pandemie.

Und nat├╝rlich sehen wir auch andere Einfallstore und das hat nat├╝rlich mit dieser ver├Ąnderten Arbeitsumgebung zum Teil zu tun.

Das muss man ganz klar so konstatieren. Genau, das war so mit der Hintergrund meiner Frage, dass ja genau das eigentlich auch einen logischen Zusammenhang dann hat, wenn sozusagen ich neue Zugangstore auch einfach schaffe, indem ich zum Beispiel mehr Remote- und Home-Arbeitspl├Ątze habe, dass das nat├╝rlich auch sofort auf der anderen Seite ankommt und man dann eben entsprechend dort auch vielleicht neue Gesch├Ąftsmodelle oder einfach neue Angriffsszenarien hat.

Ja, also auch finde ich eine spannende Beobachtung, dass das f├╝r euch als jemand, der wie gesagt eher in den Gro├čindustrie-Kunden unterwegs ist, dass das genauso beobachtet wird.

Genau, wir sind nat├╝rlich, wenn ich dich da unterbrechen darf, weil ich das gar nicht noch gesagt hatte, nicht beschr├Ąnkt auf diese gr├Â├čeren Unternehmen.

Die gr├Â├čeren Unternehmen haben halt nat├╝rlich immer den Vorteil gehabt, dass die schon dieses Risiko auch im unternehmerischen Kontext mit eingeplant haben.

Das haben viele kleine Unternehmen noch nicht gemacht. F├╝r die sind Cyber-Risiken immer noch so irgendwie was Nebul├Âses, was sie nicht klar fassen k├Ânnen.

Und gerade die Angriffe, die wir mit unserem Service detektieren, sind ja oftmals Angriffe, die man nicht sieht.

Also anders als Ransomware oder so weiter, wo halt das Bewusstsein relativ schnell in der ├ľffentlichkeit gestiegen ist, dass man sich da wehren muss und da was gegen tun muss und vielleicht bestimmte Ma├čnahmen ergreifen muss.

Aber die Angriffe, die wir auf die deutsche und europ├Ąische Wirtschaft sehen, da geht es ja oftmals um Wirtschaftsspionage und da ist nat├╝rlich ein lautloses Vorgehen der Angreifer gang und g├Ąbe.

Das hei├čt nicht, dass diese Angriffe weniger schlimm sind. Die sind meistens vielleicht sogar noch schlimmer.

Und wir haben nat├╝rlich jetzt hier ganz klar auch das Mandat auch von unseren Shareholdern, aber auch ist das eine strategische Entscheidung des Unternehmens, dass wir gerade, weil die deutsche Wirtschaft so aufgebaut ist, nat├╝rlich verst├Ąrkt auch in diesem Mittelstandsbereich aktiv sein wollen.

Und da gibt es nat├╝rlich auch immer mehr Unternehmen, die da auch jetzt eine gewisse Reife haben, dass sie halt mit diesem Service oder mit diesem ganzen Thema auch umgehen k├Ânnen.

Aber sie k├Ânnen es vielleicht nicht selber leisten, nicht selber durchf├╝hren und deswegen bieten wir das eben als Managed Service an, damit wir dann quasi die Experten, die am Markt verf├╝gbar sind, die dann bei uns arbeiten, die lassen sich ja nicht einfach produzieren.

Es gibt ja dieses sogenannte Cyber Skills Gap. Da fehlen ein paar Millionen Arbeitskr├Ąfte in unserem Bereich.

Das hei├čt, man kann die nicht einfach einstellen, auch wenn man das Geld h├Ątte.

Deswegen m├╝ssen wir das so machen. Also auf der einen Seite diese Community etablieren und auf der anderen Seite dann eben auch vielleicht zentral so eine Dienstleistung erbringen.

Ja. Guter Punkt, dass du das erw├Ąhnst, dass ihr auch gerade euch f├╝r den Mittelstand dort aufgestellt habt.

Weil das f├╝hrt mich zu dem Punkt, dass die Europ├Ąische Datenschutz -Grundverordnung, DSGVO, ja wir reden ja ├╝ber Digitalisierung mit ihrem doch als regulatorischen und teilweise manche empfinden das als belastenden Anforderungskatalog, die eben den Schutz von betroffenen Rechten gew├Ąhrleisten soll.

Da gehe ich einfach und vielleicht ist das naiv und du m├Âchtest mich korrigieren davon aus, dass das eben bei den gro├čen Industrieunternehmen kein Thema ist.

