Gestaltend statt getrieben
Shownotes
In dieser Folge von HiWay spricht André Winsch, Senior Expert für Cyber Regulations bei HiSolutions, über eine zentrale Ursache dafür, warum IT-Security-Initiativen in Unternehmen oft nicht nachhaltig vorankommen: fehlende Abstimmung zwischen Fachseite, IT und Informationssicherheit. Gerade im KRITIS-Umfeld zeigt sich, wie schnell Komplexität entsteht, wenn Anforderungen, Technikbetrieb und Sicherheitsrahmen nicht sauber zusammenwirken.
André beschreibt das Zusammenspiel klar: Die Fachseite beziehungsweise die kritische Infrastruktur definiert, welche Leistungen aufrechterhalten werden müssen. Die IT stellt die technischen Plattformen bereit und betreibt sie. Die Informationssicherheit schafft den Rahmen, damit diese Leistungen gegen Störungen und Angriffe geschützt sind. Wenn diese Perspektiven ineinandergreifen, entstehen tragfähige Lösungen. Wenn nicht, wird selbst mit ausreichenden Ressourcen viel Energie gebunden, ohne dass Projekte ihr Ziel erreichen.
Die Folge liefert einen praxisnahen Blick darauf, wie Unternehmen aus dem reaktiven Modus herauskommen. Es geht um Priorisierung, um realistische Umsetzungswege und darum, externe Anforderungen in beherrschbare Schritte zu übersetzen. Moderation: Valerie Knapp
Shownotes:
📄 Fachartikel / Einordnung: So verhindern Sie IT-Projektstau bei Sicherheitsanforderungen. Wie Unternehmen Security-Anforderungen, IT-Management und Compliance zielführend integrieren. Tipps für mehr Resilienz und Umsetzungskraft.
🎥 Vortrag Know-how to go: : IT-Sicherheitsregulierung in Gegenwart und Zukunft: NIS-2 – Viele Anforderungen, wenig Neues. Erfahren Sie, wie Unternehmen NIS-2 effizient umsetzen und sich gleichzeitig auf zukünftige Herausforderungen vorbereiten können.
Transkript anzeigen
00:00:01: Unser Auftraggeber ist meistens eher die IT oder die Security, also eigentlich diejenigen, die es operativ umsetzen müssen, die Konsequenzen, aber eigentlich nicht die, die es direkt betrifft.
00:00:11: Und das ist so ein Thema, was meistens auch zu Komplikationen führt oder erfolgreiche Projekte sind, die Projekte, wo das gut funktioniert, wo quasi das Geschäft, also die kritische Infrastruktur quasi mit einbezogen wird, sagt, okay, das brauchen wir beispielsweise, um unsere Leistung erbringen zu können.
00:00:26: Die IT ist dann diejenige, die die Technik bereitstellt und so und hoffen hält, dass die Security ist quasi der Rahmen drum, damit das Ganze quasi gegen Störungen von außen, gegen Dritte vorsätzlich, nicht vorsätzlich quasi geschützt wird.
00:00:40: Und wenn diese drei Aspekte quasi gut ineinandergreifen, dann sind das meistens sehr erfolgreiche Projekte, selbst bei Unternehmen mit wenig Ressourcen, andererseits selbst bei Unternehmen mit vielen Ressourcen, wenn die quasi gegeneinander arbeiten oder aneinander vorbei, kann das durchaus an sich trotz genug Ressourcen eigentlich quasi nicht zum Ziel kommen.
00:01:02: HiWay,
00:01:02: dein Wegweiser für Digitalisierung und Sicherheit.
00:01:06: Präsentiert von HiSolutions.
00:01:13: Hallo und herzlich willkommen zu einer weiteren Folge von HiWay, dem Podcast von HiSolutions.
00:01:18: Auch heute beantworten wir wieder drei Fragen mit einem Experten in zehn Minuten.
