Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Cybersecurity ist Chefsache: Verantwortung für Führungskräfte
Cybersecurity ist Chefsache! Führungskräfte müssen Cyberrisiken verstehen, um rechtliche Vorgaben zu erfüllen und ihr Unternehmen zu schützen. In dieser Episode spricht Michael mit Andreas Papadaniil über zentrale Fragen, insbesondere zur neuen NIS2 EU-Richtlinie und deren Auswirkungen auf die Haftung. Sie beleuchten Cyberbedrohungen, deren Folgen und die Notwendigkeit ständiger Überwachung. Zudem geben sie praxisnahe Tipps, wie Unternehmen ihre Resilienz stärken können und welche Managemententscheidungen entscheidend sind. Cybersecurity ist kein optionales Thema – sie sichert nicht nur den rechtlichen Schutz, sondern auch die Wettbewerbsfähigkeit.
DOWNLOAD SECURE MAG
Das C-Level Update. Empfehlungen zur Informationssicherheit.
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cyber ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Andreas Papadaniil:Das ist heute kein Nice-to-have mehr, sondern ein Must-have, dass du 24-7 erkennend reagieren musst.
Michael Döhmen:Hallo und herzlich willkommen zu einer neuen Ausgabe von Cybers ecurity Basement, dem Podcast für echten Security-Content. Heute mit einer weiteren Ausgabe und dem Titel Cybers ecurity ist Chefsache. Den Satz hat wahrscheinlich jeder von euch da draußen schon mal gelesen oder gehört. Bei mir persönlich vergeht tatsächlich fast kein Tag, wo ich den nicht irgendwo in LinkedIn sehe. Gerade durch die NIS 2 EU-Richtlinie wird die Haftung für den Geschäftsführer ja nochmal etwas schwieriger, kann dann auch persönlich haften, und wir wollen uns heute mal die Frage stellen Cybersecurity wird zur Chefsache, was heißt das denn eigentlich genau? Also, wenn ich jetzt der Chef von einem Unternehmen bin, was muss ich denn jetzt genau tun? Ich kann mich ja nicht als Chef jetzt ausbilden lassen zum Cybers ecurity Experten und mich da komplett in dieses Thema reindenken, weil ich habe auch noch andere Aufgaben. Also wollen wir uns heute damit beschäftigen.
Michael Döhmen:Wie lasse ich mir eigentlich so einen Cybers ecurity Status irgendwie reporten? Auf welche KPIs kann ich vielleicht schauen, und wann komme ich dieser Anforderung? wann werde ich dieser Anforderung eigentlich gerecht? Also reicht es, wenn ich Maßnahmen initiiere und das nachweisen kann? Ist es dann schon ausreichend, um eben nicht haftbar zu sein? Und über diese Themen möchte ich heute sprechen. Ich könnte mir tatsächlich wieder mal keinen besseren Gesprächspartner dazu einladen als Andreas. Herzlich willkommen.
Andreas Papadaniil:Ja, danke dir. Ich bin ja tatsächlich eben auch selbst betroffen als Geschäftsführer der suresecure. Ich muss mich mit dem Thema also. Gott sei Dank habe ich aus der Vergangenheit eine Menge Cybersecurity-Know-how, was mir das einfacher macht. Aber ich habe auch mal versucht, mich hineinzuversetzen in eine Person, die einen ähnlich stressigen Alltag hat wie ich und ähnlich viele Felder auch abdecken muss als Geschäftsführer. Wie kann ich in das Thema reinkommen, und wie kann ich irgendwo auch den Pflichten, die ich habe, als Geschäftsführer, gerecht werden und es schaffen, mir einen Überblick zu verschaffen, ohne die Grundlagen dafür nochmal lernen zu müssen?
Michael Döhmen:Ja, perfekt, das ist so ein perfekt Match für dieses Thema. Jetzt ist es ja so diese ganzen Maßnahmen und Anforderungen werden ja nicht gestellt, weil es irgendwie besonders viel Spaß macht, sondern die werden ja gestellt, weil in diesem ganzen Cybercrime-Thema eine Bedrohung für die deutsche Wirtschaft auch gesehen wird. Da wird auch häufig gesagt, es geht um die Souveränität der deutschen Wirtschaft. Und letzte Bitkom-Studie dazu 276 Milliarden Euro an Schaden. Da inkludiert natürlich alles, was dazu gehört, nicht nur erfolgreiche Ransomware-Attacken, sondern auch Spionage, und und und Aber. Lass uns vielleicht da nochmal kurz ansetzen, um die Klammer zu öffnen. Was sind denn die möglichen Folgen eines Cyberangriffs, vor denen man sich also mit diesen Maßnahmen am Ende dann auch schützen sollte?
Andreas Papadaniil:Ja, es gibt eine Menge. Ich glaube, so der größte Schaden oder das schlimmste Szenario ist in der Regel der Betriebsausfall. Meine Systeme werden gehackt, und ich bin nicht mehr in der Lage, meine Wertschöpfung durchzuführen. Ich denke, das ist auch der Punkt, warum es wichtig ist, dass die Geschäftsführer sich damit auseinandersetzen, weil IT-Sicherheit ist nicht einfach so eine IT-Sache. Viele sind gerade voll drin in der digitalen Transformation, also sind dabei, ihre Geschäftsprozesse umzustellen, das Ganze mithilfe von IT abzubilden, weil es effizienter ist. Es gibt zig Gründe dafür, das zu tun. Und wenn ich jetzt eben meine gesamten Geschäftsprozesse auf einer IT-Infrastruktur betreibe und dann eben auch die Abhängigkeit von der IT habe, dann ist es eben genauso wichtig, dass die IT läuft und dass meine Prozesse weiterlaufen, weil ansonsten kommt die Wertschöpfung zu liegen.