Ja, weil sie eben ├╝ber gen├╝gend Manpower verf├╝gen und sich dementsprechend gut vorbereitet haben, gut aufgestellt sind.

Vielleicht ist das aber nicht so. Ich bin aber davon ├╝berzeugt, dass es im Mittelstand ein viel gr├Â├čeres Thema ist, weil man dort ganz oft von der F├╝lle vielleicht auch der Ma├čnahmen, die man da zu erf├╝llen hat, teilweise vor Herausforderungen steht, die man so ja bisher noch nicht umgesetzt hat oder hatte.

Jetzt ist es ja nicht so, dass die vor zwei Wochen eingef├╝hrt worden ist.

Ja, die gibt es ja schon seit Mai 2018. Ja und davor auch schon zwei Jahre.

Und davor gab es ja auch schon zwei Jahre, aber teuer wurde es erst ab Mai 2018.

Deswegen hat man ja auch das Gef├╝hl, dass erst dann alle begriffen haben, dass sie da ist.

V├Âllig richtig. Also ich sehe das halt so, dass eben auf der einen Seite das eine gro├če Herausforderung darstellt, gar keine Frage.

Gerade wenn man jetzt, und dann macht es ja auch wieder Sinn, dar├╝ber zu reden, wenn man sich ├╝berlegt, dass wir jetzt durch diese Digitalisierung ja auch im Mittelstand in neue Gesch├Ąftsmodelle kommen.

Ja, das hei├čt also genau da setzt ja dann sozusagen, taucht die DSG auf einmal auf in Bereichen, die vorher v├Âllig unber├╝hrt davon waren, auch v├Âllig okay.

So jetzt sind sie halt da. So und das hei├čt also, das ist, die eine ist eigentlich eine zweigeteilte Frage.

Ja, die eine ist, wie du das bewertest, ja, diese Herausforderung auf dieser Mittelstandsebene durch die Umsetzung der DSGVO in ihren neuen Gesch├Ąftsmodellen.

Und dann nat├╝rlich auch die spannende Frage, passt das eigentlich zusammen?

Also passen Datenschutz und Cybersicherheit zusammen?

Ja, ist das etwas, was sich erg├Ąnzt?

Sollte man das koppeln oder stehen die sich teilweise im Weg? Das w├╝rde mich interessieren.

Ja, sehr, sehr gute Frage. Also erst mal fange ich mal hinten an.

Nein, die stehen sich nicht im Weg oder wenn dann nur partiell, aber das kann auch genauso gut mit anderen miteinander konkurrierenden Zielen sein.

Also zum Beispiel, ich m├Âchte gerne Ende -zu-Ende-Verschl├╝sselung haben, nicht nur aus Datenschutzgr├╝nden, sondern vielleicht einfach aus Geheimhaltungsgr├╝nden, wenn es keine personenbezogene Daten sind.

Aber ich m├Âchte gleichzeitig zum Beispiel eine E-Mail, die Ende-zu-Ende-Verschl├╝sselt ist, auf Viren scannen k├Ânnen.

Dann haupte ich halt immer in den Trade-off, welches Sicherheit, welche Sicherheitsma├čnahme wiegt f├╝r mich jetzt h├Âher oder kann ich das irgendwie miteinander in Einklang bringen?

Und genauso haben wir es hier auch. Und der zweite Aspekt ist nat├╝rlich, dass, und das sieht man ja auch in der DSGVO, dass zum Beispiel in Artikel 32, wo die technischen organisatorischen Ma├čnahmen gefordert werden nach Stand der Technik, kommen wir gleich vielleicht nochmal darauf zu sprechen, dass es da ganz klar eine Anforderung gibt, IT -Sicherheit, Cybersicherheit zu implementieren, um Datenschutzziele zu erreichen.

Insofern ist halt hier in diesem Fall IT-Sicherheit, Informationssicherheit, Cybersicherheit ganz klar ein Vehikel, um halt die Anforderungen in der DSGVO zu erf├╝llen.

Und wir haben nat├╝rlich, ich mache das ja schon etwas l├Ąnger, vielleicht auch in meinem fehlenden Haupthaar sehen, ich mache das schon seit 25 Jahren und damals war es halt ganz klar Informationssicherheit, die drei Schutzziele, Vertraulichkeit, Integrit├Ąt, Verf├╝gbarkeit, auf amerikanisch kurz CIA genannt.

