🔒 Digitalisierung- welche Rolle spielt Cybersicherheit?

Hallo Thomas. Hallo Frank. Schön, dass du da bist. Ja, wir legen auch gleich los. Mein Name ist Frank Giessen.

Ich arbeite seit April 2020 für Cloudflare in Deutschland und ich freue mich, dass ich Sie heute hier bei Cloudflare TV begrüßen kann.

Ich spreche heute mit Thomas Hemker, Businessdirektor bei der Deutschen Cybersicherungsorganisation, kurz DCSO genannt.

Und unser Thema ist Digitalisierung.

Welche Rolle spielt Cybersicherheit? Thomas, nochmal vielen Dank, dass du heute Zeit für uns hast.

Sehr gerne. Ja, du verantwortest als Businessdirektor seit 2020 bei der DCSO den Bereich Management Service Threat Detection and Hunting.

Du warst zehn Jahre lang Direktor bei, Direktor Security im CTO-Office von Symantec.

Dein Netzwerk besteht unter anderem aus den sicherheitsverantwortlichen Unternehmen, Behörden, Organisationen, sowie anderen Akteuren der Sicherheitsindustrie.

Deine technische Expertise ist unter anderem im Bereich Netzwerk, Systemsicherheit, Threat Intelligence, Cryptography, PKI, DLP und vielem mehr.

Darüber hinaus vertrittst du die DCSO beim TeleTrust TV. Du bist Teil der Enisa CTE Stakeholder Group, sowie Mitglied in diversen anderen Security Organisationen, Foren, Gruppen.

Kurzum, ein absoluter Cybersicherheit-Experte. Und deswegen freue ich mich, dass wir heute über dieses spannende Thema sprechen.

Zunächst möchte ich mal wissen, wie geht es dir?

Wie erlebst du diese ungewöhnliche Zeit im Homeoffice?

Wenig reisen. Wie gehst du damit um? Wie geht dir bei der DCSO damit um?

Ja, das ist eine sehr gute Frage. Also, ich erlebe die Zeit als Herausforderung, aber auch als positive Herausforderung.

Hängt auch natürlich damit zusammen, dass ich jetzt gerade mehr oder weniger halt während dieser Zeit auch dann eine neue Aufgabe übernommen habe, die du gerade angesprochen hast.

Und das ist natürlich erstmal sowieso eine sehr spannende Zeit.

Am Anfang hatte ich nur das Glück, dass ich relativ häufig auch mit meinen Kollegen dann halt zusammen sein konnte, auch physisch.

Aber das hat sich natürlich jetzt wieder erledigt für eine gewisse Zeit.

Aber wir haben dann schon einen guten Modus operandi gefunden, halt auch remote zu arbeiten und auch dann in den sozusagen mehr oder weniger dauerhaften Webmeetings und Videochats miteinander gut zu kommunizieren und gut zu arbeiten.

Das haben wir halt auch gesehen, dass ähnlich wie bei anderen Unternehmen hat natürlich diese Krise, dass diese Art von Arbeit natürlich total befeuert.

Und es ging dann halt auch viel schneller, als man eigentlich gedacht hat, dass man das machen könnte, auch auf einem sicheren Weg.

Und wir haben natürlich viel gelernt, lernen immer noch viel.

Und das Reisen, da ist es natürlich so, ich war ja jemand, der immer viel und gerne verreist ist.

Aber ich genieße auch die Zeit, die ich jetzt nicht unterwegs sein muss, muss ich auch ganz ehrlich sagen.

Aber ich reise auch irgendwann bald mal wieder gerne zu Kunden und zu Events physisch und so weiter.

Ja, also ich glaube auch. Ich glaube, am besten kommt man ja irgendwie durch das Thema, wenn man jetzt genau, wie du sagst, die angenehmen Dinge einfach auch genauso empfindet und das genießt.

Und trotzdem hoffen wir ja alle ein bisschen darauf, dass wir ein Stück unseres normalen Lebens wiederfinden.

Ich meine, das wollen wir mit Sicherheit haben.

Und da sind wir auch mal guter Dinge, hoffe ich mal.

