Humans against Cyber - Was ist eigentlich CyberWellness- EP1

Eva: Moin, lieber Nermin

Nermin: Servus, liebe Eva

Eva: Herzlich willkommen zur ersten Folge des neuen Cyberwellness Podcastes, Humans Against Cyber. Heute startet unsere erste Folge für euch. Eure Hosts sind Nermin und ich Eva. Und damit ihr überhaupt wisst, mit wem ihr das hier zu tun habt, würde ich mich freuen, Nermin, wenn du dich mal als erster vorstellst.

Nermin: sehr gerne und endlich haben wir es geschafft. Nur für unsere Zuhörer, damit sie es auch wissen. Dieses Konzept, diese Folgen hier zu haben, ist schon irgendwie zweieinhalb Jahre her und mit irgendeinem Hin und Her haben wir es endlich geschafft und ich bin wirklich erfreut und aufgeregt, dass wir das jetzt endlich mal geschafft haben. Aber ja, zu deiner Frage, ich bin der Nermin bin 47 Jahre alt, nun etwas seit Zeitekaden in dieser Industrie, die sich Cybersecurity nennt. Ich sage diese Zahlen nicht, weil ich damit irgendwie angeben will, dass es so lange ist, sondern nur den Kontext zu schaffen, dass ich schon ein bisschen was gesehen habe. Ich habe tatsächlich als Anwendungsentwickler angefangen, habe einige Stages dazwischen geschafft, bis ich mal den Absprung von dieser rein technologischen Sicht auf Security geschafft habe und jetzt mich ein bisschen auf die menschliche Seite und der Fähigkeiten für Cybersecurity widmen kann. In dem Zuge hatte ich die Freude eben auch Eva kennenzulernen. Deswegen, Eva, wer bist denn du eigentlich?

Eva: Ja, also ich bin jetzt auch schon über 20 Jahre, Herrgott. Also im IT -Bereich allerdings nur. Ich bin 45 Jahre alt und seitdem ich 20 bin, tatsächlich auch im IT -Bereich unterwegs in der Security jetzt erst seit acht Jahren.

Nermin: Wir sind alt.

Eva: Aber mitgehangen, mitgefangen. Da kommst du nicht wieder raus. Ich liebe die Community. Da sind besondere Menschen, sehr viel intrinsisch motivierte Menschen. Und seitdem weiß ich, ich will da nicht mehr raus. Also ich war beim SANS -Institut und hab viel einfach da auch schon dabei geholfen. das Unternehmen erkennen, wie wichtig auch die Befähigung von Menschen ist. Und dann ging's weiter. dass wir beide uns darüber eigentlich auch kennengelernt haben, nebenbei, weißt du das noch?

Nermin: Genau, das war der Kickoff dieser kontroversen Beziehung, die wir da haben. Tatsächlich war es eigentlich darum, nur in Anführungsstrichen aus meiner Frustration, eine Stillstande, dass dachte ich, ich muss jetzt mal irgendwie mich weiterbilden, irgendwie adäquat und jeder spricht natürlich über diverse Kurse und Zertifizierungen und darüber kamen wir dann in Kontakt. Und du hattest ja tatsächlich

Eva: Ja!

Eva: dass obwohl ich sales bin.

Nermin: Genau, das wollte ich gerade sagen. Eigentlich war es ja schwierig, weil ich genau das Kontakt zu solchen Leuten und der eine oder andere, der von den Zuhörern tatsächlich es vielleicht irgendwie nachvollziehen kann, versucht habe zu vermeiden, weil man selten seine eigenen Interessen da abgedeckt sieht. Aber wir werden, glaube ich, im Zuge unserer verschiedenen Folgen auch noch mal auf das genauer eingehen.

Eva: Was?

Nermin: Du hattest tatsächlich dann aufgezeigt, dass das Sales auch anders sein kann, dass tatsächlich so etwas wie Empathie und Verständnis für die Situation und wirklich Hilfsbereitschaft dahinter sein kann und nicht nur der reine Verkauf. Es kam nie zu einem Verkauf, aber es kam zu einer sehr, wie ich finde, produktiven und anreicherenden Beziehung. Wir hatten auch das Vergnügen, tatsächlich eine Zeit zusammenzuarbeiten. Von daher freue ich mich auf das, was war und auf das, was kommt.

Eva: Hehehe.

Eva: Ja, ich mich auch total, weil also verschiedener könnten wir eigentlich nicht sein, aber vereint in den Werten, das ist sehr wichtig. Und wir haben beide festgestellt, und das ist auch mit einer der Gründe ja auch für den Podcast, wo man sagt, das kann auch andere beflügeln, dass unsere unterschiedlichen Sichtweisen auf Dinge, wirklich diese sehr, sehr professionelle Cyber-, Security -Sicht aufgrund deiner komplexen Erfahrungen und aber auch der durchaus nützliche Faktor, Dinge Menschen auch so kommunikativ nahezulegen, dass es sich für doch relevant wird, dass das einander ganz schön gut helfen kann.

Nermin: Ja, und wir hatten ja auch Kunden, die uns ja darauf hingewiesen haben, wann wir denn jetzt endlich mal einen Podcast machen, weil diese Diskussionen sollten auch andere mitkriegen.

Eva: Stimmt. Stimmt, das war richtig schön. Hast du recht. Ja Mensch, also was ist denn Cyber Wellness eigentlich? Warum wollen wir darüber reden? Warum ist das relevant?

Nermin: Ja, Cyber Wellness, als ich das erste Mal über diesen Begriff gestolpert bin, dachte ich mir, ach du liebe Neune, schon wieder irgendwas, ein weiteres Buzzword, was irgendwie sich getrieben wird. Und wir wissen ja, Cyber Security hat sich ja immer sehr Buzzword getrieben. Und ich dachte, wieder was, ein neuer Ansatz, diesmal wohl anscheinend ein bisschen esoterischer, aber halt irgendwie was mit Cyber Yoga oder was immer zu tun. Also ich war tatsächlich eher skeptisch bis...

Eva: Hehehe

Nermin: Tatsächlich hat Recherche so ein bisschen ergeben, dass das durchaus tiefgründiger ist und tatsächlich so ein bisschen die Basis von all den Sachen triggert, eben den Umgang mit digital in Summe und den notwendigen Vertrauen in das Digitale auf allen Ebenen gestartet bei Kindern bis hin zu Entscheidungsträgern. Ich finde das ist sehr spannend, das ist ein sehr großes Thema und ich finde auch sehr wichtig.

Eva: Ich habe dein Posting gesehen, das war wirklich die Geschichte. Da hast du, genau wie du auch gerade gesagt hast, gesagt, hier wieder so ein Scheiß, Cyber Wellness. Also so hast du es nicht geschrieben, natürlich etwas freundlicher. Aber es war, und ich weiß nicht warum, vielleicht weil ich auch eben mehr diese Human Side of things bin - mich hatte es total angesprochen, dachte ich, Cyber Wellness, das klingt ja geil. Und habe darauf geklickt, was du geteilt hast, hat mich total angesprochen. Weil... Ich von der Menschenseite Cyber auch oft als so bedrohlich und es ist schwer und es ist kompliziert und das ist nur für ganz spezielle Leute und das war so das erste Mal, dass ich dachte, ey, das klingt irgendwie geil, weil das klingt interessant für jedermann. Und das ist ja so wichtig, ne? Und dann, aus Singapur ist ja das Programm, also oder das, wohin du da verwiesen hattest, wo eben der Ansatz aufgegriffen wurde zu sagen, so, das fängt ja schon ganz früh an. So und... Das fand ich dann erst recht richtig sinnvoll, weil das stimmt ja auch, wenn wir hier in unsere Schule gucken oder an unsere Schulen, an unsere Universitäten, an unsere Elternhäuser, an uns selber, wenn wir nicht gerade auch aus der Branche kommen. Wie selbstverständlich bringen wir es denn, trotzdem wir alle Mitglieder der digitalen Gesellschaft sind, anderen bei wie sie sich dort auch sicher verhalten, oder?

