Was ist NIS2 und sind wir schon konform? Wir klären auf!

00:00:00: Hi, herzlich willkommen bei einer neuen Folge von Cloud und Deutlich.

00:00:04: Und dieses Mal geht es um das Thema NIST II.

00:00:07: Ihr habt euch das Thema nämlich gewünscht und wir machen Wünsche wahr.

00:00:11: Und deswegen haben wir auch in dieser Folge einen Gast mitgenommen, der super in diesem Thema quasi Festfang-Cut ist und quasi auch da drinnen lebt.

00:00:19: Und deswegen wünschen wir euch jetzt viel Spaß bei der neuen Folge.

00:00:22: Hallo und herzlich willkommen zu Cloud und Deutlich, eurem Netplans Podcast rund um die IT-Welt.

00:00:27: Mein Name ist Nicole Wiske und ich bin der Host dieses Podcasts und natürlich freue ich mich, dass du wieder dabei bist.

00:00:33: In unseren Folgen tauchen wir tief in die IT-Welt ein und bringen dir spannende Gespräche, interessante Gäste und wertvolle Einblicke zu aktuellen Themen mit.

00:00:42: Wenn dir der Podcast also gefällt, lasst doch gerne sein Abo da.

00:00:45: Und jetzt viel Spaß mit der neuen Folge!

00:00:50: Vielen lieben Dank, dass du heute dabei bist.

00:00:52: Und ich bin auch schon sehr gespannt, was wir heute über NIST II alles erfahren werden.

00:00:56: Grundlagen bis hin zu, oh mein Gott, wo kann es gefährlich werden.

00:01:00: Und deswegen, lieber Gast, ich möchte jetzt gerne wissen, oder wir möchten gerne wissen, wer bist du?

00:01:06: Magst du dir einmal ganz kurz vorstellen?

00:01:08: Ja, recht herzlichen Dank für die Einladung.

00:01:11: Mein Name ist Wolfgang Matzke.

00:01:12: Ich bin von der KLW.

00:01:13: Wir sind ein Unternehmens spezialisiert auf das Thema ISMS.

00:01:17: Ich bin auch Auditor für ISO.

00:01:22: ISMS letztendlich NIS-II liegt.

00:01:26: Wir beschäftigen uns nahezu ausschließlich mit dem Bereich.

00:01:28: Wir betreuen Kunden in einer Kategorie von vierzig Mitarbeitern, die durch einen OEM verpflichtet wurden, den ISMS einzuführen bis unternehmen mit ein paar tausend Mitarbeitern international tätig.

00:01:39: Also wir haben da sehr viel Erfahrung, was das ganze Thema ISMS NIS-II, ISO-Siebende, zwanzigtausend Eins angeht.

00:01:46: Ja, sehr spannend.

00:01:48: Und dadurch ja sowieso in diesem Thema.

00:01:50: quasi befindet.

00:01:53: Lass uns auch mal vielleicht an den Basics starten.

00:01:56: Tatsächlich haben wir viele Anfragen bekommen, gerade auf Social Media, wo wir gefragt haben, hey, was würde euch denn eigentlich so jetzt akut an Themen oder generell so Informationen gefallen?

00:02:07: Und da kam tatsächlich immer NIST II, NIST II ist ein Thema, aber vielleicht auch für die, die jetzt gar keine Berührungspunkte damit haben.

00:02:16: Warum ist denn gerade NIST II wirklich so das Thema oder dieses Schlüssel-Word-Busword, was jetzt aktuell die ganze Zeit irgendwo im Internet kursiert?

00:02:25: Also, wie kam das zustande?

00:02:27: Und magst du auch erklären, was ist denn überhaupt NIST

00:02:29: II?

00:02:31: Die NIS-II ist eigentlich eine Richtlinie von der EU.

00:02:35: Die EU hat sich eigentlich als Ziel genommen, die Informationssicherheit bei den gesamten Mittelstand eigentlich zu erhöhen.

00:02:42: Das resultiert daraus, dass wir also sehr viel über Jahre, sehr viel Cyberangriffe, sehr viel Störfälle, extreme Summen, Milliarden verbrennen durch schlechte Infrastruktur, durch schlechte Absicherung von Informationstechniken.

00:03:00: entschieden zu sagen, wir müssen den Mittelstand, insbesondere den Mittelstand und auch die ganzen großen Organisationen, die kritisch sind, zwingen, letztendlich das einzuführen, um hier die Schäden für die Volkswirtschaften letztendlich auch deutlich zu reduzieren.

00:03:13: Und den ist zwei, ist deswegen dauernd im Umlauf.

00:03:19: Weil es sich innerhalb von Deutschland extrem gezogen hat, die Verabschiedung.

00:03:23: Normalerweise hätte im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober,

00:03:48: im Ok durch

00:03:48: die EU erst bloß noch nicht den nationales Recht umgesetzt worden.

00:03:54: Und jetzt hoffen wir, dass wir heute, heute ist zum Beispiel so ein Tag, An dem heutigen Tag befasst sich das Bundeskabinett erneut mit der NIS II und wir hoffen, dass jetzt die Gesetzesvorlagen dann so verabschiedet werden, dass es dann einige auch final beschlossen werden kann.

00:04:10: Genau.

00:04:10: Und by the way, heute ist der Zehnte, neunte, also heute ist ein entscheidender Tag genau für dieses Thema.

00:04:16: Wir sind mal gespannt, was da rauskommt.

00:04:19: Genau.

00:04:20: Also Auslöser ist klar.

00:04:22: Wir wissen ja alle, wie es nicht nur in Deutschland vor sich geht, also ganze Cyberkriminalität, die wird ja drastisch erhöht.

00:04:31: NIST II ist ja dann dieser Schutzmechanismus, der ein Unternehmen quasi dann dazu treiben kann, ein bisschen sicherer zu werden oder halt abgesichert zu werden.

00:04:41: Jetzt kann es aber auch mal sein, okay, jetzt bin ich ein Unternehmen, habe mich zum Beispiel abgesichert.

00:04:46: Also, was muss ich für ein Unternehmen sein, damit ich überhaupt das umsetzen muss?

00:04:50: Also, was gibt es da überhaupt für Vorgaben?

00:04:53: Ja, in den jetzigen Gesetzesentwürfen ist definiert, dass Unternehmen ab fünfzig Mitarbeiter oder zehn Millionen Umsatz, das ist also eine Oder-Geschichte oder Bilanzsumme, die Geschäfte... mit Unternehmen oder mit der Organisation machen, die in die Critis reinfallen.

00:05:10: Also, Critis sind alles Organisationen, die wissen eigentlich, dass sie Critis sind.

00:05:14: Da sind Krankenhäuser, Kraftwerksbetreiber, Energieversorger, Wasserversorger und ähnliches.

00:05:22: Also, die wissen, dass sie Critis sind.

00:05:24: Dort sind werden doch die NIS II, die Schwellenwerte noch mal reduziert.

00:05:27: Das heißt, es kommen auch kleinere Bereiche, werden mit reingehoben, dass sie also Critis erfüllen müssen.

00:05:35: Kritisorganisation sind schon immer verpflichtet, ein Informationssicherheitsmanagement-System in ISMS letztendlich einzuführen und es zu betreiben und es auch nachzuweisen.

00:05:45: So was es neu hinzukommt, sind verschiedene Bereiche, die in der Anlage zwei von diesem Gesetzesentwurf aufgelistet sind.

00:05:51: Da sind zum Beispiel KFZ-Hersteller mit drin, Karosseriebauer, Luftfahrt, Elektronik-Hersteller und das sind sehr umfangreiche Liste, was da alles mit drin ist.