Aber wie du schon gesagt hast, Digitalisierung, ein riesen Thema.

Und darüber wollen wir heute reden. Welche Rolle spielt da die Cybersicherheit?

Es ist eine der zentralen Herausforderungen der Unternehmen, die sie gegenwärtig bewältigen müssen, um auf dem internationalen und nationalen Markt wettbewerbsfähig zu sein.

Und dass dabei die Cybersicherheit eine wichtige Rolle spielt und dass sie insbesondere in den vergangenen 20 Jahren dieses Aktionsfeld quasi von der klassischen IT-Sicherheit auf das Internet bzw.

auf den Cyberraum, dass sie das ausgeweitet hat, das ist ja mit eine Begründung, warum das Thema so wichtig ist und so eine Bedeutung dazugewonnen hat.

Die wachsende Bedeutung von Cloud-Diensten, die zunehmende Verbreitung und Nutzung von mobilen Endgeräten und die auch damit einhergehenden Auswirkungen auf die Arbeitsorganisation, ja Stichwort hier auch Remote Working Home Office hast du schon genannt, haben wir kurz gesprochen, haben die IT-Sicherheit immer weiter vor neue Herausforderungen gestellt.

Und das bedeutet ja, dass diese zunehmende Digitalisierung und Vernetzung, die verändert die Wirtschaft, die verändert auch die Gesellschaft, ja also sie öffnet natürlich einzigartige Möglichkeiten für Wachstum, Zukunftsfähigkeit durch neue Geschäftsmodelle.

Sie hat einen Einfluss auf die Geschwindigkeit, ja auch die Komplexität des digitalen Wandels und genau das stellt ja die Unternehmen auch auf eine Vielzahl von neuen Herausforderungen, die damit einhergehen.

Und da würde mich interessieren, wie bewertest du das, wie bewertet die GCSO diese neuen Herausforderungen, die dort auf uns alle zukommen?

Ja, die neuen Herausforderungen sind ja vor allen Dingen damit verknüpft, dass Digitalisierung in den meisten Unternehmen bedeutet, dass halt das Abhängigkeitslevel quasi erhöht wird von digitalen Lösungen, digitalisierten Geschäftsprozessen und so weiter.

Das heißt, wenn da jetzt was ausfällt oder mal was nicht funktioniert, dann ist sofort der Gesamterfolg der gesamten Unternehmung halt in Frage gestellt.

Und das hat natürlich verschiedene Aspekte je nach Unternehmen, also wie sehr halt diese Unternehmen auf digitalisierte Anwendungen sozusagen vertrauen müssen oder halt darauf aufbauen, wir genannt das Geschäftsmodell darauf basiert haben.

Und auf der anderen Seite ist es natürlich so, dass diese Technologien, die da jetzt im Einsatz sind, alle natürlich nicht fehlerfrei sind.

Und durch dieses fehlerfrei sein in Form von Schwachstellen, die man hat, wird man eingreifbar.

Man hat natürlich auch die Notwendigkeit, überhaupt Experten zu bekommen, die diese Technologien dann auch sinnvoll betreiben können, dass man dann nicht durch irgendwie fehlerhafte Konfigurationen, Stichwort Cloud-Dienste, man hat da was in die Cloud gelegt und auf einmal ist es offen sichtbar für alle anderen, weil man da irgendwie vergessen hat, ein Häkchen zu setzen.

Da gibt es ja genügend Beispiele dafür. Und gerade diese Vergrößerung der Angriffsfläche durch Digitalisierung ist ein Thema, was für uns als Organisation sehr entscheidend ist, weil wir sehen natürlich viel mehr Angriffsinformationen, Bedrohungsinformationen, also einmal was Schwachstellen angeht und zum anderen natürlich, was die Ausnutzung dieser Schwachstellen angeht.

Und für das Otto -Normal-Unternehmen ist es fast nicht mehr möglich oder ist es eigentlich nicht möglich, diese ganzen Informationen sinnvollerweise zu konsumieren und dann auch zu verarbeiten, dass man auch weiß, werde ich angegriffen?

Wenn ja, wer macht das? Wie werde ich angegriffen? Wie kann ich mich dann dagegen schützen?

