Python, kannst du auch weiter erläutern, was du da geschrieben hast?

Ich muss immer irgendwas

rumfummeln und mit irgendwas ausprobieren. Im Moment bin ich stark am Thema KI interessiert. Was kann man damit kann man das einbinden? Wie kann man das programmieren? Das macht einfach Laune und ist einfach so ein Spaßfaktor. Ich entspann mich dabei. Es klingt ein bisschen albern, aber ich code tatsächlich zum Spaß.

hat was meditative ist auf jeden Fall. Sehr Vielleicht kannst du bisschen teilen, wie hältst du dich eigentlich technologisch fit?

Definitiv.

Tatsächlich durch genau solche Aktionen. Also ich versuche selber Dinge auszuprobieren, versuche auch Dinge früh wirklich einfach händedreckig machen, sage ich Daneben natürlich klar Fachzeitschriften. Ich versuche viel auch im Internet nachzulesen. Ich habe immer wieder lange Autofahrten, in denen ich auch selber fahren muss. Da kann ich nicht allzu viel Und zu den Zeiten höre ich mir dann auch super gerne einfach mal Tutorials an. Lass da mal einfach quasi im Hintergrund was mitlaufen. Das sind so die Quellen.

Aber wahrscheinlich die wichtigsten Quellen, sich mit Menschen unterhalten, verstehen, was die verstehen, versuchen rauszuhören, wo die die Knackpunkte sehen. Ich habe hier ein riesiges Haus mit wirklich fantastischen Experten. Denen zuzuhören, ist alleine schon quasi die beste Schulung, die man jeden Tag haben kann.

Ja, sehr spannend. Wie sieht das denn bei dir aus? Du hast hier eine unheimliche Breite an Technologien, die in deinem Berufsfeld so auf dich einströmen, sage ich mal. Ist das wie im Fernsehen, dass dann so drei, vier Experten dich jeden Tag prevenen oder wie läuft das denn bei dir ab? Wie wirst du auf Stand gehalten? Wie geben dir die Leute die ganzen Informationen, die du brauchst?

Das ist tatsächlich gar nicht so Also das logistisch zu organisieren, dass man immer die Informationen hat, die man gerade braucht, ist alles andere als leicht, der Tag hat blöderweise echt nur 24 Stunden. Und dann wirst du auf irgendeinen Panel geschickt, irgendeine Keynote, du halten musst, und dann musst du die Informationen parat haben. Und das ist so, wie mache ich das jetzt wieder? Wie schaffe ich mir jetzt dieses Thema da drauf? Wir arbeiten viel mit sogenannten Sprechzetteln, das heißt, die schreiben mir das einfach auf.

Und ich brauch kurze Sätze, weil ich sowieso die langen Sätze gar nicht verstehe. Also Sprechzettel sind eine Möglichkeit. Und wann immer ich auch nur ein bisschen Zeit hab, versuche ich auch tatsächlich in die Organisation reinzugehen und zu sagen, hey, können wir eine Stunde plaudern? Also ich gehe dann wirklich dahin und sag, hier, das Thema interessiert mich total. Ich würde jetzt gerne mal ohne Ergebnisorientierung, wir brauchen am Ende der Stunde ein bestimmtes Ergebnis, außer ich hab ein bisschen was gelernt, würde ich gerne einfach mal vorbeikommen, Fragen stellen können, du erzählst mir was und dann mal so nachbohren, so tiefer bohren.

Und das finde ich eigentlich immer total schön, wenn das funktioniert. Klappt relativ selten, also viel muss ich mir quasi so nebenbei an Wissen quasi drauf schaffen, wenn man so...

Wow, Ich habe jetzt eine Sache selbst gemerkt mit dem Podcast. Ich habe den in der Familie geteilt und die haben gesagt, das ist ja super, was du machst, aber ich verstehe kein Wort. Ich denke mal, dir geht das ähnlich. Du sprichst ja, du hast eben die Panels angesprochen und du hast oft sehr komplexe Themen, die vielleicht manchmal auch Angst machen.

Und auf der Gegenseite sind vielleicht nicht immer Leute, technisch so tief drin sind. Was ist denn so dein Geheimrezept, wie man diese komplexen technischen Themen so einfach erklärt, dass man auch nicht zwangsläufig zu viel Angst bekommt, sondern dass man eher eine Erwähnnis dafür bekommt? Wie schaffst du das?

Ich weiß gar nicht, ob ich das schaffe. ich dabei sagen kann, ist, dass ich es jeden Fall versuche. Ich glaube, das Erste, womit man sich da anfreunden muss, und das tue ich definitiv, ist dieses, man ist schon da auch ein kleines bisschen der Erklärbeere der Nation für dieses Thema Cybersicherheit, und das ist auch okay so. Ich habe den Anspruch, zu verstehen, wo mein Gegenüber steht, im Sinne von, wo kann ich da aufsetzen, was ist da an Vorwissen da, und dann versuchen, die Menschen dort abzuholen, wo sie gerade sind.