Nermin: Ja, und es ist irgendwie, weil wir dieses Thema mit Sicherheit immer mit dunklen Stories verbinden. Man sieht es ja in der Presse ja täglich, irgendwo irgendwelche Breaches, wieder irgendein Unternehmen, wieder irgendwo Millionen von persönlichen Datensätzen verloren. Und ja, wenn man das mitkriegt und so ein bisschen firm ist, dann entwickelt man eher eine Angst, eine Abneigung und jeder, der digital kommuniziert wird, erst mal mit Misstrauen begegnet, weil man es nicht greifen kann. Das haben die halt in Asien da ein bisschen anders aufgegriffen. Wie viele von, gerade in unserer Generation, die vielleicht auch noch Kinder, die Jünger haben, die sehen, wie unvermeidbar das Thema digitale Medien einfach ist. Die müssen damit umgehen und die Kinder haben auch einen natürlichen, normalen Umgang damit. Aber man muss es halt frameen. Man muss es halt tatsächlich halt in irgendeinen Kontext bringen, damit man auch natürlich die Gefährdung auch besteht, aber halt das nicht irgendwie überwiegt, sondern auch mal durchaus den Nutzen daraus halt sehen kann.

Eva: Voll. Ich hatte zu dem Thema, da würde mich mal deine Meinung interessieren, weil da wurde ich tatsächlich ganz ordentlich einmal von auch einem Wegbegleiter aus der Community hart gechallenged. Ich habe einen Artikel geschrieben, wo ich geschrieben habe bei More Than Digital, dass Security so selbstverständlich werden sollte, wie dass wir unsere Haustür abschließen und dass wir darauf konditioniert werden sollte. Und dann kam eine ganz großer Kritik. an mich mit der Aussage, Konditionierung ist generell schlecht. Und da wird mich mal, also ich vertrete den Standpunkt immer noch, weil ich finde für ein paar Dinge ist das einfach hilfreich. Ich denke jetzt gerade nicht so viel darüber nach. Ich vergebe automatisch Passwörter. Ich verschlüssel gegebenenfalls Kanäle automatisch, wo ich vertrauliche Informationen tauschen möchte und denke gar nicht mehr so darüber nach. Ich auch nicht darüber nachdenke, die Haustür zu schließen. Sagen wir nicht, nichts destotrotz Ist das ein Kritikpunkt gewesen? Mich würde interessieren, wie deine Meinung da ist.

Nermin: Ich kenne nicht denjenigen, der es kommentiert hat, aber ich glaube tatsächlich, die Problematik daran ist, dass man sich wahrscheinlich an dem Wort Konditionierung gestoßen hat und weniger an der Idee dahinter. Konditionierung ist etwas, was wir eher so aus, sagen wir mal, Umgebungen in dieser Welt kennen, die eher anders politisch gesinnt sind und die eine ganz andere Struktur haben, wo tatsächlich alles vorgelebt wird und in strenge Regeln sind und deswegen vielleicht mal eher dieser Propagandagetriebenen Konditionierung vielleicht irgendwie unterliegt oder unterliegen mag. Aber grundsätzlich ist es einfach so. Vielleicht ist es keine Konditionierung, aber es ist allein die Art und Weise, wie man Erfahrung sammelt. Und du musst etwas erfahren, damit du weißt, warum du etwas in Zukunft genauso machst oder warum du etwas in Zukunft nicht mehr so machen wirst. Und dieses erfahrungsgetriebene Lernen ist einfach das, wo unser Schulsystem auch ein bisschen dranhakt. Warum wir quasi Generationen entwickeln, die einfach eben nicht mit diesem digitalen Umgang, der einfach Firmen sind und deswegen auch die Gefahren und die Vorteile halt einfach unter - oder überschätzen. Und deswegen, vielleicht ist es wieder nur das Thema Konditionierung, aber das Heranführen und das ist etwas, was ich an diesem Cyber Wellness irgendwie auch ganz gut finde, dass es ja auch Rahmen und Programme halt einfach schafft, zielgruppenorientiert tatsächlich diese Erfahrung beizubringen und ein gutes Gefühl für den Umgang damit, aber natürlich auch einen sicheren. Und ich glaube, es würde ja jetzt auch keiner bezweifeln wollen, dass es sinnvoll ist, wenn man in den Urlaub geht, seine Fenster zu schließen und nicht über Wochen offen zu lassen oder Haustüren offen zu lassen. Und dieses Konstrukt des Hauses finde ich tatsächlich sehr wichtig. Ist etwas, was aus so einem Paradigma durch Sauber Security gegangen ist. Das Thema Firewall kam ja genau deswegen ja auf. Das waren ja die die Burgmauern, die man früher sich geschart hat. Das waren die die. wo man dann irgendwelche Drachen geschwommen sind, sein Haus zu schützen. Und jetzt bauen wir halt Zäune sein Kunststück rum. Das Konstrukt kommt ja tatsächlich ja davon, dass man sagt, man möchte sich von dem bösen Unbekannten draußen abschirmen. Von daher würde jetzt keiner hinterfragen, warum man jetzt Türen und Fenster und Zäune braucht. Und ich glaube, das ist so selbstverständlich, sollte das Thema auch sein. Aber es ist halt wie gesagt nicht nur die Gefährdung, sondern halt auch eine Chance dahinter.

Eva: Stimmt.

Eva: Aber was ist denn deine These an sich, warum in Unternehmen, wir erleben das jetzt ja auch seit vielen Jahren, auch immer wieder der Tenor ist in vielen Konzernen, aber auch in kleineren Unternehmen, so hier und der blöde User, der hat es so wieder nicht verstanden und die Mitarbeiter sind total genervt von der Security und können nicht wirklich erkennen, was ihr Vorteil ist. Da ist ja schon so ein bisschen der Wurm drin, ne? Und es gibt natürlich auch wie immer ein paar schöne Beispiele, wo sowas schon sehr gut funktioniert. Da werden wir auch in kommenden Folgen sicherlich auch nochmal ein bisschen mehr teilen können, aber so grundsätzlich kriege ich immer wieder mit alles mit genervt. Also ich kann ein Beispiel tatsächlich ganz konkret machen. So hier, Awareness Training wird gearbeitet, parallel lässt du das Video laufen. Yeah, ich hab's abgeschlossen. Das Compliance Training, das verordnete, das Zwanghafte. Was dann einmal kommt im Jahr, sitze ich dann da und schlafe nämlich teil oder bin genervt danach, weil das so langweilig war. Und das war es dann irgendwie auch. Das war dann mein Berührungspunkt damit. Warum?

Nermin: Ja, weil alles so... Jetzt muss ich aufpassen, dass ich nicht irgendwie zu plakativ werde, aber weil alles so... Ohne Sinn und Verstand gemacht, ohne eine übergeordneten Motivation will ich es nennen. Man macht es, weil man denkt, dass man irgendwas machen muss. Und irgendjemand hatte eine Idee und musste tatsächlich dann, sag ich mal, irgendeinen Sponsor drüber überzeugen, warum machen wir jetzt eigentlich diese, bei der einen Beispiel zu bleiben, Fishing -Kampagnen.

Eva: Doch, hau raus!

Nermin: Und dann hat einer versucht, dem einen das zu verklickern und sagt er, was habe ich einen Vorteil davon? Regulatoren würden das ganz gerne mögen, wenn sie mal sehen. Dann sagen sie, okay, ich sponsor ein bestimmten Beitrag oder ich sponsor das und mache das. Aber es ist in Grunde genommen nur, dieses Thema sich zu erledigen, weil einer gesagt hat, du musst es tun. Und so geben wir es dann in Grunde genommen auch an unsere Mitarbeiter weiter. Du musst es halt tun, weil wir aufgefordert sind oder weil es dann dem Unternehmen ganz gut steht, nicht weil wir es... Weil immer dieser Funken der Überzeugung halt einfach fehlt. Wir sagen Sicherheit ist uns ein wertvolles Unternehmen, ist gut, so wie alle Mitarbeiter, so wie das, was wir produzieren, ist das halt auch. Und wir möchten das schützen und lieber Benutzer, hilf uns dabei. Also diesen Kontext zu schaffen, das ist etwas, glaube ich, worauf wir nicht schaffen, weil wir nicht dran glauben oder weil die es propagieren, nicht dran glauben und das nicht transportiert kriegen, dass das etwas ist, was wichtig ist und nicht was einfach... mal gemacht werden muss, weil der User wird halt mit seinem Mail genervt und er wird diese diesen 15 Minuten Schulung nur machen, damit er nicht weiter genervt wird. Nicht weil er was draus lernen will und nicht weil er das Unternehmen damit schützen will.