Sind die jetzt schon länger dabei oder fängt der Angriff gerade erst an?

Was wollen die? Sind das personenbezogene Daten? Ist das mein geistiges Eigentum?

Muss sich das irgendjemand melden und so weiter? Und da kommen wir ins Spiel, weil wir halt dann in der Lage sind, quasi diesen ganzen Apparat als Managed Service den Kunden zur Verfügung zu stellen.

Okay. Also das heißt, durch diese größeren Angriffsflächen und durch diese Veränderung ist das für euch etwas, worauf ihr schon vorbereitet seid und ihr arbeitet eigentlich auch schon in so einem Modus, möchte ich das mal nennen.

Genau. Unser Modus ist sicherlich nicht ganz vergleichbar mit vielen anderen Unternehmungen in diesem Bereich, weil unser Modus halt ganz stark Community getrieben ist.

Das heißt, wir haben natürlich Kundenbeziehungen, die unsere Services in Anspruch nehmen, aber diese Kunden sind Teil einer Community, die wir hosten.

Also wir sind quasi die Moderatoren, die dann den Austausch unter diesen Community-Mitgliedern auch ermöglichen.

Und gerade der Austausch von Bedrohungsinformationen ist ein ganz wichtiges Thema, dass wenn halt jemand etwas hat, sofort die anderen auch wissen, da passiert gerade was, ich muss darauf aufpassen, ich muss danach schauen.

Und idealerweise ist es natürlich so, dass wir das dann halt automatisch machen.

Das heißt, nochmal zurück auf diesen Bereich der Bedrohungsinformationen.

Wir operationalisieren diese Bedrohungsinformationen, die wir dann aus verschiedenen Quellen bekommen.

Wir kuratieren die natürlich auch, dass man halt auch dann wirklich sinnvolle Informationen bekommt und quasi halt da das Rauschen von den wirklichen Informationen trennen kann.

Und dann können wir auch eben diese Angriffe von Angriffsgruppen, gezielte Angriffe, APTs, aber auch natürlich Cybercrime-Angriffe, dann halt rechtzeitig erkennen.

Und der Anwender, der Kunde, das Unternehmen, das mit uns zusammenarbeitet, kann natürlich dann auch schnell reagieren, um die Ausfälle oder die Auswirkungen, die dann auch finanzieller Art vielleicht sein können, möglichst gering zu halten.

Okay. Also ein bisschen auch Prinzip einer für alle, alle für einen.

Wenn man diese Informationen shared, auf jeden Fall. Das ist ja auf jeden Fall ein guter Ansatz, würde ich sagen.

Inwieweit könnt ihr, kannst du das sagen, inwieweit gibt es eine veränderte Sicht auf dieses Angriffsverhalten?

Seit der Pandemie hat sich da irgendetwas für euch verändert?

Wenn ich es richtig verstanden habe, DCSO ist jetzt ja mehr orientiert Richtung größerer Unternehmen.

Ja, also auch eure Gründungsunternehmen sind ja große Schwergewichte hier in Deutschland.

Und deswegen finde ich jetzt die Frage eigentlich ganz spannend, ob ihr auch durch die Pandemie ein geändertes Angriffsverhalten, ob ihr da neue Dinge festgestellt habt oder überhaupt irgendeine Änderung oder ist das eher konstant geblieben und hat gar keinen Einfluss darauf genommen?

Es hat schon zugenommen. Also es gibt natürlich diese berühmten Beispiele, wo halt irgendwelche Phishing-Mails und so weiter, auch im Consumer-Bereich natürlich jetzt teilweise weniger bei Unternehmen, aber Unternehmen eben auch, Cyberbetrug, generell Cybercrime halt durch Corona befeuert worden ist.

Ähnlich wie das bei anderen größeren Ereignissen wie Olympischen Spielen und so weiter ja auch dann immer stattfindet, wo man im Zuge halt dieser Krisen dann halt eben auch eine gewisse Ausnutzung sieht.