Und Vertraulichkeit ist nat├╝rlich das Schutzziel, was sozusagen die Datenschutzanforderungen halt prim├Ąr verfolgt, also die Vertraulichkeit von personenbezogenen Daten in diesem Fall.

Und alle Ma├čnahmen, Mittel, die ich habe, um Vertraulichkeit herzustellen, das sind nat├╝rlich dann halt M├Âglichkeiten, die Anforderungen, wie sie in der DSGVO sind, auch umzusetzen.

Und ich kann das nat├╝rlich aber erweitern, wenn ich sage, f├╝r mich gilt das nicht nur f├╝r personenbezogene Daten, sondern f├╝r mich gilt das auch, weil ich zum Beispiel wichtige Patente habe, wichtiges geistiges Eigentum habe.

Man sieht das ja jetzt gerade bei den Firmen, die so angegriffen werden, die in dem medizinischen Sektor auch sind, wo es wirklich um Hoheitswissen geht, was viel wert ist, dann habe ich die gleichen Themen wie beim Schutz personenbezogener Daten.

Nat├╝rlich jetzt nicht notwendigerweise die ganzen Auskunftspflichten etc., aber die kommen jetzt auch so langsam, wenn man sich das IT-Sicherheitsgesetz und so anschaut.

Gerade vor dem Hintergrund dieser, sagen wir mal, etwas gr├Â├čeren Gesetzgebung in diesem Fall, um halt Sicherheit generell zu erh├Âhen, wo halt personenbezogene Daten nur einen Aspekt darstellen, ist es nat├╝rlich so, dass ich da sehen muss, was erleichtert mir die Arbeit.

Und DSGVO ist erstmal nat├╝rlich etwas, was Unternehmen, die international t├Ątig sind, die Arbeit erleichtert, weil jetzt ├╝berall die gleichen Regeln gelten.

Sogar, wenn man sich die Adaption von DSGVO au├čerhalb der EU anschaut, wie viele Leute auf diesen Zug aufgesprungen sind.

In anderen L├Ąndern habe ich jetzt mehr Vereinheitlichungen, was die Anforderungen angeht.

Das ist erstmal ein gutes Zeichen, macht die Welt nicht komplexer, sondern eher einfacher.

Dann ist es nat├╝rlich so, dass wir in Deutschland eigentlich schon ein sehr hohes Niveau immer schon hatten.

Das hei├čt, die Leute, die fr├╝her schon BDSG -konform waren, hatten nicht so viele Schwierigkeiten, konform mit DSGVO -Anforderungen zu sein.

Im Gegenteil, eigentlich h├Ątten die, wenn die eine gewisse Reife haben im Informationssicherheitsbereich, schon viele Voraussetzungen geschaffen.

Zum Beispiel so ein Informationssicherheitsmanagementsystem haben die dann schon gehabt und konnten das auch relativ einfach anwenden auf das Management des Schutzes von personenbezogenen Daten.

Und insofern teile ich, ich sehe diese Schwierigkeiten bei kleinen und bei gro├čen Unternehmen.

Unternehmen haben vielleicht mehr Leute, aber die haben auch mehr Aufgaben, die sie da bew├Ąltigen m├╝ssen.

Aber ich kann jetzt in dieses Wegklagen nicht einstimmen.

Wir haben nat├╝rlich jetzt auch einen gro├čen Vorteil.

Unser Service kommt komplett aus Deutschland.

Alle Daten werden in Deutschland gehostet. Der ganze Dienst wird aus Deutschland erbracht.

Wir sind als Komplettfirma ISO 27.000 zertifiziert.

Wir haben eine TSAC -Zertifizierung und so weiter. Wir tun uns da nicht schwer, weil wir halt das machen.

F├╝r uns ist das halt unser t├Ągliches Brot, auf dieser Ebene unterwegs zu sein.

Und ich kann da auch nur nochmal dann sagen, wenn man das nicht selber kann, muss man sich jemanden suchen, der einen da unterst├╝tzt.

Und das ist nat├╝rlich auch letztendlich dann unser Gesch├Ąftsmodell. Ja, absolut.

Also ich meine ganz klar, da hat man nat├╝rlich, das ist ja auch etwas, was uns bewegt.

Ich meine deswegen, wir reden ja hier auch im Rahmen unserer Compliance & Privacy Week.

Also wir haben das Thema Datenschutz hier nicht f├╝r uns neu entdeckt.

