Humans against Cyber -Burnout im Bereich Cyber Security - EP5

Eva: Hallo und herzlich willkommen zum Cyber Wellness Podcast Humans Against Cyber, Staffel Nummer 1. Wir sind schon in der Episode Nummer 5 angelangt und ich freue mich, dass wir uns hören. Moin, lieber Nermin. Na, wie geht's dir? Ja.

Nermin: Servus liebe Ennifa. Jetzt da sind wir wieder.

Nermin: Ja, endlich kommt sowas wie Sommer hier, ich weiß nicht, wie ist denn hier im hohen Norden?

Eva: Wir wollen nicht drüber sprechen. Es ist schlimm. Wir haben, es ist schlimm. Es ist, wir haben nur Regen, Regen, Regen, Regen, Grau. Es war eine Woche richtig schön und es ist auch schon wieder vorbei. Also wir können Rouladen kochen und Tee trinken und in der ...

Nermin: Die Liebkuchen kommen auch bald in die Geschäfte wieder. Ich lebe ja hier ein bisschen auf dem Dorf und habe heute morgen eine Bauernweis mitbekommen, weil ich tatsächlich hier im Land Frischeier vom Bauern direkt bekommen. Und man hat tatsächlich dann auch über das Wetter gesprochen, üblicher Smalltalk. Und dann hat man wieder so im schönen bayerischen Dialekt, den ich leider nicht so ganz nachmachen kann, aber auch gesagt.

Eva: Ja.

Eva: cool!

Nermin: Das Filsten ist ja ganz normal. Es ist ein Schaltjahr und jedes Schaltjahr ist wohl bei den Bauern ja bekannt als so ein bisschen durchwachsenes Jahr, wo man alle Jahreszeiten innerhalb einer Woche auch mal haben kann. Von daher gibt es ja keinen Klimawandel. Es ist alles normal anscheinend.

Eva: Ja, genau. Diesen Satz habe ich so oft gehört die letzten Wochen. Das war auch so krass. Sieben Schläfer, nochmal kurz dabei zu bleiben. Wegen des Scheitjahres ja eben, der war ja einen Tag später. Man dachte erst, da war ja schön warm, aber nee. Zumindest hier für Hamburg war der Sieben Schläfer Tag der Welt Untergang. Also die Stadt stand ja unter Wasser. Wir hatten einen ganzen Stadtparkbereich, also für die, die Hamburg kennen, das ist so sehr zentral. Da sind die Autos geschwommen und ich war gerade in einem Telefonat, ich werde das auch den Moment nicht vergessen, wo du da sitzt und sagst, wow, also habe ich lange nicht erlebt so ein Regen. Also das war verrückt. Da kamen Massen runter und alles stand knietief gefühlt. Also das war richtig doll.

Nermin: Ja man hat ja auch während der ganzen -Spiele, die ja schön da durch Deutschland verteilt sind, da kriegt man es ja dann auch ein bisschen mit, was da für Wasserwände runterkommen ist. Kein Regen mehr. Aber für mich fiel es viel schreckender, dass das so die ganze Infrastruktur, die wir da haben, dass so ein Wochenende Regen ja ausreicht, Städte lahm zu legen, Ortschaften abzuschneiden. Stimmt mich nicht so... zuversichtlich in die Zukunft, weil ich glaube nicht, dass das Wetter sich groß in Zukunft ändert. Aber wir sind schon wieder in so einer tiefen, dunklen Stimmung, Eva.

Eva: Ja.

Eva: Ja, dann können wir gleich weitermachen. Gott. Nein, ich hatte die Inspiration tatsächlich für diese Folge kommt von einem unserer Hörer. Wir hatten ein tolles Telefonat. Das war sehr interessant. Und er hat sich bereit erklärt, auch bald als Gast zu kommen. Darüber habe ich mich sehr gefreut.

Nermin: Wird's positiver heute?

Nermin: Zumindest gut eingestimmt.

Eva: Hehehe

Eva: Aber wir haben uns unterhalten.

Nermin: dürfen wir spoilern? wir dürfen nicht spoilern, wir sollten nicht spoilern wir freuen uns auf jeden fall alle auf dich wenn du zuhörst

Eva: Ja, ich hab noch nicht gefragt. Genau, wir freuen uns ganz toll auf dich. Und er hat das erzählt, dass er gerade in Weiterbildungen auch war, wo es das Thema psychische Gesundheitserhaltung und in diesem Zuge ja auch Burnout ging und hatte dann in dem Telefonat eben auch auf erschreckende Zahlen verwiesen. Das habe ich zum Anlass genommen, auch selber noch mal zu recherchieren, was das eigentlich für unseren Bereich, für unsere Branche, für die Security bedeutet. Und die Zahlen sind wirklich schlimm. Also das war schon ein kleiner Schock. Also die Saka zum Beispiel, die hat eine Studie rausgebracht und veröffentlicht und da haben 55 Prozent der Fach - berichtet, dass sie mindestens die Hälfte der Zeit bei der Arbeit gestresst sind. Das ist viel und 21 Prozent sogar daran denken, die Branche wegen des hohen Stressniveaus zu verlassen. Und vom Security Boulevard habe ich noch gefunden, 63 Prozent der Cyber Security Profis erleben irgendeine Form von Burnout. Das ist doch krass. Das muss man einfach mal kurz so wirken lassen. Das hat mich dann wirklich beeindruckt, weil das sind Zahlen, die sind unverantwortlich. Also das darf so ja nicht bleiben.