00:06:02: Und alle Organisationen, die mit denen Geschäfte machen, d.h.

00:06:06: Waren oder Dienstleistungen gegen Entgelt liefern.

00:06:10: Zusätzlich werden dann eingestuft als wichtige Organisation und müssen dann zusätzlich ebenfalls in den IS-II erfüllen, nämlich das Einführen von dem Informationssicherheitssystem.

00:06:22: Okay, dann lass uns doch jetzt mal gerade auch tiefer an die Anforderungen gehen.

00:06:26: Also was sind da spezielle Anforderungen, die jetzt dieses Unternehmen erfüllen muss?

00:06:30: Da gibt es ja glaube ich so zehn Kernsteinchen quasi.

00:06:34: Da gibt es zehn Kernsteinchen mit vielen Unterordern, mit vielen Unterpunkten.

00:06:39: Man muss das einfach mal vom Ablauf her sammeln.

00:06:41: Das Informationssicherheitsmanagement-System ist eigentlich ein System, wo regelt, wo ich überwache, wo ich kontrolliere, meine gesamten Sicherheitsbereich.

00:06:51: Das heißt, ich muss eigentlich bewerten, was ist alles relevant in meinem Unternehmen?

00:06:55: Wo habe ich Risiken?

00:06:57: Welche Risiken habe ich?

00:07:00: Welche Auswirkungen haben diese Risiken fürs Unternehmen?

00:07:03: Also finanziell mit Ausfällen, mit Schäden, die entstehen können, auch in meinem Vertragsverhältnis.

00:07:09: Und die muss ich definieren und muss Sicherheitsmaßnahmen dagegen stellen.

00:07:14: Da kann ich verschiedene Sicherheitsmaßnahmen dagegen stellen.

00:07:17: Das heißt, ich kann hergehen, kann sagen, ich reduziere das Risiko.

00:07:20: Ich arbeite das Risiko oder ich lagere das Risiko zum Beispiel aus, auch zum Beispiel über eine Versicherung.

00:07:26: Dass eine Versicherung hergibt und sagt, sie zahlt mir den kompletten Schaden.

00:07:29: Mittlerweile ist es so, dass Versicherungen aufgrund von den enormen Cyberschäden auch schon vorschreiben und sagen, wir bezahlen nur noch, wenn ihr ein ISMS-System, also eine Information, Sicherheitsmanagement-System habt.

00:07:40: Ja smart, ist ja so.

00:07:44: Gehen wir mal jetzt davon aus, wir als Unternehmen haben uns jetzt dafür eingesetzt, okay, wir wollen jetzt nicht zweikonform sein, oder sind es jetzt?

00:07:51: Wir kontrollierten das eigentlich.

00:07:53: Also wer geht dahin und sagt, okay, ja, check.

00:07:56: Ja, das wird jetzt die interessante Geschichte.

00:07:59: Und zwar im Gesetzentwurf steht drin, dass das Unternehmen verpflichtet ist, sich proaktiv beim BSI zu registrieren.

00:08:07: Da wird noch eine Webseite veröffentlicht.

00:08:10: Ich habe gestern die aktuelle Informationen vom BSI nochmal gelesen.

00:08:14: Die gehen davon aus, abgesetzes Entwurf.

00:08:18: nach Verabschiedung von dem Gesetz wird die Meldepflicht vor zehn Tage sein.

00:08:23: Das heißt, innerhalb von vierzehn Tagen sollte die Meldepflicht erfüllt sein.

00:08:27: Das kann auch sein, dass sich das noch mal zieht, bis zu zwei Monaten.

00:08:30: Aber man muss davon ausgehen, innerhalb einer sehr kurzen Zeit ist das Unternehmen proaktiv verpflichtet, sich beim BSI zu registrieren und dort anzugeben, wer es für die Informationssicherheit verantwortlich und zwar zwei Personen die Geschäftsleitung mit angeben.

00:08:45: Das heißt, man muss proaktiv sich melden.

00:08:49: Und muss sagen, ja wohl, ich bin betroffen, ich bin aus denen und den Gründen betroffen.

00:08:53: Und dann ist man eigentlich auch im BSE so registriert, dass wenn Vorfälle kommen, dass der Nachweis schon da ist, man ist verpflichtet worden, letztendlich nach den zwei, diese ganzen Dinge umzusetzen.

00:09:09: Das heißt, da kommt jetzt keine Person oder du gehst jetzt ins Unternehmen und sagst, jetzt prüfe ich das mal alles und dann sage ich, ja, ihr seid jetzt konform oder nicht, sondern eben... Das Unternehmen muss sich proaktiv darum kümmern, sich beim BSI zu registrieren.

00:09:24: Und falls mal was ist, dann wissen die AOK, die haben sich eingetragen und das Zweikonform top.

00:09:29: Wie sieht es denn aber aus, wenn die Unternehmen das nicht gemacht haben?

00:09:32: Ja, bereits eine Unterlassung könnte ja in diesem ganzen Thema schon ein Bußgeld auslösen.

00:09:39: Also die NIS-II hat die Bußgelder mehr oder weniger eins von der DSGVO kopiert, zwei Prozent für Umsatz und und und.

00:09:47: Das sind eigentlich enorme Bußgelder, die letztendlich da zur Verfügung stehen oder die da aufgerufen werden.

00:09:53: Das heißt, die Unterlassung schützt ja nicht davon, dass ich in die Haftung reinkomme.

00:09:58: Ich muss mich registrieren und es liegt in der Verantwortung von der Geschäftsleitung.

00:10:01: Geschäftsleitung ist in der Pflicht, das Gesetz dementsprechend dann umzusetzen, sobald der Beschluss da ist.

00:10:08: Und das natürlich auch ohne Übergangsfristen momentan, weil es ja schon lange bekannt war, dass das ganze Thema kommt.

00:10:15: Okay, wenn wir jetzt da mal von weg gehen.

00:10:19: guten Unternehmen kann sich ja selber darüber kümmern, dass wir jetzt NISCO-II-konformen werden oder diese Konformität schaffen.

00:10:28: Aber viele Unternehmen haben jetzt auch Cloud-Anbieter.

00:10:31: Wie sieht es bei denen aus?

00:10:33: Also sind die auch dazu verpflichtet, dass das Unternehmen, was jetzt zum Beispiel mit einem Cloud-Anbieter zusammenarbeitet, SAS, also SaaS Services bezieht?

00:10:44: ist der Cloud-Anbieter dann auch verpflichtet, dass das Unternehmen, was das Service zum Beispiel oder die Software bezieht, also dazu verpflichtet, dass es da auch konform bleibt?

00:10:56: oder wie sieht es da aus in diesem Punkt?

00:10:58: Also gerade bei Cloud-Anbietern ist das Thema ... Viele denken immer, ich übergebe meine Daten in den Cloud-Anbietern und bin aus der Haftung draußen.

00:11:07: Das widerspricht ja schon der DSGVO, nämlich der Datenschutz-Grundverordnung.

00:11:11: Dass ich eigentlich in dem Moment, wo ich meine Daten zu einem Cloud-Anbieter gebe, bleibt die Haftung trotzdem bei mir als beantwortliche Stelle.

00:11:19: Das heißt, die Geschäftsleitung haftet nach wie vor für die Daten.

00:11:21: Deswegen

00:11:22: ist

00:11:22: es gerade so extrem wichtig, dass der Cloud-Anbieter dementsprechend Sicherheitsmerkmale hat.

