Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
NIS2 & CRA: Was Unternehmen wissen sollten
In dieser Episode spricht Michael mit Jannik Schumann von der Basec GmbH über die wachsende Bedeutung von NIS2 und dem Cyber Resilience Act (CRA) für Unternehmen. Diese Regularien setzen neue Maßstäbe für die Cybersicherheit und erfordern eine umfassende Überprüfung und Anpassung bestehender Sicherheitspraktiken.
Die aktuellen Entwicklungen zeigen, dass Unternehmen zunehmend gefordert sind, ihre Cyber-Hygiene zu verbessern und sich intensiv mit den Anforderungen von NIS2 und CRA auseinanderzusetzen. Doch welche Herausforderungen bringen diese Anforderungen mit sich? Und wie können sich Unternehmen am besten darauf vorbereiten?
Vorherige Folge mit Jannik:
Wie viel PS braucht es, um NIS2 erfolgreich umzusetzen?
Falls ihr euch unsicher seid, ob und in welchem Umfang ihr betroffen seid, besucht gerne die Landingpage von Basec: NIS2 - Basec GmbH
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Jannik Schumann:Assets primäre, sekundäre ist auf jeden Fall immer etwas, was mich als unternehmen im weh tun tun würde, wenn ichs nicht hätte oder ich vielleicht sogar gar nicht als firma funktioniere, wenn ichs nicht hätte.
Michael Döhmen:Herzlich willkommen zu einer neuen ausgabe von cyber security basement, dem podcast für echten security content, und in der heutigen episode wollen wir uns nochmal beschäftigen mit dem Thema NIS 2.
Michael Döhmen:Wir hatten schon zwei oder drei Folgen sogar, die diesen Begriff im Titel hatten. Allerdings gibt es da aufgrund der neuen Regierungsbildung neue Dinge, die wir besprechen können, und dazu habe ich mir einen Gast eingeladen, da ich da natürlich wieder reichlich wenig Ahnung von habe. Ich sage herzlich willkommen, Jannik Schumann.
Jannik Schumann:Ja, danke dir vielmals für die Einladung. Ich freue mich sehr, wieder dabei zu sein und ein spannendes Update zu teilen.
Michael Döhmen:Sehr, sehr gerne Die, die regelmäßig zuhören, die wissen, wir haben uns schon mal zu dem Thema unterhalten, haben aber dann gesagt pass mal auf, es ist jetzt so viel wieder passiert. lass uns da nochmals im Jahresstart ein Update geben. Für alle Zuhörerinnen und Zuhörer, die Jannik jetzt noch nicht kennen stell dich doch gerne nochmal kurz vor, wer du bist, was du machst und was ihr denn bei Basec so tut.
Jannik Schumann:Basec GmbH. Ja, der Laden, den habe ich vor zwei Jahren gegründet. Wir machen ähnliche Sachen wie ihr, so ein bisschen IT Security gegründet. Wir machen ähnliche Sachen wie ihr, so ein bisschen IT-Security. Aber da gibt es ja verschiedene Bereiche. Wir haben uns so ein bisschen auf GRC, governance, risk, compliance fokussiert, alles, was mit der ISO 27001 zu tun hat, und Regulatorik, also NIS 2, Dora absolut heiße Themen. Dora ist ja auch vor ich glaube, jetzt Anfang Januar in Kraft getreten geworden. Dementsprechend drücken sich jetzt auch die NIS2-Themen wieder ein bisschen mehr in den Vordergrund. Da werden wir bestimmt auch gleich drüber sprechen. Vielleicht zu meiner Person Ich bin jetzt seit 15 Jahren im Cybersecurity-Bereich, habe unheimlich viel Spaß und Leidenschaft für das Thema entwickelt in den vergangenen Jahren und freue mich da am Nabel der Zeit quasi auch Deutschland in der Digitalisierung zu begleiten.
Michael Döhmen:Ja, top, du hast aber nicht den klassischen Cybersecurity-Background, oder? Du kamst doch eher aus der Finanzwelt?
Jannik Schumann:Ja, ich hatte so eine Schere aufgespannt, definitiv. Also ich habe zwar eine Fachinformatiker-Ausbildung gemacht und dual studiert bei Siemens mit BWL, dann im Bachelor und Business Administration, dann auf Englisch mein Master gemacht in Innsbruck auch richtig geil Nebenbei weitergearbeitet. War eine sehr belastende Zeit, aber man hat da auf jeden Fall so zwei Standbeine entwickelt Das eine BWL, wo ich viel Interesse für habe, wo ich auch regelmäßig Papers zu veröffentliche, besonders Inflation Spannendes Thema und wie besonders junge Menschen gegen die Inflation trotzdem Vermögen aufbauen können, also schon auch sehr fachlich. Aber dieses Security, das hat mich eigentlich schon immer leidenschaftlich heiß gemacht. Also ich habe in der Schulzeit schon die Landesolympiade für Fachinformatik gewonnen, wo man so kleine Roboter programmieren musste, und habe dort eigentlich festgestellt, dass das, was andere so schwer finden, für mich eigentlich Spaß bedeutet.
Michael Döhmen:Das ist auch für mich neu, die Info kannte ich noch nicht. Sehr cool. Ja, nochmal kurz zur Erwartungshaltung. Also, wir wollen heute natürlich schwerpunktmäßig über das Thema NIS2 sprechen, haben aber auch noch ein zweites Thema dabei, und das ist das Thema CRA. Im Gegensatz zu NIS 2 ist der Cyber Resilience Act schon seit dem Dezember 2024 in Kraft, und da wollen wir auch mal beleuchten, was das denn für die Unternehmen so bedeutet und welche Herausforderungen damit zusammenhängen. Aber starten wollen wir mit NIST 2. Ich glaube, Jannik, als wir das letzte Mal zusammen saßen, stand noch im Raum, dass das Gesetz im März 2025 in Kraft tritt. Jetzt ist Januar 2025, und ich denke, wir sind davon weit entfernt. Was glaubst du denn, wann werden wir NIS2 Umsetzungsgesetz denn in Kraft getreten sehen?
Jannik Schumann:Spannende Frage. Es ist auch schon wieder fast ein halbes Jahr her, dass wir gesprochen haben. Also die Zeit rennt, und so fühlt sich das wahrscheinlich auch in der Politik ein bisschen an, Und ich denke mal aufgrund der Regierungskrise und der Neuwahlen, die anstehen, dass sich das natürlich ein bisschen verzögert. Am Ende des Tages ist das aber auch ein Thema, was man so ein bisschen losgelöst betrachten kann. Es gibt natürlich Sachverständige, die aus den verschiedenen Parteien berufen werden. Da können wir auch gleich nochmal tiefer eingehen. Aber am Ende des Tages gehe ich schon davon aus, dass wir jetzt in den nächsten Monaten da final was sehen, weil die EU hatte auch ihre Übersicht und weiß genau, welche Länder da wie hinterher hinken und machen natürlich auch entsprechend Druck, dass das umgesetzt wird.
