Cloudflare TV

🔒 Sichere Digitalisierung- läuft besser MIT dem CEO

Presented by Frank Giessen, Lars Kroll
Originally aired on 

Die Digitalisierung ist zu einer „Pflichtveranstaltung“ nahezu aller Branchen und Unternehmensgrößen geworden. Durch die aktuelle Pandemie hat das Thema eine enorme Beschleunigung erfahren. Wir wollen mit Lars Kroll, einem Cybersicherheitsexperten, über die Digitalisierung sprechen. Was bedeutet Digitalisierung ? Was hat Digitalisierung mit IT/Cybersicherheit zu tun? Wie setze ich meine Digitalisierung Datenschutz/DSGVO konform um? Und welche Rolle spielt der CEO in diesem Projekt?

Lars Kroll ist Security Stratege und Gründer der Kroll Strategieberatung. Er berät Führungskräfte von Unternehmen in Deutschland, der Schweiz und Österreich bei der

sicheren Digitalisierung ihrer Geschäftsmodelle. Gemeinsam mit einem Team von Sicherheits-Spezialisten ermöglicht er seinen Kunden den Aufbau einer effektiven Abwehr zum Schutz vor Cyberangriffen. Nach der Ausbildung bei Siemens und dem Studium der Nachrichtentechnik startete er seine Karriere als Projektingenieur bei Vodafone. Den Einstieg in die IT-Security vollzog er 2006 bei Symantec als Presales Consultant, bevor er die Leitung der Presales Abteilung in Österreich

übernahm und später das europäische Security Team der Symantec leitete. Lars Kroll ist 42 Jahre alt und hat sein Studium der Nachrichtentechnik an der TFH Georg

Agricola zu Bochum mit dem Grad des Dipl.-Ing. (FH) abgeschlossen. Er ist glücklich verheiratet und lebt in der Metropole Ruhr.

German
Privacy Week

Transcript (Beta)

Hallo, einen schönen guten Tag. Mein Name ist Frank Giessen. Ich arbeite seit April 2020 für Cloudflare in Deutschland und freue mich es hier heute bei Cloudflare TV begrüßen zu dürfen.

Ich spreche heute mit Lars Kroll über das Thema sichere Digitalisierung läuft besser mit dem CEO.

Lars, vielen Dank, dass du heute Zeit für uns hast.

Ja, das ist mir eine große Freude hier bei dir und bei euch heute zu Gast zu sein.

Sehr gut. Lars, du bist Security Stratege, du bist Gründer der Kroll Strategieberatung.

Führungskräfte in Deutschland, der Schweiz, Österreich lassen sich von dir bei der sicheren Digitalisierung ihre Geschäftsmodelle beraten.

Nach deiner Ausbildung bei Siemens und dem Studium der Nachrichttechnik hast du als Projektingenieur bei Vodafone gearbeitet.

2006 bist du dann bei Symantec in die IT Security eingestiegen und hast die bis heute nicht verlassen, die Symantec schon.

Und dort hast du in verschiedenen Leitungsfunktionen die hast du durchlaufen und unter anderem hast du auch das europäische Security Team geleitet.

So, du lebst in der Metropole Ruhr, bist Oldtimer-Fan und BMW-Liebhaber.

Lars, erzähl doch ein bisschen von dir, wie erlebst und durchlebst du diese ungewöhnliche Zeit, in der wir uns gerade befinden?

Was machst du gerade so und wann war deine letzte Ausfahrt mit deinem Oldtimer?

Ja, fange ich mit dem Letzten direkt an.

Die meisten Menschen, die einen Oldtimer oder einen Youngtimer nutzen, also ein klassisches Automobil, haben ja ein Saisonkennzeichen.

Deswegen, das geht meistens so bis Oktober oder November.

Deswegen ist die letzte Ausfahrt mit meinem 8er BMW von 1992 erst, ja gut, zwei Wochen her und da kann ich mich noch gut dran erinnern.

Ja, was macht diese Zeit mit mir? Wahrscheinlich werden sie das da draußen genauso empfinden wie ich.

Es ist einfach eine Herausforderung. Es ist eine Turbodigitalisierung, auch in einigen Bereichen und es ist eben ein verändertes Arbeiten, wo sich viele Menschen erst mal mit arrangieren müssen.