Andreas Papadaniil:Eines jeden Geschäftsführers sollte es das Ziel sein, ein profitables Geschäft zu bauen, dass wir Gewinne erwirtschaften mit unserem Unternehmen, damit wir in der Lage sind, auch wieder zu investieren, zu wachsen, neue Geschäftsfelder aufzubauen, weil die Märkte verändern sich kontinuierlich, und wenn ich einfach so bleibe, wo ich bin, und mein Geschäft nicht transformiere, dann bleibe ich irgendwann auf der Strecke, und deswegen muss IT-Sicherheit auch dabei mit betrachtet werden. Ich möchte als allererstes mal nicht, dass es zu einem Betriebsstillstand kommt. Ich möchte, dass meine Produktion läuft, ich möchte, dass, was auch immer ich tue, dass das mit der IT funktioniert. Und dann gibt es natürlich noch andere Dinge, die wir berücksichtigen müssen. Das sind eben nicht immer nur die Ransomware, sondern es sind die Dinge, die still und heimlich passieren, die viele gar nicht mitbekommen.
Andreas Papadaniil:Für mich das ist, die Entwendung von Daten. Geht oft auch mit der Ransomware einher, dass ich verschlüsselt werde und vorher Daten abgezogen wurden. Aber es gibt natürlich auch solche Operationen, die nur darauf abzielen, zielgerichtet gewisse Informationen zu entwenden, die mir schaden können, in welcher Form auch immer, ob ich dann auch mit den Daten erpresst werde oder ob meine Daten sehr sensiblen Daten an den Wettbewerb weiterverkauft werden. Wenn ich jetzt zum Beispiel Preislisten habe für mein neues Produkt, und die werden dann meinem Wettbewerber zugespielt, und der ist in der Lage, das Ganze nachzubauen und es immer halt einen Euro günstiger anzubieten, dann ist das nicht sehr förderlich für mich in der Bewerbung und Vermarktung der Produkte. Das ist natürlich ein Risiko. Dann gibt es natürlich auch resultierend aus dem Betriebsstillstand als Beispiel Vertragsstrafen. Je nachdem, wie gut ich die verhandelt habe, komme ich da vielleicht nochmal ein blaues Auge davon. Aber wenn ich da sehr schmerzhafte Vertragsstrafen habe und ich nicht liefern kann an meinen Geschäftspartner, dann kann das sehr teuer werden.
Michael Döhmen:Man kann sogar auch bis zur Insolvenz führen, am Ende. Das wird ja auch häufig ich unterbreche einmal ganz kurz, aber es wird ja auch häufig tatsächlich vergessen, weil das ist ja nicht immer nur darum geht, das eigene Unternehmen abzusichern, dafür zu sorgen, dass das irgendwie funktioniert. Du hast ja immer auch Abhängigkeiten zu deinen Lieferketten, Dienstleistern, wie auch immer, und das merken wir dann in den Incidents eben auch, die sich dann ja direkt Fragen stellen. Wir haben hier eine Schnittstelle. wie sieht es aus? Ist die sicher, ist die Kommunikation safe? Also, da vergeben sich ja sofort ganz, ganz viele Fragestellungen, die dann am Ende auch sich mit diesen Vertragsstrafen natürlich irgendwann auseinandersetzen.
Andreas Papadaniil:Und wir haben auch unter unseren Partnern viele Zulieferer für die Automobilindustrie, wo Just-in-Time produziert wird. Das bedeutet, in dem Fall, wenn du nicht liefern kannst, stehen entweder beim Automobilhersteller die Bänder still, oder er greift auf den Wettbewerber zurück, was dann dazu führen kann, dass nach dem Vorfall, wenn du wieder liefern kannst, die dann halt sagen ja, vielen Dank, aber wir brauchen dich jetzt nicht mehr. Wir beziehen diese Artikel jetzt von einem Wettbewerber im Endeffekt. Du kannst in diesem Moment eben auch keinen Absatz machen, du kannst es auch nicht nachholen, weil just in time heißt, du lieferst, dann es wird produziert, und wenn du dann nicht liefern kannst, ist es vorbei.
Michael Döhmen:Du hast jetzt nicht die Möglichkeit nachzuproduzieren, weil es ist immer sehr spezifisch, und dann nehmen sie halt jemanden anders, und dann hast du halt auch dieses Thema. Ja, cyber Security als Wettbewerbsvorteil ist dann am Ende genau das, weil du mit deinem Unternehmen, wenn du eine gute Cyber Resilienz besitzt, eben auch dann immer liefern kannst. So sollte es zumindest sein.
Andreas Papadaniil:Ja, und ich finde, was ich schon merke in Deutschland, ist auch eine sehr starke Loyalität gegenüber den Geschäftspartnern Das merken wir auch immer in den Sicherheitsvorfällen dass dann die Geschäftspartner eher erstmal besonnen reagieren und sagen okay, wir haben Verständnis. Aber dieses Verständnis reicht nur bis zu einem gewissen Punkt, und wenn der Schaden dann eben auch für den Geschäftspartner in einem höheren Maß stattfindet, dann ist auch Besonnenheit und Verständnis irgendwann am Ende, wenn man sagt, ich muss jetzt hier auch gucken, dass meine Wertschöpfung funktioniert, und dass ich hier auch Arbeitsplätze sichern muss, und dann verändern sich halt die Prioritäten, da kann man eben darauf hoffen, auf die Loyalität. Aber am Ende muss jeder auch dann schauen, dass er da zurechtkommt. Und dann merkt plötzlich dein Geschäftspartner okay, woanders kann ich die Sachen auch beziehen, und das ist auch nicht schlecht, und sagt dann okay, beim nächsten Mal nehme ich lieber den, der zuverlässig liefert, anstatt den, der offensichtlich seine Cybersecurity nicht so im Griff hat, wie er sie haben sollte,
Michael Döhmen:.
Michael Döhmen:wir ist dementsprechend groß. und jetzt wollen wir uns mal dem Teaser und dem Thema langsam nähern, Und wir haben mal so ein paar Kernfragen zusammengestellt, die man sich als Geschäftsführer stellen sollte oder vielleicht schon gestellt hat und noch keine Antwort dafür gefunden hat. Und die werden heute von dir geliefert, und von mir kommen mal wieder nur die Fragen, andreas. Und von mir kommen mal wieder nur die Fragen, Andreas. Ja, wir starten mit wie schaffe ich es denn eigentlich, einen Status Quo für meine Cybersicherheit zu ermitteln, ohne dass ich viel Wissen aufbauen muss? Denn also, das klingt jetzt relativ trivial, ist es aber am Ende ja gar nicht, weil welche KPIs? und so lasse ich mir den dann nun reporten. Also, im besten Fall habe ich ja einen Experten, der sich darum kümmert, in meinem Unternehmen, und was muss ich ihn jetzt quasi fragen? Wie bekomme ich eine Visibilität für das Thema, ?