Jannik Schumann:Wir hatten ja jetzt die Regierungskrise, aber halt auch einige kleinere Umsetzungsthemen, die noch diskutiert werden sollten, also wie man das genau in Deutschland umsetzen will, unter anderem das KRITIS-Dach-Gesetz, was da so ein Basswörter war, was viele angemerkt haben, dass man nicht nur in NISS2, sondern auch die anderen Gesetze drumherum betrachten sollte und da vielleicht ein Konglomerat macht, dass das alles mal in einem Gesetz drinsteht und nicht in zehn verschiedenen. Gefühlt Genau, und am 4.11. Letzten Jahres haben die Sachverständigen sich getroffen, um halt eben diese NIS2-Richtlinie zügig umzusetzen in deutsches Recht Das heißt, die haben den Entwurf diskutiert, und da wurden im Wesentlichen zwei Punkte angemerkt Hat einfach damit zu tun im deutschen Gesetz, dass der Staat nicht sich selbst bestrafen kann, vor allem nicht mit Geld, linke Tasche, rechte Tasche. Aber man braucht ja trotzdem irgendeinen Anreiz, dass auch die Behörden da, wo wir als Bevölkerung das besonders verspüren, auch ihre Digitalisierung und die IT-Sicherheit nach vorne bringen.
Jannik Schumann:Und dass das besonders die größte Baustelle ist, hat ja auch der Gerichtshof vorher schon festgestellt. Ich weiß nicht, war das im Oktober oder so, wo halt die einzelnen Länder Sachen zurückgemeldet haben, die einfach so konkret waren, dass es gar keinen Sinn gemacht hat. Der eine hat gesagt, ich brauche für die Umsetzung mehrere Millionen. Der andere hat gesagt ja, eigentlich haben wir alles. Letztendlich sind sie alle relativ schlecht aufgestellt, und letztendlich müssen sie ungefähr das gleiche Budget brauchen, und deswegen hat der Europäische Gerichtshof gesagt setzt euch nochmal hin schaut euch das nochmal genau an.
Michael Döhmen:Also, das ist eine Baustelle, ja, war auch ein Punkt, den wir, glaube ich, beim letzten Mal schon hatten, wo wir auch gedacht haben hey, das kann doch eigentlich nicht sein. Gerade da, wo Dinge essentiell sind für das gesellschaftliche Zusammenleben der Menschen in Deutschland, gerade da kannst du doch nicht irgendwelche Ausnahmeregelungen machen und sagen, nee, für euch ist das aber alles nicht so wichtig, gerade da muss ja ein gewisses Maß an Sicherheit auf jeden Fall gewährleistet werden. Okay, sorry.
Jannik Schumann:Zweiter Punkt Der zweite Punkt ist einfach, dass man das harmonisieren will, dass es halt nicht eine NIS2-Umsetzung gibt. dann noch ein Kritisgesetz, dann noch vielleicht fünf, sechs andere, die in Deutschland relevant sind im Bereich Cybersecurity, auf Neudeutsch, und da fordern die Sachverständigen eben, dass sie ganz gerne so ein KRITIS-Dach-Gesetz haben, dass das einfach alles stimmig ist und am besten sogar zentral in einem einzigen Gesetz drin steht. Dass die Leute, also wir, die Verantwortlichen im Unternehmen, die ISBs dieser Welt, da jetzt nicht Compliance-mäßig in hundert verschiedene Gesetzeslagen und neues Update, da kommt wieder was reinschauen.
Michael Döhmen:Ja macht ja irgendwie auch Sinn. Ich frage mich immer nur dieses NIS2-Thema ist ja jetzt kein neues mehr. Es wurde schon unfassbar viel diskutiert, Es wurden schon unfassbar viele Gremien gebildet, Es wurde schon unfassbar viel Feedback gegeben zu den ganzen Entwürfen. Dann wurde wieder geändert, Dann gab es einen neuen Entwurf Da war es der vierte, der fünfte, der sechste, Und jetzt war man kurz davor, das irgendwie einzuführen. Dann ja nee, wir können jetzt aber nichts mehr entscheiden. Wir müssen erst mal eine neue Regierung bilden. Meine Einstiegsfrage war was glaubst du, wann das denn soweit ist? Also, ich denke mal, vor dem späten Herbst, Winter dieses Jahr brauchen wir uns gar keine Hoffnung machen. Tendenziell würde ich tatsächlich ganz persönlich tippen, sehen wir das erst im 2026, dass das dann erst final durch ist. Aber ich lasse mich gerne überraschen, auch positiv überraschen. Es ändert natürlich für alle Zuhörer und Zuhörer da draußen. Es ändert natürlich nichts an der Tatsache, dass man jetzt auch schon, ohne dass dieses NIS2-Umsetzungsgesetz fertig ist, dass man schon mal anfangen kann, sich Gedanken zu machen.
Jannik Schumann:Wir müssen eine Wette, glaube ich, abschließen. Wetteinsatz wir mal essen gehen.
Michael Döhmen:Also du sagst 26, ich sage vorher Okay, schauen wir mal, wer recht behält, und dann freue ich mich auf ein gemeinsames Essen.
Jannik Schumann:Ja, wir sitzen hier in Deidesheim. Wir haben hier im Ort selbst zwei Sterneköche. Oh.
Jannik Schumann:Also ich wünsche für dich, dass ich verliere. Das ist ein anderes Gefühl, aber gut, also, natürlich hast du recht, eine neue Bundesregierung wird das Gesetz, wenn überhaupt, in Detailfragen anpassen. Also, ich denke mal, wir sind da schon beim 80-90%-Konsens angekommen. Grundsätzlich sind jedoch keine kompletten Kehrtwenden mehr zu erwarten, da der Kehrne-Richtlinie EU-weit vereinheitlicht werden soll und auch in einzelnen Ländern jetzt nicht groß, da ein Hexenwerk draus gemacht werden soll. Das heißt, am 4.11. Letzten Jahres, als die Sachverständigen gesprochen haben. Das sind immer Leute, die von den Parteien bestimmt werden, in diesem Fall hauptsächlich aus der SPD, cdu, fdp, grüne und auch ein ich weiß nicht, ob wir politisch werden wollen, aber auch einer von der AfD war da, und wenn man sich die Anhörung anschaut, die dauert mehrere Stunden, viel Spaß dabei, aber da sieht man dann schon, wo dann wirklich Wissen vorhanden ist bei den Experten und wer berufen worden ist und wo es.
Jannik Schumann:Sinn macht, und ich hoffe mit der neuen Regierung, dass da nicht zu viele andere Sachverständige, wenn sogar vielleicht einfach die gleichen drinbleiben, dann sollten wir eigentlich relativ schnell zum Konsens kommen. Meine Verwaltung, mein Hoffen, weil es kann doch nicht sein, dass wir mit so einem kleinen Papiertiger da schon wieder zwei Jahre, drei Jahre brauchen. Also es beschämt mich als Bürger Deutschlands, das sich da so anzuschauen.