Dinge wie Videokonferenzen, Videocalls, Videoleuchten, die mich gerade anstrahlen, das kenne ich zum Glück schon ein bisschen länger.

Aber es fehlt definitiv so ein bisschen der persönliche Kontakt.

Gut ist, wenn man dann mit Mandanten einfach schon ein Vertrauensverhältnis hat und dann halt einfach remote weiterarbeiten kann.

Deswegen, ansonsten geht es mir unverdient gut.

Sehr gut, ja. Das vermissen wir alle, die Kontakte, dass es und hoffentlich bekommen wir das irgendwann mal wieder.

Ja, wir wollen heute mit dir sprechen über die sichere Digitalisierung und wir haben den Titel gewegt, sie läuft besser mit dem CEO.

Und ich denke, die Digitalisierung ist mittlerweile so eine Pflichtveranstaltung geworden für nahezu alle Branchen und alle Unternehmensgrößen.

Also und diese aktuelle Pandemie, das hast du schon angesprochen, die hat diesem Thema eine enorme Beschleunigung gegeben.

Aber was bedeutet eigentlich Digitalisierung?

Denn was hat Digitalisierung mit IT-Sicherheit zu tun?

Wie setzt man Digitalisierung datenschutz- DSGVO-konform um?

Und welche Rolle spielt eben der CEO in diesem Projekt? Das würde ich gerne mit dir ein bisschen erörtern.

Und meine erste Fragestellung wäre eben wirklich so eine Basic-Frage an dich.

Was bedeutet eigentlich Digitalisierung? Für manche hat mich den Eindruck, scheint Digitalisierung schon mit dem Einscannen von vorhandenen Formularen erledigt zu sein.

Das wird es wohl kaum sein. Also deswegen die Frage an dich, an den Experten, wie tief greift die Digitalisierung eigentlich in die Unternehmensprozesse ein?

Und wie gestalte ich meine Digitalisierung sicher?

Denn je mehr ich mit Apps in der Cloud und so weiter arbeite, desto mehr steigt auch mein Risiko auf der Sicherheitsseite.

Wie siehst du das?

Ja, ich denke, dass Digitalisierung zunächst einmal wirklich wahnsinnig viel verändern wird.

Sie wird nicht alles verändern, aber sie wird im Business-Leben sehr, sehr viel verändern.

Wir sind ja in Deutschland, auch in der Schweiz, auch in Österreich, wir sind ja so Ingenieursnationen.

Wir tendieren dazu, so ein bisschen die Dinge immer über die Technik zu definieren und zu denken, wir können da schon irgendwas entwickeln, das passt schon.

Und so glaube ich eben, dass auch der Blick auf die Digitalisierung sehr häufig so mit tollen VR-Brillen und tollen Hintergründen, Animationen, das wird alles in so einem technischen Bereich eigentlich erst projiziert, im wahrsten Sinne des Wortes.

Dabei ändert sich dadurch viel mehr.

Also Geschäftsmodelle, Infrastrukturen, die Art, wie wir arbeiten, das ist wirklich deutlich umfassender hin zu einer ja digitalen Ökonomie, zur Shared Economy.

Es gibt ganz viele Buzzworder, aber es tut sich an der Stelle einfach sehr, sehr viel.

Wir sehen also zum Beispiel das starke Wachstum von Plattformen, diese Plattform-Ökonomie.

Ja, wenn wir uns ein neues Auto bestellen oder konfigurieren, dann läuft das meistens über irgendeine Plattform.

Wenn wir hoffentlich für das nächste Jahr uns wieder eine schöne Ferienwohnung irgendwo buchen, um da dann irgendwo hinzufahren im Ausland, dann läuft das über eine Plattform, sodass wir, glaube ich, in einigen Bereichen schon Dinge sehen, die sich ändern.

Oder ich arbeite halt mit völlig unterschiedlichen Organisationen zusammen, vom Konzern bis in den Mittelstand.

Und das ist für mich immer beeindruckend, wenn ich sehe, was Menschen wirklich aus dieser Digitalisierung machen.

Ich war vor einiger Zeit bei einem Saatguthersteller, also Landwirtschaft. Ja, das Saatgut, was du ins Feld eingebracht und wenn die Pflanzen wachsen, die Früchte geerntet werden.