Nermin: Ja, nicht dass ich jetzt irgendwie eine andere These verfolgen, aber ich stimme dir da vollkommen überein. Mit Zahlen, ich bin da immer skeptisch mit Zahlen, weil Zahlen sind immer, jedes Narrativ kann mit Zahlen unterstützt werden, egal wie man es dreht. Aber ich glaube, durchaus, und auch so ein bisschen Rückschluss zu den anderen Folgen, die wir hatten, wo wir über den ominösen menschlichen Fehler gesprochen haben. Ich glaube tatsächlich, dass das ein Teil davon ist. dass Fehler tatsächlich auch durch sowas kommen, weil Leute überlastet sind, weil Leute mit fehlenden Mitteln an irgendwas arbeiten sollen, die das stresst, dass sie das nicht richtig machen können, weil die Mittel dazu fehlen, weil die Befähigung dazu fehlt. In Summe ist das ja so ein Teufelskreis. Ich glaube, je länger und andauernder so, dass diese Problematik ist, dass man das Gefühl hat, dass man seine Arbeit nicht richtig machen kann oder dass man ständig irgendwie in Gefahr läuft, multiplizieren sich halt eben diese Fehler, weil man unaufmerksamer wird, weil man sich nicht mehr fokussieren kann. Und ja, das ist glaube ich echt ein Kreislauf. Und ich glaube gerade in Security, wo es ja immer so immer noch produktlastig ist, sieht man das nicht. Und auch dieser Skill Gap, dass man hier immer noch Leute sucht, die in dieser Branche arbeiten. Ich glaube, es spricht sich auch so ein bisschen rum, dass diese Branche jetzt auch nicht zwangsläufig für die mentale Gesundheit die beste ist.

Eva: Nee, ne?

Nermin: Und dass man es nicht nur so, dass es nicht nur die Befähigung geht, die halt irgendwie fehlt, sondern dass sich die Leute das einfach diesen permanenten Stress, diese permanente Angst, dass sie das halt auch nicht wollen, dass sie dann wirklich da eine Branche näher suchen, wo man dann am Ende des Tages sagen kann, ich habe irgendwas geändert, ich habe irgendwas gemacht. Und ich glaube, das ist bei uns in der Branche eher schwieriger, dass man am Ende des Tages noch das Gefühl hat, man hat irgendwas geschafft. Man ist nicht nur geschafft.

Eva: Nee, da hast du recht. Das ist ja auch wirklich einer der Jobs. Ich wieder mit meiner direkten Sprache, wo du ja eigentlich immer der Arsch bist, ne? Also eigentlich ist das so, weil du machst, willst deine Arbeit gut machen? Aber alle sind genervt davon, weil es behindert, ich kann nicht mehr entspannt arbeiten, ich bin genervt, die blöde Security, das ist ja nun mal eine Situation, die ist immer da. Wenn doch was passiert, die blöde Security, weil sie haben es ja nicht geschissen bekommen. Und dann hast du, also erstmal, jeder Mensch sucht immer nach Anerkennung und Wertschätzung. Immer. Das heißt, in diesem Berufsbild ist das schon mal schwierig, weil selten kommen ja Kollegen und sagen, Mensch, ich freue mich richtig doll, dass wir jetzt eine neue Security Policy haben. Das finde ich geil und ich habe richtig Bock, jetzt damit zu machen. Das ist ja schon mal eher seltener der Fall. So und wenn was vorgefallen ist, gehen ja auch alle Finger auf die Security, weil ihr habt Schuld. Dass es nicht genug Geld gab, dass es keine Kommunikation gab, keine Unterstützung auch aus den anderen Fachbereichen, weil du so als Nische betrachtet wirst, wird da ja gerne unterschlagen. Das heißt, Das ist ja auf jeden Fall schon mal ein Faktor, der auch zu Burnout nachweislich führt. Wenn ich nie eine Anerkennung und Wertschätzung bekomme, haben wir hier schon mal ein Problem. So, wie könnten wir denn das zum Beispiel verbessern? Wie kann man sowas lösen? Wie können wir schaffen oder auch ein Unternehmen schaffen, dass die Security eine bessere Reputation hat?