Michael Döhmen:Genau, dass da ein Aufwand reingesteckt wird, ist absoluter Wahnsinn, und ich glaube auch nicht, dass es halt viel konkreter werden wird. Wie du schon sagst, da sind vielleicht noch minimale Anpassungen irgendwie durchzuführen. Ja, aber über eine Sache wollte ich mit dir dann doch sprechen, das ist die Rolle des BSI in der ganzen Thematik. Da gab es ja schon auch kritische Stimmen, die sehr kritisch sind.
Jannik Schumann:Das eine ist, das BSI ist einfach überfordert mit der Überprüfung der NIS2-Umsetzung und Einhaltung der regularischen Bedürfnisse, und es gibt nicht so wirklich bereits gelebte Prozesse zwischen Wirtschaft und dem BSI. Das heißt, wir auf der Wirtschaftsseite sind so ein bisschen blank und wissen gar nicht, wie nachher eigentlich das BSI-Dienst 2 für sich interpretiert, was das bedeutet mit Sanktionen. Wie hoch kommen die, wie hart werden die? für was wird man dann sogar schon sanktioniert? was auch nicht, und da ist einfach eine gewisse Angst da zurecht, weil da geht es auch teilweise um viel Geld wenn wir uns die Strafen dann nochmal anschauen, dann nochmal anschauen.
Jannik Schumann:Und das zweite ist halt die kriegt halt wirklich große Befugnisse, was als zentrale Anlaufstelle auch wichtig ist für die Aufsicht und Kontrolle, und da ist man sich nicht ganz sicher, ob das BSI da eine ausreichende Transparenz also bisher tut es gar nicht, aber die Wirtschaft wünscht es, auch die Behörden eine Transparenz in dem Prozess hat. Wie kommuniziert man, wie fähig ist das BSI dann auch bei Sicherheitsvorfällen zu helfen, wenn es als Meldestelle funktioniert? und welche weiteren Standards kommen es in der Zukunft aus dem BSI? Also, im Wesentlichen ist es die Transparenz, die gerade nicht stattfindet. Vom BSI eine Interpretation zu bekommen, wie die konkret das nachher umsetzen werden, die NIS 2 bei sich und das von der Wirtschaft einfordern werden, Und das kann ich auch verstehen. Da wünsche ich mir gerne auch mehr Kommunikation und mehr Detailtiefe. Liegt aber wahrscheinlich daran, dass sie selbst noch nicht den allergrößten Plan haben und man lieber erst darüber redet wenn man es umgesetzt hat und nicht schon währenddessen, damit endlich jeder dazwischen redet.
Michael Döhmen:Ja gut, aber die Prozesse müssen natürlich irgendwie gefunden werden. Wenn da viele Informationen zusammenfließen, ist immer wichtig, was passiert damit, wie wird es verarbeitet? Und dass die Unternehmen wissen, was die auch davon erwarten können. Ein anderer Punkt, der ja die Unternehmen auch umtreibt, ist ja immer der bin ich jetzt betroffen? Bin ich nicht betroffen? Wenn ich betroffen bin, in welchem Rahmen bin ich betroffen? Was muss ich dann eigentlich tun? Da habe ich in anderen Ländern, zum Beispiel in den Niederlanden, auch schon ganz smarte Frameworks gefunden, internetseiten, wo du halt ein paar Eingaben tätigst und dann die relativ detailliert rausgegeben wird, ob du betroffen bist und in welchem Rahmen, also Handlungsempfehlungen und so weiter. Ich habe das beim BSI auch gesehen. das waren genau zwei Fragen, das ist sehr, sehr kurz, und du bekommst dann auch keine Handlungsempfehlungen. Sind dir denn einfache Tools bekannt hier für Deutschland, wie ich das relativ schnell und relativ sicher herausfinden kann, ob ich nun betroffen bin und in welchem Rahmen.
Jannik Schumann:Ja, das ist eine Steilvorlage, da komme ich gleich zu, Aber vielleicht nochmal kurz für diejenigen, die mit der NIS 2 jetzt gerade noch ein bisschen unterwegs sind Letztendlich steht da ja gar nicht so viel Hexenwerk drin. Die haben es zusammengefasst in einem Wort Cyberhygiene, und das muss man umsetzen. Also ist ja gar nicht so kompliziert und schwer. Das Problem ist halt nur, wenn man halt ein großer Konzern ist, der vielleicht international, vielleicht auch europaweit agiert, unter verschiedenen Legislaturen, und dort dann potenziell gefährdet ist wirklich viel Geld als Strafe zu zahlen, da machst du dir natürlich schon Gedanken, wer welcher meiner Töchter ist wie weit betroffen.
Jannik Schumann:Oder sogar als mittelständisches Unternehmen hast du dir Gedanken hast vielleicht 60 Mitarbeiter, hast ein paar Millionen Euro Umsatz, hast jetzt mal was am Rande davon gehört, besonders als Geschäftsführer, da Euro Umsatz? hast jetzt mal was am Rande davon gehört, besonders als Geschäftsführer? da gibt es in der Regel ja dann keinen dedizierten ISB, und da kann man sagen NIS 2 erstmal per se zielt auf Unternehmen ab einer bestimmten Größe ab, mit circa 50 Mitarbeiter und 10 Millionen Euro Umsatz in kritischen und wichtigen Sektoren. Das heißt, da kann man schon mal sagen habe ich die Größe, dann sollte man schon mal tiefer reingehen, habe ich die Größe nicht, dann ist es eigentlich auch egal. Wichtige Sektoren ist deswegen wichtig, weil es gibt verschiedene Schwellenwerte, die für mich dann auch relevant sein können, was die Größe angeht, die jetzt auch relativ fest stehen. Da wird nicht mehr so viel Variation erwartet, aber die exakten Schwellen können auch nachgelesen werden bei der NIST 2 Plus, und das ist die Steilvorlage, die du mir da schön präsentiert hast. Wir haben ja letzte Woche unsere Landingpage genau zu dem Thema NIS 2 Betroffenheitsprüfung fertig, und da kann jeder gerne bei uns mal reinschauen und sich durchklicken.
Jannik Schumann:Es sind mehr als zwei Fragen, aber wir haben es trotzdem versucht, kurz zu halten, damit man erstmal weiß bin ich betroffen Und wenn ja, in welchem Umfang? Und was sind die nächsten Schritte? Also jeder, der sich dafür interessiert, das einmal zu machen.