Das begleitet uns die ganze Zeit, logischerweise. Und haben wir auch jetzt diese Woche genutzt, um ein paar coole Produkte zu announcen, wo es zum Beispiel auch m├Âglich ist, unseren Service auf einen Rechenzentrumsbereich zu beschr├Ąnken, der eben hier nur die Region Europa abdeckt.

Ja, sodass man dann eben auch den Kunden genau diese Kontrolle ihrer Daten erlaubt.

Und von daher, denke ich, sitzen wir da als Firmen sowieso, Anbieter alle in einem Boot, dass wir eben die Daten unserer Kunden sch├╝tzen wollen und die h├Âchste Datenschutz-Sicherheit hier erreichen wollen.

Und deswegen passt da an der Stelle auf jeden Fall auch Cybersicherheit zusammen.

Ja, und ich h├Âre aber von dir ganz klar, das ist auch deine Meinung.

Also das st├Â├čt sich nicht ab. Im Gegenteil, ja, in Kombination macht das total Sinn.

Ja, absolut. Und f├╝r die gesamte Branche, muss man nat├╝rlich auch konstatieren, war DSGVO nat├╝rlich in gewisser Weise auch ein Gl├╝cksfall, weil viele Leute angefangen haben, sich erst mal mit diesen Themen halt inhaltlich auch zu besch├Ąftigen.

Und nat├╝rlich mussten dann halt vielleicht auch mal ein paar Ma├čnahmen noch nachgezogen werden, die vorher noch nicht da waren.

Jetzt auch technische Ma├čnahmen logischerweise, nicht nur diese ganzen organisatorischen Dinge, wie halt Verzeichnis der Verarbeitungst├Ątigkeiten, was man ja eh haben sollte, um zu wissen, wie ist eigentlich mein Business-Prozess aufgebaut und wer ist daf├╝r verantwortlich und was passiert denn, wenn der nicht mehr da ist, derjenige.

Aber wir haben ja schon ├Âfter auch dieses Bon mot geh├Ârt, dass jetzt im Bereich der Digitalisierung Sicherheit die Grundvoraussetzung ist, um Vertrauen in diese Daten zu schaffen.

Und das ist genau das Gleiche eben in diesem Bereich. Wenn ich jetzt als sozusagen Person, die betroffen sein k├Ânnte von so einem Datenklau oder weil jemand mit meinen personenbezogenen Daten nicht gut umgeht, agiere, habe ich nat├╝rlich auch ein Interesse daran, dass der das macht.

Ich muss diesem Unternehmen mehr vertrauen k├Ânnen.

Und wie kann das Unternehmen Vertrauen aufbauen?

Nat├╝rlich, indem es die richtigen Dinge tut. Und das geh├Ârt nat├╝rlich heutzutage auch dazu, dass auch nach au├čen hin dokumentiert und nachweist.

Und da sind nat├╝rlich Zertifizierung oder halt externe Pr├╝fungen ein wichtiges Mittel, ob es denn die Masse an externen Pr├╝fungen sein muss, weil man ja zum Beispiel verschiedene Regularien zu erfordern, zu erf├╝llen, auch verschiedene Ma├čnahmen, die deckungsgleich sind, durchf├╝hrt.

Da m├╝ssten die eigentlich nur einmal ├╝berpr├╝ft werden.

Aber das ist, das wird auch noch harmonisiert werden, denke ich mal, dass man da auch im Auditing -Bereich da besser wird.

Aber grunds├Ątzlich ist so, ich gebe gerne meine Daten dahin, wo ich wei├č, dass die vern├╝nftig verarbeitet werden.

Insofern sollten viele Unternehmen auch sehen, dass sie das vielleicht als nicht allein Einstellungsmerkmal, aber eben als etwas, was die Qualit├Ąt ihres Angebots steigert, sehen und das irgendwie dann auch nach au├čen tragen und dokumentieren.

Da bin ich v├Âllig bei dir, 100 Prozent. Ich h├Ątte einen anderen Bereich, den ich gerne mit dir sprechen m├Âchte und das ist die Rolle der Verb├Ąnde bei der Digitalisierung.

Ich finde ganz bemerkenswert, dass der BDI sich dort in den letzten Jahren, ja auch gerade durch den Wechsel des Pr├Ąsidenten, da ist ja der Pr├Ąsident, der vorher bei der Bitkom war, ist zum BDI gewechselt.

Gut, jetzt haben wir einen neuen, jetzt sind wir wieder zur├╝ck, glaube ich, bei der Industrie gelandet mit dem Herrn Professor Roswurm.