Nermin: Erstmal mag ich deine blumige Ausdrucksweise immer wieder mal. Die kriegen das nicht geschissen. Ja, in Grunde genommen, ich behaupte nach wie vor, in Grunde genommen ist es einfach. Und ich gebe dir vollkommen recht, keiner freut sich über die neue Security Policy, weil es immer darum geht, Leute empfinden das immer als entweder zusätzliche Arbeit oder als Behinderung der eigentlichen Arbeit, so wie man sich es gewohnt ist. Und deswegen wird es für sowas nie eine Akzeptanz finden.

Eva: Hahaha

Nermin: Und deswegen bin ich nach wie vor der Freund, auch wenn das in Deutschen total beschreit liegt, dieser sozio -technische Ansatz. Dass einfach der Mensch nicht in dem Vordergrund war, wo man solche Prozesse, wo man solche Lösungen, wo man solche Flows gemacht hat, das war nie der Mensch und die Entlastung des Menschen im Vordergrund, sondern immer regulieren und sagen, was du nicht darfst. Statt zu erklären, wie du es besser machen könntest oder wie du es sicherer machen solltest. Und deswegen, solange so Policies und Regularien getroffen werden, und man sieht es ja in den Schlagzeilen mit diesem NIST 2, ganz ehrlich, jeden Beitrag, jede E -Mail, wo NIST 2 irgendwie auch tausch, skippe ich mittlerweile, weil ich kann das nicht mehr. Das ist schon so überpolitisiert worden, dass die Leute, bevor es wirklich effektiv zum Einsatz kommen sollte, eigentlich das Thema schon überdrüssig sind. Weil jeder irgendwie eine Meinung hat, jeder problematisiert das Ganze und wieder adressiert es nicht den Kern der Sache, sondern es geht immer nur, dass Leute, Unternehmen sich irgendwie mit im sicheren fühlen, dass sie irgendwas richtig gemacht haben, damit man das als Unternehmen nicht angreifen kann und man wird sich immer wundern, warum funktioniert das nicht.

Eva: Nur noch mal das Feedback von einem anderen Hörer. Was ist NIST 2? Das werden nicht alle wissen.

Nermin: Ich weiß gar nicht, ob ich es erklären will, weil grundsätzlich wird das NIST 2 als Terminologie, wenn ich es jetzt erkläre, wahrscheinlich in drei Monaten gibt es NIST 3 oder es gibt ein CRITIS 5 oder sonst irgendwas, das wird sich immer wieder ersetzen. Aber grundsätzlich ja irgendwie eine Idee, das Thema der IT -Sicherheit so ein bisschen zu... politisieren würde ich jetzt mal behaupten, für Unternehmen es verpflichtender zu machen, gewisse Dinge umzusetzen, damit man als Unternehmen und irgendwie auch als kritische Infrastrukturen halt irgendwie sicherer ist und dass es ein Katalog an Maßnahmen, die man irgendwie umsetzen könnte, damit man das Gefühl hat, dass man alles richtig macht. Ich weiß nicht, ob das jetzt Teil dieser Übersimplifizierung ist, die ich jetzt gerade hier treibe, aber grundsätzlich, jeder, den es interessiert, Ich würde sagen, kann man Google eine objektive Meinung, wird man dazu nicht finden, weil es wie bei allen anderen Regularien davor auch

Nermin: Überall sind Experten, überall gibt es irgendwelche Meinungen, dass das ganze Teil ist. Ich glaube, ich habe es noch nicht mal als Katalog vollends verabschiedet. Es gibt immer noch irgendwelche Entwürfe, die irgendwie rumkursieren. Aber Experten gibt es überall. Schwierig.

Eva: finde ich das schon gut. Also ich würde da nicht so leicht gesagt, es ist ja einfach eine Richtlinie EU -weit, wenn ich das richtig verstanden habe, die erstmal dazu dienen soll, dass die Sicherheit verbessert wird. Und wenn wir mal schauen, wie viele Sicherheitsvorfälle, aus welchen Gründen das auch so gibt, dann finde ich das schon oder auch wenn wir mit Kollegen sprechen aus unserer Branche. welche Sicherheitsvorfälle es immer noch gibt, ist da ja auch viel grob fahrlässig und da finde ich das schon gut, wenn man auch sagt so. Also es ist jetzt auch eine Richtlinie da, der wir auch folgen sollen. Die soll natürlich nicht, das ist wahrscheinlich wieder häufiger ein Problem dabei, die soll natürlich nicht so kompliziert wieder sein, dass alle sagen, wie umgehe ich das? Das mache ich sowieso so nicht, weil das, was geleistet werden soll. zu kompliziert ist und sich auch überschneidet, aber an sich finde ich das schon gut und auch überfällig, weil teilweise ist das schon erschreckend einfach in Unternehmen einzubrechen und das ist schon auch grob fahrlässig, da hängen ja auch Existenzen dahinter.