Der Angreifergruppen, die stellen sich ja immer sehr schnell darauf ein, aber dieses ganze Thema Abwehr von Wirtschaftsspionage, aber auch Sabotage, zum Beispiel die ransomware und sowas, das ist vorher schon da gewesen, aber ist nicht weniger geworden, eher mehr geworden auch in Zeiten der Corona -Pandemie.

Und natürlich sehen wir auch andere Einfallstore und das hat natürlich mit dieser veränderten Arbeitsumgebung zum Teil zu tun.

Das muss man ganz klar so konstatieren. Genau, das war so mit der Hintergrund meiner Frage, dass ja genau das eigentlich auch einen logischen Zusammenhang dann hat, wenn sozusagen ich neue Zugangstore auch einfach schaffe, indem ich zum Beispiel mehr Remote- und Home-Arbeitsplätze habe, dass das natürlich auch sofort auf der anderen Seite ankommt und man dann eben entsprechend dort auch vielleicht neue Geschäftsmodelle oder einfach neue Angriffsszenarien hat.

Ja, also auch finde ich eine spannende Beobachtung, dass das für euch als jemand, der wie gesagt eher in den Großindustrie-Kunden unterwegs ist, dass das genauso beobachtet wird.

Genau, wir sind natürlich, wenn ich dich da unterbrechen darf, weil ich das gar nicht noch gesagt hatte, nicht beschränkt auf diese größeren Unternehmen.

Die größeren Unternehmen haben halt natürlich immer den Vorteil gehabt, dass die schon dieses Risiko auch im unternehmerischen Kontext mit eingeplant haben.

Das haben viele kleine Unternehmen noch nicht gemacht. Für die sind Cyber-Risiken immer noch so irgendwie was Nebulöses, was sie nicht klar fassen können.

Und gerade die Angriffe, die wir mit unserem Service detektieren, sind ja oftmals Angriffe, die man nicht sieht.

Also anders als Ransomware oder so weiter, wo halt das Bewusstsein relativ schnell in der Öffentlichkeit gestiegen ist, dass man sich da wehren muss und da was gegen tun muss und vielleicht bestimmte Maßnahmen ergreifen muss.

Aber die Angriffe, die wir auf die deutsche und europäische Wirtschaft sehen, da geht es ja oftmals um Wirtschaftsspionage und da ist natürlich ein lautloses Vorgehen der Angreifer gang und gäbe.

Das heißt nicht, dass diese Angriffe weniger schlimm sind. Die sind meistens vielleicht sogar noch schlimmer.

Und wir haben natürlich jetzt hier ganz klar auch das Mandat auch von unseren Shareholdern, aber auch ist das eine strategische Entscheidung des Unternehmens, dass wir gerade, weil die deutsche Wirtschaft so aufgebaut ist, natürlich verstärkt auch in diesem Mittelstandsbereich aktiv sein wollen.

Und da gibt es natürlich auch immer mehr Unternehmen, die da auch jetzt eine gewisse Reife haben, dass sie halt mit diesem Service oder mit diesem ganzen Thema auch umgehen können.

Aber sie können es vielleicht nicht selber leisten, nicht selber durchführen und deswegen bieten wir das eben als Managed Service an, damit wir dann quasi die Experten, die am Markt verfügbar sind, die dann bei uns arbeiten, die lassen sich ja nicht einfach produzieren.

Es gibt ja dieses sogenannte Cyber Skills Gap. Da fehlen ein paar Millionen Arbeitskräfte in unserem Bereich.

Das heißt, man kann die nicht einfach einstellen, auch wenn man das Geld hätte.

Deswegen müssen wir das so machen. Also auf der einen Seite diese Community etablieren und auf der anderen Seite dann eben auch vielleicht zentral so eine Dienstleistung erbringen.

Ja. Guter Punkt, dass du das erwähnst, dass ihr auch gerade euch für den Mittelstand dort aufgestellt habt.

Weil das führt mich zu dem Punkt, dass die Europäische Datenschutz -Grundverordnung, DSGVO, ja wir reden ja über Digitalisierung mit ihrem doch als regulatorischen und teilweise manche empfinden das als belastenden Anforderungskatalog, die eben den Schutz von betroffenen Rechten gewährleisten soll.