00:01:24: Und als Gast haben wir heute Andre Windsch dabei.
00:01:28: Andre ist seit 2018 bei der HiSolutions tätig und mittlerweile ist er Senior-Expert im Bereich Cyber Regulations.
00:01:37: Du beschäftigst dich, wie du mir gesagt hast, vor allem mit dem Thema KRITIS und bist da als Berater und Auditor unterwegs, also im Bereich der kritischen Infrastrukturen.
00:01:47: Und im Vorgespräch hast du mir auch schon gesagt, dass es dabei eben auch wichtig ist, nicht nur die Sicherheit zu betrachten, sondern auch mit Verantwortlichen aus anderen Bereichen zu sprechen, also zum Beispiel aus der IT oder mit den Verantwortlichen für eben die kritischen Infrastrukturen.
00:02:05: Das finde ich eine ganz passende Überleitung zu unserem Thema heute.
00:02:09: In den letzten Jahren, ich glaube, das muss ich niemandem erzählen, ist ja ziemlich viel passiert auf unserer Welt und da stellt natürlich alle vor allem auch Unternehmen vor immer wieder neue Herausforderungen.
00:02:21: Und deswegen kommen wir damit zur ersten Frage, nämlich vor welchen Herausforderungen stehen denn Unternehmen aktuell vor allem im Bereich IT und Sicherheit deiner Meinung nach?
00:02:33: Genau.
00:02:33: Also viele Unternehmen haben einfach von außen getrieben immer neue Themen, uns auch sehr schnell immer neue Themen.
00:02:41: Gar nicht so lange her, da war Cloud quasi noch das ganz neue Thema.
00:02:44: Danach kommt KI.
00:02:45: Dazu kommt dann noch der ganze Gesetzgeber quasi, der dazu kommt.
00:02:49: Ich habe mir das ja gerade schon vorgestellt aus dem Bereich der kritischen Infrastrukturen.
00:02:53: fast acht Jahren mittlerweile tätig.
00:02:55: Das ist ja auch aus den Regulatoriken z.B.
00:02:57: entstanden.
00:02:57: Zu der Zeit gab es halt als große Themen, gerade kritische Infrastruktur und das Thema Datenschutz beispielsweise.
00:03:03: Aber mittlerweile hatten wir zwischen den Phasen, wo wir jetzt zwanzig, dreißig Gesetze, die gerade demnächst kommen oder gerade schon gekommen sind, auf dem Radar hatten, wo wir sagen, okay, damit muss sich jedes Unternehmen beschäftigen.
00:03:13: Und einfach diese bloße Anzahl bindet schon viele Ressourcen, gerade wenn ich das Know-how auch nicht habe, beispielsweise.
00:03:21: Das Ganze wird auch noch immer weiter verstärkt, so was wie geänderte geopolitische Lage beispielsweise, dann Lieferengpässe, Lieferketten beispielsweise.
00:03:30: Das ist ein großes Thema auch gerade bei kritischen Infrastrukturen, weil ich halt, sagen wir mal, ich aus Branchen habe, die sehr lokal sind, aber auch Branchen, Pharmazeutik zum Beispiel, die sehr China abhängig sind, beispielsweise.
00:03:40: Und all diese Themen prasseln quasi auf die Unternehmen ein, gleichzeitig und führen mehr oder weniger einfach zu einer Überforderung mit der ganzen Komplexität.
00:03:50: Und das ist so, glaube ich, das Hauptthema, was FASTI ist, Unternehmen mittlerweile kennt.
00:03:54: Wie kann ich eigentlich mit dieser externen Komplexität überhaupt umgehen?
00:03:57: Genau, du hast schon gesagt Überforderung.
00:03:59: Ich kann mir vorstellen, dass das auch zu... einfach durch fehlende Ressourcen noch mal befeuert wird, das Thema.
00:04:04: Genau, das kommt noch on top.