Nermin: Genau, ich will es auch nochmal verdeutlichen. Ich verteufeln, das klingt jetzt irgendwie, aber ich spreche nicht gegen die Richtlinien. Richtlinien zu haben ist wichtig, solange man Richtlinien tatsächlich im Buchstaben lesen als Richtlinien nimmt. Das heißt, ich nehme das als Anleitung, es bei Recycly Enz malen, das zu nutzen als Fahrplan, wie ich mich irgendwie verbessern kann. und nicht A anfangen, wie viele Hersteller auf diesen Zug jetzt irgendwie aufspringen, sagen, wir haben hier schon NIST -Wertkommen, unser Produkt ist schon NIST -kompatibel und wenn sie unser Produkt ansetzen, sind sie schon irgendwie NIST 2 compliant und irgendwie sicher. Also dadurch stumpft man einfach ab, weil man schon wieder das Gefühl hat, okay, ich brauche ja nur dieses Produkt kaufen oder ich muss ja nur mit denen reden und dann schon werden mir helfen, NIST 2. sicher zu sein und wenn ich nichts weiß sicher und überall einen Haken dran gemacht habe, dann kann ja nichts passieren. Und das ist das, wo ich sage, die Leute stumpfen einfach ab, weil sie schon viele Regularien gehört haben. Kritisch war ja in Grunde genommen war für mich damals so ein bisschen dieser Break -Evo, jetzt meinen wir es ernst. Kritische Infrastruktur muss geschützt werden. Ich glaube, das ist nichts, wo irgend einer daran irgendwie anzweifeln kann. Und was ist passiert?

Eva: Ne, da.

Nermin: Industriegruppen haben sich rauslobbyiert, weil sie gesagt haben, wir wollen nicht daran irgendwie gemessen werden, diese Umsetzung ist nicht unsere Kernkompetenz. Ganze Branchen wie Pharma oder ähnliches galten dann auf einmal nicht mehr als kritische Infrastruktur, aber irgendwie der kleine lokale E -Mail Provider, der einfach mal einen guten Service für seine Region machen wollte, der ist dann auf einmal Teil der kritischen Infrastruktur und muss das dann irgendwie umsetzen, hat aber gar nicht die Mittel. entweder sich rauszulobieren oder gar das umzusetzen. Und wie gesagt, das was wir mit den Richtlinien machen und wie wir Richtlinien leben, ist das was ich kritisiere, nicht die Richtlinie an sich. Und das ist glaube ich der Punkt.

Eva: Aber da können wir auch eigentlich den Bogen ja sogar wieder zum Burnout nehmen bei Kriegen. Also, weil wenn wir jetzt einmal das haben mit der Anerkennung und der Wertschätzung und eben daraus resultierend, wenn ich Richtlinien an sich befolgen würde oder auch eben von der Unternehmensführung, dass auch als sage ich mal, Pflicht angesehen werden würde, dann gäbe es ja zum Beispiel auch wahrscheinlich bessere Arbeitsbedingungen. Also ich investiere da rein, ich befähige, Mangel an Ressourcen und Unterstützung ist ja auch so ein Riesenthema, was auch zu Burnout führt. Du hast nicht genug Leute, du stellst da nur mal einen ein, vielleicht zwei. In Riesenkonzernen sind es ja teilweise auch dann nur fünf oder sechs, die dann da das alles managen. Also das ist ja Wahnsinn. Und die haben dann die alleinige Last. Ja, ihr kümmert euch die die ganzen Bedrohungslagen und die steigende Anzahl der Bedrohungen. Müßt euch da fix einarbeiten. Habt einen irren Druck und ja. Und dann meckern wieder alle, weil das ist ja aber jetzt kompliziert, wenn man mir das einfach abschaltet. Aber wie sollen die das schaffen? Also das heißt, dieser Mangel an Ressourcen und Unterstützung, so eine Richtlinie kann natürlich auch mit dazu führen, dass man auch einfach sagt, nee, also ich hab sonst auch selber Schaden, wenn ich mich nicht daran halte als Unternehmen. Das waren ja, ich glaube, immerhin 5 Prozent, ne? Fünf oder drei. Ich bin mir nicht mehr sicher des Jahresumsatzes, was da an Strafen infällig wird, wenn du da... ist ja noch nicht in Stein gemeißelt, aber so ist es quasi geplant, dass da ein Schmerz erzeugt wird, dass du da einfach auch ran musst und sagen kannst, ich muss Leute entwickeln, ich muss den Job attraktiv kriegen. Oder eben so ein bisschen der Cyber -Wellness -Ansatz einfach auch dafür sorgen, dass das eben nicht nur so ein Nischenbereich ist, sondern dass irgendwie alle

Eva: irgendwie damit auch zu tun haben und diese Themen auch in alle Bereiche selbstverständlich mit reinfließen und es nicht mehr so separiert wird, weil man kann es halt nicht mehr separieren. Es ist nicht irgendwie ein eigener Guru -Guru -Bereich, sondern dieses digitale Sicherheit trifft jeden überall mal an.