Eva: Aber weißt du, ich finde das gerade total cool, weil das kann ich mir gerade auch richtig wieder im übertragenen Sinne total gut vorstellen. Der CEO oder die Geschäftsführer oder Inhaber, die denken ja nicht darüber nach und nölen so rum und sagen, wir müssen hier auch die Türen physisch abschließen. So eine Scheiße, wir müssen hier irgendwo ein Tresor haben. Und ach Gott, einfach nur weil wir es müssen. Am liebsten würde ich alles offen lassen. So. Wenn der genauso selbstverständlich auch da rausgehen würde und sagen würde, so vollkommen klar, wir sind in der digitalen Welt unterwegs, dazu gehören ein paar Sicherheitsvorkehrungen, kostet x, natürlich immer basierend auf eigenem Risiko, es muss ja auch nicht alles total übertrieben werden, da kann man ja auch mal darüber diskutieren, ist ja auch ein bisschen gehyped jetzt so, ne, auch das Thema, wie viel brauche ich wirklich, da hast du mal ein sehr schönes Modell, auch das habe ich in einer deiner Slides gesehen, wo du... sehr gut auch ermitteln konntest, was ist überhaupt ein relevantes Risiko, dass man da auch diesen geschärften Blick hat. Aber diese Selbstverständlichkeit muss dann ja wirklich von ganz oben kommen und sich dann so durch runterziehen. Da kommen wir wieder zur Kultur, richtig.

Nermin: Ja zur Kultur und Security ist halt, es funktioniert nur als übergreifende Maßnahme. Es funktioniert nicht. Und oft ist das so, wo man speziell im deutschsprachigen Raum noch so ein bisschen drin steckt, man sieht Security immer noch so als technisches Ding. Ich habe Leute, die sich darum kümmern und ich habe ja schon Investments getätigt, also muss das jetzt funktionieren. Irgendjemand muss ja dieses Investment in, lass es Firewalls, lass es Kampagnen sein, wie auch immer. Ich habe ja schon ein Investment getätigt und davon erwarte ich irgendwas. Ich glaube, es ist ein valider Business -Sicht drauf. Ich habe etwas investiert und will etwas zurück. Aber habe ich dann das Richtige investiert, dann habe ich die richtige Erwartungsgehaltung gehabt hinter dem Investment, was mir das bringen wird. Deswegen bin ich der Überzeugung, jede Maßnahme, die nur einen Teil der Organisation triggert, sei es jetzt nur technisch, wird nie dazu führen, dass das Unternehmen sich sicherer fühlt. sondern nur, wenn ich so was habe auf allen Ebenen, dass ich als Geschäftsführer weiß, welches Risiko ich habe, dass ich weiß, welche Informationen brauche ich, dieses Risiko zu steuern. Und ich ein gutes Gefühl habe, dass die Leute, die unten für mich da arbeiten, im Grunde genommen halt auch das liefern können, was wir wollen. Nur dann entwickelt sich so was wie Widerstandsfähigkeit oder Resilienz, die ich mit gutem Gefühl habe und nicht einfach sagen kann, ich habe eine Million in XY investiert. Das muss doch jetzt reichen für die nächsten zwei Jahre.

Eva: Stimmt. Ja, also ich meine, das Thema Resilienz ist jetzt natürlich, das ist ja auch so ein Buzzword gerade, Cyber Resilienz, aber ich finde, es trifft einfach auch ziemlich perfekt, weil so leben wir halt, ne? Da ist eine Welt uns herum, wo viel Veränderung, viele Gefahren, AI, KI, was da jetzt gerade auch alles kommt, wird ja auch gerade für Security extrem relevant. Und aber auch für natürlich Ethik und und und und und... Dass du einfach, du musst diese Offenheit oder auch diese Erfahrungsbereitschaft haben, weil sonst kannst du dich dem gar nicht, da gehst du ja unter. Dann hast du ja nur Angst und das ist immer ein schlechter Berater. Angst war noch nie ein guter Berater.

Nermin: Ja, und wie gesagt, wieder zurück zu diesem Thema, das Grundprinzip von Cyber -Wellness da zurückzukommen, wir kennen das ja alle. Du kannst deinen Kindern nicht verbieten, Zugang zu online zu haben. Sei es jetzt diese diversen WhatsApp -Gruppen, YouTubes, Google -Ergebnisse, was auch immer. Du kannst das nicht verwehren. Du kannst das versuchen zu kontrollieren. Und wenn du da aus Angst agierst, das ist etwas, was wir der Generation ja mitgeben, dass das irgendwie ... geheimnisvoll ist und deswegen ist es vielleicht sogar noch interessanter und deswegen möchte man da noch tiefer rein und man wird sich da Zugang zu dem verschaffen. Und statt dass mir da wird einfach ein normales und gesundes Verständnis dafür entwickeln, wie sowas einfach zu nutzen ist, was man dafür irgendwie hat.

Eva: Aber einfach mal eine Frage. Ich weiß nicht, aber ich stell mir jetzt vor, mein Kind, WhatsApp -Gruppe, und es ist ja auch total einfach, auch frei verfügbar inzwischen, einfach da eine Stimme hochzuladen und dann sagt die was anderes. Dann sehe ich zwar vielleicht noch in WhatsApp, das ist nur eine weitergeleitete Voice Note oder so, aber da ist da plötzlich meine eigene Stimme drauf. Wie kann ich denn das? Kann ich das überhaupt verhindern oder? Wie erkenne ich das? Was wären so Tipps, wie man so etwas, wie man dem begegnen kann? Weil das ist ja unheimlich.

Nermin: Wenn ich das wüsste, würde ich das tatsächlich bei meinen Kindern zuerst schon gleich praktizieren. Aber grundsätzlich, ja, es ist, das glaube ich, das mit AI speziell, das hat sich jetzt, würde ich sagen, in den letzten 20 Jahren und da habe ich gerade vor kurzem eine hitzige Diskussion darüber gehabt. Ich behaupte und vertrete das nach wie vor, dass wir in den letzten 25 Jahren keinen wirklich signifikanten technologischen Fortschritt gemacht haben. Wir haben einen Haufen neuer Technologien, die halt irgendwas machen.

Eva: Hahaha!

Nermin: und hat mit Sicherheit alles so seine Daseinsberechtigung, aber es gab nie so ein großes Ding. Und AI hat das jetzt verändert. Dieser Zug von AI in alles, das ist wirklich ein recht großes Ding. Und für mich selber, meine eigene Stimme zu hören in Japanisch, wo ich selbst meinen Hirn weiß, ich kann kein Japanisch, aber ich höre mich selber sprechen, ist einfach bizarr. Aber muss den Kindern halt ...

Eva: Hahaha!

Nermin: Aufklären, das ist das, womit die jetzt heranwachsen sollen. Für uns und unsere Generation war es immer selbstverständlich, dass was du selber hörst und dass du selber siehst, ist das, was Wahrheit ist. Glaub nicht, dass was dir erzählt wird, sondern was du hörst und selber erlebst. Das stimmt jetzt nicht mehr. Weil das, was man jetzt hört und was man jetzt selber erlebt, muss nicht zwangsläufig wieder echt sein. Und einfach dieses, ich glaube, es ist über dieses Gesunde am Menschen immer gewesen, dass man hinterfragt, dass man ... Das ist etwas, was wir alle verlernt haben, weil wir es alle einfach haben wollen. Das müssen wir zurückgewinnen, wenn wir davon nicht überrollt werden.