Dieser Saatguthersteller züchtet halt nicht nur neue Saaten, sondern bietet mittlerweile einen satellitengestützten Service für Landwirte an, woüber die Satellitenbilder klar dem Bauern dann auch kommuniziert wird, wann sein Feld erntereif ist.

Und dieser Saatguthersteller verbindet das sogar mit einem Leistungsversprechen, dass er sagt, mindestens 200 Euro mehr Ertrag pro irgendwie halbem Hektar durch diese präzise Analyse, wann der Landwirt halt sein Feld abernten sollte.

Und wenn man mal sieht, wie denn halt dieser Saatguthersteller sein Business ausgebaut hat, ist das schon eine sehr, sehr spannende Sache.

Und das ist ein deutscher Anbieter, ist das? Das ist ein deutscher Anbieter, genau.

Der arbeitet dann zusammen halt mit den entsprechenden Lieferanten von Satellitenbildern, hat eine Software entwickelt, wie man aus den Bildern dann errechnen kann, wann der Mais jetzt irgendwie reif ist.

Und das wird dann im Zweifelsfall direkt auf den vernetzten Traktor oder die vernetzte Landwirtschaftsmaschine gesendet, damit der Landwirt dann da starten kann.

Und das hat mich tief beeindruckt, wobei man auch sagen muss, und da waren ja so die positiven Seiten, dass die Digitalisierung natürlich auch ein paar Herausforderungen birgt.

Und interessanterweise, das sehe ich in Transformationsprojekten, zum Beispiel auch Infrastrukturen, exponierter sind gegenüber Cyberangriffen, je moderner sie eigentlich sind.

Also auch solche Dinge gibt es zu beachten. Da fällt mir spontan ein, da macht ja die bayerische Rakete von Herrn Söder doch Sinn.

Weil ich denke mal, dass der Satellitenhersteller heute eher diese Satellitenbilder nicht aus Deutschland bekommen kann.

Ja, wenn man mal sieht, auch das Starlink-Projekt und andere Dinge, also Internetversorgung aus dem All.

Ich glaube, dass da ganz viele Dinge gerade im Laufen sind, die man vielleicht aus deutscher Sicht oder aus europäischer Sicht manchmal als wahnwitzig bezeichnet oder vielleicht erst mal so einordnet.

Aber wenn man dann hinterher sich mal einfach mal zurücksetzt mit einer Taste Tee und sich das mal überlegt, was das für eine strategische Bedeutung hat, dann sollten wir, glaube ich, auch die bayerische Rakete vielleicht gar nicht mehr bayerische Rakete nennen, sondern einfach ein interessantes deutsches Raumfahrtprojekt.

Oder nicht Raumfahrt, aber zumindest Weltall in irgendeiner Form ein interessantes Entwicklungsprojekt.

Ja, man sollte es ernst nehmen, auf jeden Fall.

Wenn du mit Kunden redest, wie kommen in diesen Konzepten das Thema Cybersicherheit vor?

Also ist das von vornherein dabei? Musst du eher dafür Werbung machen, Netzwerksicherheit etc.

Wie läuft so etwas ab? Also es gibt ja erst mal die beiden Möglichkeiten.

Ich kann ja einmal lernen ohne Schmerz und ich kann lernen mit Schmerz.

Im Bereich der Cybersicherheit ist es halt so, dass halt häufig erst durch Schmerz leider gelernt wird und dass ich da durchaus auch den einen oder anderen Mandanten habe, den ich berate, der halt durch diesen Schmerz erst zu mir gekommen ist.

Auf der anderen Seite habe ich auch Mandanten, die treiben enthusiastisch mit viel Leidenschaft Digitalisierung nach vorne, vergessen aber das Thema Sicherheit dabei.

Ich spreche gerade mit einem Mandanten, da ist ein millionenschweres Transformationsprojekt jetzt schon seit zwei Jahren in der Umsetzung und das Thema Cybersicherheit wurde schlichtweg überhaupt nicht betrachtet.

Und das ist natürlich herausfordernd, weil man muss eins immer ganz klar sehen, wenn man digitalisiert, ist man exponierter für Cyberangriffe und gleichzeitig die Gegenseite, also die Angreifer, die haben die Digitalisierung ihres Geschäftsmodells bereits abgeschlossen.