Das bedeutet im Zweifelsfall, dass wenn du im Frühstücksradio was erzählst und noch mal ein anderes Verständnis voraussetzt und versuchst es etwas leichter zu erklären, damit es die Menschen auch erreicht, also das vielleicht bei einem Fachpublikum machen würdest. Das ist viel damit zu tun, zu überlegen, wo ist jeweils der Gegenüber? Was wissen die schon? Was für Informationen brauchen die? Was hilft denen weiter? Was interessiert die? Ich habe da tatsächlich auch eine wie ich finde, ganz hervorragende

⁓ die sich mit Presse- Öffentlichkeitsarbeit beschäftigt, die machen das super. Und die schreiben mir das dann tatsächlich manchmal da echt so rein. So dieses Claudia, it simple. Oder halt auch manchmal, da muss ich mal lachen, wenn sie dann sagen, so Claudia, jetzt bitte mal Präsidial, Also bitte, benimm dich anständig. Gut, mach ich. Oder aber du kannst folgendes Wissen voraussetzen. Also da bereiten die mich auch super vor, indem sie mir helfen, diese Perspektive auch vor Augen zu haben und zu wissen, was kann ich voraussetzen und wie kann ich sozusagen Menschen ansprechen.

Das ist noch kein Geheimnis. glaube, das Geheimnis liegt wenn überhaupt dann ausschließlich darin, sich das bewusst zu machen und auch ganz bewusst es zu versuchen, den anderen mit dem zu erreichen, was ihnen sie interessieren könnte. Ich glaube, viel besser wird es nicht. Und ob das schon reicht, das müssen die Menschen beurteilen, mit denen ich rede.

Also ich glaube dein Feedback, was du bekommst, spricht dafür, dass du es auf jeden Fall schaffst sehr nahbar zu sein und die komplexen Themen auch sehr einfach und verständlich zu transportieren. Danke dir dafür. Wollen wir vielleicht mal ein bisschen switchen? Die Lage der Nation. Wie sieht es denn aktuell aus bei uns im Stichwort Cyber Security? Oft sprichst du von Angriffsflächen und dass wir noch viel aufzuholen haben. Kannst du uns dort vielleicht kurz und knapp mal deine Einschätzung geben? Ihr habt ja jetzt ein Report veröffentlicht im November.

Wie sieht es denn aus bei uns hier in Deutschland? Vielleicht auch ein bisschen auf Europa zu schauen.

Ja, also wir haben in der Bericht rausgebracht Anfang November. Das ist so traditionsgemäß die Zeit, in der wir das tun. Und wir bringen einmal im Jahr unseren Jahresbericht raus. Wir haben auch Tageslageberichte, das ist klar, aber einmal im Jahr kommt quasi dieses große Kompendium all dessen, was wir sehen, was wir gelernt haben, was wir getan haben auch im Laufe des Jahres. Und das veröffentlichen wir einmal im Jahr dann auch immer auf großer Bühne. Dann darf ich immer mit dem Minister, darf ich dann in die Bundespressekonferenz und dann sitzen wir da.

und erzählen dann auch den Journalisten, was wir da sehen. Und dann kriegt man abends immer die Anrufe aus der Verwandtschaft, hab dich wieder im Fernsehen gesehen. Ja genau. Aber der entscheidende Punkt sind die Botschaften, die wir versuchen dort zu bringen. Wir versuchen auch sehr klar den Menschen mitzuteilen, was wir sehen, sie auch nicht zu alarmieren, aber doch auch die Bewusstsein zu schaffen. Und wir haben, müssen wir ganz klar sagen, auch wieder feststellen können, weiterhin dass die Situation sich einfach noch

überhaupt nicht entspannt hat, sondern ganz im Gegenteil, wir weiterhin in dieser angespannten Situation uns befinden. Wir haben eine angespannte Cyber-Sicherheitslage. Wir ordnen die auch echt als besorgniserregend ein. Das tun wir aber leider nicht erst seit gestern. Was hat sich jetzt also geändert? Es haben sich ein paar Sachen durchaus mal geändert. Eine davon hat mit uns zu tun, wir haben nämlich angefangen, unseren Lagebericht auch quantitativ zu machen.

Also wir wollen eigentlich die Cyber-Sicherheitssituation nicht nur aufgrund der Summe von Inzidenz, gerade laufen oder von spektakulären Krisen, die ausgelöst wurden, sondern tatsächlich einfach messen. Was hatten wir? Und wir messen das in verschiedenen Dimensionen. Wir messen als alle, wer da was bedroht uns denn? Ja, also zum Beispiel Malware, die da draußen ist. Also Software, die da drauf aus ist sozusagen uns irgendwie zu schädigen. Wie viel gibt es davon? Wo ist die? Wie ist die verbaut? Botnetze?