Andreas Papadaniil:Also im besten Fall hast du eben einen Informationss icherheitsbeauftragten oder ein CISO, also eine verantwortliche Person, die auch irgendwo im Management sitzt und sich dem Thema annimmt, und der dann eben dein Sparingspartner wird dafür und mit dem du dann gemeinsam die aktuelle Situation ermittelst. Da gibt es dann verschiedene Möglichkeiten, also das eben punktuell zu machen oder auch fortlaufend in Form von KPIs. aber als erstes möchtest du natürlich jetzt als Geschäftsführer sagen wir mal, vielleicht hast du in der Vergangenheit nicht so viel Wert drauf gelegt ja, also, du hast deinen IT-Leiter, und du hast das IT-Kram also so habe ich das ja auch erlebt, und die machen das schon irgendwie. und jetzt sagst du aber warte mal, jetzt kommt NES 2 auf mich zu, Da werde ich auch persönlich haftbar gemacht für und ich möchte mal ein bisschen tiefer reinschauen an der Stelle. Und da bieten sich eben Assessments an, die man durchführt, standardisiert, Und das muss jetzt keine Riesenkunst sein und auch nicht super komplex sein fängt mit Fragen zu stellen und die einfach mal mit Ja und Nein beantwortet.
Andreas Papadaniil:Haben wir das Ja, haben wir Nein, haben wir nicht? Und ich fange erstmal damit an. Da gibt es eben auch schon Frameworks und Fragebögen, die man verwenden kann. Bei einer Cyberversicherung ist das gang und gäbe. Also, bevor du eine Cyberversicherung abschließen kannst, kommst du erstmal an Fragebögen, und dann kreuzt du an ja oder nein. Und wie auch bei der Cyberversicherung macht es keinen Sinn, sich selbst anzulügen, weil die Quittung dafür bekommst du.
Andreas Papadaniil:Also, wenn du den Abschluss deiner Cyberversicherung alles mit Ja anklickst und sagst, wir sind super aufgestellt, und du wirst dann gehackt, haben wir aktuell einige Fälle vor Gericht, wo dann natürlich der Versicherer sagt klar, das, was du gemacht hast, hier ist Betrug. im Endeffekt Du hast dich selbst betrogen, und die Cyber-Versicherung zahlt nicht. Und so sieht es auch aus bei deinem eigenen Assessment. Deswegen solltest du auch vielleicht schauen, dass du jemanden extern dafür beauftragst, der nicht selbst mitbefangen ist. Es ist keine Schande zu sagen, nein, das haben wir nicht. Aber dann weißt du okay, das haben wir nicht, da muss ich ansetzen, da muss ich was tun.
Andreas Papadaniil:Aber du hast manchmal die Herausforderung, wenn du das dann intern vergibst, dass dann alles ein bisschen besser aussieht, als es eigentlich ist, weil deine Führungskräfte natürlich nach oben berichten wollen wir haben alles im Griff, alles ist super an der Stelle. aber du möchtest nicht das geschönte Bild haben, sondern du möchtest das realistische Bild haben, Und diese Audits können dann auch regel werden. also nicht zu oft, weil am Ende wirst du dann wieder berichtet bekommen, dass noch nichts passiert ist, dass du das jetzt jeden Monat zum Beispiel machst, aber ich sage mal so einmal im Quartal oder einmal im halben Jahr, und dann zu schauen, was wurde denn davon schon umgesetzt? ganz oben an der Oberfläche, sage ich jetzt mal zumindest einen Überblick dafür zu bekommen. und dann gibt es auf der anderen Seite natürlich KPIs, die du definieren kannst, um fortlaufend Informationen zu erhalten über deine Informationssicherheit, was ein sehr einfacher Weg ist.
Michael Döhmen:Ich habe da noch eine Frage zu, bevor wir jetzt direkt weiterspringen in die KPIs.
Andreas Papadaniil:Hast du ja schon angekündigt. Du hast du Fragen mitgebracht.
Michael Döhmen:Manche ergeben sich ja auch tatsächlich immer spontan, so wie diese jetzt Du hast ja jetzt gesagt, so ein Audit durchzuführen, sollte nicht zu komplex sein.
Michael Döhmen:Aber was sollte man machen, der schon Ahnung hat, damit es direkt ein bisschen greifbar wird? von was für einem Aufwand sprechen wir denn Also jetzt auch für die internen Leute? weil ich sage mal, du hast es gerade verglichen mit so einem Risikodialog. Da wissen wir jetzt aus der Erfahrung ab, das Teil auszufüllen, ist schon gar nicht so einfach. Brauchst du irgendwie sieben verschiedene Menschen im Unternehmen, die die unterschiedlichsten Fragen beantworten? Dauert ein bisschen. Wie ist deine Empfehlung für so ein Fest mit? also, wenn sie jetzt auf den Weg macht und sagt, ich suche mal ein paar Angebote am Markt, worauf soll ich achten?
Andreas Papadaniil:Ja, gut, dass du das ansprichst. Es gibt natürlich von IT-Systemhäusern, die sagen, wir machen einen Gratis-Quick-Check oder so. An der Stelle habe ich öfters nur leider die Erfahrung gemacht, dass halt diese Gratis Quick-Check, weil keiner schenkt dir was am Ende diese gratis Quick-Checks halt darauf hinauslaufen, irgendwas zu entdecken, wo man eine Software verkaufen kann, weil ein IT-Systemhaus verdient sein Geld damit, software-Lizenzen zu verkaufen. Und dann kommt halt beim Quick-Check raus du brauchst jetzt Firewall XY, und dann sind deine Probleme gelöst. richtige Werkzeug, da drei Monate zu warten und diesen Aufwände zu betreiben.