Die arbeiten zusammen, die kollaborieren, man kann Hackers for hire direkt übers Internet buchen, die ergänzen sich in ihren Kompetenzen, sodass man an der Stelle es auch mit einem Gegner zu tun hat, der wie gesagt diesen Prozess schon durchlaufen hat und deswegen gehört das Thema Cybersicherheit ganz oben auf die Agenda und idealerweise bevor man den Schmerz erleidet.

Ja, das ist sehr interessant. Ich hätte gedacht, dass auch meine Erfahrung, dass eben das Thema Cybersicherheit sehr oft erst über Schmerzen, wie du sagst, gelernt wird.

Aber dass man ja gerade jetzt mit diesem allumfassenden Ansatz der Digitalisierung, dass man dann eben doch schon das eher mit aufnimmt.

Aber da sagst du, es geht wirklich von bis an der Stelle. Das ist schon sehr interessant.

Aber das führt mich dann ja eben auch zu unserem Titel. Das hört sich ja so ein bisschen danach an, dass auch dieses schöne dann Digitalprojekt, wie so oft, es hat ja einen IT-Charakter, überhaupt keine Frage.

Und das wird ja in der Regel dann übertrieben gesagt aus dem Keller geführt.

Und das ist ja eben etwas, was mir in diesem Fall als keine gute Idee erscheint.

Und das drängt sich ja dann auf, welche Rolle sollte der CEO in diesem Projektspiel?

Ja, ein CEO oder eine weibliche CEO ist heute eigentlich gar nicht zu beneiden.

Denn im Grunde muss ein CEO heute ein Superheld sein.

Er muss oder sie muss einen guten Kontakt zum Business haben, ein gutes Näschen für neue Märkte, für neue Geschäfte.

Sie oder er muss nah an den Investoren sein. Und jetzt muss auch noch digitalisiert werden in einer guten Form.

Und das Ganze muss gut nach außen verkauft werden.

Die Frage ist eigentlich, ob eine Person das alles gleichzeitig leisten können muss, um ein guter CEO zu sein.

Und ich kann da nur sagen, und das ist bei Männern vielleicht herausfordernder als bei Frauen an der Position, holen Sie sich Unterstützung.

Sie können diese ganzen Fachgebiete nicht gleichzeitig beackern.

Sie brauchen da einfach ein starkes Team. Und gleichzeitig ist die Chefin oder der Chef ganz oben ein absoluter Erfolgsfaktor im Bereich der Digitalisierung.

Denn wenn die Führung nicht richtig funktioniert, und das kennt man ja aus dem Volksmund, wo man sagt, ja, der Fisch stinkt vom Kopf her, dann ist sehr gut formuliert auch in dieser Redensart, wie es läuft oder wie man merkt, dass es nicht gut läuft.

Aber wir müssen es schaffen, dass einfach die Führungskraft ganz oben ein ganzes Programm, ein Digitalisierungsprogramm prägt und diesem Wort dann auch einen guten Klang innerhalb der Organisation verleiht.

Denn stellen wir uns jetzt mal vor, die Mitarbeiter hören, es gibt ein neues Digitalisierungsprojekt, da könnte natürlich auch die Reaktion sein, oh Mist, ich werde durch einen Algorithmus ersetzt.

Und das ist also, der Ton macht die Musik, ist an dieser Stelle sehr wichtig.

Es ist eigentlich gefordert, ein mutiges Vorgehen einer Unternehmenslenkerin oder eines Unternehmenslenkers, auch wenn am Anfang noch nicht alles klar ist oder alles durchdekliniert ist, wo es hingeht.

Es geht darum, dass eine moderne Firmenkultur etabliert wird, weil davon nämlich auch in manchem Angriffsfall abhängt, ob das Ganze erfolgreich ausgeht oder nicht.

Und man muss gucken, dass gerade die Förderung von Talenten und interdisziplinären Teams hier gestartet wird, damit einfach die Organisation auch genug Fachkräfte rekrutieren kann, um diese Digitalisierung dann gut anzupacken.

Das sind Punkte, die gar nicht so direkt was mit IT Security zu tun haben, aber nicht unmittelbar, die an der Stelle aber wirkliche Erfolgsgaranten sein können.

Das bringt mich zu zwei weiteren Fragen.