Michael Döhmen:Stark, werde ich mir natürlich auch direkt anschauen, um das mal mit den anderen Tools abzugleichen, und das war nicht abgesprochen. Es ist tatsächlich Zufall, dass der Yannick dieses Tool jetzt gerade mitbringt. Es war mir beim Notieren der Frage nicht klar, dass ihr wirklich sowas habt, aber finde ich ganz cool und auch ganz smart, sowas anzubieten. Du hast jetzt eben Cyberhygiene genannt. Das ist, glaube ich, ein Punkt aus dem Artikel 21. Du hast aber auch über die Unternehmen gesprochen Und bei NIS 2 ja auch wichtig ist, auf diese ganze Supply Chain zu achten. Also, es ist ja nicht mal nur dieses eine Unternehmen betroffen, sondern du musst ja dann auch deine ganze Wertschöpfungskette im Blick haben. Ergänzend dazu muss man natürlich auch schauen wenn ich jetzt nur ein Zulieferer bin, also Bestandteil einer Supply Chain, einer Wertschöpfungskette bei einem anderen Unternehmen, muss ich gegebenenfalls ebenfalls dieses NIS 2 Thema erfüllen und beachten. Zum Beispiel Dienstleister wie wir es, sind im Bereich der IT-Sicherheit auch immer davon betroffen.
Jannik Schumann:Also ganz wichtiger Punkt, den du da auch sagst Ich meine, ihr habt jetzt auch eine Größe, ihr seid sowieso betroffen, würde ich mal schätzen, vor allem mit eurer Dienstleistung, die ihr anbietet. Aber andere, die kleiner sind, wegen ihrer Lieferkette einen Kunden haben, der NIS2-relevant ist, wird der Kunde euch auch fragen setzt ihr das und das um Nicht in vollem Umfang, aber schon vieles auch fragen, welche Anforderungen da genau rauspurzeln. also zu unserer Betroffenheitsprüfung vielleicht nochmal ganz kurz zurück gesagt ihr findet es auf basec. de NIS 2, das können wir vielleicht auch nochmal in die Shownotes für euch reinpacken. Sehr gerne packen wir in die Shownotes. Cool, und das wird auch stetig aktualisiert. das heißt, wenn ihr darauf geht, auch wenn ihr es vielleicht erst ein paar Wochen später hört oder so brandaktuell.
Michael Döhmen:Immer am Puls der Zeit. So ist es Jetzt. lass uns mal ein bisschen in die Praxis gehen und jetzt nochmal viel über NIS 2 und die Theorie, die dahinter steht, besprochen, und über die Inhalte. Ihr betreut ja solche NIS 2 Projekte. wie geht ihr denn da vor? Also es kommt ein Unternehmen und sagt hör mal, ich bin von NIS2 betroffen. kannst du, Jannik mal bitte checken, wie mein Status ist und was ich denn vielleicht noch zu tun habe? Habt ihr da bestimmte Parameter, die ihr dann erhebt? Habt ihr ein Framework entwickelt? Vielleicht kannst du uns da nochmal zwei, drei Einblicke zu geben.
Jannik Schumann:Ja, es gibt schon so einen typischen Kunden oder so eine typische Situation, die wir vorfinden, wenn wir beim Kunden sind. Also es gibt viele, die kontaktieren uns nicht, weil bei denen läuft alles ganz gut. Es gibt viele, die wollen sich einfach nur rückversichern. Das ist tatsächlich mein Lieblingskunde, wo man dann wirklich fachlich extrem gut diskutieren kann und einfach ein Sparing-Partner gesucht worden ist. Das ist am liebsten, das ist am seltensten. am häufigsten finden wir die Situation, dass der Kunde entweder die Ressourcen oder das Know-how nicht hat. Oft sind es die Ressourcen, weil einfach der Fachkräftemangel ist, wie er ist. Dass jetzt gerade unheimlich viele NIS II umsetzen müssen, sorgt jetzt auch nicht gerade dafür, dass es mehr als genug Experten da draußen gibt, die man einstellen kann.
Jannik Schumann:Das heißt, oft ist es dann die Fragestellung könnt ihr uns dabei helfen, erstmal zu identifizieren, was jetzt gerade für uns relevant ist aus der NIS 2, was wir vielleicht schon haben, und dann im nächsten Schritt uns zu helfen, das zu implementieren, was noch fehlt? Und das ist eigentlich auch das klassische Projekt, was wir dann haben. Also wir gehen eigentlich immer hin und machen erstmal eine Scoping und Inventarisierung, machen eine Identifikation der wesentlichen und vor allem kritischen Assets, Netzwerke, Schnittstellen, was der Kunde da vorliegen hat, und erheben eben auch Lieferkettenabhängigkeiten, damit man sieht, da gibt es irgendwo Just-in-Time-Situationen oder gibt es irgendwo Just-in-Time-Situationen oder gibt es irgendwie besonders wichtige Dienstleister, dass man da einmal auch weiß Lieferkettengesetz 2 fordert es eben auch.
Michael Döhmen:Wie tief kontrolliere oder manage ich? als wäre das etwas total Banales. Wenn man ja sagt, ja, dann frage ich erstmal ja, was sind denn so die Assets, die ihr so zur Verfügung habt? wie ist deine Erfahrung? bekommst du denn in der Regel eine vollständige Liste, oder hast du es genau wie wir auch schon häufiger erlebt, dass dann die Augen groß werden und so ach ja, dann muss ich erst mal zusammentragen.
Jannik Schumann:Ja, also, oft ist auch die Frage was ist ein Asset? Und je nachdem, welche Fachabteilung du fragst, kriegst du auch unterschiedliche Antworten. Assets primäre, sekundäre ist auf jeden Fall immer etwas, was mich als Unternehmen im Geschäftsablauf wehtun würde, wenn ich es nicht hätte, Oder ich vielleicht sogar gar nicht als Firma funktioniere, wenn ich es hätte, Und so kann man eigentlich immer schon mal schauen. Deswegen habe ich auch kritische Assets gesagt. Wir wollen ja so ein bisschen effizient und ressourcenschonend uns alles anschauen und erheben das dann entsprechend, Und der klassische Fall ist, dass eben keine oder nicht ein ausreichendes Asset Management gemacht worden ist. Oft finden wir was vor, dass die IT vielleicht ein Tool hat, was einfach dann im Netzwerk drin hängt und dir dann eine Liste ausspuckt, die aber auch nicht wirklich qualitätsgesichert ist oder vielleicht auch ganz viele Fehleinträge hat an sich. Und es gibt ja auch Assets, die sind nicht unbedingt digital, Und da muss man dann einfach mal reinschauen, sich den Produktlebenszyklus anschauen der einzelnen Dienstleistungsprodukte, die der Kunde hat. Die sind meistens auch branchenspezifisch, Da bringt es immer was, Branchen-Know-how zu haben und die Prozesse beim Kunden zu verstehen.
Jannik Schumann:Und dann kann man eigentlich relativ gut auch mal ihm zeigen oder sagen guck mal, ein Konkurrent hat immer eigentlich das auch mit drauf. Nimm das mal mit. Das ist praktisch auch mit zu betrachten. Deswegen also Assets.
Michael Döhmen:Immer wichtig. Egal, ob du dich mit einer NIS2 beschäftigst oder eine Cybersecurity-Strategie in Gänze entwickeln willst, musst du immer erstmal wissen was habe ich eigentlich? Sonst weißt du auch gar nicht, wo du ansetzen sollst. Aber ja, dann gerne weiter. Welche Parameter erhebt ihr?