Da gehe ich einfach und vielleicht ist das naiv und du möchtest mich korrigieren davon aus, dass das eben bei den großen Industrieunternehmen kein Thema ist.

Ja, weil sie eben über genügend Manpower verfügen und sich dementsprechend gut vorbereitet haben, gut aufgestellt sind.

Vielleicht ist das aber nicht so. Ich bin aber davon überzeugt, dass es im Mittelstand ein viel größeres Thema ist, weil man dort ganz oft von der Fülle vielleicht auch der Maßnahmen, die man da zu erfüllen hat, teilweise vor Herausforderungen steht, die man so ja bisher noch nicht umgesetzt hat oder hatte.

Jetzt ist es ja nicht so, dass die vor zwei Wochen eingeführt worden ist.

Ja, die gibt es ja schon seit Mai 2018. Ja und davor auch schon zwei Jahre.

Und davor gab es ja auch schon zwei Jahre, aber teuer wurde es erst ab Mai 2018.

Deswegen hat man ja auch das Gefühl, dass erst dann alle begriffen haben, dass sie da ist.

Völlig richtig. Also ich sehe das halt so, dass eben auf der einen Seite das eine große Herausforderung darstellt, gar keine Frage.

Gerade wenn man jetzt, und dann macht es ja auch wieder Sinn, darüber zu reden, wenn man sich überlegt, dass wir jetzt durch diese Digitalisierung ja auch im Mittelstand in neue Geschäftsmodelle kommen.

Ja, das heißt also genau da setzt ja dann sozusagen, taucht die DSG auf einmal auf in Bereichen, die vorher völlig unberührt davon waren, auch völlig okay.

So jetzt sind sie halt da. So und das heißt also, das ist, die eine ist eigentlich eine zweigeteilte Frage.

Ja, die eine ist, wie du das bewertest, ja, diese Herausforderung auf dieser Mittelstandsebene durch die Umsetzung der DSGVO in ihren neuen Geschäftsmodellen.

Und dann natürlich auch die spannende Frage, passt das eigentlich zusammen?

Also passen Datenschutz und Cybersicherheit zusammen?

Ja, ist das etwas, was sich ergänzt?

Sollte man das koppeln oder stehen die sich teilweise im Weg? Das würde mich interessieren.

Ja, sehr, sehr gute Frage. Also erst mal fange ich mal hinten an.

Nein, die stehen sich nicht im Weg oder wenn dann nur partiell, aber das kann auch genauso gut mit anderen miteinander konkurrierenden Zielen sein.

Also zum Beispiel, ich möchte gerne Ende -zu-Ende-Verschlüsselung haben, nicht nur aus Datenschutzgründen, sondern vielleicht einfach aus Geheimhaltungsgründen, wenn es keine personenbezogene Daten sind.

Aber ich möchte gleichzeitig zum Beispiel eine E-Mail, die Ende-zu-Ende-Verschlüsselt ist, auf Viren scannen können.

Dann haupte ich halt immer in den Trade-off, welches Sicherheit, welche Sicherheitsmaßnahme wiegt für mich jetzt höher oder kann ich das irgendwie miteinander in Einklang bringen?

Und genauso haben wir es hier auch. Und der zweite Aspekt ist natürlich, dass, und das sieht man ja auch in der DSGVO, dass zum Beispiel in Artikel 32, wo die technischen organisatorischen Maßnahmen gefordert werden nach Stand der Technik, kommen wir gleich vielleicht nochmal darauf zu sprechen, dass es da ganz klar eine Anforderung gibt, IT -Sicherheit, Cybersicherheit zu implementieren, um Datenschutzziele zu erreichen.

Insofern ist halt hier in diesem Fall IT-Sicherheit, Informationssicherheit, Cybersicherheit ganz klar ein Vehikel, um halt die Anforderungen in der DSGVO zu erfüllen.

Und wir haben natürlich, ich mache das ja schon etwas länger, vielleicht auch in meinem fehlenden Haupthaar sehen, ich mache das schon seit 25 Jahren und damals war es halt ganz klar Informationssicherheit, die drei Schutzziele, Vertraulichkeit, Integrität, Verfügbarkeit, auf amerikanisch kurz CIA genannt.