Das eine ist, wie erlebst du das in der Praxis? Also ist das wirklich so, dass auf diesem CEO-Level dieses, wie soll ich das sagen, diese Awareness für diese Rolle vorhanden ist?

Oder muss man sagen, dass wir da noch ein Stück weit entfernt sind?

Also ich erlebe das halt immer wieder, dass die Projekte, wo halt das Management von vornherein involviert ist, und zwar nicht nur auf dem Wege der Budgetierung, sondern auch in der Umsetzung, dass das eigentlich die nachhaltigen und guten Projekte sind.

Aber eben auch die Erfahrung, dass es nicht automatisch ist, dass es so ist.

Wie stellt sich das in deiner Praxis dar? Was erlebst du dort?

Ja, ganz unterschiedliche Dinge. Also zum einen, selbst Arne Schönboom, der Präsident des BSI, hat gesagt, Digitalisierung ist Chefsache oder muss Chefsache sein.

Aber das reicht halt nicht. Ich würde sagen, eine sichere Digitalisierung muss Chefsache sein.

Denn wenn ich auf Teufel komm raus digitalisiere, mich auf die Vorteile konzentriere, Wachstum, neue Märkte, neue Geschäftsmodelle, das ist ja das, was wir wirklich nutzen wollen, aber die Risiken nicht im Auge behalte, dann kann es halt ziemlich schmerzhaft werden.

Wenn wir mal sehen, wie das 66 Prozent aller deutschen Organisationen schon erfolgreich angegriffen wurden und gleichzeitig so Dinge durch die Presse gehen, wie die Firma Garmin muss 10 Millionen Dollar zahlen, um wieder Zugriff auf ihre betriebsrelevanten Server zu bekommen, dann sehen wir, dass das Ganze mittlerweile einen Schärfegrad erreicht hat, den ich einfach nicht mehr ignorieren kann.

Und da erlebe ich alles. Manchmal hängt es auch davon ab, zum Beispiel, wie groß diese Kluft halt, du hast vorhin gesagt, diese Projekte werden aus dem Keller getrieben, die Kluft zwischen der Kommunikation der Fachabteilung und der Führungsebene ist.

Und es ist leider, leider in vielen Organisationen immer noch so, dass auch manche Herausforderungen, manche Risiken in den Fachabteilungen eigentlich gut eingeschätzt werden, aber es in Richtung der Kommunikation zur Führungsebene hapert und umgekehrt, sodass an der Stelle der Kommunikation sehr wichtig ist.

Und wenn wir einen kurzen Blick in den Mittelstand werfen, so bei inhabergeführten Unternehmen, da ist einfach, da muss ganz viel miteinander geredet werden, weil halt ganz viele Unternehmer und Unternehmerinnen sich da auf ihr Kerngeschäft fokussieren und meinen, dass das eine rein gute Idee ist, wo ich aber sagen muss, ja, aber man muss halt die umgebenden Faktoren schon ein bisschen einschätzen und sich auch daran anpassen.

Ja, das wäre genauso auch noch eine Frage von mir gewesen.

Ich denke, dass es schon ein Unterschied ist, ob wir heute in den Mittelstand gucken, was ja für uns hier in Deutschland eigentlich das, ja, wenn man das mal an den Zahlen festmacht, wirklich das wichtige Momentum darstellt.

Was nicht heißt, dass die großen Firmen jetzt überflüssig sind, das will ich damit nicht sagen, aber gerade im Mittelstand, dort ist Deutschland schon immer stark gewesen und ist stark.

Und genau dort hat man das Gefühl, hinkt die Digitalisierung extrem zurück.

Auf der anderen Seite hört man viele positive Nachrichten, dass eben Mittelständler kleine IT-Firmen zum Beispiel kaufen, ja, und sich damit dieses ganze Know-how für ihre Digitalisierung einkaufen.

Und das führt mich zu dieser Frage, du hast es vorhin auch schon mal kurz eingedeutet.

Also, es ist ja so, dass man dafür Personal braucht, ja.

Also, du musst ja Leute haben, die in der Lage sind, auf der einen Seite prozessbasiert das Thema IT mit den fachlichen Prozessen zu verknüpfen, dabei eben noch den Sicherheitsgedanken mit einzuspielen.