Jannik Schumann:noch Genau. Du sagst es. Also ist die Basis, ein gutes Asset-Management Ist die Basis, und dann geht es eigentlich an die Gap-Analyse. Das heißt, wir wissen dann mit dem Ist-Zustand, den wir erheben, relativ gut mit der vorherrschenden Compliance-Anforderung, wie groß oder wo das Gap ist, zum Beispiel im Incident-Management, im Risiko-Management, vielleicht im Reporting zur Geschäftsführung, weil da nichts stattfindet oder nicht dokumentiert oder nicht regelmäßig no-transcript kann auf technischer, organisatorischer und prozessualer Sicht welche Themen er angehen will Und ob er das intern machen kann oder halt eben extern. Wir haben viele Schablonen, wir haben viele Berater-Assets, die wir mitbringen können, aber am Ende des Tages ist es auch immer wichtig, dass der Kunde, der Anwender quasi das Thema und versteht und auch weiterleben kann, wenn wir nicht mehr da sind, weil letztendlich ist es ein Projektgeschäft, und ein Projekt zeichnet sich immer dadurch aus, dass es einmalig und terminiert ist, das heißt, irgendwann ist auch Ende, und dann muss der Kunde von alleine laufen.
Michael Döhmen:Das stimmt. Abschließend zu NIS 2 gibt es 1, 2, 3 Top-Tipps, Empfehlungen für Unternehmen, die sich jetzt quasi mit NIS 2 auseinandersetzen.
Jannik Schumann:viel Ressourcen in der kurzen Zeit Sachen umsetzen muss. Das sehen wir leider auch immer wieder, immer häufig. Da meine Empfehlung rechtzeitig mit internen Ressourcen Know-how aufbauen und einfach die Themen angehen und sich beraten lassen, vielleicht mit einer Roadmap, wie man das priorisieren sollte, wenn man selbst nicht so sattelfest ist. Also rechtzeitig starten spart Geld und Nerven von einem selbst. Das ist gut.
Jannik Schumann:Vielleicht eine zweite Sache Man hat viele Stakeholder um sich herum. Man ist meistens ja irgendwie eine Art und Weise Querschnittsfunktion, stabsstelle. Das heißt, man braucht auch kommunikative Fähigkeiten, und man braucht Mitarbeiter im Unternehmen, die einen bei dieser Reise NIS 2 oder vielleicht auch auf andere Frameworks Compliance zu werden. Und da zeigt sich immer wieder Kommunikation, stakeholder Management oder Mitarbeiter-Schulung ist unheimlich wichtig, um nicht allein als Einzelkämpfer dazustehen und vielleicht sogar Abteilungen zu verkraulen, weil man nur Anforderungen stellt. Wenn man die früh mit ins Boot holt und sagt, lass uns das mal im nächsten halben Jahr angehen, dann ist da schon mal die Schwelle ein bisschen geringer von den Abteilungen, dir einfach zu helfen. Drittes Thema oh ja, mein Fachthema Dokumentation Dokumentiert einfach alles und nach einem Jahr gerne einfach nochmal anschauen. Ja, es ist nervig, aber so ein Zwei-Stunden-Blocker vormittags mit einer Tasse Kaffee, und man macht echt keine Meetings, das hilft einfach, mal so ein Dokument zu reviewen und zu sehen, was man auch alles geschafft hat in der Zwischenzeit, und Dokumentation ist letztendlich das, was geprüft wird, deswegen wichtig.
Michael Döhmen:Danke dafür. Dann lass uns jetzt mal die Überleitung nehmen, denn ich habe es ja im Intro schon gesagt es gibt neben der NIS2-EU-Richtlinie auch den Cyber Resilience Act, auch von der EU, und der ist bereits in Kraft. Das heißt, hier müssen Unternehmen jetzt bereits aktiv werden. Seit dem 11. Dezember 2024 ist das Ding in Kraft, also scharf geschaltet. Jetzt hat man einen gewissen Zeitraum, um diese Dinge dann zu erfüllen. Ich möchte heute mit dir besprechen wer muss jetzt überhaupt auf was achten? Also, wann bin ich denn davon betroffen? Ich glaube, vorweg die Info ganz wichtig. Dieses Ding ist halt eine produktspezifische Richtlinie von der EU und betrifft eben vernetzte Produkte, die hergestellt werden oder aus vernetzten Produkten ein neues Produkt entsteht. Dann ist es auch vom CRA betroffen und muss eben dann ein Mindestmaß an Security-Standard erfüllen. Einstiegsfrage Dort steht geschrieben, irgendwie ab dem 11.12.2027 muss die CRA-Anforderung in allen neuen Produkten eingehalten werden. Da habe ich mich gefragt was bedeutet das eigentlich? Also, was bedeutet bei neuen Produkten? ist dann alles, was bestehend ist, quasi nicht davon betroffen, obwohl ich es weiter produziere.
Jannik Schumann:Ja, das Cyber Resilience Act, das ist echt ein bisschen bei den meisten unter dem Radar jetzt verabschiedet worden. Das ging auch relativ schnell durch im Vergleich zu NIS 2.
Michael Döhmen:Es gab so viele Störgeräusche. Der neue Bundestag wurde aufgelöst, und so weiter und so fort. Das ist wirklich fast untergegangen. Da war auch noch Weihnachtszeit. Sorry, ich habe schon unterbrochen.
Jannik Schumann:Ja, das stimmt, und es sind halt auch nicht so viele davon betroffen. Das ist, glaube ich, auch etwas, weshalb also man findet auch kaum Anbieter da draußen, die einen, da glaube ich, fachlich echt gut unterstützen können. Surprise, wir machen es natürlich, wir können es auch gut. Also danke wieder für die Frage.
Jannik Schumann:Cyber Cyber Resilience Act ist etwas, was jemanden betrifft, der generell Software herstellt oder Software und Hardwareprodukte, also so zum Beispiel MacBooks und Software und Hardwareprodukte, oder industrielle Hardware und Softwareprodukte, so IoT-Geschichten und Netzwerke, wie du auch schon richtig gesagt hast. Kontext ist ich finde es eigentlich ganz gut geregelt. in der Zukunft, wenn es dann in Kraft ist, mit dieser Karenzzeit müssen neue Produkte diesen Standard erfüllen. Da können wir vielleicht auch gleich mal drüber sprechen, was das für Anforderungen mit sich bringt. aber ich finde, die sind auch wirklich wieder nur ein Mindestmaß und mehr als sinnvoll formuliert worden.
Jannik Schumann:Genau, neue Produkte müssen das plus Bestandsprodukte nur dann, wenn sie größere oder wesentlichere Änderungen bekommen haben durch ein Update, zum Beispiel ein großes Firmware-Update oder neues Betriebssystem, quasi wie man es beim iPhone kennt, von 17 auf 18 dann hochgekommen ist oder ähnliches. Das heißt, bestandssysteme sind nicht davon betroffen, nur wenn wesentliche Änderungen an der Software gemacht worden sind. Das will man machen, um eben unsere schöne alte Legacy-IT zu erhalten? Nee, das natürlich nicht. Aber um die Hersteller zu schonen, wenn ein Produkt schon länger draußen ist, dass es dann so ist, wie es ist.