00:11:28: Also man sollte immer bei Cloud-Anbietern schauen, dass die auch so ein Isis Zertifizierung des siebenundzwanzigtausendeins, wenn möglich die noch weitere Zertifizierungen für einen Datenschutz für die, für die die siebzehn und die achtzehn noch mit dabei haben, für die ganzen Securitymerkmale, dass ich letztendlich hergehen kann sagen, ich kann, habe alles gemacht, dass mein Glaubanbieter auch sicher ist, ich habe es überprüft, ich habe mir da hinreichende Garantien reingeholt, weil ich kann ja als Unternehmen nicht mein Glaubanbieter prüfen.

00:11:56: Da kann ich ja nur darauf vertrauen und wir haben bei Glaubanbietern schon alles mögliche erlebt.

00:11:59: Also wir haben gesehen, dass da plötzlich die Surfer in irgendeinem Drittland stehen, die überhaupt nicht mehr definierbar sind.

00:12:08: Deswegen ist es ganz wichtig hier auf seriöse Glaubenbieder zu setzen und zu schauen, dass die Glaubenbieder alle Zertifizierungen dementsprechend haben.

00:12:17: Ja, sorry.

00:12:18: Wir bleiben nach wie vor das Unternehmen, die verantwortliche Stelle bleibt nach wie vor in der vollen Haftung.

00:12:23: Ja,

00:12:23: eben, weil macht ja auch Sinn, das sind unsere Daten, nur weil wir die da irgendwo anders hingeschoben haben.

00:12:30: Das ist nicht meine Verantwortung, schiebe mir das weg und jetzt macht es jemand anders.

00:12:34: Ja, okay, verstehe.

00:12:35: Aber du hast gerade eben auch diese Iso-Zertifizierung in Anti-Siemen-Zwanzig-Null-Null-Eins.

00:12:40: Wie sieht es denn jetzt da aus?

00:12:42: Okay, wenn der Cloudanbieter sich darum gekümmert hat, diesen Zertifizieren, alle super.

00:12:47: Aber das reicht jetzt nicht aus.

00:12:49: dass man auch in diese NIS-II-Konformität runterfällt.

00:12:52: Also das heißt, die bestehende Struktur, die es da gibt, auch wenn man ISO-zertifiziert ist, hat das alles schön gemeistert.

00:12:59: Das reicht nicht aus, dass man NIS-II-konform ist, oder?

00:13:02: Nein, das reicht nicht aus.

00:13:04: Also man kann jetzt nicht hergehen und kann sagen, ich schiebe nur meine gesamten Daten einfach zu einem Glaubenbieter und habe da damit NIS-II erfüllt.

00:13:10: Weil der deshalb...

00:13:11: Aus dem Auge, aus dem Sinn.

00:13:13: Ich bringe da immer so ein ganz einfaches Beispiel.

00:13:15: Ich wäre auch nicht zum Steuerberater, weil der meine Daten hat.

00:13:18: Also, von der Seite her muss man sich das eigentlich überlegen.

00:13:24: Es macht Sinn, das zu einem seriösen Cloud-Ambienter zu bringen, die eigene Infrastruktur da damit ein bisschen auch zu reduzieren, zu entlasten.

00:13:33: Wenn der Cloud-Ambienter dementsprechend zertifiziert ist, nämlich ISO-Siebundzwanzigtausendeins, wenn möglich, siebzehn und die achtzehn ebenfalls noch oben mit drauf.

00:13:43: Dann habe ich schon eine sehr hohe Sicherheit, dann habe ich schon eine sehr rohe Sicherheit.

00:13:47: Dann muss ich aber trotzdem noch DINIS II in meiner Organisation umsetzen.

00:13:53: Allerdings habe ich einen ganz großen Teil, nämlich das gesamte IT-Management, habe ich ja schon ausgelagert in ein zertifiziertes Unternehmen, wo ich nur nachweisen muss über Verträge, dass die dementsprechend zertifiziert sind und dann wird es einfacher, DINIS II letztendlich lokal umzusetzen in den Unternehmen.

00:14:10: Okay, dann lass uns bei der Umsetzung bleiben.

00:14:13: Wo siehst du denn aktuell, du kriegst es ja auch in der Praxis eigentlich immer mit, wo könnten jetzt bei Unternehmen tatsächlich Herausforderungen bestehen?

00:14:21: Also wenn sie sich wirklich in der Praxis damit umsetzen wollen, ist es zwar zu erfüllen, also die Anforderung, was kriegst du damit?

00:14:28: Also was sind so die ersten Hürden?

00:14:30: Mir würde jetzt direkt einfallen.

00:14:33: Ja, wir wollen MFA einführen, also Multi-Faktor.

00:14:38: Aber nicht alle User im Unternehmen haben zum Beispiel Firmengeräte, wo sie sich die App herunterladen können und so weiter.

00:14:43: Und da fängt so das erste an.

00:14:44: Oder bestes Beispiel, weil es wahrscheinlich auch ist zu teuer.

00:14:47: Wir wollen jetzt nicht aufrüsten.

00:14:49: Aber was gibt's da noch?

00:14:51: Also es gibt Veröffentlichungen gerade zum Multi-Faktor-Odentifizierung vom BSE.

00:14:56: Das ist eigentlich ein großer Teil.

00:14:58: Man redet davon über neunzig Prozent.

00:15:00: der Rennsämbär-Angriffe nicht so schwer oder ganz unmöglich gewesen wären, wenn ein durchgehendes Zweifahrt vorhanden gewesen wäre.

00:15:07: Also schon eine extreme Sicherheitsmerkmalung.

00:15:09: Ja, eben deswegen.

00:15:10: Ja, es ist manchmal sehr mühselig.

00:15:13: Also ich sehe das selber bei uns immer, wenn wir uns anmelden und dort eine Zweifahrt und dann eine Authentifizierung, aber das Einzige, das schützt, der momentan wirkt.

00:15:21: Also muss man hergehen und sagen, ich muss meine Unternehmenswerte schützen und sowas gehört letztendlich dazu.

00:15:27: Die Organisationen, die bereits die DSGVO extrem gut umgesetzt haben, die tun sich jetzt auch mit Anis II leichter, weil viele Punkte von Anis II wieder auf dem Gleichen aufsetzen, d.h.

00:15:37: saubere Prozessdokumentationen, Verschlüsselung von Datenträgern.

00:15:43: Eine Zwei-FA ist eigentlich auch dort schon gesagt worden, weil wir reden immer vom Stand der Technik.

00:15:49: Es

00:15:49: sollte Stand da sein.

00:15:50: Zwei-FA

00:15:51: ist einfach Stand der Technik.

00:15:52: D.h.

00:15:53: Die Organisationen haben ein ganz großes, ganz großes Problem anzufangen.

00:15:59: Wo starte ich letztendlich?

00:16:00: Sie müssen mit einer GAP-Analyse starten.

00:16:01: Das heißt, man muss wirklich hergehen und sagen, ich brauche eine GAP-Analyse, muss definieren, wo stehe ich denn überhaupt?

00:16:07: Wo stehe ich denn überhaupt und wie kann ich das Ganze umsetzen?

00:16:11: Einen ist zwei Einführungen.

00:16:13: Gehen wir davon aus, mit richtig Energie schaffe ich das eventuell in einem halben, dreiviertel Jahr eher einem Jahr.

00:16:23: Eine ISO-Siebundzwanzigdausend-eins-Einführung geht von einem Jahr bis eher zwei Jahre.

00:16:29: Nicht nur das Papierwerk zu erzeugen.

00:16:30: Also es gibt viele Anbieter auf dem Markt, die sagen, ich mache dir innerhalb von vierzehn Tage eine ISO-Siebundzwanzigdausend-eins.

00:16:37: Ja, dann habe ich das Papierwerk unter Umständen.