Eva: Das würde ja auch bedeuten, dass auch Schulsystem wieder viel mehr Neugier hinterfragen, selbstständige Arbeit und so weiter, ja auch mehr fördern müsste, auch wieder gleich als Skill. Oder wenn das nicht der Fall ist, müssen wir Eltern da ran und immer wieder fragen, warum, warum. Und dann nervt die das, aber dass die das lernen, dass diese Neugier und dieses Hinterfragen erhalten bleibt.

Nermin: Das ist wieder ein ganz anderes schwieriges Thema. Was können Eltern tatsächlich noch liefern? Alle, was meistens so ist, dass beide Elternteile beruflich unterwegs sein müssen, damit man seinen Alltag gesponsert kriegt. Von daher sehr viel Hoffnung, dass man sowas im Schulsystem, im Ausbildungssystem mitbekommt. Und dann muss man uns einfach Hand aufs Herz, gerade in Deutschland, so ein bisschen ans Hirn fassen, wie viel, welche... digitalen Fähigkeiten haben denn unsere Schulen aktuell und wie viel tatsächlich die Lehrer da haben. Ich kritisiere keine Lehrer und ich kritisiere grundsätzlich einfach, wie schlecht ist dieses Schulsystem, das sowas nie Einzug gefunden hat. Wenn ich jetzt sehe, dass das Lehrer struggling in Grunde genommen an Beamer anzuschließen und irgendwas auf eine Leinwand zu werfen, wie will ich erwarten, dass derjenige so viel Digitalkompetenz hat, dass er meinem Kind den Umgang dazu halt irgendwie zumindest näher bringt. Der muss ihn ja nicht, aber dass er das zumindest die Bahn da schafft. Das ist etwas, wo wir vielleicht auch Unternehmen auch ein bisschen darauf hin investieren sollen. Wenn wir in Zukunft Mitarbeiter haben wollen, die adäquat in unserem Unternehmen arbeiten können und hier ein Teil der sicherer Lieferkette sein sollen, dann müssen wir auch früh genug in sowas investieren. Dass wir Generationen nach uns ziehen, die hoffentlich nicht nur von AI, Jetbots und Prompt Engineering leben, sondern tatsächlich auch verstehen, was sie da tun.

Eva: Also ich stehe ja die These auf, dass, weil ich, es ist ja, ich lebe eigentlich schon mein ganzes Leben auch in der Berufswelt, immer mit dem Ansatz zu gucken, was kann ich denn eigentlich auch aus meinem Privatleben adaptieren, oder was ist eigentlich doch gleich, was weiß ich denn. Du kennst das aus unseren Gesprächen, wenn man sagt so, nur weil das jetzt bei der Arbeit ist und mein Kollege, kann ich ja trotzdem. gewisse Werte gleich behalten, egal ob es im Job ist oder privat. Und ich frage mich, warum zum Beispiel dieses Thema, wir wissen an den Schulen, es ist da schwer und unsere Firmen sind ja auch Vorreiter oder die Wirtschaft auch. Warum biete ich dann nicht auch als Unternehmen meinen Mitarbeitern anstatt das Video, wo mein Arbeitsplatz schön drauf ist und mein Quiz, ich meinen Schreibtisch von A nach B ziehe. Und meinen Arbeitslaptop da sehe, wieso nutze ich denn nicht eigentlich die Gelegenheit, wenn ich schon dort Training mache, es relevant auch für privat zu machen. Weil wir sind doch alle schlau genug, das zu adaptieren noch auf den Beruf. Es hat Relevanz. Das hat auch noch den Impact, dass die Kinder mitbefähigt werden können von zu Hause. Die kommen dann zurück. Oder zumindest wenigstens ein Mix. Also ich finde halt, es ist so... Da bekomme ich ja als normaler Mitarbeiter, da kriege ich ja immer nur, was für meine Arbeit ist. Und dann sagen die, wenn es für mich zu Hause relevant ist, ist das doch durchaus auch interessant.

Nermin: Ja, und vor allem es vermischt ja das. Es gibt ja nicht nur das Zuhause ist Zuhause und der Beruf ist Beruf, sondern man hat ja seit Corona im speziellen Jahr immer mehr diese Vermischung. Und wenn ich etwas zu Hause mache aus Überzeugung, dann werde ich das auch in der Arbeit oder in meinem beruflichen auch aus Überzeugung machen und nicht nur, weil es mir als Maßnahme aufoptioniert wird. Und es gibt dieses, ich, ich, mir fehlt einfach dieses, kann kein passendes Wort für es im deutschen, aber es ist dieses, dieses Framing, diesen Leuten auch zu zeigen. Das ist der Kontext.

Eva: Kanal.

Eva: Stimmt.

Nermin: warum wir etwas tun. Das ist der Sinn dahinter. Und so wie wir Hände waschen, nachdem wir irgendwie von außen kommen, bevor wir essen, muss halt gewisse Sachen einfach auch selbstverständlich werden. Diese Art von Security -Hygiene muss halt auch an der Stelle irgendwie gelebt werden und sollte nicht hinterfragt werden müssen, weil das sollte einfach selbstverständlich sein. Wir leben halt einfach in Unternehmen immer von Policy. Wir denken, wir setzen ein Regelwerk auf und ... Jeder unterschreibt das Regelwerk auch noch und dann sagen wir als Unternehmen, okay, wir sind fein, weil wir haben ein Regelwerk und jeder hat es unterschrieben. Aber leben wir es denn wirklich? Und wie viel Energie setzen wir denn rein, das Regelwerk zu umgehen, nur weil es besser ins Leben passt, als es andersrum einfach sagen kann, ich habe verstanden, warum das so ist und mein Berufsleben ist auch einfacher dadurch, dass ich die Policy halte. Und das ist, ich glaube, diese Kommunikation und Reden miteinander, gerade in dieser Branche, ist glaube ich echt schwierig. Und ich sehe das ja, ich habe das ja, ich habe...

Eva: Ja.

Nermin: Schlüssellebnis bei mir mit meiner Tochter gehabt und irgendwann mal, liebe Tochter, wenn du diesen Podcast irgendwann mal hörst, schön grüßhundig. Aber ja, sie war klein und ich habe ihr die Zähne geputzt oder ich habe ihr geholfen oder wollte ihr helfen Zähne zu putzen. Und ich habe ihr nur gesagt, bitte halt deinen Kopf oben, weil sie den Kopf immer runter getan hat. Und sie hat einfach nur ihre Hand auf den Kopf getan. Und ich habe das nicht verstanden, weil sie einfach... nicht dem gefolgt ist, was ich eigentlich erwartet habe, dass sie ihren Kopf oben hält. Und ich habe sie noch mal ermahnt und ich habe sie das dritte Mal ermahnt, bis sie mir gesagt hat, Papa, was willst du, Heidi? Ich halte ja meinen Kopf oben. Da so ich, dass sie quasi ihre Hand oben am Kopf hält, war für sie das klar, sie hält ihren Kopf oben. Wir haben quasi die gleiche Sprache verwendet, aber ihre Interpretation war eine ganz andere als das, was ich erwartet habe. Und das war so für mich dieser Schlüssel, wo ich sagte, vielleicht passiert mir das im beruflichen Leben auch und vielleicht kommt daher meine punktuelle Frustration, dass ich mit irgendwelchen Geschäftsführern rede über Security und der was ganz anderes versteht, obwohl wir die gleiche Sprache sprechen oder einfach nicht das versteht, was ich eigentlich damit erreichen will. Und das ist, glaube ich, das etwas, wo wir so ein bisschen auf dieses Aufeinander zugehen müssen und zu auch wirklich verifizieren. Haben wir dann die gleiche Perspektive und Sichtweise? Und vielleicht liegt es ja auch daran, dass wir so sehr auseinanderdrücken.