00:04:05: Also, habe ich überhaupt Personal und habe ich quasi das Personal, was ich mit diesem Thema auskennt.
00:04:09: Also, ich hatte jetzt mal schon gesagt, Cloud, als das ein neues Thema war.
00:04:12: Wer hatte schon Cloud-Experten, als es gerade kam, aber die ersten schon in Cloud sind.
00:04:16: oder jetzt gerade großes Thema, auch bei uns im Podcast ja regelmäßig, Thema KI, KI-Regulatorik und so weiter.
00:04:22: Genau, oder NIS2-Zwei-Kritis-Dachgesetz, das sind ja auch alles aktuelle Themen im Moment.
00:04:28: Genau.
00:04:30: Frage zwei.
00:04:32: Also Überforderung, Ressourcenmangel, da steht man von der großen Wand.
00:04:37: Welche Maßnahmen kann man denn da greifen?
00:04:40: Also ein wichtiges Thema gerade, was ich bei uns im Kundenumfeld häufig sehe, ist weg von diesen von außen getriebenen, reaktiv getriebenen, hin quasi vor die Lage kommen, sagen wir im BCM beispielsweise auch sehr gerne.
00:04:52: Also quasi ich bin derjenige, der steuert, ich habe die Kontrolle quasi ein Stück weit.
00:04:56: Natürlich muss ich auch manchmal reagieren, aber trotzdem habe ich vorbereitete Strukturen, wo ich sage, okay, hier kommt ein neues Thema, ich beschäftige mich damit und dann kann ich für mich prioritisieren beispielsweise, wie groß das Thema ist, welche Bedeutung das Thema für mich hat, beispielsweise.
00:05:11: Und der zweite große Aspekt, den er vorhin schon besprochen hat, ich bin ja, also kritische Infrastruktur ist ja sehr Versorgung der Bevölkerung sicherstellen in verschiedenen Leistungen.
00:05:21: Das ist natürlich Geschäft fortführen, also das Business, aber zum Beispiel unser Auftraggeber ist meistens eher die IT oder die Security, also eigentlich diejenigen, die es operativ umsetzen müssen, die Konsequenzen, aber eigentlich nicht die, die es direkt betrifft.
00:05:35: Und das ist so ein Thema, was meistens auch zu Komplikationen führt oder erfolgreiche Projekte sind, die Projekte, wo das gut funktioniert, wo quasi das Geschäft, also die kritische Infrastruktur quasi mit einbezogen wird, sagt, okay, das brauchen wir beispielsweise, um unsere Leistungen erbringen zu können.
00:05:50: Die IT ist dann diejenige, die die Technik bereitstellt und z.B.
00:05:54: die Security ist quasi der Rahmen drum, damit das ganze quasi gegen Störungen von außen, gegen Dritte, vorsätzlich, nicht vorsätzlich geschützt wird.
00:06:04: Und wenn diese drei Aspekte quasi gut ineinandergreifen, dann sind das meistens sehr erfolgreiche Projekte, selbst bei Unternehmen mit wenig Ressourcen, andererseits selbst bei Unternehmen mit vielen Ressourcen, die quasi gegeneinander arbeiten oder miteinander vorbei, kann das durchaus eigentlich trotz genug Ressourcen eigentlich quasi nicht zum Ziel kommen.
00:06:20: Ja, also wenn dann jeder da sein eigenes Süppchen kocht, das ist ja eigentlich nie zielführend, wenn man nicht miteinander spricht.
00:06:27: Genau.
00:06:28: Also der Best Case ist fast noch Doppelarbeit und der Worst Case ist, wenn Sie am Best noch gegeneinander arbeiten.
00:06:33: Genau, und dann hilft es ja wahrscheinlich auch, wenn man einfach Prioritäten setzt, wo es gerade am ... Wichtigsten ist, sich erst mal mit zu beschäftigen, oder?