Das schönes Beispiel. Aber eben auch kriminelle Gruppen, die uns angreifen. Und dann messen wir, was ist eigentlich unsere Angriffsfläche? Also wo kann man dann angegriffen werden? Also ganz platt gesagt, ein Internet-Server, der im Netz steht und der jetzt irgendwie Schwachstellen hat oder der eine ganz alte Softwareversion drauf hat. Dann hast du das nächste Problem, der ist verwundbar. Das wäre eine Angriffsfläche. Das zählen wir. Also wirklich einfach zählen. Wie viel haben wir davon? Kleines Beispiel, 30.000

30.000 Exchange Server, die in Deutschland rumstehen, die verwundbar sind. Das ist einfach ein Riesenproblem. Dann messen wir das Thema Gefährdungen. Was läuft gerade an Attacken? Wo laufen Phishing-Campagnes? Wo werden gerade Ransom-Angriffe durchgeführt? Wo ist was in unseren Netzen? Also wirklich Angriffe, die da jetzt gerade laufen und dann bisschen zu Schadwirkung. Was ist passiert? Musste eine Firma Lösegeld bezahlen oder eine Institution? Gab es einen Ausfall der Systeme über Tagen, Wochen, Monate?

Wie zum Beispiel hier im Falle von Südwestfalen, egal, auf jeden Fall im Falle von wir einen IT-Dienstleister hatten, der wurde angegriffen und danach waren über wirklich Monate diverse Kommunen nicht in der Lage ihr Standard-Business sozusagen auszuführen. Man konnte dort nicht mal mehr heiraten, was ich sehr traurig finde. Jahrzehnte später werden noch Autos mit den

mit Nummernschildern aus den Nachbargemeinden rumfahren, weil die einfach woanders hin ausweichen mussten, uns zuzulassen. Und das sind Themen, also die Schadwirkung. Und diesen Dimensionen messen wir das. Das haben wir dieses Jahr zum ersten Mal ganz konsequent durchgezogen. Und wesentlicher Kenntnis, die wir jetzt auch mit Zahlen belegen können, unser Problem sitzt in den unzureichend geschützten Angriffssflächen. Wir haben zu viele verwundbare Systeme im Netz, zu viele Software nicht auf dem neuesten Stand ist, zu viele Schwachstellen, für die es noch keine Patches gibt.

Unsere unzureichend geschützten Angriffsflächen machen uns im digitalen Raum verwundbar. Und das ist die zentrale Aussage, die wir dieses Jahr hier auch wirklich mit Zahlen belegt, sauber rausgearbeitet haben. Das ist erstmal gar keine gute Nachricht, denn die Angriffe sind übrigens auch nicht weniger geworden.

Okay, das heißt, das ist ja immer ein Wettlauf gegen die Angreifer, die sich immer wieder weiterentwickeln, auch die jetzt wahrscheinlich auch neue Technologien wie KI mit einsetzen. Dein Fazit heißt Patchen, Patchen, Patchen. Ich habe ein Zahlen mitgebracht, also 800.000 Phishing Websites pro Tag oder so was. Wir haben 280.000 maliziöse Websites gemessen im Q3, 24 sind aber irgendwie runtergegangen auf 90.000 in Q2, 25.

Das heißt, da sind auch Bewegungen drin, das sieht, wir machen da was. Es ist wirklich ein Wettlauf gegen die Kriminalität sozusagen. Ich habe ein Video von dir gesehen, wo du gefragt worden bist, und da ging es, glaube ich, um diese Bitkom-Studie, dass wir 200 Milliarden Euro Schaden pro Jahr für Ransomware messen oder abschätzen. Und...

Wir haben ja in deiner Statistik gesehen, dass wir weniger bezahlen. Also wir gehen weniger darauf ein. Aber das ist ja eine unheimliche Masse an Geld, die dort tagtäglich, was man gar nicht so richtig mitkriegt, über die Theke geht, sozusagen an der Presse und Schurken, würde ich jetzt sagen.

Ja, das ist leider so. Wobei das nicht ganz stimmt, das sind nicht nur Ransom-Werangriffe, sondern das sind Schäden durch Cyber-Angriffe, Cyber-Kriminalität, die dort gemessen werden. Es gibt auch immer wieder Kritik daran, wie das jetzt gezählt wird. Aber für mich ist der entscheidende Punkt die Größendimension. Ob das jetzt 50 Milliarden mehr oder weniger sind, ist mir doch jetzt auch schon egal. Also weil auch 150 Milliarden, genau wie 250 Milliarden, ist eine gigantische Summe Geld, die wir in diesem Land dringend für andere Dinge brauchen.

Ja.

Und insofern ist es in der Tat eine ganz schlechte Nachricht, wenn man sich überlegt, dass quasi zumindest ein großer Teil dieses Geldes einfach zur Tür raus marschiert und wir nichts dafür bekommen. Das geht gar nicht und das sollte an sich schon ein Incentive genug sein. Wir stellen wieder fest, ist es vielleicht noch gar nicht, aber das ist wirklich eine riesige Summe Geld und vor allen Dingen auch noch mal die Bemerkung an der Stelle, das waren mal 146...

Dann waren es 179, jetzt sind es 202. Und das sind nur die drei Jahre seitdem ich diese Zahl beobachte. Vorher habe ich die nicht so im klaren Kopf gehabt, aber jetzt die drei Zahlen kenne ich und alleine über diese drei Jahre haben wir dann eine entsprechende Steigerung. Ich sage nur 146, 179, 202. Wahnsinn. Also hier passiert nach wie vor etwas, unabhängig davon ob man jetzt genau diese Zahl glaubt und wie sie jetzt genau gemessen wird. Sie wird immer gleich gemessen und die Kurve geht steil nach oben.

Wahnsinn.