Eva: Das ist meiner Meinung nach eins der Kernelemente. Kommunikation, das ist es. Und noch schlimmer geschrieben. Da ist es ja noch schlimmer teilweise, wenn du nicht die gleiche Sprache sprichst wie dein Gegenüber und auch keiner die Offenheit mitbringt, im Zweifel, wenn er sich nicht sicher ist, zu hinterfragen oder noch besser die Sprache des anderen bewusst zu lernen. Da sind ja die Missverständnisse vorprogrammiert. Das ist so, so wichtig, weil jeder hat ja auch eine andere Interessenslage. Ich fand, hast du von dieser, es gab so ein Experiment, beim Fraunhofer -Institut war das, haben die das durchgeführt, wo die gesagt haben, ab wann brechen Mitarbeiter die Regeln, wenn es Security -Beschränkungen oder Anforderungen geht. Und ich fand es so geil, das Ergebnis war, das können wir auch in den Shownotes nachher mal verlinken, ich fand den Vorteil, also das fand ich mega interessant, das war, die wollten und waren total bereit, die Mitarbeiter die Regeln zu befolgen. Haben das verstanden und haben das mitgemacht und gesagt, ja, und das macht Sinn. Und zwar genau so lange, bis ihnen drohte, dass, weil sie diesen Anforderungen gerecht werden, zum Beispiel, keinen Scheren von Dateien über einen nicht sicheren Kanal und so weiter, dass sie dann ihr Ziel, ihr Businessziel nicht mehr erreichen können und dass sie, je mehr Druck dann kam und mehr Zeitdruck aufgekommen ist, dass dann erst am Ende dann die Bereitschaft gebrochen war, alle Regeln einzuhalten, weil ansonsten wäre das andere Ziel, das Businessziel... nicht erreichbar gewesen und das hat mehr Angst gemacht, diesen Job nicht zu erledigen, als der Anforderung nicht zu genügen. Da habe ich gedacht, mein Gott, wie schön ist denn das? Die Leute wollen regelmäßig befolgen, wir brauchen doch nur mehr Gespräch von Security zum Business. Was ist für dich wichtig, erfolgreich zu sein? Und da muss man ja einen Prozess drumherum bauen, der das trotzdem irgendwie ermöglicht. Also das fand ich einfach super spannend, dass die Bereitschaft sehr wohl da ist, trotz der verschiedenen Sprachen und so.

Eva: Aber dann, wenn es in Druck kommt und ich deshalb mein eigenes Ziel nicht mehr erreichen kann, dass es dann nachlässt, die Bereitschaft. Das fand ich mega interessant. Das werde ich euch auch mal hier in die Show -Notes packen.

Nermin: Ja, und es ist auch sehr, sehr wichtig und ich glaube, das ist etwas, was wirklich die letzten 20 Jahre auch passiert ist. Wir haben so diesen, gibt diesen schönen deutschen Begriff der Soziotechnik. Und das ist glaube ich das etwas, was halt Einzug gefunden hat, beziehungsweise wir verloren haben, aber es nicht Einzug gefunden hat, ist der Aspekt, dass ja Technologie sollte ja dem Fortschritt dienen und den Menschen die Arbeit erleichtern. Und es ist jetzt tatsächlich so, dass die Technologie ja so weit gekommen ist, dass der Mensch sich ja dauernd an die Technologie anpassen muss, zu schauen, dass er daraus irgendeinen Benefit zieht. Es folgt nicht mehr denen, es soll die Arbeit erleichtern, oder eben grobem schon, aber es verliert den Faktor Mensch. Der Mensch muss ja immer noch diese Technologie bedienen und soll den Menschen dienen. Und aktuell ist es ja so, dass der, und es war auch vorher so, dass der Mensch Technologie bedienen muss und eigentlich gar nicht richtig weiß, wieso und warum.

Eva: Zum nächsten Mal.

Nermin: Und durch dieses Fehlen von Wieso und Warum und von diesem Kontext wird ja auch fürs Unternehmen nie diesen Investment in diese Technologie rechtfertigen können, weil der Mehrwert einfach fehlt. Weil ich nutze es, was geht und was ich so mit meinem Verständnis nutzen kann. Aber vielleicht ist das Potenzial ja viel größer hinter der Lösung, dass ich ja machen könnte. Aber ich weiß es halt einfach nicht. Und wie du ja sagst, ab irgendeinem gewissen Punkt bricht das halt einfach. Und der Mensch ist per se, will ich sagen, faul, aber tendiert natürlich halt zu der einfachen Lösung. Alles was mir dient meinen Alltag einfacher zu gestalten und ich erreiche mein Ziel ist immer meine bevorzugte Lösung. Statt Danke, ich erreiche mein Ziel gerne auch komplex. Macht glaube ich keiner.

Eva: Nee, stimmt, das macht keinen Spaß. Aber weißt du was, Mermin, worauf ich richtig Bock habe? Das ist jetzt gerade spontan und kommt durch unser Gespräch tatsächlich. Ich hätte richtig Bock, dass wir noch Cyber -Wellness -Ambassadoren suchen und unseren Podcast auch mit dafür verwenden, dass wir Leute, die es richtig drauf haben in Cyber, eine Aufgabe stellen, einen wichtigen Punkt in Cyber, der für das Unternehmen relevant ist, in ein so relevantes Beispiel zu übertragen. dass es für mich zu Hause als stinknormaler Mensch relevant ist, eine Bedeutung hat, ich es verstehen kann und ich einen netten Side -Effekt habe, dass das dann auch in der Firma ist. Ich hätte so Bock darauf. Also Community, wir brauchen euch, wir brauchen viele Übersetzungen, weil das würde so helfen, das und uns ja auch. Wir sind ja auch noch auf der Suche, wir hatten jeder coole Ideen und dann sollten wir das schön sammeln. Und dann können wir die Snippets mit der Community teilen. Was hältst du davon?

Nermin: Wie immer, die ganzen Ideen, die wir hatten, haben sich immer spontan entwickelt. Manchmal so viele, dass wir dann auch vergessen haben, welche Idee das dann überhaupt war. Aber letztendlich ja, also das ist, ich glaube, ich glaube, ich weiß es sogar, es gibt viele da draußen, die tatsächlich auch, ich will es nicht Frustration nennen, aber diesen Punkt einfach erreicht haben und sagen, das, was wir bis jetzt gemacht haben, hat nicht geholfen, uns und unsere Unternehmen irgendwie sicherer zu machen. Wir brauchen einfach einen neuen.

Eva: Ja. Ja.

Nermin: neuen Ansatz, der den Menschen mitnimmt, weil Menschen arbeiten halt in der ganzen Organisation. Deswegen, egal ob Geschäftsführer, Entwickler, Security -Mitarbeiter oder normaler Mitarbeiter, nur so involviert, alle involviert, funktioniert der ganze Fortschritt auch. Und dann können wir auch tatsächlich an dem aktuellen Status halt was ändern, statt versuchen, so weiterzumachen, wie es bis jetzt ist.

Eva: Ja Mensch, super! Lieber Nermin, die Zeit für heute ist Die erste Folge ist im Kasten, ich glaube es nicht. Juhu! Und ja, ich freue mich schon ganz dolle auf unsere nächste Folge. Liebe Hörer, ihr könnt... Also, nächste Folge!

Nermin: Yay!

Nermin: Was machen wir denn als nächste Folge?

Eva: Am besten fragen wir unsere Community, was euch interessiert. Richtig, also ganz oben finde ich weiterhin AI. Ich hätte super gerne wirklich diese Relevanz auch fürs Privatleben dabei. Das ist so ein Einteilbereich, den ich super gerne mit dir besprechen möchte. Was hast du als Prio auf der Liste? Wie können wir die Leute abstimmen lassen?