00:16:39: Ich habe irgendwelche Protokolle, ich habe irgendwelche Anweisungen, aber es funktioniert noch nicht.

00:16:43: Das Ganze macht ja nur Sinn, wenn ich auch den Mehrwert für die Organisation rausholen, wenn ich die Vorteile rausholen kann, dass ich auch einen Return of Investment letztendlich generieren kann.

00:16:52: meine Sicherheit erhöhe und nicht nur eine karteiläuche produzieren.

00:16:57: Okay, aber nochmal zum Thema.

00:16:59: Was ist mit einem Unternehmen oder einem Geschäftsführer, leider wäre auch immer, der sagt, ne, das sehe ich nicht ein, das ist mir zu teuer.

00:17:08: Ich meine, es wird ja am Ende teurer, wenn Sie es nicht erfüllen.

00:17:12: Aber es gibt ja auch wahrscheinlich solche Fälle, oder?

00:17:14: Ja,

00:17:15: solche Fälle gibt es auch.

00:17:16: Ich kann es aus der Praxis eigentlich immer sagen.

00:17:19: In dem Moment, wo der Crest da ist, wo also ein Vorfall vorhanden ist und das Unternehmen gekrübt oder verschlüsselt wird, in dem Moment sind alle Gelder dieser Welt vorhanden.

00:17:31: Im Vorfeld ist oftmals die Investition in der Fuhrpark mit einer höheren Priorität.

00:17:37: B-b-b-b... vorhanden wie tatsächlich die Investition in die Security.

00:17:45: Aber ohne die Security geht es nicht.

00:17:48: Wenn die IT steht und wenn ein Eingriff erfolgt, dann steht das gesamte Unternehmen.

00:17:53: Und es gibt ja auch Beispiele von ein paar Monaten und Organisationen mit über dreihundert Mitarbeitern, die waren im Automotivbereich tätig, die haben schon ein schwieriges Umfeld gehabt, dann sind sie noch gekrüptet geworden, dann haben sie quasi Insolvenz anmelden müssen, weil sie gesagt haben, jetzt haben wir weder noch die Zeit, Noch haben wir das Geld, diesen Vorfall auch noch zu beherrschen.

00:18:15: Man wird normalerweise erwischt in einer schwierigen Situation.

00:18:18: Murphys Gesetz ist ja nicht so, dass es in der besten Situation kommt, sondern es kommt immer an der schwierigsten Situation.

00:18:25: Und darauf muss man sich vorbereiten.

00:18:26: Man muss da rein investieren.

00:18:28: Also man hat eigentlich gar keine andere Chancen.

00:18:30: Das möchte der Gesetzgeber ja auch erreichen, mir.

00:18:31: dann ist zwei.

00:18:33: Nimmt die Unternehmen ganz massiv in die Pflicht zu sagen, ihr müsst die Sicherheit erhöhen, nicht ihr sollt, sondern ihr müsst die Sicherheit erhöhen.

00:18:40: Und es werden ca.

00:18:41: dreißigtausend Organisationen betroffen sein in Deutschland.

00:18:44: Von der Seite her, je schneller man es macht und je kontrolliert man es macht, also wenn man auch frühzeitig einsteigt, desto kostengünstiger wird es.

00:18:53: Wenn nachher der Druck da ist und Bußgelder drohen und alles muss noch schnell, schnell, schnell gemacht werden, fehlt mir der Mehrwert und es wird deutlich teurer.

00:19:02: Aber bis wann muss das denn jetzt umgesetzt sein?

00:19:04: Also steht das jetzt schon so schriftlich fest komplett, dass, okay, ab jetzt zum Beispiel Oktober, ihr müsst das jetzt entweder starten, den Prozess, oder müsst ihr das bis dahin umgesetzt haben?

00:19:15: Weil ich glaube, du hast ja gesagt, zu schnell geht das ja alles nicht.

00:19:17: Sobald die Bundesregierung das beschlossen hat, nach der jetzigen Vorgabe, wird es keine Übergangsfristen geben.

00:19:24: Das heißt, dann müsste es eigentlich vorhanden sein.

00:19:26: Das ist ein... Schwierig.

00:19:28: Oder?

00:19:29: Ja, aber das ist so vergleichbar wie mit der DSGVO.

00:19:32: Da sind auch alle plötzlich gekommen und gesagt, was für ein Gesetz.

00:19:35: Plötzlich, es war auch Jahre bekannt.

00:19:37: Also auch Denise, zwei seit Jahren bekannt.

00:19:39: Also wir reden ja zumindest mal seit einem Jahr jetzt intensiv über dieses Thema.

00:19:45: Und da müsste eine schon vieles umgesetzt sein.

00:19:48: Und wie gesagt.

00:19:48: die, was auch schon die DSGVO gut umgesetzt haben, die haben ja auch schon vieles.

00:19:52: Und viele Organisationen, die eine gute IT-Betreuung haben, die sind schon sehr, sehr gut aufgestellt.

00:19:58: Das heißt, da fehlen oftmals nur die Dokumentation, weil im Mittelstand ist es ja oftmals so, dass das, ich sage immer so, neunzig Prozent vom Mittelstand, die haben eine, ich sage mal, eine Basisdokumentation.

00:20:11: Dass es funktioniert, die IT-Leiter und alle kommen damit klar, wenn der IT-Leiter aber in Rente geht.

00:20:17: oder ausfällt oder Corona nochmal ausbricht und nicht ansprechbar ist, dann ist die Dokumentation oftmals sehr minimal.

00:20:25: Richtig.

00:20:26: Ja, das stimmt.

00:20:29: Wir hatten ja auch gerade noch ein bisschen über die Sicherheitsvorfälle gesprochen.

00:20:33: Da kann ja jetzt immer was passieren.

00:20:34: Also man sagt ja jetzt nicht nur, okay, nur weil wir das zwei eingeführt haben, sind wir jetzt safe.

00:20:39: Da passiert uns nichts mehr.

00:20:40: Das kann man ja nie sagen, egal wie gut man abgesichert ist.

00:20:43: Wozu ist denn ein Unternehmen tatsächlich verpflichtet, wenn jetzt auch die zwei Anforderungen erfüllt sind, dass wenn ein Sicherheitsvorfall in diesem Unternehmen quasi eingetreten ist, was muss es machen?

00:20:55: Muss es sich beim BSI melden oder wie läuft, also vielleicht von, okay, wir werden angegriffen, ab dem Zeitpunkt bis hin zum, okay, was muss da passieren?

00:21:05: Also es ist eine Meldepflicht vorhanden und zwar eine Grasemeldepflicht innerhalb von vierundzwanzig Stunden, wo die Erstmeldung abgesetzt werden muss.

00:21:12: Es muss nach zwanzig zwanzig Stunden eine Vollgemeldung abgesetzt werden und dann eine Abschlussmeldung.

00:21:18: Was ist aber, wenn man das nach vierundzwanzig Stunden nicht merkt?

00:21:21: Also selber?

00:21:22: Ja, sobald man es merkt.

00:21:23: Sobald man es merkt.

00:21:24: Also sobald das bekannt wird, also wie bei der DSGVO, sobald ich den Vorfall... zur Kenntnis genommen habe oder die Wahrscheinlichkeit des Vorfalls zur Kenntnis genommen habe, läuft eigentlich schon die Frist an, wo ich hergehen kann und dann sagen, das könnte man schon bewerten als Eintrittszeitpunkt letztendlich.

00:21:43: Es muss eine Meldung abgesetzt werden.

00:21:46: Wie intensiv die Meldung sein muss, da streiten sich noch viele darüber.