Und Vertraulichkeit ist natürlich das Schutzziel, was sozusagen die Datenschutzanforderungen halt primär verfolgt, also die Vertraulichkeit von personenbezogenen Daten in diesem Fall.

Und alle Maßnahmen, Mittel, die ich habe, um Vertraulichkeit herzustellen, das sind natürlich dann halt Möglichkeiten, die Anforderungen, wie sie in der DSGVO sind, auch umzusetzen.

Und ich kann das natürlich aber erweitern, wenn ich sage, für mich gilt das nicht nur für personenbezogene Daten, sondern für mich gilt das auch, weil ich zum Beispiel wichtige Patente habe, wichtiges geistiges Eigentum habe.

Man sieht das ja jetzt gerade bei den Firmen, die so angegriffen werden, die in dem medizinischen Sektor auch sind, wo es wirklich um Hoheitswissen geht, was viel wert ist, dann habe ich die gleichen Themen wie beim Schutz personenbezogener Daten.

Natürlich jetzt nicht notwendigerweise die ganzen Auskunftspflichten etc., aber die kommen jetzt auch so langsam, wenn man sich das IT-Sicherheitsgesetz und so anschaut.

Gerade vor dem Hintergrund dieser, sagen wir mal, etwas größeren Gesetzgebung in diesem Fall, um halt Sicherheit generell zu erhöhen, wo halt personenbezogene Daten nur einen Aspekt darstellen, ist es natürlich so, dass ich da sehen muss, was erleichtert mir die Arbeit.

Und DSGVO ist erstmal natürlich etwas, was Unternehmen, die international tätig sind, die Arbeit erleichtert, weil jetzt überall die gleichen Regeln gelten.

Sogar, wenn man sich die Adaption von DSGVO außerhalb der EU anschaut, wie viele Leute auf diesen Zug aufgesprungen sind.

In anderen Ländern habe ich jetzt mehr Vereinheitlichungen, was die Anforderungen angeht.

Das ist erstmal ein gutes Zeichen, macht die Welt nicht komplexer, sondern eher einfacher.

Dann ist es natürlich so, dass wir in Deutschland eigentlich schon ein sehr hohes Niveau immer schon hatten.

Das heißt, die Leute, die früher schon BDSG -konform waren, hatten nicht so viele Schwierigkeiten, konform mit DSGVO -Anforderungen zu sein.

Im Gegenteil, eigentlich hätten die, wenn die eine gewisse Reife haben im Informationssicherheitsbereich, schon viele Voraussetzungen geschaffen.

Zum Beispiel so ein Informationssicherheitsmanagementsystem haben die dann schon gehabt und konnten das auch relativ einfach anwenden auf das Management des Schutzes von personenbezogenen Daten.

Und insofern teile ich, ich sehe diese Schwierigkeiten bei kleinen und bei großen Unternehmen.

Unternehmen haben vielleicht mehr Leute, aber die haben auch mehr Aufgaben, die sie da bewältigen müssen.

Aber ich kann jetzt in dieses Wegklagen nicht einstimmen.

Wir haben natürlich jetzt auch einen großen Vorteil.

Unser Service kommt komplett aus Deutschland.

Alle Daten werden in Deutschland gehostet. Der ganze Dienst wird aus Deutschland erbracht.

Wir sind als Komplettfirma ISO 27.000 zertifiziert.

Wir haben eine TSAC -Zertifizierung und so weiter. Wir tun uns da nicht schwer, weil wir halt das machen.

Für uns ist das halt unser tägliches Brot, auf dieser Ebene unterwegs zu sein.

Und ich kann da auch nur nochmal dann sagen, wenn man das nicht selber kann, muss man sich jemanden suchen, der einen da unterstützt.

Und das ist natürlich auch letztendlich dann unser Geschäftsmodell. Ja, absolut.

Also ich meine ganz klar, da hat man natürlich, das ist ja auch etwas, was uns bewegt.

Ich meine deswegen, wir reden ja hier auch im Rahmen unserer Compliance & Privacy Week.

Also wir haben das Thema Datenschutz hier nicht für uns neu entdeckt.