Michael Döhmen:Okay. Also ich habe letztens mit einem VDMA gesprochen, mit einem Experten für OT Security, und der sagte, ich muss jetzt nur kurz checken, ob das, ob das, ob die Aussagen aufeinander passen. Der hat mir zum Beispiel gesagt wenn du jetzt ein Produkt produzierst keine Ahnung, einen MP3-Player, der sich ja auch vernetzen kann, ne, und du produzierst den, und es ist eben eigentlich das gleiche kann, und du produzierst den, und es ist eben eigentlich das gleiche Produkt, und du produzierst es jetzt am 10. Dezember, dann ist alles okay. Jetzt tritt der CRA in Kraft, jetzt produzierst du das Produkt mit einer neuen Seriennummer wieder. Also, der nächste MP3-Player, der vielleicht jetzt am 11.12. Dann vom Band fällt, dann muss dieser ab dem 11.12. 27 diese CRA-Anforderungen dann tatsächlich auch schon erfüllen.
Michael Döhmen:Also neue Seriennummer quasi gleich neues Produkt.
Jannik Schumann:Genau so ist es. Was es zum Beispiel nicht betrifft, ist ein altes SAP-System, was bei mir noch läuft und keine Abwärtsfläche mehr erhält. Das ist nicht betroffen. Aber genau alles, was vom Band putzelt neu ist, neu geschaffen wird, weil man da den Einfluss ja drauf hat als Hersteller. Daher kommt ja die Wirkung.
Michael Döhmen:Perfekt. Dann habe ich mir beim BSI das Management-Blitzlicht angeschaut. Übrigens, vielen Dank dafür, liebes BSI. Die Dokumente werden in der Qualität, die ihr dazu zur Verfügung stellt, tatsächlich deutlich besser. auch besser aufbereitet, muss man ganz klar sagen, finde ich ganz gut gemacht. Und dieses Management blitzlicht zum Thema CRA beschreibt dann eben auch so. es müssen Grundsätze eingehalten werden, die Grundsätze von Security by Design und Security by Default. Jetzt ist mir Security by Design auf jeden Fall schon ein paar Mal begegnet, mit Fokus auf Softwareentwicklung. Bei Security by Default bin ich mir jetzt nicht so richtig sicher, was das denn ist. Können wir das gemeinsam kurz voneinander abgrenzen?
Jannik Schumann:Das ist so ähnlich wie Autorisierung und Authentifizierung zu unterscheiden. Da muss man immer kurz mal drüber nachdenken, was damit jetzt gemeint war. Und ich muss auch definitiv sagen, ich bin auch total happy mit dem BSI. Ich habe das Gefühl, in den letzten zwei Wochen haben die da bei Social Media irgendwie zwei, drei neue Leute sitzen, aber da sind ein paar neue LinkedIn-Posts. Also man kann der Seite folgen auf LinkedIn, was ich mache, und ich finde da den Content, der wird stetig besser. Also, wenn ihr das in dieser linearen Kurve nicht Kurve, aber Steigung weiter betreiben, bin ich echt happy und freue mich auf das, was noch kommt. Das ist vielleicht vorneweg gesagt. Also sie kann man da als Informationsquelle mittlerweile ganz gut herziehen. Security by Design ist genau, wie das Wort eigentlich sagt, dass, wenn ich etwas erstelle, entwickle, dass in diesem Prozess quasi schon alle Security Measures mit berücksichtigt werden, die nach Stand der Technik normal sind.
Jannik Schumann:Und Security by Default geht eher darum, dass, wenn ich ein Produkt ausliefere das ist die Auslieferungskonfiguration standardmäßig mit allen Sicherheitsfeatures, die es mir ermöglicht, sicher zu sein, mit dem Produkt aktiviert sind, sei es Firewall, sei es Zwei-Faktor-Authentifizierung oder Ähnliches. Das heißt, dass ich als Anwender, wenn ich das in den Betrieb nehme, nicht erst mal Experte werden muss, und wenn ich jetzt zum Beispiel das an einem Beispiel von einem Webserver betrachte, erst mal mich belesen muss. Wenn ich den jetzt anschalte, werde ich direkt gehackt oder nicht, sondern es geht darum, wenn du es anmachst, ist es erst mal per Default sicher.
Michael Döhmen:So per Default sicher So wie beim Betriebssystem der Defender Microsoft. wenn du das Ding installierst, ist der schon aktiv.
Jannik Schumann:Genau das soll das Risiko reduzieren für den Anwender, dass er sich bei wesentlichen, relevanten Einstellungen vielleicht aus Unsicherheit irgendwas falsch macht. Wir wollen ja nicht alle Experten sein. für jedes Software-Tool, was da draußen gibt, lieber nicht.
Michael Döhmen:Okay, das habe ich verstanden, Danke dafür. Und was müssen denn diese Produkte jetzt noch erfüllen? Das sind ja jetzt Grundsätze, die gab es auch vorher schon. Was bringt der CAA noch an Dingen mit, wo die Unternehmen, die produzierenden Unternehmen, vielleicht einen höheren Entwicklungsaufwand oder ähnliches haben?
Jannik Schumann:Da gibt es so eine Unterteilung in mehrere Kategorien. Es gibt Standardkategorie, wichtige Produkte oder kritische Produkte. Das sollte man sich im Internet auf jeden Fall mal anschauen. Da gibt es auch gute Quellen, in welche Kategorie mein Produkt reinfällt. Wenn ich zum Beispiel ein wichtiges Produkt ist, so ein Klassiker Firewalls, wenn es da drin hängt, und wenn es ein kritisches Produkt ist, ist sowas wie eine Smartcard oder wirklich harte Sachen So eine Standardkategorie, eine MP3-Player, videospiele, fotobearbeitungstools, etwas, was jetzt nicht so im Herzen des Betriebssystems drin steckt oder Security-relevante Features hat. Das heißt, da kann man so ein bisschen unterscheiden, und dementsprechend werden unterschiedliche Anforderungen an das Boot gestellt. Aber im Wesentlichen muss ich eine SBOM machen. SBOM, wie auch immer man es nennt.
Michael Döhmen:SBOM ja.
Jannik Schumann:SBOM Software Builder Materials. Meine Kochliste, genau Die brauche ich auf jeden Fall, und da steht eigentlich das Logischste auf der Welt. Aber wir haben halt diese Standards bisher noch nie so gelebt oder diktiert bekommen. Aber da steht letztendlich nur da drin eine Auflistung aller verwendeten Softwarekomponenten, bibliotheken und Abhängigkeiten, die ich in meiner Software habe.
Michael Döhmen:In einer vernünftigen Doku würde das tatsächlich auch schon drinstehen, Eben absolut.