Das ist die Botschaft, die uns hier an der Stelle echt beunruhigen muss.

Vor allem die Tendenz ist hier halt immer steigend und es sind riesen Zahlen. Was ist deine Empfehlung? Ganz klar nicht Zahlen und sich mit euch verbinden oder wie schätzt du das ein? Weil die Leute haben natürlich Angst ihre Know-how, ihr Business und was empfiehlst du da?

Also für Institutionen genauso wie für Firmen bin ich ganz klar bei den Empfehlungen unseres Hauses, also hundertprozentig, bitte nicht zahlen. Aus mehreren Gründen. Zum einen unterstützt du damit eine Industrie, die natürlich kriminell ist. Durch und durch kriminell. sind, ich kann es nicht besser sagen, sind Diebe. Das sind Erpresser, das sind Gauner. Der nächste Punkt ist...

Du weißt nicht genau, ob eine Wiederherstellung wirklich funktioniert. Wir sehen immer wieder auch Fälle, wo das nicht funktioniert. Also du hast auch immer ein Restrisiko und dann hast du unter Umständen bezahlt und dann stellst du fest, hat auch nichts genützt. Also auch das Risiko besteht und das ist die klare Empfehlung unseres Hauses. Also bitte nicht zahlen. Jetzt wissen wir alle, Empfehlung kann man aussprechen. Das berücksichtigt im Zweifelsfall nicht die individuelle Situation desjenigen, derjenigen, die sich in dieser Situation befinden. Das ist

noch mal was anderes. Das muss man auch ganz klar sehen. Also bei allem Verständnis, was ich dafür habe, empfehle ich ganz klar sorg dafür, dass ihr erst gar nicht in diese Situation kommt. Also ein Aspekt ist ja, die verschlüsseln deine Systeme, dann kannst du nicht mehr arbeiten. So, kommst du Montag morgens ins Büro und da hast du nur noch blaue Bildschirme beziehungsweise eine große Message darauf hier, bitte so und so viel an das und das Bitcoin-Konto-Wallet überweisen und dann stehst du da. Dann stehst du da ziemlich blöd da.

Wenn es jetzt nur darum geht, den Schalter umlegen zu können und sagen zu können, ich will aber weiter arbeiten können, als Firma, meine kritischen Prozesse habe ich im Griff, meine kritischen Systeme habe ich im Griff, das ⁓ Zauberwort heißt Business Continuity Management. Das heißt, schaut euch an, was sind eure kritischen Systeme, was sind eure kritischen Prozesse, sorgt dafür, dass ihr davon immer Backups habt, dass ihr geübt habt, wie man die wieder einspielt, also Recovery quasi.

einfach immer eine Sicherheitskopie und die auch wieder einspielen können, dann seid ihr auch schnell wieder auf den Beinen. Zumindest mit euren wichtigsten Systemen. Das hilft schon mal ganz viel. Wir merken es auch. Wir können das messen. Wir diesem Jahr eine ganz deutlich stärkere Messfähigkeit. Wir merken, dass weniger Firmen Lösegeld weil die an der Stelle sagen, kriege ich auch selber wieder hin. Ich komme auch selber wieder auf die Beine. Und jetzt ahnen wir mal, was das bedeutet. Das bedeutet nämlich, dass die Erpresser, die natürlich keinen Einkommensverlust hinnehmen wollen, kurzerhand die Preise erhöhen.

Das heißt, diejenigen, jetzt nicht gut geschützt sind, die müssen jetzt sogar noch mehr zahlen. Anders gesagt, das war auch ein Fazit unseres Berichts, den letzten beißen die Hunde. Das ist jetzt leider so. Das ist auch nicht witzig eigentlich, obwohl man natürlich da irgendwo so Stück weit lächeln muss. Aber das ist wirklich so. Das heißt, wenn ihr gut geschützt seid, habt ihr eine Chance, an der Stelle auch sauber rauszukommen, auch wieder hoch zu fahren. Und da ist ein vernünftiges Backup and Recovery für eure wichtigsten Anwendungen schon mal das Auge.

Ja super, danke für den Hinweis und auch die Empfehlung. Ich glaube, wenn die Preise erhöht werden, merkt man, dass es greift, dass eine Reaktion darauf passiert, dass man hier in der Defensive wesentlich besser unterwegs ist. Es ist natürlich das eine, wenn ihr die Empfehlung aussprecht.

Glaubst du, es ist vielleicht sinnvoll, noch mehr in der Öffentlichkeit über solche Themen zu sprechen? Also ich musste ein bisschen Research betreiben, überhaupt auf diese Zahl zu kommen und auf solche Aussagen dank auch eurer Webseite darauf zu stoßen. Oft ist so, dass die Security-Themen und auch der Impact und die Folgen und wie man damit umgegangen ist, immer noch so ein Thema für verschlossene Türen sind sozusagen. Also die Informationen sind oft unter NDA, die werden nicht öffentlich geteilt. Glaubst du, dass das Sachen sind, die man mehr demokratisiert

Wo es mehr Talks geben sollte, wo man öffentlich darüber schreibt, wir haben so viel CVEs gehabt und sind jetzt besser geworden mit den Maßnahmen. haben so viele Secrets gefunden, haben das gemacht und sind besser geworden.

ich glaube, diese Sachen kann man teilen. Und weil die Angreifer suchen sich sozusagen ihre Lücke nicht über die Talks oder diese Informationen, die draußen gehen und die Erfolgserlebnisse von der großen Firma oder von der kleinen Firma, die erfolgreich war. Die sprechen natürlich auch für sich und die laden darüber ein, das Thema noch mal intensiver zu betrachten. Wie siehst du das?