Und wir wissen, dass wir einen Fachkräftemangel haben und ich glaube, auch das ist aus dem BSI genannt worden und auch anderweitig, dass wir wirklich über einen enormen Defizit dort verfügen leider und nicht über die Experten, die wir eigentlich hierfür brauchen.

Wie bewährst du das, ja, und siehst du da irgendwie Maßnahmen, da fällt mir spontan die CISPA, die auch sehr wohl bekannt, das 19.

Helmholtz-Zentrum in Saarbrücken ein, die ja eigentlich genau solches Personal, mit Anführungsstrichen, produzieren?

Ja, das ist ein Riesenthema, da könnte man den ganzen Tag drüber sprechen.

Das, was ich derzeit wahrnehme, ist zum einen bei den großen Konzernen, auch im DAX-Umfeld, die haben natürlich in den letzten Jahren wahnsinnig viel investiert, haben Leute ausgebildet, eingestellt, die sind eigentlich ganz gut unterwegs.

Auch da klingelt es hin und wieder nochmal, das ist klar, aber in puncto Digitalisierung sind die großen Konzerne, denke ich, schon dem Mittelstand ein gutes Stück voraus.

Ausnahmen bestätigen die Regel.

Was ich als große Herausforderung bei mittelständischen Mandanten derzeit sehe, ist, dass Mittelständler einfach keinen Zugriff auf sehr gute Experten haben.

Das heißt, der Reifegrad eines mittelständischen Unternehmens hängt häufig sehr stark an dem seiner Dienstleister oder seines IT- Dienstleisters.

Und wenn dieser Dienstleister noch glaubt, dass auf einem normalen Computer ein kleiner Antivirus reicht, dann ist das halt auch so umgesetzt beim Mittelständler.

Und das ist jetzt genau der Punkt.

Das ist auch etwas, wo sich meine Firma, die Kroll -Strategieberatung, deutlich unterscheidet von anderen Anbietern.

Unser Motto ist es eben, wir bringen Spitzenpersonal zum Mittelstand.

Und wenn es dort einen Vorfall gibt, dann kommt halt auch ein spitzenmäßiger Forensiker oder ein ordentlicher Stratege oder ein Experte für dieses und jenes Fachthema.

Das heißt, ich möchte fest, und das ist mir persönlich wichtig, ich möchte sicherstellen, dass einfach mittelständische Unternehmen, die ein ganz wichtiger Teil der Digitalisierung unseres Landes und auch von Zentraleuropa sind, in Österreich genauso wie der Schweiz, dass die einfach auch die richtigen Ressourcen haben.

Und nicht nur, was natürlich manchmal auch nett gemeint ist, von den Experten der Hersteller abhängig sind, die natürlich nicht ohne eigene Agenda arbeiten können.

Aber das ist, das habe ich als schwierig empfunden.

Und wenn es dann auch noch vorkommt, dass Mittelständler Cyberangriffe haben und dann von großen Diensteanbietern quasi abgelehnt werden und ihnen nicht geholfen wird, gerade vor einigen Wochen war ein meiner Mandanten unglaublich hier in Deutschland, dann sehen wir, dass wir dem Mittelstand einfach noch mehr Top-Experten zur Verfügung stellen müssen, auch wenn der Mittelständler vielleicht nicht immer den vollen Tagessatz eines Big Four Unternehmens zahlen kann.

Ja, das ist mit Sicherheit noch ein Riesenthema.

Ja, Lars, ein anderes wichtiges Thema und das ist ja auch das, was uns hier ein bisschen zusammengeführt hat.

Wir führen diese Woche eine Compliance and Privacy Week durch.

Das heißt, wir widmen die ganze Woche dem Thema Datenschutz hier von Cloudflare aus.

Das ist uns sehr wichtig, die Daten unserer Kunden zu schützen und auf der anderen Seite auch den Kunden die Möglichkeit geben, ihre Daten zu kontrollieren.

Und das führt mich zu der Frage Digitalisierung.

Wir haben es schon gelernt, tiefe Eingriffe in die Geschäftsprozesse, allumfassend.

Ja, wir haben über Personal gesprochen. Wenn man solche Prozesse verändert, sind wir auf der einen Seite immer auch in Richtung eines Betriebsrates oder Personalrates unterwegs.

Ja, und dann haben wir natürlich noch unsere DSGVO.