Andreas Papadaniil:Ich sag mal alles, was so im Bereich ist von zwei bis fünf Tagen, weil du musst dir vorstellen, so einen Tag, das muss nicht alles an einem Tag passieren, aber es können auch mehrfach viermal zwei Stunden sein, aber so einen Tag ungefähr für so ein Assessment, einen Tag für eine Dokumentation, dann nochmal ein bisschen was für die Aufarbeitung, irgendwo. Zwei bis fünf Tage, zwei bis fünf Manntage sind da schon angemessen aus meiner Sicht und können auch erstmal ausreichen. Wenn man dann sagt okay, das reicht mir aber noch nicht. Ich möchte gerne nochmal Stichproben machen.
Andreas Papadaniil:Ich möchte gerne mal einen Pen Pentest machen, um mal wirklich zu sehen, also noch technischer zu werden, kann man alles noch machen? erzeugt alles noch mehr Aufwände? aber ich würde erstmal an der Oberfläche bleiben zum Status Quo und sagen, das habe ich, das habe ich nicht. Und da eben du sagst es gerade auch ein Prüfer weil ein Prüfer oder ein Auditor ist genau geschult, auch der Sache mal auf den Zahn zu fühlen. Also der Prüfer, der spürt in dem Moment Unsicherheiten oder Unklarheiten und weiß dann auch, wo muss ich mal näher reinbohren und was kann ich so akzeptieren.
Michael Döhmen:Das sind halt Profis, ja die haben schon Schwachstellen bei zig Unternehmen identifiziert und stellen dann Folgefragen an den entsprechenden Stellen.
Andreas Papadaniil:Also ich kenne das zum Beispiel auch, wenn ich die Frage mit dem Notfallplane habt das zum Beispiel auch, wenn ich die Frage mit dem Notfallplan, habt ihr einen Notfallplan? Die meisten antworten ja, klar haben wir einen Notfallplan. Und dann stellt man halt mal ein paar Fragen dazu, und am Ende kommt raus, das ist eigentlich kein Notfallplan, sondern das ist so ein wie kann ich meine Virtualisierungsumgebung wieder hochfahren, wenn ein Cluster, ein Knoten ausfällt? Ding Ist ein sehr begrenzter Notfallplan an der Stelle, Und das kriegt man halt eben heraus als Prüfer, wenn man da so ein bisschen reinbohrt.
Michael Döhmen:Also ähnlich wie beim Risikodialog, wo dann so Fragen nach MFA oder so dann auch relativ schnell pauschal für alles beantwortet werden, Und ein Prüfer kann das in die richtige Richtung lenken. Okay, dann lass uns jetzt mal weiterkommen. Wir haben ja gesagt, wir wollen überlegen, wie schaffe ich es jetzt als Geschäftsführer dieses ganze Thema für mich visibel zu machen? Was sind wirkliche Messgrößen, die ich heranziehen kann? Es gibt ja immer eine Angriffsfläche, eine potenzielle für mein Unternehmen. An verschiedenen Stellen kommuniziere ich mit meinem IT-System irgendwie mit dem Internet, Das heißt, ich habe hier irgendwie mögliche potenzielle Einfallstore. Gibt es da eine Messgröße für?
Andreas Papadaniil:Ja, es gibt auf jeden Fall eine Menge Dinge, die man bemessen kann, und es gibt auch tatsächlich auch schon eine Menge an fertigen Lösungen, die man dafür einkaufen kann, oder Dienstleister, die darauf schauen. Weil ich muss mir das vorstellen als Geschäftsführer, weil ich muss dir das vorstellen als Geschäftsführer, weil ich eben nicht die Zeit habe, mir alles auf einmal anzugucken, würde ich sagen, ich schaue mir erstmal das Unternehmen so an, wie der Hacker das sehen würde. Und der Hacker ist in der Regel erstmal außen vor und betrachtet das Ganze von außen. Und da gibt es jetzt viele Trendwörter wieder, die man machen kann External Exposure, management oder External, weiß ich nicht wie ganz viele tolle Wörter dafür. aber worum geht es im Endeffekt?
Andreas Papadaniil:Du hast eine Software oder ein Skript am Ende, was sich von außen dein Unternehmen anguckt und sagt okay, das ist deine Webseite, und auf deiner Webseite sind die Sicherheitsfunktionen alle so, wie sie sein sollten, und deine Maschinen und Systeme, die nach außen gerichtet sind, werden sich angeschaut oder auf Schwachstellen auch geprüft, weil das würde ja der Angreifer tun, der guckt sich an. okay, du bist jetzt suresecure. de, dann gucke ich mir mal an alle Systeme, die hinter dieser Domäne stecken, und wie sicher sind diese Systeme aufgestellt? und wenn ich da schon merke okay, du hast ein sehr schlechtes Rating, du hast nicht die neuesten Zertifikate, du hast eine Menge an Schwachstellen. dann kriege ich schon ein Gefühl dafür, weil wenn deine Haustür von außen schon so schlecht aussieht, dann kannst du dir vorstellen, wie es dr zum Beispiel schon im Darknet vorhanden an Informationen über unser Unternehmen. Da findest du dann zum Beispiel, wenn es richtig schlecht läuft, findest du da bereits administrative Zugänge zu deiner IT, die da verkauft werden und gehandelt werden. damit verbringen, im Darknet nach Informationen über das eigene Unternehmen zu suchen.
Andreas Papadaniil:Klar, aber wenn du dafür eben halt Mechanismen implementiert hast und das fortlaufend beobachtet, dann kriegst du das mit, bevor eben irgendwelche Hackergruppen deine Zugangsdaten kaufen und bei dir einsteigen oder eben auch noch viel früher. die Fälle, wenn zum Beispiel deine Mitarbeiter sich mit den Firmen-E-Mail-Adressen an irgendwelchen Portalen anmelden, kommt immer wieder vor tatsächlich, und dann wurden diese Portale oder Webseiten gehackt, und dort ist dann die Firmen-E-Mail-Adresse entwendet worden. Du kommst da irgendwo E-Mail-Adressen, werden auch gehandelt. Im Endeffekt kommst du auf irgendwelche Verteilerlisten, und du kriegst halt mit was würde ein Angreifer über mich sehen? weil die Angreifer gehen genauso bei der Recherche vor und siehst halt einen Stand und kannst daran arbeiten, Okay.