00:06:40: Genau,
00:06:41: also gerade wenn ich sehr begrenzte Ressourcen habe, ist es halt wichtig, dass ich das, was ich habe mit den Ressourcen auch wirklich die wichtigsten Themen voran bringe und auch wirklich auch hier wieder schaue, dass ich vor die Lage komme.
00:06:52: Ein schönes Beispiel, was die viele Leute nachvollziehen können.
00:06:56: Wenn ich nur am Feuer löschen will, aber niemals die Brandursache beseitige, werde ich immer weiter nur Feuer löschen.
00:07:01: Irgendwann muss ich diesen Punkt haben, einmal davor zu kommen und zu sagen, ich kümmere mich erst mal um die Ursache, dass es die ganze Zeit brennt und danach kann ich in Ruhe weiterarbeiten.
00:07:10: Genau, also auch kleinere Ziele setzen und sich langsam und kontinuierlich weiter voran arbeiten.
00:07:16: Genau, und das hat auch meistens den schönen Effekt, dass ich ein positives Ergebnis sehe.
00:07:19: ein fünf Jahresprojekt plane, dann sehe ich in Zweifel fünf Jahre lang gar kein Ergebnis.
00:07:24: Oder im Worst Case habe ich nach fünf Jahren das Ergebnis, das war nicht das, was wir gebraucht haben, weil es vielleicht auch nicht alle Parteien berücksichtigt hat.
00:07:31: Wenn ich aber kleine Schritte mache, kann ich zum einen, habe ich immer ein kleines Erfolgserlebnis.
00:07:35: Und gleichzeitig habe ich aber auch diese, ich bin jetzt ein Stück besser, ich habe schon erste Wirkung erzielt und kann kontinuierlich besser werden, anstatt quasi einen einen großen Schritt in Zweifel zu machen oder auch nicht zu schaffen.
00:07:48: Vielleicht können wir da noch ein bisschen ins Detail gehen.
00:07:50: Wie kann das denn beispielsweise aussehen?
00:07:53: Genau.
00:07:54: Ein Thema, wo man das zum Beispiel sehr schön sieht, ist Multi-Anbieter.
00:07:58: Aus Security Sicht hat es meistens Vorteile, warum wir sagen, eigentlich möchtest du unabhängig von einem Anbieter sein und möchtest in mehrere Anbieter reingehen.
00:08:07: Gerade in Unternehmen, die nicht die Ressourcen haben.
00:08:09: Also wenn ich zum Beispiel multi-cloud werden, das Thema cloud ja gerade als Thema.
00:08:14: Zum Beispiel eine Microsoft Cloud, eine AWS Cloud und eine Google Cloud habe, dann brauche ich Mitarbeiter, die sich mit allen drei Plattformen auskennt.
00:08:21: Ich habe die Schnittstellen-Themen, dafür finde ich meistens jeder Anbieter für sich, hat eine gute Dokumentation, aber spätestens wenn es darum geht, wie kann ich eigentlich eine Multikloud, eine Hybridumgebung aufbauen, wird es langsam mau.
00:08:32: Und auch das macht es deutlich komplizierter.
00:08:34: Das heißt, wir stellen durchaus fest, dass gerade, wenn ich wenig Ressourcen hatte, es eine bessere Lösung ist, einfach einmal mit quasi eine gute Lösung in einer Cloud erst mal zu starten, damit quasi know-how oft zu bauen, zu schauen, ist das das Richtige für mich?
00:08:48: und danach im Zweifel mit genug Abstand größer zu werden.
00:08:52: Und das findet sich mal wieder.
00:08:53: Und das macht es einerseits, macht es den Geschäft quasi einfacher, weil sie nur eine Umgebung können müssen.
00:08:58: Es macht es der IT einfacher, weil sie quasi auch nur ... die Administration, die Updates von einer Umgebung sich kümmern müssen und auch die Security muss sich halt nur mit der Absicherung einer Lösung kümmern.
