IT-Sicherheit ist eine Illusion – Ohne Menschen & Fehlerkultur funktioniert sie nicht | Stefan Nees

00:00:01: Es ist nur so, dass wie auch immer oftmals der Gedanke Aufwandkosten mehr im Vordergrund steht als Bedarf von Notwendigkeit.

00:00:12: Und der Wille sich damit auseinanderzusetzen also das Verständnis davon was heißt das denn genau?

00:00:18: Was heißen diese ganzen Cyberrisiken?

00:00:22: Der ist einfach nicht da.

00:00:23: jetzt by the way ich kann immer sagen Ransom wer hat mehr für die Erwärmung zur Cybersecurity beigetragen als alles der Civilisierungsschulungen davor.

00:00:34: Das ist ein enormes Zeichen an dieser Stelle.

00:00:46: Her

00:00:55: und herzlich willkommen zu einer neuen Folge vom Highway, dem Podcast der Heiß Solutions!

00:01:00: Mein heutiger Gast hat einen sehr besonderen und außergewöhnlichen Weg hinter sich den wahrscheinlich nur sehr wenige beschreiten und mit dem wahrscheinlich nur weniger relaten können.

00:01:13: Und zwar hat die Reise bei einem Nachrichtendienst angefangen, und ist letzten Endes in der Chefetage eines renommierten IT-Beratungsunternehmen geändert.

00:01:23: Dadurch hat mein heutiger Gast Stefan Näs nämlich die Möglichkeit aus verschiedenen Brillen und verschiedenen Perspektiven das Thema Sicherheit zu betrachten.

00:01:33: Und eins kann ich schon mal vorab spoilern.

00:01:36: Sicherheit hat nicht nur etwas mit Technik zu tun, und genau darüber möchte ich heute mit Stefan reden.

00:01:42: Schön, dass du da bist, Stefan!

00:01:45: Bevor wir einsteigen ... Deine Karriere klingt jetzt wie so'n Agentenfilm, wenn man mal darüber nachdenkt.

00:01:53: Würdest Du Dich eher als James Bond oder Jason Bourne einordnen?

00:01:58: Weder noch gar nicht hat überhaupt nichts damit zu tun...

00:02:02: Und ich muss jetzt auch nicht geblitzt dingst werden nach der Folge, oder?

00:02:06: Nein.

00:02:06: Wir gehen einfach rein und trinken dann erledigt sich

00:02:08: das.

00:02:08: Sehr gut!

00:02:09: Die Zuschauer schafft dann wieder dazu ein.

00:02:11: Ja.

00:02:15: Super, dann lass uns gleich einsteigen Stefan weil dieser Werdegang klingt nun mal sehr interessant.

00:02:21: Was mich interessieren würde ist was dich dieser Weg, dieser ungewöhnliche Weg vom Nachrichtendienst in die Wirtschaft über das Thema Sicherheit gelehrt hat.

00:02:31: Als ganz allgemein gesprochen vielleicht mal, es wird sehr viel mehr darüber geredet als sie tatsächlich vorhanden ist.

00:02:39: Also was meine ich damit?

00:02:41: Es fängt ja an mit der Frage über welche Latte muss ich entspringen?

00:02:47: also wie hoch muss die Sicherheit gelegt werden um das gewünschte Risikoabzeptanz-Niveau zu treffen?

00:02:54: und da fängt's eigentlich schon an.

00:02:57: Woher weiß ich denn mein gewünschtes Risikoniveau?

00:03:01: Und da ist der Risiko-Aptit eines Nachrichtendienstes oder einer militärischen Anlage natürlich etwas anderes als ein Wirtschaftsunternehmen, einen Forschungslabor oder eine Privatperson.

00:03:12: Man kann mit einem guten Gewissen attestieren dass das Risiko in der Regel unterschätzt wird.

00:03:21: Wenn man an Sicherheit denkt dann hat man meistens auch eher Aufwand und Kosten im Gedanken als Notwendigkeit und Bedarf.

00:03:29: Das ist ein Unterschied.