Michael Döhmen:ich kann aber natürlich nicht dafür sorgen, dass diese das ist ja jetzt keine Kennzahl im eigentlichen Sinne, aber ich bekomme mit, was ist bei mir, von mir im Darknet unterwegs, ist ja nichts, was sich jetzt nach unten verändern kann. Also, die Dinge werden ja nicht mehr irgendwie gelöscht, oder ich kann darauf einwirken, dass das nicht mehr so ist. Ich kann ja nur dafür sorgen, dass vielleicht nicht mehr so viel da landet. Da habe ich dich richtig verstanden, oder ich? okay?
Andreas Papadaniil:Genau, du kannst dafür sorgen, du kriegst halt mit. okay, da sind noch Mitarbeiter, die ihre Firmen-E-Mail-Adressen benutzen, für private Zwecke als Beispiel, und das ist dann so eine Konsequenz, die passieren kann. Und du weißt, hier muss ich nochmal nachsteuern. Also, es scheint immer noch so zu sein. muss ich nochmal nachsteuern?
Andreas Papadaniil:Der, andere Fall ist eben, was ich gerne benutze, auch die Schwachstellen, um bemessen zu können per KPI. Also, wie lange dauert es, dass sehr kritische Schwachstellen bei mir im Unternehmen gefixt sind, und da kann man auch nochmal unterscheiden. Das sind dann wieder so Detailgrade, das musst du nicht unbedingt runterbrechen. Aber zu sagen, natürlich, wenn ich eine es gibt ja ein Scoring für Schwachstellen auch von 1 bis 10, als Beispiel, wenn ich eine 10er Schwachstelle habe, die eben äußerst kritisch ist, und das habe ich auf einem System, das nach außen verfügbar ist für die Angreifer, das sollte besser nicht so sein. Wenn ich das vielleicht intern habe in einem Bereich, der sowieso nicht so zugreifbar ist, wo ich sage okay, da kann ich doch ein bisschen mit leben an der Stelle, aber dafür kriege ich halt einen Überblick am Ende.
Andreas Papadaniil:Und auch diese Lösungen, die sich dein Unternehmen von außen angucken, erstellen auch ein Scoring für dich, wo du sehen kannst, wie verändert es sich. Also unsere von außen betrachtete Anfälligkeit. Also, du kriegst so oft so amerikanische Schulnoten A, b, c, d, e, f und kannst dann auf dem A hinausarbeiten und versuchen, bestmöglich dazustehen, und hast dann vielleicht auch das Glück, dass der Angreifer sagt ey, der hat ja von außen schon ein A und sieht super aus. Gut, geh mal zum Nächsten. Okay, der hat ein F, versuche es lieber mal da, weil die Wahrscheinlichkeit höher ist, dass ich erfolgreich reinkomme, verstehe ich. Und diese Ratings kannst du dann auch entsprechend gegen andere Unternehmen aus der Branche halten, um auch zu verstehen wo stehe ich denn, wo bin ich denn? Weil es gibt eben auch manche Branchen aus der Historie heraus, die es echt schwer haben, auf ein hohes Sicherheitsniveau zu kommen, also gerade in produzierenden Gewerbe. Wenn du halt diese Altmaschinen hast, die sind dann einfach da. Da musst du halt nur schauen, dass die so gut wie möglich weggeschnitten sind von der Außenwelt und nicht zugreifbar sind.
Michael Döhmen:Okay, also als Geschäftsführer sollte man schon überlegen, mit welchen Anforderungen man dann auf seinen CISO CIO zugeht. Sag, pass mal auf, ich hätte gerne Transparenz über hier, so ein paar bestimmte Dinge, und dann erfolgt der Rest wahrscheinlich im Dialog. Man muss ja dann genau definieren okay, was ist jetzt eigentlich, was ist so unser Weg? Ja, Kritische Schwachstellen ist, glaube ich, unstrittig, aber manch anderen Dingen ist natürlich auch immer abhängig vom Unternehmen. Keine Ahnung, wo die ganz kritischen Geschäftsprozesse sind. Da will ich vielleicht Visibilität auf bestimmte Dinge haben.
Michael Döhmen:Dann kann ich das mit meinem CRO erarbeiten, und erarbeiten kann ich mit ihm auch wie wir. Das ist, glaube ich, eine der Schlüsselelemente in der frühzeitigen Abwehr von Cyberangriffen eine 24x7 Erkennung und Reaktion auf Anomalien oder kritische Dinge. Denn es ist kein Geheimnis je früher ich einen Cyberangriff erkennen kann, desto eher bin ich in der Lage, Folgeschäden abzuwenden, indem ich bestimmte Systeme isoliere und genau sehen kann was ist eigentlich passiert? wie ist er reingekommen und wie hat er sich bewegt? hat er sich überhaupt schon bewegt? habe ich ihn frühzeitig eingedämmt? Das sind alles so Dinge, die man da machen kann. Und jetzt wieder die Geschäftsführerbrille angezogen. Ich sitze jetzt da. Ich weiß, wir haben das nicht. Wie kann ich sicherstellen, dass wir das bekommen?
Andreas Papadaniil:Ja, du musst dich halt erstmal fragen kann ich das selber machen, oder kaufe ich das ein? Und ganz ehrlich, die meisten Unternehmen Mittelstand selbst, also im gehobenen Mittelstand bis 10.000 Mitarbeiter werden nicht in der Lage sein, das selber zu stemmen, sowohl von der Menge des Personals, aber auch von der Fachlichkeit, weil jeder am Markt möchte gerade einen Sock haben. Also sind es Dienstleister, wie wir, die Socks anbieten für mehrere Unternehmen, oder sind es halt die Unternehmen an sich, die einen SOC wollen, die dann überlegen mache ich es selber oder gebe ich es raus? und jeder sucht gerade danach, und es gibt tatsächlich nicht so viele. Also läuft es in den meisten Fällen darauf hinaus, dass du einen SOC as a Service oder einen MDR Service oder irgendwas in der Art hast, dass du in der Lage bist, 24 mal 7 das zu überwachen, weil das ist heute kein nice to have mehr, sondern must have. Das sagen nicht nur wir, das sagt auch zum Beispiel NIS2, dass du 24 mal 7 erkennen und reagieren musst. Und auch betrieben durch die digitale Transformation.