Ich bin da voll und ganz dabei. Ganz ehrlich, haben heute da draußen sehr, sehr findige Kriminelle. Das muss man leider auch ganz klar so ist keine Schande angegriffen zu werden. Fast jeder wird angegriffen. Und je nachdem wie hartnäckig Angreifer sind, kommen die halt auch irgendwann mal durch. Und je besser man geschützt ist, desto eher hat man einen Angreifer davon abgehalten.

einen hier erfolgreich anzugreifen, aber nichtsdestotrotz das kann passieren. Und das ist an sich erstmal keine Schande. Schande ist, wenn man nichts dagegen tut. Sogar nichts. Das ist so mein Punkt. Der wichtigste Punkt für mich ist der, wir können alle was dagegen tun und wenn wir damit deutlich entspannter umgehen im Sinne von, wir verstehen, dass es jedem passieren kann und dass das kein Tabu ist, ist glaube ich vielen geholfen. Weil was wir wirklich brauchen, ist das in dem Moment, wo ein Angriff passiert ist.

dass die Informationen darüber, wie dieser Angriff erfolgt ist, geteilt werden. Weil Angreifer hinterlassen manchmal Spuren im System. Die haben bestimmt einen Modus, wie die vorgehen. Wenn man diesen Modus kennt, man weiß, wie die sich tatsächlich, wie die so einen Angriff organisieren, was die für Vorbereitungen gemacht haben, wie die sich im System bewegt haben. Da gibt es ja verschiedene Schritte. Wie die vielleicht auch an Login-Daten gekommen sind. Welche Phishing-Kampagnen da im Zweifelsfall gezogen haben.

Das sind ganz, ganz wichtige Informationen. Wenn man die hat, kann man die nehmen und kann die nächsten davor warnen, genau denselben Fehler auch noch mal zu machen. Das heißt also, ich hatte mal ein Gespräch mit einem Chefredakteur von der Zeitung, die ich jetzt nicht sage, aber wir hatten eigentlich mal so einen kleinen informellen Deal, der da lautete, wenn ich es schaffe, neue Opfer auf eine Bühne zu kriegen, die laut darüber erzählen, dann bringt er uns, also beziehungsweise die fünf, auf die Titelseite der Tagesseite.

der Tageszeitung. Jetzt haben sich natürlich alle erschrocken, als sie sich diesen Vorschlag gehört haben. Das kann man sich vorstellen. Aber eigentlich müssen wir genau an den Punkt kommen. Also eigentlich müssen wir mit einer Kultur schaffen, in der es vollkommen normal ist, über solche Themen auch zu reden und zu sagen, ja wir sind Opfer gewesen. Und das ist das, was passiert ist. So haben wir sie dann irgendwann bemerkt und so sind wir damit umgegangen. Und danach waren wir für, ich weiß es nicht, zwei, drei Tage, drei Wochen, drei Monate nicht arbeitsfähig.

Idealerweise hat die Firma dann überlebt, ist es leider auch nicht immer so, aber idealerweise haben sie überlebt. Und diese Geschichte kann und muss und sollte man erzählen, wäre jedenfalls mein persönlicher Wunsch. Wir müssen alle lernen mit dem Thema echt rational und sehr schlagkräftig umzugehen. Das geht am besten, indem wir Informationen teilen.

Also die Emotionen rausnehmen, die Fakten teilen und durch das Teilen andere mitschützen, dass sie einfach dort die Erfahrungen... Also nicht jeder muss ja schmerzhaft erleben, was da passiert ist. Anderen können sich davon schützen. Du hast parallel die Allianz für Cybersicherheit mit ins Leben gerufen. 8622 Unternehmen, die sich da zu dem Thema austauschen. Ich glaube, das ist super, aber wir brauchen einfach noch mehr in der Richtung.

Da bin ich voll und ganz dabei, wobei ich muss der Erklärung halber sagen, die gab es schon als ich kam. Aber als ich kam waren das 7200 oder so etwas. Also jeden Fall irgendwas mit einer 7 vorne. Und das ist so Laufe der Zeit immer weiter hochgegangen. Und jedes Mal wenn ich die Zahl ausrufe, ruft mir irgendwer das Publikum zu, sind schon wieder mehr geworden. Das ist total klasse, weil wir auf die Art und Weise natürlich auch genau die Firmen erreichen, die jetzt vielleicht nicht in einem Kritisbereich gehören und damit unter einer besonderen Betreuung stehen.

Aber eben halt Firmen, die trotzdem betroffen sein können und die sich damit gegenseitig helfen können. Also in der Allianz passiert auch viel Community Building, viel gegenseitige Hilfe, auch mit den Verbänden dort, das ist schon ziemlich gut.