Nermin: Ja, und das ist das, was auch in dieser Richtlinie wie in vielen anderen Richtlinien einfach halt die praktikable Umsetzung, dass es keine Unterstützung gibt für die Umsetzung dieser Linien, sondern nur eine Richtlinie, in der drin steht, was man machen sollte und nicht wie man es machen sollte. Und ich will das Ganze auch nicht irgendwie runterspielen, aber wenn man sich so ein bisschen, was ich mich frage, wer soll denn sowas überprüfen? Wir haben ja mit Angst ja auch schon gearbeitet mit Datenschutzbeauftragten. Wir haben gesagt, jeder Gründer, jeder Owner in das Unternehmen ist der Datenschutzbeauftragte. Du wirst mit deinem persönlichen Eigentum dafür gerade stehen, wenn irgendwas passiert. Ist es jemals der Fall gewesen? Ich kann mich an keinen einzigen Fall erinnern in Deutschland, wo irgendjemand mit seinem persönlichen Eigentum für irgendeinen Datenverlust jemals gehaftet hat. weil es dann immer am Ende des Tages rauskommt, ja, wie haben wir das mindeste getan, was, keine Ahnung, irgendwelche Behörden vielleicht von gegeben haben, was so der Best -Practice -Ansatz ist oder wie auch immer. Das heißt, es gab immer eine Argumentation, weil man es einfach auch nicht mehr verifizieren konnte, weil die Richtlinien auch nicht so detailliert geschrieben sind, dass man sagen kann, okay, das ist messbar. Die Umsetzung ist messbar und ist vergleichbar. Dass man sagen kann, das Unternehmen X6 setzt irgendwas genauso wie es andere umsetzen müssen, sodass man es vergleichen kann.

Eva: Ja.

Nermin: Und ich glaube, wir haben einfach als Deutschland auch nicht die Instanzen, die sowas wertfrei bewerten können. On scale, tatsächlich über Unternehmensgrößen und hinweg. Geh mal in irgendein Top 5 deutsches Unternehmen rein, bevor du das analysieren kannst, vergehen Wochen und Monate, raus zu laborieren. Ist diese Richtlinie umgesetzt? Wie ist sie umgesetzt?

Eva: mhm

Nermin: trifft das ungefähr den Wert der Richtlinie, mit wem muss man da sprechen. Und wenn man sich sagt, dass diese nationale Cybersecurity Agenda hat, die sich Deutschland ja mal da auf die Fahne geschrieben hat, aus der ist ja auch nicht viel geworden. Also ich glaube, von den ganzen Maßnahmen, dass Deutschland mal in die Agenda mal reingeschrieben hat, dann waren, glaube ich, irgendwie, wenn ich mich richtig genannte, 47 Punkte, sind gerade mal vier wirklich irgendwie bewerkstelligt worden.

Eva: Aber guck mal, genau da ...

Nermin: Weil es auch da wieder nicht die Mittel gibt und auch wieder da nicht den Umsetzungswillen gibt, weil man es technologisch betrachtet, weil man es als Add -on betrachtet und nicht als integralen Bestandteil. Und das ist das, was du eben auch gesagt hast. Es ist einfach kein IT -Thema mehr. Es muss eingebettet sein in alles, was ein Unternehmen macht, ob es uns gefällt oder nicht. Wir müssen das berücksichtigen.

Eva: Nee.

Eva: Richtig. Und das würde ja auch zum Beispiel dazu führen, wenn es etwas Gemeinsames wird, dann wird es ja schon mal auch eine geteilte Verantwortung. Und das ist schon immer leichter zu tragen. Also es ist nicht immer nur dieses eine Department, was da zuständig ist, nur die, die sich weiterbilden müssen. Also wie schnell willst du dich weiterbilden? Die Speed of Cyber. Vielen Dank für's Zuschauen.