Andreas Papadaniil:Sobald du diese digitalen Prozesse hast oder auch Dinge im Internet anbietest, dann ist dein Geschäft 24 mal 7 an der Stelle. Da kannst du nicht irgendwie sagen, ja, ich habe hier Administratoren. Auch da muss man nochmal sagen, ein IT-Administrator ist kein Security-Analyst. Ich habe mal als Beispiel so gebracht du kannst auch nicht von einem Dachdecker verlangen, dass er dir das Bad fließt. Im Endeffekt kann funktionieren. Aber würde keiner auf die Idee kommen, und dann zu deinen Administratoren zu laufen und zu sagen ihr macht jetzt hier das Security Monitoring und achtet auf die Anomalien. Das macht nicht viel.
Michael Döhmen:Sinn. Fachkräftemangel ist ja auch kein neues Thema, im IT-Segment sowieso und im IT-Security-Segment nochmal im ganz Speziellen. Es ist nicht so einfach, gerade wenn du auch nicht so flexibel bist, was deine Unternehmenskultur betrifft, dass du irgendwie Homeoffice anbieten kannst und komplett flexible Arbeitszeiten, macht das alles nochmal schwieriger, da Personal zu finden. Und wenn ich es eben jetzt nicht habe und es mir nicht leisten kann oder will, das selber irgendwie aufzubauen weil du brauchst ja auch noch Technologien, du brauchst Prozesse, das ist ja nicht mal eben so gemacht Dann kann ich eben auf einen Service-Provider am Markt zurückgreifen, um diese Dinge eben abzubilden. Du hast eben auch schon gesagt, schichtbetrieb in einem Unternehmen überhaupt einzuführen, wenn es das gar nicht gibt, ist keine Kleinigkeit, kennen wir selber, wir haben es auch irgendwann auf den Weg gebracht. Eine Kleinigkeit Kennen wir selber, wir haben es auch irgendwann auf den Weg gebracht.
Andreas Papadaniil:Ich war auch total überrascht, was da alles an Formalismen und was da alles dazugehört, um das auf den Weg zu bringen. Da haben wir uns ein paar Monate mit beschäftigen müssen. Tatsächlich, ja, das sehe ich halt oft, wenn auch Unternehmen sich entscheiden, sagen, wir machen das irgendwie selbst, ja, ich habe hier meine IT da, die sind ja da, die können das irgendwie mit übernehmen an der Stelle. Es ist dann meistens aber, dass die Leute nicht ausgebildet sind dafür, und zweitens, dass du auch nicht genug hast, wie wirklich 24 mal 7 Betrieb, weil du fängst halt unter 10 Leute, brauchst du damit gar nicht anzufangen mit dem Spaß, das verlangt dir viel ab. Und dann sehe ich halt oft so ein Stückwerk Es wird dann eine Software gekauft, von der man sich erhofft, die das dann alles für einen löst.
Andreas Papadaniil:Man hat dann ein paar Leute da und fängt dann halt mal irgendwie an, kann dann vielleicht auch in der Checklist sagen, ich habe ein SOC, weil da sind Menschen, und ich habe eine Software dafür. Aber wie effektiv das Ganze dann funktioniert, sieht man auf einem anderen Blatt. Auch da sollte man sich nicht selbst belügen, weil hinterher kommt der Angriff du hast dann deine Leute zu Büroarbeitszeiten da, samstagmittag wird verschlüsselt, und du hast nichts davon mitbekommen.
Michael Döhmen:Okay, jetzt ist es ja so als Geschäftsführer, da habe ich jetzt nicht nur die IT-Abteilung, ich habe ja das gesamte Unternehmen irgendwie bei mir an mir dran, und jeder möchte irgendwie Investitionen. Und ich muss ja dann irgendwann sagen okay, ich muss jetzt hier gewisse Dinge vielleicht einfach priorisieren. Ich muss in erster Linie wahrscheinlich das Thema der Cybersicherheit, der Informationssicherheit an sich etwas höher priorisieren, weil ich dafür dann jetzt eben kurz beziehungsweise mittelfristige Investitionen brauche. Ich brauche dann erhöhte Budgets wahrscheinlich an der Stelle, und trotzdem kommen alle zu mir und sagen ja, hundertprozentige Sicherheit kriegst du eh nicht. Also irgendwie ist es ja aus Geschäftsführersicht stelle ich mir das auch ein bisschen frustrierend vor. Aber wie, welche Maßnahmen müsste ich denn jetzt in jedem Fall priorisieren mit Blick auf uns zwei? Wir wissen alle, okay, der ganz große Zeitdruck ist es jetzt noch nicht. Gesetz kommt so wahrscheinlich perspektivisch im März 2025, und dann hat man irgendwie zwei, drei Jahre Zeit, diese Maßnahmen dann irgendwie auch anzuborden. Was würdest du empfehlen? Wie gehen wir da vor?
Andreas Papadaniil:Ja, so hast du es auch schön angesprochen als Geschäftsführer, weil du gibst erstmal Geld aus, also damit etwas passiert, sondern damit etwas nicht passiert. Wenn du jetzt als Geschäftsführer den neuen Elfer kaufst, und du wartest da ein Jahr drauf, steigst ein, und du gibst da mal ordentlich Gas, ist ein schönes Feeling. Du hast eine Menge Geld ausgegeben, hast aber eine Menge Freude bekommen. Das ist bei Cyber Security anders so. Du merkst erstmal nichts davon, und selbst wenn du erfolgreich Angreifer abwehrst, das kriegst du als Geschäftsführer auch nicht mit. Okay, ich muss hier investieren, sonst bin ich hier vielleicht der Nächste. Einige wurden schon gehackt und haben verstanden okay, ich muss mehr machen, damit das nicht nochmal passiert.
Andreas Papadaniil:An der Stelle, auch wenn es sehr, vielleicht erstmal unbefriedigend ist, wächst die Bereitschaft, und dann, wie du gesagt hast, priorisieren. Da gibt es für mich zwei essentielle Dinge, die ich auch mit dem NIS 2 entnehme. Auch wenn ich jetzt in den Markt reingucke, dann wird mir jede Woche erzählt kauf meine Softwarelösung, und damit bist du NIS 2 compliant und alles gar kein Thema. Aber neue Software zu kaufen, steht erstmal am Ende dieser ganzen Kette. Ich muss zwei Dinge tun können aus meiner Sicht das ist gerade angesprochen 24 mal 7 Erkennung und Reaktion wird gefordert, in welcher Form auch immer, ob ich dann eben selbst das aufbaue, ob ich einen Service einkaufe.