Ja super. Und auch für alle anderen draußen, die den Podcast hören, denkt vielleicht mal drüber nach, einen Sicherheitstalk irgendwo einzureichen und darüber zu sprechen, wie ihr das Ganze löst, anderen auch Tipps und Tricks zu verraten, wie sie besser werden können.

Ein Thema, was uns alle im Moment sehr betrifft, ist die digitale Souveränität. Gerade jetzt auch, als das Paper aus den USA veröffentlicht wurde mit der National Security Strategie, wo zum ersten Mal das ganze schriftlich verfasst worden ist. Und deine Einschätzung, wie digital souverän sind wir? Ist das Panikmache? Soll man das ernst nehmen? Wie schätzt du die ganze Situation ein?

Ich glaube, dass man das Thema auf jeden Fall ernst nehmen muss. Aber übrigens nicht erst seit gestern oder vorgestern. Und auch nicht erst seit Januar diesen Jahres und auch nicht erst seit November des letzten Jahres, sondern davor schon. Für mich ist dieses komplette Digitalisierung und sichere Digitalisierung beherrscht. Ein super wichtiges. Deswegen haben wir auch diese Strategie Cybernation Deutschland Auskunft gesagt, wir müssen da alle dran.

Wir kümmern uns Moment, gerade auch wir als BSI, ⁓ den Schutz der Institutionen. Der Verbraucherinnen und Verbraucher, der Firmen usw. Aber am Ende des Tages kann man sich so und so weit schützen. Man wird trotzdem nicht umhin kommen, selber auch digital erfolgreich sein zu müssen. Wir leben in einer Welt, der ganz viel von Technologie bestimmt wird. Der wirtschaftliche Erfolg hängt von Technologie ab.

Der verteidigungspolitische Erfolg hängt von Technologie ab. Guck dir mal an, was da draußen passiert. Jeder von uns sieht das. Wenn man selber Technologie nicht beherrscht, und das heißt wirklich auch auf Produktions-, auf Weltmarktniveau beherrscht, zumindest in manchen wichtigen Disziplinen, dann kann man da auch nicht mitsprechen. Das ist für mich eine Frage von Kompetenzen, ist eine Frage von wirtschaftlichem Erfolg, das ist eine Frage von digitalen Produkte selber in den Markt werfen können.

aber auch digitale Produkte verwenden, ⁓ im Zweifelsfall ein anderes Business damit zu befeuern. Ich nenne das immer mein Digital GDP. Also das digitale Bruttosozialprodukt, was ich mir so vorstelle, ich denke, das müssen wir nach oben kriegen. Wir müssen mehr digital machen. Und wenn man das kann, wird auch das Thema Sicherheit noch mal anfassbarer und dann merkt man auch, wo man dran greifen muss. Und was das Thema Souveränität an der Stelle angeht, halte ich es für super wichtig, eine gute Balance zu haben.

Wir nennen das deswegen auch Doppelstrategie zwischen auf jeden Fall lokale, regionale, nationale und auch vor allen europäische Lösungen nach vorne bringen. Das heißt im Zweifelsfall auch mal den Umsatz dorthin leiten. Kann man immer mal wieder machen, sollte man tun. Aber im Zweifelsfall dann eben auch neben Technologiefeldern, die man lokal aufbaut, die man auch lokal unterstützt und auch mit einer entsprechenden Strategie nach vorne bringt,

im Zweifelsfall auch bei Sachen, wo man sagt, die will man Zweifelsfall von außen einkaufen und auch verwenden können, die dann aber bitte vernünftig absichern. Wir werden nicht von heute auf morgen auf sämtliche außereuropäischen Technologien verzichten können oder wollen. Es gibt immer wieder Fälle, wo du sagst, ne sorry, ich möchte genau diese Lösung, die hat jetzt das, was ich brauche, weil am Ende des Tages muss IT auch einfach funktionieren. Digitale Lösungen müssen funktionieren, man braucht die auch. Und dann möchte ich aber, dass wir als Land, als Union

auch die Möglichkeit haben, Dinge von außen rein zu holen, aber sie auf eine sichere, souveräne Art und Weise auch verwenden zu können. Das heißt für mich, müssen auf jeden Fall schauen, welche Daten gehen da raus. Welche Daten fließen weiterhin zum Hersteller? Wie kann man den Zugriff begrenzen? Welche Befehler, Updates etc. kommen rein? Klar kann ich heute keine Updates prüfen bei Millionen Zahlen von Code, aber hey, in fünf Jahren kann das die KI. Also insofern ist das doch mal was, was man wissen will.

Und im Zweifelsfall finde ich auch irgendwo so einen Knopf, wo ich quasi draufdrücken kann und sagen kann, und jetzt funktioniert das Produkt bitte auch weiter, ist aber vom Hersteller getrennt. Da gehen jetzt vielleicht gar keine Informationen mehr. So, und da kriegt man dann irgendwann Stress, wenn die Updates auslaufen, ist auch klar. Aber nichtsdestotrotz, zunächst mal sagen, das Produkt funktioniert auch ohne, dass es eine Dauerverbindung zum Hersteller geben kann. Und das wäre das, was ich mir wünschen würde, und das ist auch das, was wir versuchen zu propagieren. Verzeih mir doch den Einsatz, ich will sofort auf...