Nermin: Ja, meine Liste ist so groß. Wer mich nicht über langweilige Cybersecurity -Themen reden kann, der stimmt lieber ab für EFAS -Themen oder schlägt mal andere vor. Aber grundsätzlich, woran es mir liegt, ist, ich liebe Technologie, ich liebe Fortschritt. Ich bin an diesem Punkt gekommen, wo ich gesagt habe, wir müssen irgendwas ändern. AI sieht so aus, als ob das ein Ding wäre.

Eva: Hehehehe!

Nermin: Aber grundsätzlich auch das Thema, wie kann ich mir entsprechenden Skill aneignen, welche Möglichkeiten gibt es? Ist Cyber Security wirklich auch irgendwie eine Branche, wo ich als Heranwachsender vielleicht eine Karriere aufbauen will? Kann man das empfehlen? Kann man das nicht empfehlen? Ja, schreibt was vor, schreibt in die Kommentare, wer wertet es? Schreibt uns an. Ansonsten finden wir sicher viele andere Themen, Eva, über die wir sprechen können.

Eva: Auf jeden Fall, ihr findet uns auf Spotify, LinkedIn, folgt uns gerne. Da werden wir auch den Link natürlich veröffentlichen. Und eine Seite haben wir auch, da könnt ihr euch registrieren als Cyberwellness -Ambassador. Und dann werden wir euch auch mit den neuesten Neuigkeiten versorgen. Und wir freuen uns aufs nächste Wahl. Wir wünschen euch ein tolles Wochenende. Und falls ihr später hört, eine schöne Woche und ja. Vielen Dank, Nermin Es hat Spaß gemacht. Genau, bis zum nächsten Mal. Ciao!

Nermin: Ja, endlich geschafft. Vielen Dank zum Zuhören und ja, bis zum nächsten Mal. Englisch:

Eva: Hello, dear Nermin

Nermin: Hello, dear Eva

Eva: Welcome to the first episode of the new Cyberwellness podcast, Humans Against Cyber. Today we kick off our first episode for you. Your hosts are Nermin and I, Eva. And so you know who you are dealing with, I would be delighted, Nermin, if you could introduce yourself first.

Nermin: With pleasure, and finally, we have made it. Just for our listeners, so they know, this concept, these episodes we're having, has been in the making for about two and a half years, and with some back and forth, we finally made it. I'm really pleased and excited that we've finally managed this. But yes, to your question, I am Nermin, 47 years old, and have been in this industry, which is called cybersecurity, for some decades now. I mention these numbers not because I want to boast about how long it is but just to set the context that I have seen quite a bit. I actually started as an application developer, managed several stages in between until I made the leap from this purely technological view of security and now can devote a bit more to the human side and the skills for cybersecurity. In this context, I also had the pleasure of getting to know Eva. So, Eva, who are you really?

Eva: Well, I've been in IT for over 20 years, my goodness. I am 45 years old and have been involved in IT since I was 20, only recently in security for the last eight years.

Nermin: We are old.

Eva: But once you're hung, you're hung. You can't get out again. I love the community. There are special people, very much intrinsically motivated people. And since then, I know I don't want out. I was at the SANS Institute and have helped a lot there. The company recognizes how important it is also to enable people. And then it continued. that we actually got to know each other about that, incidentally, do you remember that?

Nermin: Exactly, that was the kickoff of this controversial relationship we have. Actually, it was just about my frustration, a standstill, that I thought I need to educate myself somehow adequately, and everyone is naturally talking about various courses and certifications, and that's how we came into contact. And you actually had

Eva: Yes!

Eva: although I'm in sales.

Nermin: Exactly, that's what I was about to say. It was actually difficult because I was exactly trying to avoid contact with such people, and one or the other of the listeners might actually relate somehow because you rarely see your own interests covered. But we will, I believe, go into that more in detail in our various episodes.

Eva: What?

Nermin: You actually showed that sales can be different, that it can really be about empathy and understanding of the situation and genuine helpfulness, not just pure sales. There was never a sale, but it led to a very productive and enriching relationship, I find. We also had the pleasure of actually working together for a while. So I look forward to what was and to what is coming.

Eva: Hehehe.

Eva: Yes, I'm totally looking forward to it too because we couldn't be more different, but united in values, which is very important. And we both realized, and this is also one of the reasons for the podcast, where you say this can also inspire others, that our different views on things can really help each other quite well. Your very professional cybersecurity view because of your complex experiences and also the quite useful factor of communicating things to people so that it becomes relevant for them.

Nermin: Yes, and we did have customers who pointed out to us when we were finally going to make a podcast because these discussions should also be heard by others.

Eva: Right. Right, that was really nice. You're right. Yes, so what is Cyber Wellness actually? Why do we want to talk about it? Why is it relevant?

Nermin: Yes, Cyber Wellness, when I first stumbled upon this term, I thought, oh dear nine, yet another buzzword that is somehow being driven. And we know, cybersecurity has always been very buzzword-driven. And I thought, again something, a new approach, this time apparently a bit more esoteric, but somehow to do with cyber yoga or whatever. So I was actually rather skeptical until...

Eva: Hehehe

Nermin: Research has shown that it is actually deeper and indeed triggers the basics of dealing with digital overall and the necessary trust in the digital at all levels, starting with children up to decision-makers. I find this very exciting, it's a very big topic and I also find it very important.

Eva: I saw your posting, that was really the story. There you said, just like you just mentioned, here again some crap, Cyber Wellness. You didn't write it like that, of course, a bit more friendly. But it was, and I don't know why, maybe because I'm more on the human side of things - it totally appealed to me, I thought, Cyber Wellness, that sounds cool. And I clicked on what you shared, it totally appealed to me. Because... I see cybersecurity as so threatening, it's hard and it's complicated and it's only for very special people and it was the first time I thought, hey, that sounds cool because it sounds interesting for everyone. And that's so important, right? And then, from Singapore is the program, or rather, where you referred to, where the approach was picked up to say, so, it starts very early. And... I then found that even more meaningful because it's true, if we look at our schools or at our universities, at our parental homes, at ourselves if we're not from the industry. How naturally do we teach others, even though we are all members of the digital society, how to behave safely there?

Nermin: Yes, and it's somehow because we always associate this topic with security with dark stories. You see it in the press daily, somewhere some breaches, again some company, again somewhere millions of personal data sets lost. And yes, if you hear about it and are a bit firm, then you develop rather a fear, a resentment, and anyone who communicates digitally is first met with mistrust because you can't grasp it. They've picked it up a bit differently in Asia. How many of, especially in our generation, who may also have younger children, see how unavoidable the topic of digital media simply is. They have to deal with it and the children also have a natural, normal way of dealing with it. But you have to frame it. You have to actually put it in some context so that not only the danger exists, but also the benefits can be seen.

Eva: Full. I had a topic, I'd like your opinion on it, because I was actually quite decently challenged once by a companion from the community. I wrote an article where I wrote at More Than Digital that security should become as natural as locking our front door and that we should be conditioned to it. And then there was quite a big criticism. to me with the statement that conditioning is generally bad. And I still represent the standpoint, because I find it simply helpful for some things. I don't think much about it. I automatically assign passwords. I encrypt channels automatically if I want to exchange confidential information and don't think about it anymore. I also don't think about closing the front door. Let's not say, nevertheless Was that a point of criticism? I would be interested in your opinion.

Nermin: I don't know the person who commented, but I actually think the problem is that they probably took offense at the word conditioning and less at the idea behind it. Conditioning is something that we know rather from environments in this world that are politically minded differently and have a very different structure, where everything is actually lived out in strict rules and therefore might be subject to this propaganda-driven conditioning or might be subject to it. But basically, it's just so. Maybe it's not conditioning, but it's just the way you gain experience. And you have to experience something to know why you do something the same way in the future or why you won't do it that way in the future. And this experience-driven learning is simply where our school system also a bit struggles. Why we're developing generations that just just don't have this digital interaction that simply firms are and therefore also underestimate or overestimate the dangers and benefits. And therefore, maybe it's just the issue of conditioning, but the introduction and that's something that I find quite good about this Cyber Wellness somehow also creates frames and programs simply to teach this experience in a target group-oriented way and a good feeling for dealing with it, but of course also a safe one. And I don't think anyone would doubt that it makes sense, if you go on vacation, to close your windows and not leave them open for weeks or leave front doors open. And this construct of the house I find actually very important. It's something that went through such a paradigm through Sauber Security. The topic of firewall came up exactly because of that. These were the castle walls that you used to gather around. That's where the dragons swam around, to protect your house. And now we're building fences around your piece of art. This construct actually comes from saying that you want to shield yourself from the evil unknown outside. So now no one would question why you need doors and windows and fences. And I believe that's how natural the topic should be. But it's like I said not only the endangerment but also a chance behind it.