Andreas Papadaniil:Ich muss aber in der Lage sein, rund um die Uhr zu erkennen, und ich muss auch in der Lage sein, die mir auferlegten Wäldepflichten durchführen zu können. Und wenn ich dann eben nur zu Büroarbeitszeiten unterwegs bin, und ich habe keine Systeme, wo ich jetzt mal was erfassen kann, also wie der Angriff gelaufen ist, dann wird es auch schwer, diese Meldepflichten einzuhalten und auch die Anforderungen einzuhalten, die in diese Meldepflichten gehen, weil du kannst jetzt nicht nur einen Zweizeiler schreiben mit hey wurden gehackt, keine Ahnung, was passiert ist, melde mich nochmal. Da gibt es auch komplette Anforderungen, was da drinstehen muss. Das heißt, du musst dich mit dem Part auseinandersetzen, und dann sehe ich auf der anderen Seite den Fall du musst dich mit Rules und Regulations auseinandersetzen, also Regeln und Richtlinien für dein Unternehmen bezogen auf IT-Sicherheit, und dafür gibt es auch Standards. Dafür gibt es beispielsweise ein ISMS, also ein Information Security Management System, was dafür zuständig ist, eben Regeln aufzustellen, was auch zur Aufgabe hat, ein Controlling, und auch KPIs werden dort definiert, um den aktuellen Stand deiner Cybersicherheit zu bewerten, und auch ein kontinuierlicher Verbesserungsprozess, der dafür sorgen soll, dass deine Resilienz sich immer wieder erhöht, und das wird alles in diesem System definiert.
Andreas Papadaniil:Das System ist jetzt keine Software, die du kaufen kannst. Also du kannst eine Software kaufen, um ein ISMS darin abzubilden, aber im Endeffekt geht es hier um Paperwork. Du musst die Richtlinien für dein Unternehmen etablieren, und wenn du dich da langhangelst, dann wirst du alles Relevante finden aus meiner Sicht, wofür du Richtlinien definieren musst. Du sagst dann zum Beispiel okay, wie sieht meine Passwortrichtlinie aus? Wie lang, wie komplex muss das Passwort sein? Berechtigungsstrukturen werden dort festgehalten, wie sollen Berechtigungen aussehen? Du hältst darin fest wie lange darf es dauern, bis ein kritischer Patch bei dir implementiert wird, und und und, also eine ganze Menge, und davon ableiten kannst du dann immer noch Software kaufen, falls du feststellst okay, ich kriege jetzt hier mit den Bordmitteln, die mir das Windows-Betriebssystem bietet, meine komplexen Strukturen gar nicht abgebildet in den Berechtigungen, ich brauche da ein bisschen mehr.
Andreas Papadaniil:Und dann machst du erstmal die Richtlinien, definierst du die so normalerweise, so soll das aussehen.
Andreas Papadaniil:Und dann sagst du okay, hier fehlt mir aber eine Software, um das zu machen, auch noch okay, aber wie gesagt, am Ende des Prozesses und ich weiß ein ISMS aufzubauen, das ist jetzt nicht so eine Sache, wo du sagst, der Student schließt sich jetzt mal ein Wochenende ein, und dann kommt er raus mit einem ISMS, sondern sondern das ist ein Projekt über Monate, was du machst Und was auch wieder.
Andreas Papadaniil:Also es gibt Templates und Vorlagen, die du nutzen kannst, aber was auch wieder individuell auf dein Unternehmen umgemünzt werden muss. Weil wenn du ein Unternehmen bist wie wir, also komplett digital und Cloud-Native, und ich sage jetzt hier in meinem ISMS steht drin Richtlinie Wechseldatenträger sind nicht erlaubt, habe ich keine Lust drauf, keine Lust mehr, über USB-Stick ein Virus einzufangen, dann können wir sowas machen. Wenn du jetzt aber im Maschinenbau arbeitest, seit 140 Jahren da irgendwelche Maschinen herstellst und diese Maschinen darauf angewiesen sind, auch Updates über USB-Sticks zu bekommen, dann musst du da ein bisschen was anderes definieren, weil so wird es nicht funktionieren, und es kommt dein Geschäftsbetrieb halt zum Erliegen, nicht durch einen Hackerangriff, sondern durch eigene Richtlinien, die du dir auferlegst in der Cybersecurity.
Michael Döhmen:Und am Ende bin ich als Geschäftsführer ja Cyberangriff, um dann sagen zu können ja, okay, pass mal auf, dann nehmen wir jetzt Summe X, um dieses Risiko zu mitigieren. Oder ist es davon eigentlich losgelöst? Oder wenn du sagst, wir fangen mit einem Konzept an und schreiben zusammen, was wollen wir denn eigentlich erreichen, und erwecken wir eine Strategie, dann habe ich ja für mich Anforderungen definiert und brauche einfach eine Summe, um diese Anforderungen zu decken. Die kann dann natürlich deutlich höher sein, oder steht da in keinem Verhältnis mehr zu einem möglichen finanziellen Risiko?
Andreas Papadaniil:Ich würde beides machen, tatsächlich. Also erstmal würdest du ja ein Benchmarking haben als Geschäftsführer, um zu verstehen, weil jeder würde dir sagen mehr Geld, mehr, gut, lass uns unendlich in Cybersecurity investieren, cybersecurity investieren, dann sind wir auch unendlich sicher. Das funktioniert aber nicht An der Stelle. Ich habe immer nur begrenzte Mittel und Ressourcen, die ich einsetzen kann. Und jetzt kann ich einmal einen Benchmarking-Ansatz fahren, dass ich sage, ich habe so und so viel Umsatz. Wie viel dieses Umsatz ist also, wie viel Prozent davon soll ich eigentlich in meine IT stecken, wie viel Prozent davon soll ich in IT-Sicherheit stecken? Und dafür gibt es Richtwerte und Benchmarking-Werte, dass man überhaupt mal ein Verständnis dafür bekommt. Wie sollte es eigentlich sein.