Ja spannend.

Diese Balance und diese Doppelstrategie, das ist das, ich versuche zu sagen. Es gibt nicht nur schwarz oder weiß, die Welt ist grau. Wir müssen damit umgehen.

Ja, sehr spannend. Das heißt, auf der einen Seite ein Appell an deutsche europäische Firmen. Holt auf, investiert dort mit rein und lasst uns dort auf ein Niveau kommen, dass wir international auf der Bühne quasi genauso gut liefern können wie amerikanische Unternehmen. Und auf der anderen Seite, wir können Sachen natürlich auch einkaufen, aber wir müssen mit diesen Herstellern sprechen, ⁓ diese Anforderungen, die wir an Sicherheit sehen, dort zu bekommen.

Wenn wir darüber sprechen, du hast natürlich Kontakt zu den Hyperscalern in den USA und dort sieht man diesen Demand auch. Also es werden solche souveränen Cloud-Angebote aufgebaut von den unterschiedlichen Herstellern. Wie schätzt du diese ein? Sind das Sachen, die schon so weit sind, dass sie unseren Ansprüchen genügen? Sollte man da rein investieren oder sollte man noch warten?

Aus meiner Sicht sind das auf jeden Fall sehr gute Schritte in die richtige Richtung. Und die haben wir auch angemahnt. Die haben wir teilweise auch durchaus hinterlegt mit sehr klaren Anforderungen. Das, das, das, das und das. Und ich stelle schon fest, dass da auch zugehört wird. Also das ist nicht so, als wird da einfach gesagt, naja, das interessiert mich jetzt nicht. Also wir haben dort ein Gewicht als BSI, aber auch der deutsche europäische Markt hat dort ein Gewicht. Da sollte man die eigene Kraft gar nicht unterschätzen.

Man kann da auch sehr klar formulieren, was man sich jetzt eigentlich wünscht und wie das eigentlich zu laufen hat. Das funktioniert besser, als es die Medien einem manchmal glauben lassen. Das kann ich definitiv sagen. Wir haben den Draht zu diversen Hyperscalern gar keine Frage, auch sehr hochrangig. Aber wichtig ist für mich an der Stelle auch, neben dem übrigens, so wollen wir das für Souveränität, so haben wir eigentlich die Ansprüche an euch, so ist es für mich auch beim Thema Cybersicherheit.

Also für mich ist auch wichtig, sehr klar allen Herstellern, die bei uns Produkte laufen haben, klar zu machen, hey, wir brauchen von euch Sicherheit in euren Produkten. Ihr müsst die vernünftig abgesichert haben, weil wenn ihr sie nicht abgesichert habt, wir danach das Problem. Und das ist eine Message, und die gilt übrigens nicht nur für Hyperscaler, die gilt auch für Dinge im Energiebereich, Wechselrichter und Co., wo es eine große Rolle spielt. Die gilt auch für Autos, die gilt für Satelliten, die gilt für 5G, 6G, die gilt an ganz, ganz vielen Stellen, wo wir quasi

Produkte von außen auch verwenden und übrigens gilt es auch nicht nur für Hersteller von außen, die gilt für uns alle. Wir brauchen sichere Produkte und bei denen, bei uns eine große Verbreitung haben, kümmern wir uns auch als BSI drum, die Nachrichter im Zweifelsloch persönlich vorbeizubringen, dass wir hier einen Anspruch daran haben, sichere Produkte verwenden zu

Sehr gut. Also digitale Souveränität, auch Alltagsgeräte, wir nutzen, Fernseher, Telefone, 5G. Das heißt, es sind nicht nur Cloud-Services. Ich habe auf LinkedIn gesehen, dass du dich natürlich auch dort mit den Chefs von Google, von Amazon, aber auch von Microsoft getroffen hast. Und jetzt mal unter uns, wie ist denn da das Verhältnis? Also sprecht ihr da über 17 verschiedenen Ebenen miteinander und müsst ihr Termine oder sind die wirklich so offen, dass wir sagen, hey,

Mit Claudia müssen wir reden, da müssen wir was hinkriegen, dass wir weiter im europäischen Markt sind. Wie ist denn diese Kommunikationsebene dort? Hast du das Gefühl, da sind wir wirklich schon so tief vernetzt, dass sie darauf reagieren? Oder ist das einfach typische Business-Unterhaltung?

Ne, also Businessunterhaltung hatte ich jetzt so gar nicht das Gefühl. Also das kann ich so nicht unterschreiben. Wir haben mit vielen auch dieser Firmen, wir haben mit ganz, ganz vielen Firmen entsprechend enge Arbeitsbeziehungen, auch mit den Hyperscalern. Aber wir haben auch mit vielen anderen Firmen außerhalb von Europa, auch ganz, ganz viel innerhalb von Europa. Wir arbeiten mit den Firmen an vielen technischen Lösungen, insbesondere dort, wo wir im Zweifelsfall, ich sag jetzt mal, systemische Probleme sehen oder strategische Entwicklungsfelder.

wo wir sagen, da können wir als BSI einen Beitrag dazu leisten, dass die Welt da besser wird. Also ganz konkret, wie gesagt, wenn wir, egal ob bei Hyperskillen oder bei anderen, Themen sehen im Bereich der Cyber-Sicherheit, wir sagen, bitte adressiert das. Bitte adressiert das, kümmert euch drum. Und dann schicken wir im Zweifelsfall auch mal Experten da rein, die dann dort vor Ort mit den Leuten auch mal reden, mal prüfen, was ist eigentlich genau los und im Zweifelsfall auch nachhaken.