Eva: Da brauchen wir uns ja nichts vormachen. Das ist schon zum schwindelig werden, finde ich. Wenn du immer wieder schaust, was ist jetzt die neue Bedrohungslage? Was ist die neue? Was passiert da? Was passiert da? Neue Technologie? So, jetzt müssen wir uns alle gerade ja auch mit KI -Sicherheit befassen. Auf der einen Seite heißt es, wenn du es nicht benutzt, bist du wirtschaftlich abgehängt und wirst keine Chance mehr haben. Und gleichzeitig ist es aber auch nicht zu verantworten, wenn du es nicht sicher einsetzt. weil es eben natürlich etliche Angriffsflächen gibt. Ich packe hier in die Show Notes nebenbei, weil es hat mir so viel Spaß gemacht. Mal diese KI Prompt Injection Lab von euch, Nermin. Die gibt's ja immer noch frei, glaube ich. Die habe ich letztens gerade wieder gesehen. Da könnt ihr euch mal so durchleveln. Da müsst ihr die KI austricksen und deren Passwort entlocken. Und ich war süchtig, das hat so viel Spaß gemacht. Aber das ist auch so ein schönes Beispiel. Du solltest auf der einen Seite alles einsetzen, gleichzeitig aber auch sicher einsetzen. Und ja, lernt das mal alles so schnell. Und dann gibt es auch mal so, ja, hier gibt es eine Abteilung, die hat dafür den Hut auf. Die müssen das sicherstellen. Wozu führt das? Ich spreche mit Unternehmen, die sagen, wir haben Shatchi PT. erstmal ganz gesperrt. Das darf, darf man ja erst mal nicht, weil wir können das gar nicht gewährleisten. Okay, dann bist du aber nicht mehr wettbewerbsfähig. Oder doch? Du brauchst was Eigenes. Und ganz ehrlich, das ist, also ich bleib dabei, das ist, du kannst es nicht nur einem die Partner hinrotzen, sondern das muss gemeinsam angepackt werden. Und da müssen viele Menschen...

Nermin: Du brauchst halt jemanden, der es verantwortet. Wir brauchen irgendjemanden, der sich im Unternehmen den Hut aussetzt und sagt, ich möchte das für das Unternehmen machen. Aber das soll nicht derjenige sein, auf dem man halt mit dem Finger zeigt, wenn es halt nicht funktioniert. Es muss einen unternehmerischen Willen dazu geben, diese Position mit den notwendigen Mitteln auszustatten.

Eva: Ja, genau, das natürlich.

Nermin: das für das Unternehmen da hochzusetzen. Und wirklich durchgängig. Es darf keine Ausnahmen geben. Es kann nicht sein, dass man den normalen Mitarbeiter irgendwie knächtet, ganz genau aufzupassen, welches Dokument er wo, wie anhängt und ob er per E -Mail kommuniziert oder nicht. Und Geschäftsführer dann einfach über dem Ganzen stehen und sagen, das ist mir alles viel zu kompliziert, ich muss mit meinem iPhone alles machen. Und dann wundert man sich, dass halt irgendwas passiert. Es muss wirklich als Unternehmenswert gelten. Und solange das so nicht ist, und solange man das nicht wirklich als schützenswertes Gut sieht, genauso wie man seine Produktionsrezepte oder ähnliches, und es immer nur als Add -on wird, solange werden wir diese Diskussion führen.

Eva: Das stimmt, aber ich finde auch, dass die Besetzungen fragwürdig sind. Ich hatte jetzt gerade, das ist nochmal eine schöne Anekdote. Ich hatte hier bei uns zu Hause von meinem Partner, sein Kollege, der hatte hier übernachtet und der war gerade richtig akro. Und ich meinte, was ist denn los? Also diese scheiß Security hier. Und also war richtig so am Ausrasten schon fast. So kann ich hier nicht arbeiten und die sind doch nicht ganz dicht. Und also er war wirklich, der war aufgebracht, ne? Ich habe ihm so erzählt von meiner Firma und Cyber, dieses ganze scheiß Thema, das kannst du auch begraben. Die sind alle nicht ganz dicht und die glauben, die sind die Gurus. Und ich war so richtig geschockt, er war so richtig aggro. Und dann meinte ich, was ist denn da los? Und dann hat er mir aber auch wirklich, da hat er mir angefangen zu erzählen, wie in seiner Rolle, der kommt aus dem Pre -Sales, wo er jetzt wirklich nicht so hochsensible Damen zu verantworten hat, was für Prozesse, was für wieder Tickets generiert werden müssen, wenn du ein Anliegen hast. Und also da hat die Firma offensichtlich auch gesagt, ich möchte meine Security -Abteilung gerne schützen, dass die nicht überlaufen sind, weil in jedem AFP und überall müssen die Antworten geben, die müssen die Vorfälle bearbeiten, die müssen das machen, haben die da so ein Ticketsystem eingeführt und sind wirklich halt nicht strikt daran. dass es bis dahin liefern wir das, irgendwas zwischendrin machen wir nicht, die haben sich komplett abgeschottet. Also das hat man richtig gemerkt, okay, da hat wohl ein Unternehmen gesagt, so ich muss, weil Security Leute sind schwer zu bekommen und wenn die mir kündigen, ist auch schlecht, ja, und wir schützen die hier. Hat aber dazu geführt, dass dann in den anderen Abteilungen, meint er so, da hat das auch richtig so mit Bravour, und wenn die glauben, wir nehmen hier keine Schatten -IT, aber auf sicher. Und ganz bestimmt der Weg nicht mehr. Und jetzt brauchen die gar nicht denken, dass der überhaupt noch mal was weiß, was wir hier machen. Ansonsten können wir hier gar nicht mehr arbeiten. Und das war richtig emotional hochgradig aufgeladen. Das war so spannend, Nermin. Und da ist mir klar geworden, dass hier immer alles in der Mitte liegt. Wir können nicht nur die Security schützen und sagen so, Gott, und wie ihr kommuniziert, bringen wir euch auch nicht bei und...