Aber ich fand trotzdem die Zeit mit dem Herrn Kempf dort eigentlich sehr spannend.

Ich glaube, er hat dort dem BDI viel Support gegeben, hat viel aus seiner Bitkom-Erfahrung dort einflie├čen lassen und deswegen bin ich davon ├╝berzeugt, dass auch in der Zukunft diesen Verb├Ąnden wichtige Aufgaben zukommen, wenn es darum geht, eben die Chancen der digitalen Transformation richtig zu nutzen und praktisch zu gestalten.

Und da ist ja jeder Verband irgendwie auch gefordert, je nach Struktur und Mitglieder, sich auf diese Ver├Ąnderung einzustellen, da es ja auch gerade einfach daf├╝r noch keinen richtigen Patentrezepte gibt.

Also von daher kann man das nicht pauschalisieren.

Wie siehst du die Rolle der Verb├Ąnde im Zusammenhang mit dieser Frage der Umsetzung der Digitalisierung?

Ja, das ist eine ganz wichtige Aufgabe in den Verb├Ąnden.

Es ist halt erstmal wichtig, dass man sich organisiert. Das gilt f├╝r alle.

Das hat, glaube ich, halt auch die Corona-Pandemie f├╝r viele, nicht nur Unternehmen, sondern auch Einzelpersonen oder eben Solo -Selbstst├Ąndige und so weiter gezeigt, dass halt sich zu organisieren in Verb├Ąnden und Vereinigungen doch eine clevere Sache ist.

F├╝r uns ist es halt wichtig, wir sind ja im Teletrust engagiert, dort auch an Best Practices und Standards mitzuarbeiten, die dann durch die gesamte Industrie und f├╝r die gesamten Kunden dann gelten, wo man sich darauf einigen kann.

Ähnlich wie bei der ENISA, wo wir halt auch natürlich Vorgaben machen oder Empfehlungen ausgeben, wie zum Beispiel der Austausch von Bedrohungsinformationen untereinander stattzufinden.

Das geht ja nicht ohne gemeinsames Verst├Ąndnis und gemeinsame Standards.

Und im Hinblick auf die DSGVO nochmal, Stand der Technik, was ist das? Wer definiert das?

Da ist sicherlich die erfolgreichste Publikation, die der Teletrust jemals rausgebracht hat, weil es halt diese Handreichung Stand der Technik, die auch mittlerweile schon ins Englisch ├╝bersetzt worden ist und auch von der ENISA promotet und gepusht wird, weil da eben sozusagen auch dann halt drinsteht, was ist der Stand der Technik?

Wie kann man den ├╝berhaupt nachweisen? Was f├╝r Themen muss ich da anfassen?

Was ist aktuell? Und so weiter. Und das ist eine unglaublich gro├če Hilfe, nicht nur im Bereich der Umsetzung, sondern auch im Bereich der Bewertung.

Und das darf man nicht au├čer Acht lassen. Also ich denke, um das kurz zu machen, weil wir nicht mehr so viel Zeit haben.

Ich habe ja vorhin schon von unseren Communities gesprochen.

Das ist f├╝r mich halt die Erweiterung von diesen Communities.

Es geht im Cyber Security Bereich nur ├╝ber diese gemeinsame Verst├Ąndnis schaffen, gemeinsame Austausche von Informationen und gemeinsam halt diese Bedrohung zu erkennen und dagegen zu wirken.

Ja, Thomas, wir sind tats├Ąchlich schon am Ende angekommen.

Also das war doch wie erwartet kurzweilig mit dir.

Vielen, vielen Dank daf├╝r. Ich finde, du bist da bei einer richtig tollen Firma gelandet.

Ja, mit vielen Alleinstimmungsmerkmalen. Das freut mich sehr, dass du da bist.

Und es freut mich sehr, dass du die Zeit heute hattest, mit uns ├╝ber das Thema Digitalisierung zu plaudern.

Ich kann mich nur bedanken. Ich freue mich auf das n├Ąchste Mal und nat├╝rlich vielleicht beim n├Ąchsten Mal in unserer alten Welt.

Genau. Ich bedanke mich auch und ja, vielen Dank f├╝r die M├Âglichkeit und ich w├╝nsche euch alles Gute und den Zuh├Ârern nat├╝rlich auch und zu sehen.

Also Thomas, mach's gut. Tausend Dank. Sehr gern. Bis dann. Tsch├╝ss.