Das begleitet uns die ganze Zeit, logischerweise. Und haben wir auch jetzt diese Woche genutzt, um ein paar coole Produkte zu announcen, wo es zum Beispiel auch möglich ist, unseren Service auf einen Rechenzentrumsbereich zu beschränken, der eben hier nur die Region Europa abdeckt.

Ja, sodass man dann eben auch den Kunden genau diese Kontrolle ihrer Daten erlaubt.

Und von daher, denke ich, sitzen wir da als Firmen sowieso, Anbieter alle in einem Boot, dass wir eben die Daten unserer Kunden schützen wollen und die höchste Datenschutz-Sicherheit hier erreichen wollen.

Und deswegen passt da an der Stelle auf jeden Fall auch Cybersicherheit zusammen.

Ja, und ich höre aber von dir ganz klar, das ist auch deine Meinung.

Also das stößt sich nicht ab. Im Gegenteil, ja, in Kombination macht das total Sinn.

Ja, absolut. Und für die gesamte Branche, muss man natürlich auch konstatieren, war DSGVO natürlich in gewisser Weise auch ein Glücksfall, weil viele Leute angefangen haben, sich erst mal mit diesen Themen halt inhaltlich auch zu beschäftigen.

Und natürlich mussten dann halt vielleicht auch mal ein paar Maßnahmen noch nachgezogen werden, die vorher noch nicht da waren.

Jetzt auch technische Maßnahmen logischerweise, nicht nur diese ganzen organisatorischen Dinge, wie halt Verzeichnis der Verarbeitungstätigkeiten, was man ja eh haben sollte, um zu wissen, wie ist eigentlich mein Business-Prozess aufgebaut und wer ist dafür verantwortlich und was passiert denn, wenn der nicht mehr da ist, derjenige.

Aber wir haben ja schon öfter auch dieses Bon mot gehört, dass jetzt im Bereich der Digitalisierung Sicherheit die Grundvoraussetzung ist, um Vertrauen in diese Daten zu schaffen.

Und das ist genau das Gleiche eben in diesem Bereich. Wenn ich jetzt als sozusagen Person, die betroffen sein könnte von so einem Datenklau oder weil jemand mit meinen personenbezogenen Daten nicht gut umgeht, agiere, habe ich natürlich auch ein Interesse daran, dass der das macht.

Ich muss diesem Unternehmen mehr vertrauen können.

Und wie kann das Unternehmen Vertrauen aufbauen?

Natürlich, indem es die richtigen Dinge tut. Und das gehört natürlich heutzutage auch dazu, dass auch nach außen hin dokumentiert und nachweist.

Und da sind natürlich Zertifizierung oder halt externe Prüfungen ein wichtiges Mittel, ob es denn die Masse an externen Prüfungen sein muss, weil man ja zum Beispiel verschiedene Regularien zu erfordern, zu erfüllen, auch verschiedene Maßnahmen, die deckungsgleich sind, durchführt.

Da müssten die eigentlich nur einmal überprüft werden.

Aber das ist, das wird auch noch harmonisiert werden, denke ich mal, dass man da auch im Auditing -Bereich da besser wird.

Aber grundsätzlich ist so, ich gebe gerne meine Daten dahin, wo ich weiß, dass die vernünftig verarbeitet werden.

Insofern sollten viele Unternehmen auch sehen, dass sie das vielleicht als nicht allein Einstellungsmerkmal, aber eben als etwas, was die Qualität ihres Angebots steigert, sehen und das irgendwie dann auch nach außen tragen und dokumentieren.

Da bin ich völlig bei dir, 100 Prozent. Ich hätte einen anderen Bereich, den ich gerne mit dir sprechen möchte und das ist die Rolle der Verbände bei der Digitalisierung.

Ich finde ganz bemerkenswert, dass der BDI sich dort in den letzten Jahren, ja auch gerade durch den Wechsel des Präsidenten, da ist ja der Präsident, der vorher bei der Bitkom war, ist zum BDI gewechselt.

Gut, jetzt haben wir einen neuen, jetzt sind wir wieder zurück, glaube ich, bei der Industrie gelandet mit dem Herrn Professor Roswurm.