00:21:51: Definitiv, sobald ein Schaden an finanzieller Schaden entsteht, sobald ein finanzieller Schaden für die Organisation besteht oder für die interessierten Parteien, das heißt für ihre Kunden oder Lieferanten, bin ich meldepflichtig beim BSI.

00:22:05: Das heißt, beim BSI wird eine Seite veröffentlichen, wo dann diese Meldungen abgesetzt werden.

00:22:10: Es kann auch sein, dass große Organisationen dann über Schnittstellen, dass es vielleicht irgendwelche Api-Schnittstellen gibt, wo ich dann das automatisiert absetzen kann.

00:22:18: Aber diese Vorfälle müssen gemeldet werden.

00:22:21: Und damit möchte das BSI eigentlich auch einen Überblick bekommen, was tatsächlich draußen am Markt passiert, wo tatsächlich die Einschläge vorhanden sind.

00:22:31: Wie alles, wie so ein Cyber-Action, das ist alles irgendwie.

00:22:36: jedes Mal, wenn ich eine Folge aufnehme rund um Cyberangriffe, das hört sich alles so futuristisch an, aber wir leben ja genau in diesem Zeitpunkt, wo alles passiert, auch wenn es im Hintergrund ist.

00:22:48: Es ist einfach faszinierend jedes Mal, wenn man über so ein Themen spricht.

00:22:54: Leider ist es so, dass es eigentlich die Realität mittlerweile geworden ist.

00:22:57: Also die Angriffe sind ja explosionsartig hochgegangen in den letzten Jahren.

00:23:01: Das hat mittlerweile Ausmaße angenommen.

00:23:05: Da führt ja auch gar kein Wegen mehr dran vorbei, dass sich die Organisation durchprüfe und da Prozesse machen.

00:23:10: Und Linus II, das möchte ich gerade noch dazu sagen, ist im Gegensatz zu ISA-Siebenen-Zwanzig-Dausen-Eins.

00:23:16: Bei der ISA-Siebenen-Zwanzig-Dausen-Eins kann ich ins Code bilden.

00:23:18: Das heißt, ich kann ein Teilbereich des Unternehmens zum Beispiel die IT nehmen und kann sagen, die mache ich quasi in eine Zertifizierung.

00:23:27: Den ist zwei betrifft die gesamte Organisation.

00:23:30: Das heißt, ich muss alles lösen.

00:23:33: Ich bringe mal ein Beispiel, ein ganz einfaches Beispiel.

00:23:35: Was passiert, wenn der Geschäftsführer Freitag, Nachts und drei Uhr feststellt, hat sein Generalschlüssel verloren?

00:23:42: Gibt es dafür ein Prozess?

00:23:44: Ist es gelöst?

00:23:45: Was passiert mit dem Unternehmen?

00:23:47: Oder hofft man, dass nichts passiert?

00:23:49: Wurde das Schlüssel geklaut?

00:23:51: Entwände bewusst?

00:23:52: Oder hat er ihn verloren?

00:23:54: Oder gibt es wenigstens die Anweisung, dass er selber kein Merchandise-Artikel am Schlüssel hat, wo ich sofort weiß, wo ich hingehört?

00:24:00: Gibt es eine Alarmanlage im Hintergrund?

00:24:02: Einem Pförtner, eine Überwachung, ein Notdienst?

00:24:04: Irgendetwas.

00:24:06: Das sind ganz einfache, simple, benahe Dinge, die in vielen Organisationen noch nicht gelöst sind.

00:24:11: Und es hört auf beim Backup.

00:24:13: Wie lange brauche ich tatsächlich, um wieder ein, um eine, bei einer Rensäumwehrattacke tatsächlich das Backup wieder einzuspielen, um wieder online zu gehen.

00:24:21: Wie viele Stunden sind da dazwischen?

00:24:23: Wie viel Geld kostet das?

00:24:24: Und da haben wir Gespräche auch geführt, gerade bei Gap eine Lüsen, wo der IT-Leiter sagt, im schlimmsten Fall dauert das bei uns zehn Tage.

00:24:32: Die Geschäftsführung sagt, aber wir überleben nur fünf Tage.

00:24:35: Das sind Gap, was gelöst werden muss.

00:24:37: Und das alles erkennt eigentlich... Erkennt man eigentlich doch das Einführen von einem ISMS-System, weil es wirklich transparent wird.

00:24:45: Es wird für alle Parteien im Unternehmen, insbesondere für die Geschäftsleitung, richtig transparent.

00:24:50: Wo sind meine Risiken?

00:24:52: Also da hast du ja vorhin aus so einem richtig spannenden Punkt eigentlich gesagt, wie wäre es denn, wenn das automatisiert wird?

00:24:58: Das wäre ja wirklich genial, ne?

00:25:00: Weil wenn dann irgendwas auftritt, dann ping, ping, ping.

00:25:02: Hallo?

00:25:03: Problem?

00:25:04: Wir müssen das melden und dann ist man in Anführungszeichen gut, wenn es ein Sicherheitsvorfall ist, nicht auf der sicheren Seite.

00:25:10: Aber dann hat man zumindestens mal den Prozess eingehalten.

00:25:13: Hey, ich habe das gemeldet und jetzt ... Wissen Sie Bescheid?

00:25:16: Aber die Automatisierung fängt ja viel früher an, innerhalb von den Organisationen.

00:25:20: Viele Organisationen wissen nicht, was in einem Netzwerk passiert.

00:25:25: Das heißt, wenn jemand einen Drucker absteckt mit der IP-Leitung und steckt dann versäuchtes Laptop an oder hat im Besprechungsraum eine Kattose, wo ich mein Laptop anstecken kann oder ein Hacking-Tool oder ähnliches.

00:25:38: Und es wird nicht erkannt, ist das Unternehmen offen?

00:25:41: Das muss man sich einfach im Klaren sein.

00:25:44: nicht das Netzwerk überhaupt im Griff.

00:25:47: Das heißt, da fängt man schon mal an.

00:25:49: Ich kann Sicherheit ja nur gewährleisten in dem Moment, wo ich schon mal mein Netzwerk im Griff habe.

00:25:54: Das heißt, da gehören viele, viele Prozesse dazu, um zu erkennen, was passiert denn tatsächlich innerhalb meiner Organisation, wo sind die Risiken und wer greift automatisiert Nachts ein?

00:26:05: Weil viele Hackerangriffe sind ja über das Wochenende oder sind nachts, wo die IT nur im Notbetrieb besetzt ist oder ähnliches oder keine Mitab.

00:26:14: im Haus.

00:26:14: Das heißt, da müssen automatisierte Systeme eingreifen und sagen, ich... Schieb da rein, blockiere, sperre und löse das Problem.

00:26:23: Richtig.

00:26:23: Ja, ist zum Beispiel jetzt auch noch hier.

00:26:25: an die Hörer und Zuhörer und Zuschauer und Zuschauerinnen.

00:26:29: In der letzten Folge war genau das auch ein Thema, was auch natürlich, was machen wir eigentlich, wenn wir schlafen, wenn dann Sicherheitsvorfall passiert.

00:26:36: Also genau, das war das Thema.

00:26:38: Falls ihr da auch nochmal die Folge euch anhören möchtet, es empfiehlt sich auf jeden Fall, passt super.

00:26:44: jetzt genau zu dem Thema.

00:26:46: Gut.

00:26:48: NIST II, so, es hat sich ja lange gezogen, hast ja selber gesagt, NIST II war mal da bekannt, dann wurde es mal leiser, jetzt ist es mal wieder laut geworden.

00:26:58: Es gab ziemlich viel, es wurde kritisiert, was da so das generell ist, was mit dem Gesetz da so passiert.

00:27:07: Vor allem beim Unternehmer zum Beispiel, Geschäftsführer, die sagen, hey.