00:03:32: Bedauerlicherweise stellen wir auf entscheiderebene öfters fest, dass die Risikowahrnehmung eben nicht in dem Maße vorhanden ist.

00:03:43: Also das gilt im Kleinen als auch im Großen.

00:03:47: Das galt früher, das galt jetzt In der kleinen Im Unternehmen also auch in der Staats- oder Weltpolitik.

00:03:56: Es passt einfach Nicht zusammen und mit dieser mangelnden Risiko oder mit dieser malen Fähigkeit diese Bedrohungslage auch wirklich einschätzen zu können, geht auch oder korreliert die Investition in die Sicherheit.

00:04:13: Das ist ein Punkt.

00:04:15: Würde man Sicherheit von Anfang an mitdenken dann wäre es natürlich sehr viel günstiger als wenn man sie im Nachhinein implementiert und wenn Sicherheit überhaupt erst ein Geschäft ermöglicht.

00:04:28: das sind dann die ganz spannenden Punkte um dies eigentlich geht.

00:04:32: Wenn ich Entscheidern spreche, dann spreche ich auch immer von politischen Entscheidern.

00:04:39: Das gehört für mich dazu.

00:04:41: Beispiel wenn ein Nachrichtendienst im Verhältnis mehr Datenschützer als Ermittler entwickelt, ist schon die Aufstellung falsch.

00:04:53: oder wenn Bundesbehörden und nachgelagerte Behörden bestehende Vorgaben für Cybersecurity weglassen sollen, dann habe ich ernsthafte Kompetenz und Realitätsfragen an die Entscheidungsträge.

00:05:09: Man kann also insgesamt sagen der Grundtinoor treffe eine realistische Annahme über die Bedrohungslage und richtet seine Maßnahmen danach aus.

00:05:23: Der hat sich in den letzten Jahrzehnten nicht geändert.

00:05:26: Das heißt Security ist immer dann oder Sicherheit im Allgemeinen ist immer teurer, wenn man es quasi zu spät erst berücksichtigt.

00:05:33: Das Bewusstsein muss von vorne rein schon da sein damit ich das Geld spare was ja eigentlich der Aspekt ist zu sagen Ich spare mir das Geld und setze die Maßnahmen nicht um.

00:05:44: Was passiert?

00:05:46: Wenn man das nicht beachtet?

00:05:47: das können wir gerade in der Weltpolitik oder bei uns im Staat sehr gut beobachten.

00:05:52: Aber ist das nicht absurd dass Dass die Politik die Regularien macht auch für Wirtschaft und Co.

00:05:59: Aber die Politik selbst das Bewusstsein nicht hat, obwohl wir mittlerweile von hybride Kriegsführung sprechen.

00:06:05: Also dass Kriege nicht mehr nur noch militärisch sondern eben auch im Cyberraum stattfinden.

00:06:11: Da sollte man ja eigentlich als Normalbürger wie ich es jetzt einer bin vermuten, dass die Politik dort eigentlich schon up to date ist und entsprechende Maßnahmen ergreift auch für die Zukunft und auch Unternehmen vorbereitet.

00:06:26: Sollte man meinen!

00:06:28: Man sollte auch meinen, dass eine Geschäftsführung in der Lage ist ein ausgewogenes Verhältnis zu implementieren.

00:06:36: Also nicht nur für Sicherheit sondern auch für die handelnden Personen.

00:06:39: aber das ist vielleicht noch einen Punkt den können wir uns nochmal näher anschauen.

00:06:43: In einer anderen Folge Aber interessant es um auf meine Frage zurückzukommen was hat dir... Was haben die beide Bereiche zum Thema Sicherheit gelehrt?

00:06:53: Dass beide ähnlich Träge reagieren oder ähnlich träge präventive Maßnahmen ergreifen.

00:07:00: Das habe ich jetzt so daraus gehört?

00:07:02: Ja, die Entscheidungsträger nennen wir es mal so.

00:07:04: Die Personen, die sich mit den Themen auseinandersetzen haben in der Regel schon ein realistisches Bild.