Aber ich fand trotzdem die Zeit mit dem Herrn Kempf dort eigentlich sehr spannend.

Ich glaube, er hat dort dem BDI viel Support gegeben, hat viel aus seiner Bitkom-Erfahrung dort einfließen lassen und deswegen bin ich davon überzeugt, dass auch in der Zukunft diesen Verbänden wichtige Aufgaben zukommen, wenn es darum geht, eben die Chancen der digitalen Transformation richtig zu nutzen und praktisch zu gestalten.

Und da ist ja jeder Verband irgendwie auch gefordert, je nach Struktur und Mitglieder, sich auf diese Veränderung einzustellen, da es ja auch gerade einfach dafür noch keinen richtigen Patentrezepte gibt.

Also von daher kann man das nicht pauschalisieren.

Wie siehst du die Rolle der Verbände im Zusammenhang mit dieser Frage der Umsetzung der Digitalisierung?

Ja, das ist eine ganz wichtige Aufgabe in den Verbänden.

Es ist halt erstmal wichtig, dass man sich organisiert. Das gilt für alle.

Das hat, glaube ich, halt auch die Corona-Pandemie für viele, nicht nur Unternehmen, sondern auch Einzelpersonen oder eben Solo -Selbstständige und so weiter gezeigt, dass halt sich zu organisieren in Verbänden und Vereinigungen doch eine clevere Sache ist.

Für uns ist es halt wichtig, wir sind ja im Teletrust engagiert, dort auch an Best Practices und Standards mitzuarbeiten, die dann durch die gesamte Industrie und für die gesamten Kunden dann gelten, wo man sich darauf einigen kann.

Ähnlich wie bei der ENISA, wo wir halt auch natürlich Vorgaben machen oder Empfehlungen ausgeben, wie zum Beispiel der Austausch von Bedrohungsinformationen untereinander stattzufinden.

Das geht ja nicht ohne gemeinsames Verständnis und gemeinsame Standards.

Und im Hinblick auf die DSGVO nochmal, Stand der Technik, was ist das? Wer definiert das?

Da ist sicherlich die erfolgreichste Publikation, die der Teletrust jemals rausgebracht hat, weil es halt diese Handreichung Stand der Technik, die auch mittlerweile schon ins Englisch übersetzt worden ist und auch von der ENISA promotet und gepusht wird, weil da eben sozusagen auch dann halt drinsteht, was ist der Stand der Technik?

Wie kann man den überhaupt nachweisen? Was für Themen muss ich da anfassen?

Was ist aktuell? Und so weiter. Und das ist eine unglaublich große Hilfe, nicht nur im Bereich der Umsetzung, sondern auch im Bereich der Bewertung.

Und das darf man nicht außer Acht lassen. Also ich denke, um das kurz zu machen, weil wir nicht mehr so viel Zeit haben.

Ich habe ja vorhin schon von unseren Communities gesprochen.

Das ist für mich halt die Erweiterung von diesen Communities.

Es geht im Cyber Security Bereich nur über diese gemeinsame Verständnis schaffen, gemeinsame Austausche von Informationen und gemeinsam halt diese Bedrohung zu erkennen und dagegen zu wirken.

Ja, Thomas, wir sind tatsächlich schon am Ende angekommen.

Also das war doch wie erwartet kurzweilig mit dir.

Vielen, vielen Dank dafür. Ich finde, du bist da bei einer richtig tollen Firma gelandet.

Ja, mit vielen Alleinstimmungsmerkmalen. Das freut mich sehr, dass du da bist.

Und es freut mich sehr, dass du die Zeit heute hattest, mit uns über das Thema Digitalisierung zu plaudern.

Ich kann mich nur bedanken. Ich freue mich auf das nächste Mal und natürlich vielleicht beim nächsten Mal in unserer alten Welt.

Genau. Ich bedanke mich auch und ja, vielen Dank für die Möglichkeit und ich wünsche euch alles Gute und den Zuhörern natürlich auch und zu sehen.

Also Thomas, mach's gut. Tausend Dank. Sehr gern. Bis dann. Tschüss.