Eva: Right.

Eva: But what is your thesis as such, why in companies, we've been experiencing this for many years now, again and again the tenor in many corporations, but also in smaller companies, so here and the stupid user, he didn't get it again and the employees are totally annoyed by the security and can't really see what their advantage is. There's a bit of a worm in there, right? And there are of course, as always, a few nice examples where this works very well. We will surely be able to share a bit more about that in coming episodes, but generally, I keep getting everything with annoyed. So I can actually make an example quite concrete. So here, Awareness Training is being worked on, you let the video run parallel. Yeah, I've completed it. The Compliance Training, the prescribed, the compulsory. What then comes once a year, I sit there and sleep partly or am annoyed afterwards because it was so boring. And that was it then somehow also. That was then my touchpoint with it. Why?

Nermin: Yes, because everything is so... Now I have to be careful not to be too plakative, but because everything is so... Without sense and understanding done, without a higher motivation I want to call it. You do it because you think you have to do something. And someone had an idea and actually had to convince a sponsor why we are actually doing this, to stay with the one example, Fishing Campaigns.

Eva: Yes, go ahead!

Nermin: And then one tried to explain it to the other and says, what do I have an advantage of? Regulators would like it quite a bit if they see it once. Then they say, okay, I sponsor a certain contribution or I sponsor it and do it. But basically, it's just about getting rid of this topic because someone said you have to do it. And that's how we pass it on to our employees in principle. You just have to do it because we are required to or because it looks quite good for the company, not because we... Because always this spark of conviction simply lacks. We say security is a valuable company, is good, just like all employees, just like what we produce, is that too. And we want to protect that and dear user, help us with that. So creating this context is something, I believe, we just can't manage because we don't believe in it or because those who propagate it don't believe in it and can't get it across that it's something important and not just something... just to be done because the user is just annoyed with his mail and he will do this 15-minute training just so he is not annoyed further. Not because he wants to learn something from it and not because he wants to protect the company with it.

Eva: But you know, I find this totally cool right now because I can imagine it again quite well in the figurative sense. The CEO or the managers or owners, they don't think about it and moan around saying, we also have to physically lock the doors here. Such crap, we have to have a safe here somewhere. And oh God, just because we have to. I'd love to leave everything open. So. If they would just as naturally go out and say, so completely clear, we are on the move in the digital world, that includes a few security precautions, costs x, of course always based on own risk, it doesn't have to be totally exaggerated, you can also discuss that, it's a bit hyped now, also the topic, how much do I really need, you had a very nice model, I also saw that in one of your slides, where you... could also determine very well what is actually a relevant risk, that you have this sharpened view. But this naturalness must then really come from the top and pull down through. There we come back to culture, right.

Nermin: Yes to culture and security is just, it only works as an overarching measure. It doesn't work. And often it's like that, especially in the German-speaking area you're still a bit stuck in, you still see security as a technical thing. I have people who take care of it and I have already made investments, so it must now function. Someone must somehow justify this investment in, let's say firewalls, let's say campaigns, whatever. I have already made an investment and I expect something from it. I believe it is a valid business view on it. I have invested something and want something back. But did I then invest the right thing, did I have the right expectation behind the investment, what it will bring me. That's why I am convinced, any measure that only triggers a part of the organization, be it only technical, will never lead to the company feeling safer. but only if I have something like this at all levels, that I as a manager know what risk I have, that I know what information I need to manage this risk. And I have a good feeling that the people who work for me down there can actually deliver what we want. Only then does something like resilience or resilience develop, which I have a good feeling about and not just say, I have invested a million in XY. That must now be enough for the next two years.

Eva: Right. Yes, I mean, the topic of resilience is now of course also such a buzzword, cyber resilience, but I find it just hits quite perfectly, because that's how we live, right? There's a world around us, a lot of change, many dangers, AI, AI, what's coming now, is also very relevant for security. And but also for of course ethics and and and and... That you just have to have this openness or also this willingness to gain experience, because otherwise you can't cope with it at all. Then you just have fear and that is always a bad advisor. Fear was never a good advisor.

Nermin: Yes, and as I said, back to this basic principle of Cyber Wellness, we all know it. You can't forbid your children to have access to online. Be it these various WhatsApp groups, YouTubes, Google results, whatever. You can't deny them that. You can try to control it. And if you act out of fear, that's something we pass on to the generation, that it's somehow... mysterious and therefore maybe even more interesting and therefore you want to go deeper into it and you will gain access to it. And instead of that we simply develop a normal and healthy understanding of how to use something like that, what you have for it.

Eva: But just a question. I don't know, but I imagine now, my child, WhatsApp group, and it's also totally simple, also freely available nowadays, just to upload a voice there and then it says something else. Then maybe I still see in WhatsApp, it's just a forwarded voice note or something, but suddenly there's my own voice on it. How can I prevent that? Can I prevent that at all? How do I recognize it? What would be some tips on how to deal with something like that? Because that's really scary.

Nermin: If I knew that, I would have already practiced it with my children first. But basically, yes, it is, I believe, that with AI specifically, that has now, I would say, changed in the last 20 years and I just recently had a heated discussion about that. I claim and still maintain that we have not made any really significant technological progress in the last 25 years. We have a bunch of new technologies that do something.

Eva: Hahaha!

Nermin: and certainly everything has its right to exist, but there was never such a big thing. And AI has now changed that. This train of AI into everything, that's really a pretty big thing. And for myself, to hear my own voice in Japanese, where I know my brain can't speak Japanese, but I hear myself speaking, is just bizarre. But we have to...

Eva: Hahaha!

Nermin: Educate, that's what they should grow up with now. For us and our generation, it was always self-evident that what you hear yourself and what you see yourself is what truth is. Don't believe what you're told, but what you hear and experience yourself. That's no longer true now. Because what you hear now and what you experience yourself doesn't necessarily have to be real again. And just this, I believe, it's been about this healthy thing in humans always, that you question, that you... This is something we all have unlearned because we all just want it easy. We have to regain that if we are not to be overwhelmed by it.

Eva: That would also mean that the school system should promote much more curiosity, questioning, independent work, and so on, or even more, also as a skill. Or if that's not the case, we parents have to step in and keep asking why, why. And then that annoys them, but that they learn that this curiosity and this questioning remains.

Nermin: That's again a whole other difficult topic. What can parents actually still deliver? All, which is mostly so, that both parents have to be professionally on the move so that they can sponsor their everyday life. Therefore, a lot of hope that you get something like this in the school system, in the education system. And then you just have to, hand on heart, especially in Germany, touch a bit on the brain, how much, which... digital skills do our schools currently have and how much do the teachers actually have there. I don't criticize teachers and I generally just criticize how bad is this school system that it has never found its way in. If I now see that teachers are struggling to connect a projector and throw something on a screen, how do I expect that person to have so much digital competence that he can at least bring it closer to my child. He doesn't have to, but that he at least creates the track there. This is something where maybe companies should also invest a bit in it. If we want employees in the future who can work adequately in our company and be a part of the secure supply chain, then we must also invest early enough in something like that. That we draw generations after us who hopefully not only live from AI, jetbots, and prompt engineering, but actually also understand what they are doing.