00:27:11: Was verlangt jetzt der Staat von uns, was wir da alles umsetzen?

00:27:15: Aber warum noch?

00:27:16: Also warum wurde Gnis II so kraskratisiert, wenn du ja auch selber schon sagst?

00:27:20: Normalerweise sollte das ja eigentlich ein Standard sein.

00:27:24: Ja, es sollte eigentlich ein Standard sein.

00:27:27: Man muss immer schauen, dass man auch in diesen Standard reininvestiert, weil das unternehmenswerte schützt.

00:27:33: Letztendlich wurde das kritisiert aus vielen Bereichen.

00:27:35: Klar, die Politik hat es zum Teil kritisiert.

00:27:39: Von der Opposition kam Kritik, von der Umsetzung und ähnliches.

00:27:45: Sorgt es nur dafür, dass die Unternehmen sicherer werden, dass die Unternehmenswerte tatsächlich geschützt werden.

00:27:50: Das ist das finale Thema, dass die Unternehmer natürlich hergehen und sagen, ich möchte das da nicht Geld reininvestieren.

00:28:00: Das ist ein normaler Effekt, weil die Unternehmen sind angehalten zu sparen, ihre Kosten im Griff behalten.

00:28:06: Und da kommt so ein Kostenfaktor präventiv mit dazu.

00:28:10: Nur ohne diese präventive Investition.

00:28:14: Sie nachher die Folgekosten enorm und der volkswirtschaftliche Schaden ist letztendlich enorm, wenn Organisationen komplett stehen.

00:28:22: Insbesondere wenn ein ganzen Lieferketten von den Abhängigkeiten und ähnliches, wenn da Keypoints dazwischen drin letztendlich stehen, ist es ein massives Problem.

00:28:32: Und Disney's II schreibt ja auch trotzdem, die Wirtschaftlichkeit muss vorhanden sein oder die Wirtschaftlichkeit kann berücksichtigt werden.

00:28:39: Also ich muss ja nicht hegen und sagen, ich muss alles komplett wegwerfen.

00:28:42: Aber ich muss die Risiken bewerten, ich muss die Risiken darstellen und ich muss dann auch argumentieren, warum habe ich jetzt in etwas, was Ein Risiko war ein Haufen Geld rein investiert.

00:28:54: Man hat dieses Risiko brach liegen lassen.

00:28:56: Also da wird es halt etwas enger.

00:28:59: Man versucht da letztendlich auch die Investitionen in den richtigen Bereich reinlaufen zu lassen.

00:29:05: Vom Verständnis ist vollkommen klar.

00:29:07: Also jeder, was irgendeine bürokratische Auflage bekommt, sagt erst mal, will ich nicht, brauche ich nicht.

00:29:13: Aber es macht Sinn, dass eines der wenigen Gesetze, einer der wenigen Richtlinien, die wirklich Sinn machen, weil ich wirklich mehr Werte rausholfe die Organisation für die Unternehmen und die Sicherheit erhöhe.

00:29:25: Und jetzt noch mal auf dein Einwand vorher wurde gesagt, dass man kann das nicht sichern.

00:29:29: Ja, den ist zwei, auch die ISA- ist kein Regelwerk, wo Ihnen ein hundertprozentiger Schutz bringt.

00:29:37: Das wird nicht so sein.

00:29:39: Es erhöht den Schutz dramatisch, weil Lücken, die man erkennt, wo man dann auch darstellen kann gegenüber von der Geschäftsleitung, das ist das.

00:29:48: und das Risiko, dieser finanzielle Schaden oder dieser finanzielle zeitliche Ausfall dahinter, wenn wir nicht Summe X investieren.

00:29:56: Das heißt, es reduziert das Risiko tatsächlich, weil wir alles erkennen oder vieles dabei erkennen.

00:30:02: Und ein ganz wichtiges Thema ist, es macht den Prozess händelbar.

00:30:06: Das heißt, wenn ein Notfall eintritt, habe ich einen Glauben, klares Skript.

00:30:09: Ich habe eine klare frohgehensweise, wie ich abarbeiten muss.

00:30:13: Ich bin schon oft in Notfallgesprächen mit drin gewesen.

00:30:17: Da war die Hälfte von der Mannschaft nicht erreichbar, weil sie Firmenhände hatten.

00:30:21: Firmenhände wird am Wochenende abgeschalten, waren also gar nicht erreichbar, weil die Prozesse nicht sauber durchorganisiert worden sind.

00:30:29: Ich muss dafür sorgen, dass mein Krisen-Team in dem Moment, wo etwas passiert, Erreichbar ist, dass auch jemand dabei ist, der monetär entscheiden kann, wo mit drin sitzt.

00:30:40: Das heißt, und das sind alles Richtlinien und Vorgänge, die man durchorganisiert, die man im ISMS sauber durchorganisiert, da geht man die ganzen Punkte durch und dann hat man das gelöst.

00:30:50: Das heißt, die Vorfälle werden handelbar.

00:30:53: Ich erkenne, habe ich mit meinem IT-Dienstleister einen Servicevertrag, kommt er überhaupt am Samstag, habe ich überhaupt eine Rufnummer, um den zu erreichen.

00:31:03: Und wie lange brauche ich für Ersatzteile, für Ersatzsörfer, für Verklautsörfer oder ähnliches?

00:31:07: sind die Dinge gelöst.

00:31:09: Also das sind alles Punkte, die muss man erkennen und planen.

00:31:14: Und das alles möchte Dineszweil.

00:31:16: Was sich sehr logisch anhört, weil wie schön ist es denn ein Plan zu haben oder eine Lösung für alles.

00:31:23: Extremfall, boom, ich habe das, das, das, das wird dann alles gemacht und ist man wenigstens dann.

00:31:28: hat man einen Plan.

00:31:31: Also viele auch mit der gesamten Vernetzung, mit der Digitalisierung, mit der Cloud-Telefonie und ähnliches.

00:31:37: Wenn das IT-System ein Hundertprozentausfall hat, hat auch eine Verschlüsselung.

00:31:42: Die sind ja oftmals nicht mal mal in der Lage, das Telefon zu bedienen.

00:31:44: Oder die Drucker.

00:31:45: Oder die Drucker oder ähnliches.

00:31:47: Das heißt, ich brauche Listen in irgendeiner Art und Weise oder ausgelagerte Dokumente oder ein Laptop mit den ganzen Prozessen drauf und alles.

00:31:57: dokumentiert ist, dann nicht im Netz drin ist, wo ich darauf zugreifen kann.

00:32:04: Also die Praxis zeigt ganz klar, die was sich sauber mit einem ISMS vorbereiten, die händeln einen solchen Vorfall wirklich viel schneller, viel schneller und völlig unproblematisch.

00:32:16: weil einfach die Prozesse glase sind.

00:32:18: Unproblematisches übertrieben, also Probleme sind immer vorhanden in dem Moment, wo es so knallt.

00:32:23: Genau,

00:32:23: ein Anführungszeichen etwas einfacher, etwas souveräner und man hat wenigstens einen Farbplan, den man gehen kann und sagt den Mitarbeiter nicht, okay, wir haben jetzt ein Sicherheitsvorfall, jetzt schreit ihr alle und rennt aus diesem Gebäude raus.

00:32:35: Ja, verstehe.

00:32:37: Dann gab es aber auch noch einen Punkt in dem, genau in diesem zwei Thema, Thema Geschäftsführerhaftung.

00:32:42: oder Geschäftsreiter.

00:32:44: Können wir da ein bisschen eingehen oder fällt das schon so ein bisschen ein anderes Thema rein?