Nermin: Ja.

Eva: Vielleicht mal so das warum und auch dieses Partnerschaftliche, wenn das dann dazu führt, dass wirklich, weil also der hatte recht, die Arbeitsabläufe, die der da hatte, da meinte ich spontan, das könnte ich nicht, obwohl ich aus der Branche bin. Könnte ich nicht, so könnte ich auch niemals arbeiten. Nicht für diese Rolle ein solches Sicherheitskonzept, ja, für diese Rolle macht das überhaupt keinen Sinn, weil der Schaden ist wirklich sehr begrenzt, der entstehen würde. Zurück zum Thema, da habe ich gemerkt, dass da richtig Hass schon fast zwischen diesen Abteilungen. sich aufgebaut hat und man weit weg von zusammen war. Das fand ich eine sehr interessante Beobachtung und habe mich gefragt, wie könnte man das jetzt eigentlich lösen? Und da habe ich gedacht, die reden aber nicht miteinander. Das ist so ein Silo, ich bin da in meiner Nische, alle hassen mich, davor muss ich die schützen vor den bösen anderen. Wir müssen das zusammenbringen. Das funktioniert so nicht. Das ist wirklich harte Fronten, die da aufeinander getroffen sind, Nermin. Das war richtig emotional.

Nermin: Ja, Oegert, du hast es ja selber gesagt, das liegt halt einfach an der Balance. Und weil es einfach kein Unternehmenswert ist. Und das ist eben genau wie mit dieser Policy. Hätte ich mal irgendwie so eine Richtlinie für die Security Leute geschrieben und die Security Leute wären von Abteilung zur Abteilung gegangen und hätte gesagt, hör zu. Das und das haben wir vor. Das wollen wir machen, hier unser Unternehmen irgendwie sicherer zu gestalten. Erklären wir mal, wie ihr arbeitet, erklären wir mal, welchen Einfluss das auf euch hätte. Wenn es irgendwie einen Einfluss auf euch hat, welchen Weg können wir dann gehen, es trotzdem, das Unternehmen zu schützen? Statt einfach zu sagen, wir machen eine Policy, dann wird sich irgendjemand aufregen. Entsprechend der Hierarchie -Levels des Aufregers wird dann vielleicht eine Ausnahme geschaffen, weil die müssen ja irgendwie weiterarbeiten. Andere Abteilungen sehen das, okay, die haben eine Ausnahme gekriegt, wir kriegen keine, also hat man wieder schlechte Stimmung. Man darf dieses Aufsehen und Ausnahmengenehmigung einfach nicht machen. Wenn ich als Unternehmen ein Risiko akzeptiere, dann ist das was anderes. Aber ich kann das nicht einfach so machen. Ich muss das irgendwie von oben steuern und von oben sichtbar haben und nicht einfach in technischen Maßnahmen enden lassen.

Eva: Richtig. Und auch mit diesen Schuldzuweisungen. Ich konnte mir das richtig vorstellen. Die Abteilung sitzt da und sagt nur, die sind alle so blöd da in der Security, die sind abgehoben und denken, die sind sonst wer. Die Security Leute, die da mit Sicherheit umgekehrt sozusagen, diese ganzen Honks da aus den Teams, die machen alle nicht mit. Den muss sich alles verbieten, weil die verstehen sie eh nicht. Und äh... Das funktioniert so nicht. Wir müssen da wirklich, das muss zusammengeführt werden. Das muss zusammengeführt werden und Entschuldigung, und es muss ein Weg gefunden werden, dass die Interessen aller Abteilungen berücksichtigt werden. Und so schwer kann das ja auch nicht sein. Also das ist ja wirklich ein Es heißt mit einem Verständnis der KPIs und der Sicherheitslage der Abteilungen und dann kann ich doch unterschiedliche Restriktionen geben oder nicht. Ist doch klar, dass der Developer, der vielleicht den Durchbruch gerade macht, dass man das nicht hacken sollte, größer ist als wenn einfach, sagen wir mal, eine blöde Sales -Prise durch die Gegend geschickt wird ohne Zahlen, was dich auch von der Webseite laden könnte. Das muss sich doch nicht leichtstark schützen.