Ja, das heißt also, ich denke, hier ist doch auch ein großer Aspekt auf das Thema eine DSGVO -konforme Digitalisierung umzusetzen.

Wie siehst du denn dort die Firmen aufgestellt und was ist deine Erfahrung in diesem Kontext?

Ja, das ist ein großes Themengebiet.

Interessant ist übrigens, dass es durchaus Unternehmen gibt, die noch strengeren Regulatorien entsprechen müssen als der DSGVO.

Da wird es dann ganz interessant. Da können wir mal eine separate Session zu machen.

Aber im Grunde ist es so, ist es wieder eine Frage der Kultur und der Herangehensweise.

Also wie gehe ich an das Thema DSGVO-Konformität heran? Zwei Möglichkeiten würde ich sagen.

Auf der einen Seite kann ich sagen, ich mache es über die Paragraphen und ich mache es über die Verordnung und gucke mir das an und gehe wirklich so wie ein Datenschutzbeauftragter da dran oder wie ein Fachanwalt für Cyberrecht.

Die Herausforderung dabei ist, das ist im Grunde richtig, aber man nimmt manchmal die Menschen nicht mit.

Das heißt, wenn man in eine Organisation kommt und reitet auf den Paragraphen rum und das Ganze vielleicht sogar noch recht streng, dann schürt man relativ viel Abwehr und relativ viel Misstrauen und verliert Zeit.

Es gibt Mandanten, die mir sagen, Herr Kroll, passen Sie mal auf, wir haben das und das Projekt.

Wir haben da einen Datenschutzbeauftragten, der seinen Job gut macht, aber wir verlieren ohne Ende Zeit.

Wie kriegen wir das in den Griff? Konkretes Beispiel. Da ist dann einfach die Frage, mein Ansatz ist ein bisschen anders.

Es gibt einmal die Paragraphen -Methode und dann gibt es einmal den Ansatz, pragmatisch für Sicherheit zu sorgen.

Ich denke, dass man pragmatisch Unternehmenswerte schützen kann und dass man das Ganze auch in Richtung DSGVO -Konformität in relativ kurzer Zeit erreichen kann.

Pragmatismus ist dabei das Gegenteil von einer akademischen Herangehensweise.

Die leitet sich von der Theorie ab und das Pragmatische eher von der Praxis.

Da kann man dann dafür sorgen, dass man manchmal mit gar nicht so großen, also mit kleinen Teilprojekten, mit kleinen Maßnahmen den Reifegrad einer Organisation schnell erhöhen kann, ohne dass man die DSGVO so wie so ein Monster aufbaut und alle Leute dann davor wegrennen wollen.

Zum Beispiel bei der Vorgabe, welche Videokonferenz-Werkzeuge genutzt werden dürfen.

Während die ganze Welt Zoom, Webex und andere Sachen nutzt, führen wir in Deutschland teilweise Diskussionen, ob das jetzt eine Open -Source-Lösung sein muss oder ob die Daten das Unternehmenswerk verlassen dürfen.

Das sind Diskussionen, die halte ich für wenig hilfreich, weil wenn ich Leute im Homeoffice habe und ich muss schnell reagieren und ich mache da Calls, die vielleicht nicht unbedingt mit den neuesten Entwicklungsresultaten zu tun haben, ist es im Grunde relativ egal, was ich nutze.

Das heißt, Perfektionismus macht keinen Sinn. Ansonsten kann ich keine Videokonferenz-Tools nutzen und da bin ich halt eher von der Seite, dass ich sage pragmatisch, ich gucke dann in die Bestimmung rein, ich mache vielleicht ein kleines Vertragswerk mit dem Anbieter und dann kann ich Zoom genauso nutzen, wie wir das heute tun, auch in Deutschland, auch bei strengen Vorgaben oder ich reite halt die Paragrafen und wir wählen uns wieder in Telefonkonferenzen ein.

Das wäre die Alternative.

Absolut. Das heißt, im Endeffekt verstehe ich das dann so von dir.

Das heißt, es ist immer gut, sich einen Leitfaden zu erarbeiten. Die erforderlichen Parameter, nenne ich die jetzt mal, Kriterien liegen eigentlich auf dem Tisch, denn die DSGVO ist ja da durchaus in Anführungsstrichen dehnbar.