00:32:50: Man muss immer aufpassen bei den ganzen Haft, bei den ganzen Haftungsthemen, dass man auch sehr schnell in der Rechtsberatung bin.

00:32:56: Also wir beschäftigen zwar bei uns auch im Unternehmen Juristen, aber wir dürfen keine Rechtsberatung machen.

00:33:01: Das überlassen wir den Rechtsanwälten von kein zwei, die da dafür spezialisiert sind.

00:33:06: Nur... In dem jetzigen Gesetzentwurf lässt sich rauslesen, dass eine Geschäftsführerhaftung vorhanden ist.

00:33:13: Momentan reden die sogar noch über eine Geschäftsleitung, das muss alles definiert werden, versus Geschäftsleitung, was ist dann die Geschäftsführung-Final.

00:33:22: Und da redet man über eine, so wie wir es interpretieren, auch über eine persönliche Haftung.

00:33:29: die unserer Meinung auch schon eintreten kann aufgrund von einer Unterlassung.

00:33:33: Also da muss man schauen, aber da sage ich immer, fragen Sie Ihren Rechtsanwalt, Arzt oder Apotheker und fragen Sie da nochmal nach, wie die das letztendlich einschätzen.

00:33:45: Wir können nur sagen, in dem Moment, wo wir das einsetzen, es ist sowieso die... die Grundpflicht von jedem Geschäftsführer, von jedem Leiter in einer Organisation das Unternehmen zu schützen, die Unternehmenswerte zu schützen.

00:34:00: Und dafür gehört eigentlich, ich kann sie nicht schützen, final, sauber, ohne ein ISMS-System, nämlich das, was die NIST II will, ohne das kann ich das letztendlich nicht machen, weil ich ja gar keine Werte habe, ich habe gar keine, ich weiß ja gar nicht, was ich schützen soll.

00:34:14: Und ich habe viele Gespräche erlebt, wo die IT-Leitung letztendlich in Krisen gespürt.

00:34:21: mit der Geschäftsführung, nicht viele, aber einige, wo die Geschäftsführung und die IT-Leitung zusammengesessen ist, wenn es dann geknallt hat, wo keine Organisation vorhanden war, wo kein ISMS vorhanden war, wo dann die Geschäftsführung sagt, ja, hättet ihr mir das besser erklärt?

00:34:35: Hätten wir investiert?

00:34:36: Aber wir haben das gar nicht so verstanden, dass es so wichtig ist.

00:34:39: Und das löst das System auch, weil ich nämlich die Risiko-Bewertung machen muss über alle Prozesse, die auch transparente Geschäftsleitung übergeben wird.

00:34:48: Und die erkennen dann, wo sind die Risiken drin und über was reden.

00:34:52: Sonst kommt die IT eigentlich mehr Geld für ein Storage, für ein Core Switch oder ähnliches, wo oftmals auch die Geschäftsleitung dann sagt, okay, das... weiß ich sowieso gar nicht, was es ist.

00:35:02: Und die IT kostet ohnehin immer viel zu viel Geld in dem Moment, wo es funktioniert und hat viel zu viel gekostet, wenn es nicht funktioniert.

00:35:09: Also da bist du immer sowieso immer in der Thematik drin.

00:35:12: Und wir machen das transparent.

00:35:13: mit einem NIS II, macht man das transparent.

00:35:16: Und die finanzielle Entscheidung fällt dann auch der Geschäftsleitung leichter zu sagen, okay, ich erkenne es.

00:35:21: Für was das ist, welche Risiken dahinter sind.

00:35:24: Also ich halte extrem viel davon.

00:35:25: Das ist halt auch so, wie sich das halt anhört, mehr so ein Team.

00:35:29: ... Player-Geschichte.

00:35:31: Also das heißt, die Geschäftsführung ist nicht, ... ... okay, die IT will wieder Geld haben, ... ... sondern das ist eine Gruppenarbeit ... ... oder so ein Teamwork-Thema, ... ... wo man wirklich sagt, ... ... hey, die IT will ja gar nicht so böse ist.

00:35:43: Dafür ist die ja da, ... ... dass die ja sicher darum kümmert, ... ... die Systeme, die Lücken werden geschlossen ... ... und das Ding bleibt sicher.

00:35:50: Weil am Ende hat natürlich auch die IT viel zu tun, ... ... wenn da mal irgendein Sicherheitsvorfall passiert, ... ... wenn sie es überhaupt selber lösen können ... ... oder nicht noch jemand Exzents helfen muss.

00:36:01: Auch die ganze Dokumentation hilft enorm.

00:36:06: Wir haben auch dieses Thema der Baby Boomer.

00:36:08: Es gehen extrem viel IT-Liter in Rente in absehbarer Zeit.

00:36:13: Wenn da die Dokumentation fehlt, wird das Unternehmen viel Geld aufwände müssen, um das Problem zu lösen.

00:36:18: Alles, was ich da schon reininvestiere, ist wirklich in die Zukunft investiert.

00:36:23: Wenn die Dokumentation mal sauber aufgearbeitet wird.

00:36:25: Ja, es ist Aufwand, es ist Aufwand, aber es kommt spätestens der auf den West, wenn eine neue IT-Mitarbeiter kommt, nicht eben die Dokumentation geben kann, kann sagen, liest du das mal zwei Tage durch, dann weißt du, wie unser Unternehmen läuft.

00:36:37: Ideal Fall.

00:36:38: Perfekt.

00:36:39: So soll es sein.

00:36:40: So

00:36:40: soll es sein.

00:36:42: Gut, dann Wolfgang.

00:36:45: Du bist ja in dem Thema drin.

00:36:46: Dann gib uns doch mal oder halt auch die, die jetzt gerade zuhören, bitte Tipps, wie man jetzt, wenn man wirklich auch jetzt gerade vor der Herausforderung oder der Anforderung steht, Wir sind noch nicht in das Zweikonform.

00:36:58: Es kommt ja bald sowieso in Kraft.

00:37:00: Wir wollen uns jetzt darauf vorbereiten, kannst du uns da Tipps mitgeben, so paar Tipps vielleicht, die uns da unterstützen können.

00:37:08: Wo sollten wir anfangen, was wenn die ersten...

00:37:11: Der erste Tipp wäre rechtzeitig anfangen.

00:37:14: Nicht warten,

00:37:15: gestern, gestern, vorgestern, rechtzeitig anfangen, also so schnell wie möglich anfangen.

00:37:21: Starten immer mit einer Gap-Analyse, um mal zu definieren, wo steht man denn überhaupt.

00:37:27: Wie viel wird schon erfüllt, wie viel muss unter Umständen nur geringfügig angepasst werden und welche technologischen Lücken haben wir tatsächlich im Unternehmen.

00:37:36: Ist mein Back-up-System, Rennsäum wäre sicher.

00:37:40: Habe ich einen Überblick über mein Netzwerk, ist meine Dokumentation?

00:37:43: Und viele, viele solche Schritte muss man einfach erstmal definieren.

00:37:47: Und wenn man das hat, dann kann man eigentlich hergehen und sagen, ich baue mir einen Zeitplan auf mit meinen einzelnen Stepstones, innerhalb von welchem Rahmen ich das aufbaue und integriere.

00:37:58: Weil wenn ich den Druck habe zu sagen, es muss sofort gemacht werden.

00:38:01: Es wird nachher nicht funktionieren.

00:38:02: Es wird nicht funktionieren.

00:38:03: Die personelle Ressourcen sind nicht vorhanden.

00:38:06: Ich kenne wenige IT-Mitarbeiter, IT leider, die ... Sechzig Prozent Auslastung haben, die meisten haben hundertvierzig Prozent Auslastung.