00:07:14: Es ist nur so dass wie auch immer oftmals der Gedanke Aufwandkosten mehr im Vordergrund steht als Bedarf Notwendigkeit der Wille sich damit auseinanderzusetzen, also das Verständnis davon.

00:07:29: Was heißt das denn genau?

00:07:31: Was heißen diese ganzen Cyberrisiken?

00:07:34: Der ist einfach nicht da!

00:07:37: By the way ich könnte mal sagen Ransomware hat mehr für die Awareness zu Cybersecurity beigetragen als alle Sensibilisierungsschulungen davor und das ist ein enormes Zeichen.

00:07:50: an der Stelle

00:07:51: Hat er auch wieder den finanziellen Aspekt, die finanzieellen Einbußen.

00:07:54: dann im Fall von Ransomware.

00:07:56: Ja da hat man es dann deutlich gemerkt, ah der ist doch etwas.

00:08:00: ich muss mich offensichtlich damit auseinandersetzen.

00:08:03: also das ging nur durch Zwang aber nicht durch proaktives Mitdenken.

00:08:11: Würdest du denn überhaupt sagen wenn meine zweite Frage zieht eigentlich darauf ab wie Sicherheit aus diesen verschiedenen Perspektiven die Du jetzt kennst und Durchlebst hat zu betrachten ist würdest du sagen dass es dort große Unterschiede gibt?

00:08:24: Wie betrachtest du das aus den verschiedenen Brillen, Geheimdienstunternehmen aber auch Anwendersicht.

00:08:30: Du bist ja auch Anwender selber.

00:08:32: Ja, das ist eigentlich gar nicht so viel unterschiedlicher.

00:08:39: in einer meiner ersten Lenkungsausschusssitzungen als Berater hat damals einen Vorstand in der Sitzung gesagt warum machen wir nicht den einen Server sicher und vergessen das Ganze mit diesem Management Quatsch?

00:08:54: Da hat man erkannt, der hatte noch diese Burg, diese Festung als Synonym für Sicherheit im Kopf abgespeichert.

00:09:03: Also isoliert geschlossene Systeme, eigene Hardware-Systeme, wenig Mobilität.

00:09:10: dabei war Die Realität längst eine andere.

00:09:14: Man konnte sagen, dass Dorf der IT-Sicherheit hatte unendlich viele Einfallslöcher und eigentlich redete man über Bring Your Own Device, Zero Strust Modelle Endpoint Encryption was auch immer.

00:09:33: Man muss dieses mitdenken!

00:09:35: Jetzt ist die Entwicklung wieder eine andere.

00:09:38: Jetzt redet man über ganz andere Themen, KI-gesteuerte Cybersecurity, Cloud und Saaslösungen sind Themen Und das so ändert sich auch die Bedrohungslage.

00:09:52: Ihr kennt ja sicherlich den Opa-Oma Anruf von irgendwelchen Kriminellen oder Enkeltrick, der Enkel in Not geladen ist und dringend Geld braucht.

00:10:04: Das Ganze kann ich jetzt als Deep Fake mit KI machen.

00:10:07: Und dann kommt eben nicht der Anrufe sondern es kommt ein Video oder es kommt eine Telefonie dazu rein.

00:10:15: Wenn's möglich ist wird sicher auch jemand probieren.

00:10:19: das ist das was ich mitgenommen habe.

00:10:22: Spannend, vor allem ist ja auch Dinge wie KI sind ja jetzt total stark in unseren Alltag integriert.

00:10:29: Das heißt so ein Deepfake zu erstellen ist jetzt nichts was der klassische Hacker alleine kann sondern in ein paar Jahren könnte man sich vorstellen dass das auch privat ganz professionell laufen können?

00:10:39: Ich glaube gar nicht dass noch ein paar Jahre dauern.

00:10:41: es geht ja alles ziemlich schnell.

00:10:43: mein einzelne Programmiertools haben Hacker schon immer im Darknet verkauft.

00:10:49: Jetzt die Sachen zu erstellen, wird jetzt auch nicht mehr die große Raketenwissenschaft sein.