Sie lässt ja eben einen gewissen Spielraum zu und wenn man dann dieses sozusagen in seinem Leitfaden unterbringt, dann hat man ja auch eben alle Voraussetzungen und gute Chancen hier konform das Ganze durchzuziehen.

Und das wäre dann ja eher so zu verstehen, das wäre auch noch so eine Frage gewesen, ob der Datenschutz eigentlich eher hinderlich oder aus diesem Aspekt dann nicht vielleicht sogar eher förderlich für die Digitalisierung ist.

Ich würde sagen förderlich. Ich würde sagen förderlich, auch wenn jetzt die DSGVO auch, ich habe gehört, das wurde damals in einer langen Nachtsitzung beschlossen, der finale Entwurf.

Da sind natürlich Dinge drin, wenn man auf jeder Seite seine Cookies akzeptieren muss und so, wo man einfach sich fragen könnte, gibt es dafür noch eine smartere Lösung.

Aber ich habe es so erlebt, dass gerade die DSGVO und alle Führungskräfte, werden das wahrscheinlich schon mehr hören können, durchaus manchmal ein probates Mittel war, um die eine oder andere Diskussion mal zu führen.

Die Frage ist halt nur nochmal, wie gehe ich heran?

Und ich glaube, dass halt eine bodenständige Analyse, wo steht eine Organisation, wo müsste sie hin, was gibt es für schützenswerte Assets, also Informationen, Systeme, Menschen und wie komme ich da am einfachsten hin?

Was sind so diese low -hanging fruits, was sind diese einfachen Dinge, die ich machen kann?

Ich glaube, das bringt eine Organisation wirklich nach vorne.

Und mein Ansatz ist da eben ganz klar. Ich arbeite zunächst mal Punkt 1 mit Führungskräften.

Das heißt, mit den Führungskräften eine Strategie erarbeiten, sich von den Führungskräften Schutzziele geben lassen.

Also was ist besonders schützenswert?

Das sollte man auch vom Business her definieren. Dann gehe ich in Projektteams oder in die Transformationsprojekte und berate diese Projektteams, damit die Vorgaben, die man sich vorher bei der Geschäftsführung abgeholt hat, auch umgesetzt werden.

Und Schritt 3 ist dann einfach, die Menschen mitzunehmen und mal zu gucken, wen bringt man da für Trainings rein?

Wie erklärt man es den Leuten, was wir gerade tun?

Und dieser Dreiklang von Führungskräften, Transformationsprojektteams und den Menschen, die dahinter damit arbeiten müssen, das ermöglicht aus meiner Sicht eine nachhaltige Adressierung der Risiken, die wir in der Digitalisierung haben, bei gleichzeitiger Nutzungsmöglichkeit aller Vorteile.

Lars, vielen, vielen Dank. Also ich glaube, wir haben heute eine Menge dazu gelernt, zu dem Thema.

Ja, ich würde sagen, es ist für mich so, ich glaube, die Digitalisierung ist alternativlos.

Das steht für mich eigentlich außer Frage. Und wenn man das dann mit so klügen Kopfen wie dir angeht und auch eben die Sicherheit, gerade die Cybersicherheit mit dabei berücksichtigt, dann könnte ich mir auch gut vorstellen, dass wir es eben, wir schaffen in Deutschland auch unseren Mittelstand für dieses, ja, wie sagt es die Frau von der Leyen, das digitale Jahrzehnt wünscht sie sich für die EU, dass wir das dann eben auch erreichen.

Ja. Und deswegen, also mein ganz herzlichen Dank an dich.

Ja, hat viel Spaß gemacht. Und ja, ich wünsche dir noch viele weitere Projekte und freue mich, wenn wir dann uns auch, ja, bald mal wieder am besten zu einer Oldtimer-Ausfahrt bei wunderschönem Wetter irgendwo, meinetwegen auch im Sauerland, treffen.

Wunderbar. Ich bedanke mich.

Danke, dass ich heute zu Gast sein durfte. Ja, lassen Sie uns die Digitalisierung positiv angehen, gerade wenn Sie Führungskraft sind.

Und man sieht ja auch, dass mit Cloudflare, dass es interessante Kompetenzpartner gibt, die uns dabei gut unterstützen können.

Lars, mach's gut. Danke.