Jannik Schumann:Also deswegen wer da jetzt aufschreit, und da gibt es ein paar, da dachte ich so Leute, das kann jetzt nicht euer.
Michael Döhmen:Ernst sein. Ja, aber die wird jetzt dann quasi verpflichtend, dass man die irgendwie zeigen kann und halt abstattet für seine Produkte. Aus der Dokumentation ist wahrscheinlich schwer, genau das herauszuarbeiten, Und deshalb kommt das dann so. Dann schon etwas früher als 2027 soll die Meldepflicht für Schwachstellen und Inzidenz in Kraft treten. Hier ist für mich vor allem spannend wie soll das funktionieren? Also, gibt es da schon klare Prozesse für? Also wir haben vorhin über die Rolle des BSI's ja auch gesprochen Das melde ich dann wie gehabt, ein Inzident nur dann mit Bezug auf meine Produkte.
Jannik Schumann:Genau das soll halt dafür helfen, dass Leute, die wie wir nach Verantwortung sind, dass im Unternehmen alles software-sicher ist Wir beziehen ja aus verschiedenen Quellen oder vielleicht aus einer Quelle, wenn man ein cooles Tool hat Informationen darüber, was jetzt gerade Sachstand ist, ob es Patch-Days irgendwo gab, schwachstellen offengelegt worden sind und ähnliches. Da ist das BSI auch schon relativ gut dabei. Da kann man einfach den täglichen ich weiß jetzt nicht, ob es Lagebericht hieß, ich glaube schon sich abonnieren. Aber es gibt auch verschiedene Tools, die das zum Beispiel in Form eines Schwachstellenmanagements direkt mir auch anzeigen, was jetzt gerade Sache ist, und damit das einfach einen höheren Deckungsgrad kriegt. Also das ist gerade quasi noch nicht für jeden, aber für viele freiwillig Schwachstellen zu melden als Hersteller, und das soll halt eben die Herstellerzeit verpflichten uns als Unternehmen, als CISO, die Möglichkeit zu bekommen, die Infos schnell, rechtzeitig, frühzeitig zu bekommen, damit wir eben Hacker keine große Zeit geben, das Zeitfenster einfach minimieren, wo wir diese Schwachstelle im Unternehmen haben.
Michael Döhmen:Macht ja auch komplett Sinn. Je eher ich reagieren kann auf eine Schwachstelle, desto geringer ist die Wahrscheinlichkeit, dass ich großen Schaden davon haben werde.
Jannik Schumann:Ja, was da halt ganz spannend ist, wie das das BSI überprüfen will. Aber das ist dann wahrscheinlich immer eher etwas. Wenn man dann im Nachgang feststellt, da war eine Schwachstelle, und das hat das Unternehmen nicht reported, dann kann halt schnell mal das BSI je nach Schwere böse werden. Deswegen sollte man auf jeden Fall den Prozess berücksichtigen als Hersteller.
Michael Döhmen:Jetzt kann es sein, dass in meiner S-Bomb ich jetzt ein Produkt habe, was vielleicht auch ein Large Language Model irgendwie berücksichtigt, also eine Art von künstlicher Intelligenz, und ich schreibe das mit da rein. Muss ich dann nochmal bestimmte Dinge erfüllen, wenn ich ein Produkt habe, wie auch immer, was auch auf Large Language Models zugreift? Also gibt es für das Thema KI spezielle Anforderungen.
Jannik Schumann:Wir unterscheiden ja einmal zwischen Meldepflichten von Schwachstellen, die ich als Unternehmen machen muss, und einmal die Zutatenliste an Bibliotheken, aber auch Abhängigkeiten und Softwarekomponenten zu anderen Softwares. Und da ist es klar, wir müssen da reinschreiben, das ist Bomben, den Zweck beispielsweise und weitere Sachen wie Name, versionsstand und die Abhängigkeit zu Software, also wie die Software, die ich erstelle, davon halt reinschreiben oder halt ein Nicht-Open Model, und das müsste ich genauso reinschreiben und muss ich reinschreiben. das heißt, wenn ich jetzt Texterkennung automatisiert mache oder Bilderkennung, was auch immer, klar rein, damit das ist, was, was irgendwie angebunden wird, damit die Software vollständig ist.
Michael Döhmen:Okay, das kann ich aber dann einfach so machen, und es bedarf keiner weiteren. Weiß, das kann ich aber dann einfach so machen, und es bedarf keiner weiteren. Weiß ich nicht Freigaben, regelwerken, richtlinien, die ich dann erfüllen muss, sowas wie weiß ich? nicht. Nutze nur OpenAI oder nur KI aus Europa. Wahrscheinlich nicht. Nee, das gibt es nicht no-transcript.
Jannik Schumann:die SBOM, die muss man ja jetzt nicht selbst akribisch zusammensuchen, sondern es gibt Tools da draußen, die man in der Regel auch schon hat. Wenn man sich jetzt Richtung CI, cd, pipelining schaut oder ähnliches, dann wird das automatisch generiert. Brauche also keine Angst haben, dass das jetzt irgendwie ein höherer Aufwand für mich ist, und für den Kunden ist es aber leichter ersichtlich, welche Abhängigkeiten ich habe, wenn ich mir die Software einkaufe, wie zum Beispiel zu China, usa oder die Modellen, die ihre Daten woanders verarbeiten. Ja, okay.
Michael Döhmen:Hast du da einen Tool-Tipp, den du teilen möchtest?
Jannik Schumann:Ungern, wenn man es eingibt. Man muss auch schauen. Also die meisten haben als Entwickler ja ihre Favoriten. Das Stichwort eingeben, bei Google kommen sofort Treffer. Aber ich will jetzt hier keine Werbung machen für entfällige Konkurrenten oder nachher jemanden vergessen in der Liste, und jetzt traurig. Von daher kurze eigene.
Michael Döhmen:Recherche Dann lassen wir das an der Stelle auch mit dem Blick. Wir waren gerade beim Thema LLMs generative KI-Modelle. Glaubst du, dass in Zukunft vielleicht die Prüfung von Unternehmen NIS2 CRA-Konformität vielleicht auch aus einer Art Tool kommt, was auf Gen-AI basiert? Wäre sowas denkbar?
Jannik Schumann:Ja, das ist eigentlich eine spannende Frage. Also, ich glaube, was wir auch gerade in Amerika sehen und in China sehen, dass man irgendwie leider entgegen jeglicher Vernunft sich abkapselt und versucht, seine eigenen Ländergrenzen hochzuziehen, einfach stärker noch berücksichtigt. Und besonders bei LLM ist es so, dass die ja aus Amerika kommen oder Ähnliches, deswegen ich mir vorstellen könnte, dass das in der Zukunft eine größere Berücksichtigung bekommt, als es jetzt ist. Bisher ist es nämlich bei NIS 2 und CRA nicht in Gänze drin, aber es steht zum Beispiel drin bei der NIST 2, dass man eben die künstliche Intelligenz, also den Einsatz solcher innovativen Technologien nutzen sollte, um seine Ressourcen zu schonen und um Cyberangriffe zu erkennen. Aber es steht ja zum Beispiel kein explizites Verbot von verschiedenen LMMs drin. Und wenn man sich ein bisschen damit beschäftigt mit KI also wir als Firma sind in dem Beirat drin für KI-Sicherheit, und ich glaube, was da sehr spannend ist, einfach zu beobachten, die Security-Probleme nicht wie Angreifer nach der KI einsetzen, sondern welche Probleme die verschiedenen Modelle mit sich bringen.