00:09:09: Das heißt, ich kann quasi sehr zielgerichtet erstmal Ergebnisse schaffen und danach weiter schauen.
00:09:15: Das Cloud is ja jetzt ein großes Thema, was eher komplex ist, aber ich kann mir vorstellen, dass es ja auch schon kleinere Dinge betrifft, wie dass man zwei Tools hat, die eigentlich an sich dasselbe machen.
00:09:26: Aber die IT muss sich ja dann trotzdem eben mit beiden auseinandersetzen, mit der Funktion zwei so und alles verwalten.
00:09:30: Genau.
00:09:31: Geht schon beim Videoconferencing.
00:09:33: Ich hab Teams, ich hab Webhacks, ich hab Big Blue Boutton, das sind so Themen.
00:09:37: Ich kann das an verschiedenen.
00:09:38: Ich kann das auf Betriebssystemebene haben, der eine arbeitet mit dem Linux, der nächste mit einem Windows, der nächste mit einem Mac.
00:09:44: Ich kann das bei den Smartphones natürlich haben, die einen wollen, irgendwie ein altes Android, der nächste hat.
00:09:48: Die China-Marke, der nächste hat einen iPhone beispielsweise.
00:09:52: Und auch das bringt alles Komplexität für alle Beteiligten rein, die ich erst mal mit den Ressourcen nicht habe verwalten muss.
00:09:58: Wenn ich nur eine davon habe, kann ich die halt deutlich höherwertig, sowohl aus IT-Sicht als auch aus Security sich betreuen.
00:10:04: Genau, also das klingt auch komplett logisch.
00:10:07: Das kann man ja gut nachvollziehen.
00:10:10: Genau, ich fass das Ganze noch mal zusammen und du kannst gerne ergänzen, wenn ihr noch was fehlt.
00:10:15: Also für dich ... ist der Weg, dass wir weg vom reaktiven Handeln und hin ins proaktive gehen.
00:10:24: Also, dass wir nicht von außen oder von Trends getrieben und gesteuert sind, sondern dass wir, oder dass die Unternehmen selbst entscheiden, wie sie sich das, wie sie an das Ganze herausgehen.
00:10:34: Also, dass sie das Ruder selbst in die Hand nehmen und sich in Ruhe mit den Themen auseinandersetzen und Schritt für Schritt in die Umsetzung gehen.
00:10:43: Und was ich auch mitgenommen habe, ist, dass alle Bereiche zusammenarbeiten sollten, dass nicht jeder sein eigenes Süppchen kocht und zum Beispiel dann eben mit der IT gesprochen wird und nicht irgendwie bestimmt, wir machen das jetzt genau so, sondern dass alle sich zusammensetzen und gemeinsam Lösungen finden.
00:11:01: Genau, also gerade zum ersten Thema dieses... Vor die Lage kommen hilft mir im Zweifel, wenn ich mich strukturiert damit beschäftige, stellen wir zum Beispiel auch Internet immer wieder fest, eigentlich ist das Thema gar nicht so neu, du kannst viele alte Themen einfach wieder drauf anwenden.
00:11:15: Also auch zur Cloudzeit war das auch jetzt, mit KI ist es wieder so, ich kann Prinzipien, die ich schon verstanden habe, die ich schon angewendet habe, einfach quasi übertragen mit wenig mehr Aufwand.
00:11:23: Das kann ich natürlich nur, wenn ich das strukturiert mache.
00:11:25: Ja, dann bedanke ich mich herzlich dafür, dass du heute hier warst und dein Wissen mit uns geteilt hast.
00:11:30: Ich bedanke mich bei euch fürs Zuhören und hoffe, dass ihr auch beim nächsten Mal dabei seid, wenn wir wieder drei Fragen an einen Experten stellen.
00:11:39: Und weiterführende Informationen zum heutigen Thema, wie zum Beispiel Videos oder auch Artikel findet ihr unten in den Shownotes.
Neuer Kommentar