Nermin: Ja, aber es ist, man müsste es halt tatsächlich genauer betrachten. Und das ist ja das, was die meisten Unternehmen, die wollen sich das Thema ja nur entledigen. Gibt es denn irgendwas, was wir kaufen können? Und wenn wir es nicht kaufen können, lass uns eine Richtlinie schreiben. Leute dürfen XY nicht mehr per E -Mail schicken oder was auch immer es immer ist. Und dadurch kommt halt dieser Frust und dadurch kommt dieses auch dieses Burnout drin, wenn man mit sowas arbeiten muss. Ich war selber in Projekten für einen Kunden als Externer.

Eva: Ja, voll.

Eva: Ja.

Nermin: Bekriegt seine eigene Geräte, was ich sage noch noch okay finde. Die kennen ihre Geräte, die wissen, wie sie sich schützen sollen. Aber alles, was mit diesem Gerät halt irgendwie war, ob das jetzt irgendwie eine Smartcard, die dann auf einmal nicht mehr funktioniert hat oder dass irgendein Update irgendwie irgendwas zerschossen hat, die einzige Lösung war, sie müssen sich jetzt in den Zug oder einen Flieger setzen und mit dem Laptop zu uns ins Headquarter kommen und wir müssen uns das irgendwie anschauen. Wie praktikabel ist das denn halt, wenn du so ein Unternehmen mit 50 .000 Mitarbeitern bist, wo du irgendwie 10 .000 externe Rumfläuchen hast? Und das sind wieder diese Statistiken und Zahlen, die halt nirgendwo drinstehen, wo man dann fast sieht, wie viel Reisekosten und wie viel Auswahlzeit bezahle ich denn, nur weil ich so ein vermeintlich sichere Prozedere haben will, so ein Gerät zu fixen. Dann ist es meistens günstiger, du schickst ein neues Gerät, also bevor du den Mitarbeiter oder einen externen, den du auch bezahlen musst, erstmal hierher schickst.

Eva: Ja.

Nermin: dann irgendwie Arbeitszeit drauf geht, ihn wieder nach Hause schickst, er wieder vielleicht am frühesten Samstag einen Tag wieder arbeiten kann. Das ist einfach nicht lebensfähigere Prozesse.

Eva: Weißt du was? Das ist eigentlich ein richtig schöner Schlusspunkt. Ich würde super gerne unsere Hörer fragen. ob sie uns mal die vielleicht lustigsten, nicht das zu blamen, sondern einfach nur das zu versinnbildlichen Security -Maßnahmen schicken, die sie im Arbeitsalltag haben. Ich habe jetzt so ein paar lustige gehört, ich würde die mal ganz gerne sammeln und dann sagen wir mal so, wie man das vielleicht auch besser machen kann. Oder einfach, das würde mich mal richtig interessieren, weil diese ganze Frustration ist ja nicht ohne Grund. Dann machen wir so mal eine kleine Studie. Was sind so eure abstrusesten... Sicherheitspolices, denen ihr da folgen müsst, die euren Arbeitsablauf wirklich stören. Die Geschichte mit dem Drucker hatten wir schon, das jetzt hier auch gerade. So, das wird mich echt mal interessieren. Ich habe da, ich habe auch eine Geschichte habe ich auch noch zum Beitragen, die ich gehört hatte. Da sollten Sicherheitsvorfälle oder oder Smishing, genau, Nachrichten gemeldet werden und also wenn eine SMS quasi einspugelt auf Rom. Wir müssen gleich aufhören. Wenn eine SMS eintrudelt auf deinem Handy, wird, was ich hier, hier Oma, neue Nummer und so. Und die müssen dann, ehrlich gesagt, die müssen erst mal einen Screenshot davon machen. Dann muss das als PDF umgewandelt werden, dass soweit so eine PDF -Datei geschickt werden kann. Dann müssen die in irgendeinem E -Mail -Programm und das dann da rüber schicken. Und melden, also so total kompliziert. Also die Meldekquote ist irgendwie ein Prozent. Also keine Sau macht das, weil das so kompliziert ist, dass keiner mitmachen wird. Also, lass uns mal sammeln.

Nermin: Am Ende blockt man dann wirklich die Oma. Die Oma ist dann traurig, dass sich der Enkel nicht meldet, weil er bei irgendeinem Sock auf der Liste steht zur Verifizierung.

Eva: Ja, Mensch, sehr schön. Dann, wir sind schon wieder durch, Niamin. Die halbe Stunde ist so schnell vergangen. Ja, also wir, in zwei Wochen, in unserer nächsten Folge haben wir unseren ersten Gast. Ihr könnt euch schon drauf freuen. Das heißt, für uns ist auch überfregend. Wir haben das erste Mal einen Gast in der Runde. Mal schauen, wie das so funktioniert. Da freuen wir uns schon ganz tolle drauf. Und ja.

Nermin: Die Zeit ist schon wieder das gibt's dann nicht.

Eva: Vielen Dank für das nette Gespräch und für euch allen eine coole Woche!

Nermin: Schöne Woche und bis bald!

Eva: Bis bald, ciao!

Nermin: Ciao, ciao!