Jannik Schumann:Der Elon Musk hat Anfang letzten Jahres gesagt, jetzt vor einem Jahr, dass er das mächtigste KI-Modell haben wird zum Ende des Jahres 2024. Als rhetorischer Lüge hat er auch das wieder nicht einhalten können, aber wir stellen uns jetzt mal vor, er kann da vielleicht mit Trump in den nächsten ein bis zwei Jahren sich die Umstände so basteln, dass er dann doch eine Relevanz bekommt mit seinem KI-Modell. Und dann ist schon die Frage er trainiert das ja wahrscheinlich mit ganz anderen Daten und in einem ganz anderen Kontext, als viell eicht jetzt CHAT GPT trainiert worden ist, und da kann es auch sein, wenn ich die dann automatisiert einsetze, dass ich da einen ganz anderen Output kriege. Das ist jetzt auf LMM bezogen, aber so kann es auch mit der KI-Sicherheit dann sein, wenn ich das in der automatisierten Angriffserkennung mache.
Jannik Schumann:Also da ist es dann nachher schon schwieriger, je mächtiger die Tools werden, die wir da haben von unseren bekannten Herstellern ganz große Einer davon hat ja letztes Jahr ein großes Problem auch gehabt, einmal kurzfristig, wo wir dann sehen, wie abhängig wir eigentlich auch davon sind, wie sehr gut die KI und moralische und ethische Fragen beantworten, und ich will da jetzt keinen Drama oder was aufmachen, aber ich schaue mir das schon an, wie das politisch gerade noch spannend wird, vor allem mit den ganz großen Herstellern, die unter dieser Regierung in Amerika da dann vielleicht auch zu verschiedenen Methoden gezwungen werden, habe ich da eine Antwort drauf. Es ist, glaube ich, auch nicht die richtige Art und Weise, wenn du alles aus Deutschland zu kaufen. Vor allem können wir bei vielen Sachen nicht so mitstinken.
Michael Döhmen:Auch in Europa haben wir ein starkes LLM, wenn ich mir zum Beispiel Clot anschaue damit haben wir jetzt auch schon erste Erfahrungen gemacht, auch bei uns im Team Sicherlich auch eines der LLMs, die richtig Spaß machen und wo auch richtig gute Ergebnisse rauskommen, teilweise sogar besser und es für den Normalverbraucher einfacher, diese KI, also Automatismen, zu generieren, finde ich ganz persönlich. Also, ich denke, auch Europa muss sich bei dem Thema nicht verstecken. Ja, diese ganzen politischen Dinge, da gibt es, glaube ich, andere Podcasts, die man sich dazu anhören kann. Auf jeden Fall sind es spannende Zeiten, in denen wir uns sehr aktuell bewegen. Thema KI ich glaube, jetzt vorgestern wurde dieses 500-Milliarden-Dollar-Paket beschlossen in Washington, was da in KI investiert werden soll, und es bleibt abzuwarten, was am Ende daraus kommt.
Jannik Schumann:Heiße Zeiten. Also wirklich politisch wünsche ich mir da ein bisschen mehr Ruhe. Aber ich freue mich auch, dass wir da einen europäischen Vertreter haben beim Large Language Model und dass da jemand im Rennen ist, der hoffentlich in der Zukunft da uns auch in Deutschland ermöglicht, europäische Lösungen in dem Kontext zu haben. Und genau wie du sagst dieses da bin ich halt zu Hause Aktien und Gedöns, finanzmathematik, aber man kann sich ja mal anschauen. Es gibt Abgeordnete das ist auch wie in Deutschland die müssen der Transparenz halber, wenn sie traden, weil sie natürlich da Insider-Infos haben, müssen sie die Trades einfach offenlegen. Rendite hat. Die ist da sehr dran an den Themen. Wenn man das googelt, kommt man ja relativ schnell auf den Namen, und der kann man folgen. Und genau wie du sagst, es wurde nicht nur beschlossen, dass man da Rechenzentren macht, sondern was auch ein Problem und Herausforderung ist, ist, wie ich die mit Strom versorge, so. Aber das ist jetzt genug. Aber da geht es in den Kontext, es gehört woanders hin.
Michael Döhmen:Hast du auch einen Podcast zum Thema Finanz und Aktien?
Jannik Schumann:Ich meine, da geht es auch schon gut, aber Ich weiß nicht Defner und Schepitz, damit habe ich mal ursprünglich angefangen von der Welt einen Podcast, den ich für besonders Einsteiger, die nicht so dicht dran sind, die vielleicht nicht wissen, was ein Discounted Cashflow Modell ist und wie man so eine Marktbewertung erzielt, da ist das ein guter Einstieg, Und wenn man weiß, was ein Discounted Cashflow-Modell ist, dann empfehle ich einem, den Doppelgänger-Tech-Talk-Podcast zu machen von Philipp Glöckner und Philipp Glöckner Kommt zweimal die Woche raus, höre ich mit Begeisterung Top.
Michael Döhmen:Dann auch noch eine Podcast-Empfehlung. Verlieben wir in den Show Notes. Wir sind ja nicht der einzige spannende Podcast, dessen sind wir uns bewusst. Ja, dann sage ich vielen, vielen Dank, yannick, dass du wieder Gast warst. Gerne auch wieder, wenn sich die Dinge weiterentwickeln, macht es, glaube ich, sinn, dass wir uns noch mal zusammensetzen und vielleicht auch prüfen, inwieweit diese Dinge den geplanten Fortschritt genommen haben, und natürlich, wer die Essenswette am Ende auch gewinnt. Die ist hier mit dokumentiert. Sehr gut, ja, ganz, ganz lieben Dank. Die letzten Worte bleiben dir.
Jannik Schumann:Ja, also danke dir, Michael, dass ich wieder Gast sein durfte und meine bescheidene Meinung zu kundtun durfte. Ich hoffe, euch hat es gefallen am anderen Ende Und sowieso. Mir hat es viel Spaß gemacht, Michael, Und ich freue mich auf das Feedback, was die Leute sagen.
Michael Döhmen:Perfekt. Wie gesagt, alles Wichtige in den Shownotes. Klickt euch gerne rein auf die basec. de-Seite und checkt, ob ihr von den zwei betroffen seid. Bei Fragen natürlich gerne reinsetzen. Ansonsten bleibt sicher und gesund. Tschüss.
Annika Gamerad:Ciao, ciao. Das war's aus dem Cybersecurity Basement. Check die Shownotes. folg uns auf Social Media und abonniere den Podcast. Stay safe da draußen.