00:38:14: Das heißt, die haben ja gar kein Zeitfenster, da dafür das zu machen.

00:38:18: Das heißt, ich muss es langfristig aufsetzen, ich muss es vernünftig aufsetzen, um da wirklich auch ein Mehrwert rauszuholen.

00:38:25: Also... Anfang GAP-Analyse machen, Stepstones aufsetzen, sich externe Berater mit reinholen, da muss ich jetzt ein bisschen Werbung für uns machen, externe Berater tatsächlich reinholen, weil es wird wesentlich leichter und schneller, das auch mit Beratungsleistungen zu erfüllen, wie alles selber versuchen zu erfinden und zu schauen, wo was geht.

00:38:46: Und alles, was schon vorhanden ist, nutzen, bestehendes nutzen, um letztendlich auch Kosten zu sparen und Zeit zu sparen.

00:38:53: Vor allem, wenn man sich da selber ja mit beschäftigt.

00:38:55: wenn es ja schon diesen Grundfahrplan gibt.

00:38:58: Erst mal investiert man Zeit darauf und dann vielleicht hat man doch noch eine Lücke, die das Ganze dann doch nicht erfüllt und dann steht man am Ende dann nochmal doof da.

00:39:06: Also wir haben noch in keinem Auto, das wir durchgeführt haben.

00:39:11: die Situation vorgefunden, dass wir da nicht irgendwelche Lügen und Verbesserungsvorschläge reingebracht haben und auch Optimierungsvorgänge.

00:39:19: Also, man muss auch schauen, wie setzt man das um.

00:39:22: Es ist so eine Umsetzung von so einem ISMS-System mit den eigenen Bordmitteln möglich.

00:39:28: Also, ich halte sehr viel davon, wenn man eigene Bordmittel einsetzen kann, wenn das schon vorhanden ist, also ein eigenes Dokumentenmanagement-System oder ähnliches, wo die Prozesse alles sauber drin laufen.

00:39:38: Die Einarbeitung in neue Applikationen oder ähnliches, alles auch immer extrem viel Zeit kostet und die Mitarbeiter auch extrem nervt, wenn dann noch was Neues mit dazukommt.

00:39:48: Also wenn bestehen, das genutzt werden kann, bestehen, das nutzen.

00:39:51: Wenn nichts bestehen, das genutzt werden kann zur Entlastung von der IT wirklich eine Software dafür einsetzen, eine ISMS Software.

00:39:58: die einem die Prozesse steuert und händelt.

00:40:01: Und da bin möglich schon etwas mit einem Managementpaket mit dran, dass ich auch die unterschiedlichen Bereiche zusammenführen kann, dass ich also von der DSGVO über die ISO-IXI, also Qualitätssicherung-Software, bis zur ISO-IXI NIS-II mit zusammenbringen und ein Matching drin habe, wo ich erkennen, welches Dokument betrifft welche Normen.

00:40:23: Dass wenn also der Datenschutzbeauftragte was verändert, dass es sofort Bekanntes und klar ist, dass es jetzt die Norm eins, den Prozess vier und die Abteilung fünf irgendwo betrifft.

00:40:35: Also diese Transparenz, diese Transparenz reinzubringen, die spart nach enorm viel Zeit und bringt eine enorme Entlastung letztendlich für die, was sie tatsächlich bearbeiten müssen.

00:40:44: Weil wir brauchen Informationssicherheitsbeauftragten für das ganze Thema.

00:40:48: Die muss man berufen.

00:40:52: Ich empfehle auch immer extra nur dafür zu nehmen, weil die einfach mit viel mehr Know-how reinkommen.

00:40:56: Die kommen mit viel mehr Know-how rein, wie wenig jetzt ein Mitarbeiter nehmen und sagen, ich schicke jetzt mal auf den Kurs, mach das mal kurz.

00:41:03: Genau, das ist ja deren Fachbereich und Fachexpertise.

00:41:07: Ja, also das ist etwas, was nachher Final wirklich Geld spart und Entlastung reinbringt.

00:41:13: Richtig.

00:41:14: Ich hab noch niemals so ein spannendes Gespräch über NIST II geführt wie mit dir, Wolfgang.

00:41:18: Das freut mich doch.

00:41:19: Ich liebe das Thema auch.

00:41:22: Man merkt das richtig.

00:41:24: Ja, also, wie gesagt, ich kann mich da nur anschließen, es ist wichtig.

00:41:28: Und gefühlt bei jeder Folge sage ich auch, ohne einen Plan, und das ist ja natürlich auch die Anforderung, die jetzt auch NIST II mitbringt, kommen wir nicht weit.

00:41:36: Planen im Leben zu haben ist genauso gut wie Planen im Unternehmen zu haben, wo soll die Reise hingehen?

00:41:41: Wo können wir uns schützen?

00:41:42: und so weiter?

00:41:43: Und ich bedanke mich sehr, sehr, dass du dir die Zeit genommen hast, hier mit uns eine tolle Folge aufzunehmen.

00:41:50: Ich glaube, es wird einiges klarer.

00:41:52: Also du hast sehr viele tolle Beispiele mitgebracht oder Informationen, die halt genau um dieses Thema sind, zwei Handeln und die wir auch brauchen, die teilweise auch vielleicht gar nicht so im Internet stehen, also so öffentlich, sondern da muss man wieder gucken und recherchieren und du hast es jetzt alles so schön.

00:42:08: Klaut und deutlich auf den Punkt gebracht.

00:42:11: Es ist wirklich unglaublich.

00:42:12: Darf ich dir danke sehr?

00:42:13: Gerne.

00:42:14: Und

00:42:14: dann machen wir ganz kurz noch mit Werbung weiter, denn wenn ihr jetzt zum Beispiel auch den Wolfgang als Beratung zu euch ins Boot holen wollt, dann schreibt uns doch auch gerne unter der Kontaktadresse, die unten in der Podcastbeschreibung ist, einfach an.

00:42:30: Und dann bringen wir euch mit dem Wolfgang in Verbindung, damit die euch rund um das Thema eines zwei austauschen können.

00:42:36: Und ich glaube, du kannst da sehr gut unterstützen in dem Thema.

00:42:41: Ich und mein Team stehen gerne zur Verfügung und helfen.

00:42:44: Siehst, also nimmt auf jeden Fall diese Unterstützung wahr.

00:42:48: Wir freuen uns, Wolfgang freut sich, das Team von Wolfgang freut sich und vielleicht jetzt gerade noch zum Abschluss.

00:42:54: Einsatz oder irgendwas, was du jetzt noch gerne loswerden möchtest für die Zuhörer, Zuschauer und Zuschauerinnen?

00:43:01: Ja, nehmen Sie das Thema ernst, weil es wird Ihnen letztendlich mal final extrem viele Vorteile bringen und die Sicherheit ist das Wichtigste, was man in dem Unternehmen letztendlich machen muss, insbesondere beim IT-Bereich, weil ohne Sicherheit wird irgendwann der ganz, ganz große, schwere Einschlag kommen.

00:43:20: Und wenn der nicht beherrschbar ist, steht oftmals auch die Existenz der Organisation auf der Kippe.

00:43:28: Richtig.

00:43:28: Ich danke dir sehr, Wolfgang.

00:43:30: Und in diesem Sinne, wie gesagt, meldet euch gerne unter der Kontakt-E-Mail-Adresse, damit wir euch in Verbindung bringen können.

00:43:36: Und lasst uns doch gemeinsam das Zweikonform... werden.

00:43:40: So und in diesem Sinne vielen Dank fürs Zuschauen und auch zu hören und wir sehen uns dann in der nächsten Folge wieder.

00:43:47: Macht's gut,

00:43:49: ciao!