00:10:54: Also da lassen sich einzelne Deepfakes wahrscheinlich sehr schnell mit der entsprechenden Rechnerkapazität erstellen und wer sagt uns dann ob das Fake oder nicht Realität ist?

00:11:07: Das ist auch ein sehr spannender Aspekt, da kann man richtig gut ethisch und philosophisch darüber diskutieren was das für Auswirkungen auf die Gesellschaft haben kann.

00:11:17: Ich merke schon Stefan wir brauchen ein paar Podcast-Folgen mehr mit dir um diese Themen unterzubringen.

00:11:26: Was mich aber darüber hinaus noch interessieren würde ist dieser Aspekt Ist Security nur Technik?

00:11:33: Ich hab aus dem herausgeholt, was du zu den anderen Fragen schon gesagt hast.

00:11:37: Dass das eben nicht nur ist.

00:11:39: Was darüber hinaus ist es für dich noch?

00:11:42: Also ... ähm ... ist es eben nicht.

00:11:47: Es kommt sehr viel auf die handelnden Personen an, also den Menschen als solches.

00:11:52: Der Mensch ist auch viel interessanter als der Computer um das mal zu sagen.

00:11:57: Der Computer ist kompliziert aber einmal Ein Verhalten abgebildet kann ich es jederzeit mit gleichen erwartbaren Ergebnisse reproduzieren.

00:12:07: Der Mensch ist komplex, da ist was zuhören schon unterschiedlich geschweige denn das erwartbare Verhalten.

00:12:15: also dass ist eigentlich die größte Komponente von der wir reden.

00:12:21: Technik ist absolut notwendig völlig klar aber die Person diese bedient die handeln Personen.

00:12:30: Das ist der Punkt, der oftmals leider völlig vergessen wird.

00:12:34: Es greift auch so ein bisschen zu einer anderen Folge über die wir mit Angristin haben, wo wir über Change Management sprechen und sie legt eben den Fokus auf den Menschen hinter der Technik.

00:12:45: Und das ist eine kleine Parallele, dass man bei Security nicht nur bei Transformationsvorhaben sondern auch bei Sicherheitsvorhaben den Menschen dahinter der Techniken betrachten muss.

00:12:56: Absolut!

00:12:57: Sicherheit ein zwingendes Kulturthema, die wenn ich es jetzt auf eine Organisation legen würde.

00:13:06: Die Mitarbeiter müssen die Sicherheit haben, dass sie Anerkennung erfahren, wenn sie auch etwas hinweisen.

00:13:12: Dass sie die Sicherheit habe, dass in keine Sanktionen laufen, wenn mal was passiert also das ist ne offene Fehlerkultur gibt.

00:13:21: Das sind alles wichtige Bestandteile.

00:13:24: deswegen sage ich immer Sicherheit ist zwingend ein kultureller Faktor Und ohne die Handeln Menschen ist Sicherheit nur eine Illusion.

00:13:32: Das ist doch mal ein schönes Schlusswort, Stefan!

00:13:36: Sicherheit beginnt eben beim Menschen, beginnt bei den Entscheidungsträgern, die sich dafür entscheiden, Sicherheit mit einzubeziehen und schon früh genug anzugehen?

00:13:45: Ja... Da könnte ich jetzt noch die klassischen vier Fehler hinweisen, aber das können wir ein anderes Mal machen.

00:13:50: Ich sehe schon ein paar mehr Teile.

00:13:53: Sehr schön!

00:13:54: Schön, dass du heute da warst.

00:13:55: Stefan, danke für diese ganzen interessanten Einblicke auch in deine Geheimagentenlaufbahn.

00:14:02: Danke, dass Du da warsst.

00:14:04: Zirg gerne.

00:14:05: Und danke auch an euch, dass ihr wieder mit eingeschaltet habt und wieder mit dabei wart.

00:14:10: Wenn Euch die Folge gefallen hat dann lasst gerne einen Abo da und lasst uns vor allem auch gerne eine Bewertung da.

00:14:16: Ansonsten wünsche ich euch eine schöne Zeit bis zum nächsten Mal, wenn wir wieder ein Experten drei Fragen und zehn Minuten

00:14:37: haben.