Andreas Papadaniil:Auf der anderen Seite hilft mir aber noch nicht konkret bei der Planung der Projekte. Ich sage, das mache ich konkret, das kostet X, das muss ich konkret machen, das kostet Y, benchmarking-richtwerte zu verwenden, dass ich verstehe. Sind wir bei 5, 10, 15 Millionen? in welche Richtung sind wir? Und dann von der anderen Seite eben die Experten im Unternehmen, also den Sicherheitsbeauftragten oder CISO oder CIO möglicherweise damit zu beauftragen, sagen okay, stell uns jetzt mal eine Cybersecurity-Strategie, wo wollen wir über die nächsten drei bis fünf Jahre stehen?
Andreas Papadaniil:über die nächsten drei bis fünf Jahre stehen, Welche Maßnahmen müssen wir dafür ergreifen, und welche Ressourcen benötigst du? Und wenn du das aber natürlich völlig frei machst, dann kriegst du ganz unterschiedliche Dinge vorgestellt. Wenn du jetzt einen sehr konservativen Menschen vielleicht hast, der denkt okay, ich will meinem Unternehmen auch noch was sparen und mach das irgendwie gebastelt, dann kriegst du nachher was vorgeschlagen, was halt weit unter den Empfehlungen ist, wo du sagst, will ich vielleicht auch nicht machen, könnte zu wenig sein. Das ist ja wahrscheinlich zu wenig. Das andere Extrem willst du aber auch nicht haben, dass du da einen IT-Typen hast, der alle Spielzeuge der Welt haben will, und jetzt sagt okay, ich hau da mal unendlich rein ne an Werten, weil ich will das alles haben. Und dann hast du diesen Benchmark, den du dagegen halten kannst.
Andreas Papadaniil:Wenn du dann eben eine Roadmap vorgestellt bekommst und da auch drin steht ich brauche diese Mittel, dass du schon mal einschätzen kannst ist es in einem Maß, wie das für ein Unternehmen unserer Größenordnung, unserer Branche angemessen ist? So haben wir es ja am Ende. Ich kann mich noch erinnern, unsere erste Verhandlung zum Marketing-Budget, da hast du mir Zahlen gezeigt. Du bist fast umgekippt und dachtest oh Mann. Und dann haben wir gesagt Michael, zeig uns mal bitte, was so üblich ist, wie sieht es aus? Und dann hast du uns das gezeigt, und plötzlich habe ich sogar festgestellt, dass dein Vorschlag unter dem ist, was man so ausgeben sollte in unserer Größenordnung.
Michael Döhmen:Und dann habe ich auch relativ schnell gesagt ja, okay, bitteschön, aber du brauchst ein bisschen Benchmarking Gibt es ja auch verschiedene Modelle, und also, wie man das Marketingbudget für sich irgendwie herleitet, kannst du aus dem Umsatz machen, kannst du aber auch andere Dinge heranziehen, und hier gibt es ja auch gab es gibt es mal die Empfehlung des BSI, wo gesagt wurde okay, 15% des IT-Budgets sollten irgendwie in Cyber Security-Maßnahmen investiert werden. Mittlerweile gibt es aber auch andere Modelle. Ich habe jetzt häufiger auch gelesen, dass das überhaupt keinen Sinn ergibt, weil eben Informationssicherheit gar nicht nur IT betrifft. Also warum soll das dann halt komplett aus dem IT-Budget finanziert werden? Natürlich gehört es irgendwo zusammen, aber immer mehr Unternehmen gehen auch dahin, dass sie sagen, hast du ja auch immer organisatorische Bestandteile, richtlinien hast du angesprochen. Sowas betrifft ja dann einfach auch das ganze Unternehmen und eben nicht nur die IT.
Andreas Papadaniil:Da können ja beispielsweise auch physikalische Baumaßnahmen sein. Für dein.
Andreas Papadaniil:Rechenzentrum muss man ja auch mit berücksichtigen. Die laufen dann vielleicht nicht aufs Budget IT-Investitionen, sondern irgendwie Bürogebäude oder was weiß ich was. Entsprechend glaube ich, dass viele gar keine Transparenz so darüber haben. Tatsächlich kenne ich auch noch sehr, sehr, sehr große Unternehmen, die sehr viel Geld für IT ausgeben, aber gar keine richtigen Budgets bilden, weil es viel Geld ist, aber in Relation zum beispielsweise den Artikeln, die die kaufen, um ihr Produkt herzustellen, das so verschwindend gering ist, dass sie einfach sagen ja, letztes Jahr war es so und so viel, dieses Jahr bleiben wir am gleichen Maß oder wir müssen ein bisschen runter oder ein bisschen hoch. Entsprechend da herrscht dann wenig Transparenz.
Michael Döhmen:Okay, wollen wir eine Klammer drum machen? Ich glaube, wir sind an den Fragen soweit durchlaufen, und ich hoffe, dass alle Zuhörer, zuhörerinnen insbesondere, wenn sie dann aus der Geschäftsführung sind zumindest eine Idee davon bekommen haben, was sie jetzt zu tun haben oder wie man sich Visibilität für das Thema Informationssicherheit im Unternehmen verschaffen kann. Denn um nichts anderes ging es in diesem Podcast. Ich komme aus der Verantwortung nicht raus, dafür zu sorgen, dass wir eine Cyber-Resilienz vorweisen können, dass die Angriffsfläche möglichst gering ist, dass wir eine angemessene starke Verteidigung haben, um uns vor den Folgen von Cyber-Angriffen eben zu schützen. Und ja, ich denke, damit wäre am Ende dieser Folge angekommen, andreas. Yes, wir stellen diesen Podcast auch als White Paper zur Verfügung, also könnt ihr euch dann auf der Webseite gerne herunterladen, und in diesem Sinne bleibt sicher und gesund Bis zur nächsten Ausgabe. Man hört sich ne Tschüss.
Annika Gamerad:Das war's aus dem Cybersecurity Basement. Check die Shownotes. Folge uns auf Social Media und abonniere den Podcast. Stay safe da draußen.