Eva: So I always have the thesis that, because I, it is, I actually live my whole life also in the professional world, always with the approach to look at what I can actually also adapt from my private life, or what is actually the same, what do I know. You know that from our conversations, when you say so, just because it's now at work and my colleague, can I still. keep certain values the same, whether it's on the job or private. And I wonder why, for example, this topic, we know it's difficult at schools and our companies are also pioneers or the economy also. Why don't I then also offer as a company to my employees instead of the video, where my workplace is nicely on it and my quiz, I move my desk from A to B. And see my work laptop there, why don't I actually use the opportunity, if I'm already doing training there, to make it relevant for private use too. Because we're all smart enough to adapt it to the job. It has relevance. That also has the impact that the children can be empowered from home. They come back. Or at least at least a mix. So I think it's like... As a normal employee, I always get only what is for my work. And then they say, if it's relevant for me at home, it's quite interesting.

Nermin: Yes, and especially it mixes that. There's not only home is home and work is work, but since Corona in particular year, there's always more this mixture. And if I do something at home out of conviction, then I will also do it at work or in my professional life out of conviction and not just because it is mandated to me as a measure. And there's this, I, I, I'm just missing this, can't find a suitable word for it in German, but it's this, this framing, to also show these people. That's the context.

Eva: Channel.

Eva: Right.

Nermin: why we do something. That's the meaning behind it. And just like we wash our hands after we come from outside before we eat, certain things simply also have to become self-evident. This kind of security hygiene must also somehow be lived there and should not have to be questioned, because that should simply be self-evident. We live in companies always from policy. We think we set up a rulebook and... Everyone also signs the rulebook and then we say as a company, okay, we're fine because we have a rulebook and everyone has signed it. But do we really live it? And how much energy do we put into circumventing the rulebook, just because it fits better into life, instead of simply saying, I understand why it is so and my professional life is also easier because I keep the policy. And that's, I think, this communication and talking to each other, especially in this industry, I think is really difficult. And I see that, I have that, I have...

Eva: Yes.

Nermin: Key experience with my daughter had and at some point, dear daughter, if you listen to this podcast at some point, greetings. But yes, she was small and I was brushing her teeth or I was helping her or wanted to help her brush her teeth. And I just told her, please hold your head up, because she always put her head down. And she just put her hand on her head. And I didn't understand it because she just... didn't follow what I actually expected her to hold her head up. And I admonished her again and I admonished her the third time until she told me, Dad, what do you want, Heidi? I am holding my head up. There so I, that she holds her hand up on her head, was for her clear, she holds her head up. We used the same language, but her interpretation was a completely different one than what I expected. And that was so for me this key, where I said, maybe that happens to me in professional life too and maybe that's where my occasional frustration comes from, that I talk to some managers about security and he understands something completely different, even though we speak the same language or just doesn't understand what I actually want to achieve with it. And that's, I think, what we have to approach each other a bit on and also really verify. Do we then have the same perspective and view? And maybe that's also why we push each other so far apart.

Eva: That's my opinion, one of the core elements. Communication, that's what it is. And even worse written. It's even worse sometimes when you don't speak the same language as your counterpart and neither brings the openness, in doubt, if he's not sure, to question or even better to consciously learn the language of the other. There are misunderstandings pre-programmed. That's so, so important, because everyone also has a different interest. I found, did you hear about this, there was such an experiment, at the Fraunhofer Institute they conducted it, where they said, from when do employees break the rules, when it comes to security restrictions or requirements. And I found it so cool, the result was, we can also link it in the show notes later, I found the advantage, so that I found mega interesting, it was, they wanted and were totally ready, the employees to follow the rules. They understood and went along and said, yes, and it makes sense. And namely exactly as long as they were threatened, because they met these requirements, for example, not sharing files over an insecure channel and so on, that they could no longer achieve their business goal and that they, the more pressure then came and more time pressure arose, that then in the end the willingness was broken to keep all the rules, because otherwise the other goal, the business goal... would not have been achievable and that caused more fear, not to do this job, than not to meet the requirement. I thought, my God, how beautiful is that? People want to regularly follow, we just need more conversation from security to business. What is important for you to be successful? And there you have to build a process around it that still somehow makes it possible. So I found it just super exciting that the willingness is very much there, despite the different languages and so.

Eva: But then, when it comes under pressure and I can't achieve my own goal anymore, then the willingness decreases. I found that mega interesting. I'll put that in the show notes here for you.

Nermin: Yes, and it's also very, very important and I believe that's something that really happened in the last 20 years. We have this nice German term of sociotechnics. And I think that's something that has found its way in, or we have lost it, but it has not found its way in, is the aspect that yes, technology should actually serve progress and make work easier for people. And it's now actually so that technology has come so far that people have to constantly adapt to the technology to see that they derive some benefit from it. It no longer follows those, it should make work easier, or even roughly, but it loses the human factor. The human still has to operate this technology and it should serve the human. And currently it's like that, and it was like that before, that the human has to operate technology and doesn't really know why and how.

Eva: Next time.

Nermin: And through this lack of why and how and of this context, it will never be able to justify this investment in this technology for the company, because the added value simply lacks. Because I use it, what goes and what I can use with my understanding. But maybe the potential is much greater behind the solution, that I could do. But I just don't know that. And as you say, at some point it just breaks. And the human being is by nature, I want to say lazy, but of course tends to the easy solution. Everything that serves to make my everyday life easier and I achieve my goal is always my preferred solution. Instead of Thank you, I also like to reach my goal complexly. I think nobody does.

Eva: No, that's right, it's no fun. But you know what, Mermin, what I really feel like? This is just spontaneous and comes through our conversation actually. I would really feel like looking for Cyber Wellness ambassadors and using our podcast for that too, that we give people who really have it down pat in cyber, a task, an important point in cyber, that is relevant for the company, to translate into such a relevant example. that it's relevant for me at home as a plain normal person, I can understand it and I have a nice side effect that it's then also in the company. I would be so up for that. So community, we need you, we need many translations, because that would help so much, that and us too. We are still looking, we each had cool ideas and then we should collect them nicely. And then we can share the snippets with the community. What do you think?

Nermin: As always, all the ideas we had, they always developed spontaneously. Sometimes so many that we then also forgot which idea it was actually. But ultimately yes, so that is, I believe, I even know, there are many out there who actually, I don't want to call it frustration, but have reached this point and say, what we have done so far hasn't helped, us and our companies to be somehow safer. We just need a new.

Eva: Yes. Yes.

Nermin: new approach that takes people with it, because people work throughout the whole organization. That's why, whether manager, developer, security staff or normal employee, only so involved, all involved, works the whole progress also. And then we can actually change something about the current status, instead of trying to continue as it has been so far.

Eva: Yes man, great! Dear Nermin, the time for today is The first episode is in the can, I can't believe it. Yay! And yes, I'm really looking forward to our next episode. Dear listeners, you can... So, next episode!

Nermin: Yay!

Nermin: What are we doing as the next episode?

Eva: Best we ask our community, what interests you. Right, so AI is still at the top of my list. I'd really like to discuss this relevance also for private life with you. What do you have as a priority on the list? How can we let the people vote?

Nermin: Yes, my list is so big. Whoever can't talk about boring cybersecurity topics, better vote for EFAS topics or suggest others. But basically, what I care about is, I love technology, I love progress. I've reached this point where I said, we have to change something. AI looks like it might be a thing.

Eva: Hehehehe!

Nermin: But basically also the topic, how can I acquire the appropriate skill, what options are there? Is cybersecurity really also a industry where I as a young person might want to build a career? Can it be recommended? Can it not be recommended? Yes, write something in advance, write in the comments, who rates it? Write to us. Otherwise, we're sure to find many other topics, Eva, that we can talk about.

Eva: Definitely, you can find us on Spotify, LinkedIn, follow us. We will also publish the link there. And we have a page too, you can register there as a Cyberwellness Ambassador. And then we will also keep you up to date with the latest news. And we look forward to the next election. We wish you a great weekend. And if you listen later, have a nice week and yes. Thank you, Nermin. It was fun. Exactly, see you next time. Bye!

Nermin: Yes, finally made it. Thanks for listening and yes, until next time.