Die Sachen, jetzt hier eine Rolle spielen, gerade bei Hyperscalern, haben natürlich auch mit Europa zu tun. Ich nehme meine Rolle da sehr bewusst wahr für das Thema Cybersicherheit, dafür stehen wir. Und Souveränität spielt dann natürlich auch immer ein Stück weit mit rein, das ist auch ganz klar. Das heißt, ich habe dort also auch versucht zu erklären, was ist das Thema Souveränität aus unserer Sicht, wenn man dann schon feststellt, wenn man sich miteinander unterhält und einfach auch da in den Austausch kommt, dass man auch ein Verständnis auf der anderen Seite erzeugen kann.

Du erinnerst dich vielleicht, hier GDPR, die EU-Datenschutz Grundverordnung, das hat Jahre gedauert, bis er auf der anderen Seite verstanden war, wo eigentlich das Problem liegt und was man da jetzt tun müsste. Und so ähnlich ist das bei Souveränität auch, dass wir versuchen frühzeitlichen Verständnis zu schaffen, dann auch Anforderungen stellen zu können. Und da habe ich schon das Gefühl, dass uns da durchaus gut zugehört wurde und auch entsprechende Schritte in die Wege geleitet sind bzw. jetzt sogar abgeschlossen sind, gerade was so Cloud-Thematiken angeht.

Da passiert gerade viel. Ich kann nicht sagen, dass man uns nicht zuhört. Reicht uns das? Das müssen wir als Gesellschaft beantworten.

Alles klar, sehr schön. Auf jeden Fall hört sich sehr positiv an. Du hattest am Anfang gesagt, wir müssen das Level in Europa bisschen hochheben. Ich selbst war auf der KubeCon. Dort haben Sie mal die Contributor Map gesagt. Also wie viele Leute kontributen in Cloud Native, OpenStack und da war die Karte voll mit europäischen Contributern. Wir haben den Macher von Linux sozusagen in Schweden. Also wir haben ganz viele super Leute hier in Europa.

Wo stehen wir denn aus deiner Sicht hier und was sind denn so Sachen, die man beobachten sollte? Was machen wir schon richtig gut? Wo müssen wir noch ein bisschen mehr Gas geben?

Also ich bin der Meinung, wir können das. Also wir haben so gute Leute und wir haben ein wahnsinniges Know-how und wenn du dir anschaust, welche Technik wo drin steckt, dann wirst du an vielen Stellen sehen, die Ursprünge liegen hier. Die liegen hier in Europa, die liegen hier an Universitäten, an Forschungseinrichtungen. Wir haben Spitzenleute. Also da mache ich mir gar keine Sorgen darum, dass wir irgendwie nicht schlau genug wären. Was bei uns aus meiner Sicht hängt, und da bin ich jetzt glaube ich nicht die Einzige oder die erste, die irgendwie was dazu dem Thema sagt,

Wo ich immer wieder beobachte, ist, wie schnell schaffen wir es, aus Erkenntnis ein Produkt zu machen. So, und wenn ich mir manchmal anschaue, ich habe ja vorhin gesagt, ich haue ja gerne mal selbst in die Tasten, dann denke ich so, ich mache mal folgendes, probiere mal das und das aus, dann stelle ich fest, irgendjemand anderes hat dasselbe Produkt gerade vor, ich weiß nicht, fünf Wochen irgendwie auf den Markt geschmissen. Ich weiß selber, wie unfertig das ist, was ich mal eben einfach nur ausprobieren wollte, so POC-mäßig. Das Produkt, ich da finde, ist auch nicht besser als das.

Und die verlangen aber 28 Euro oder 38 oder 18 im Monat als Nutzungsgebühr pro User. Also mein Punkt an dieser Stelle ist, wir sind ja nicht blöd. Ganz im Gegenteil, wir haben echt was drauf. Wo wir echt lernen müssen, besser zu werden, ist, wie machen wir aus Ideen, auch aus vielleicht unfertigen Ideen oder unfertigen Prototypen, relativ schnell mal ein Produkt, schmeißen es auf den Markt, leben mit der Häme, die im Zweifelsfall auf uns zukommt, dass es noch nicht hundertprozentig ist.

Nehmen dafür aber den Umsatz dessen, was man bereits mit 80 Prozent schon alles erreichen kann, das dann wieder zu investieren, das Produkt besser zu machen. Also dieses ganze Thema Produktentwicklung, schnell in Produktzyklen reinkommen, schnelles Feedback holen, Datenauswerten, auch zu merken, wie muss man ein Produkt verbessern. Eine entsprechende Landschaft, die auch junge Unternehmen nicht nur in der Anfangsphase, sondern vor allem in der Skalierungsphase entsprechend mit Geld versorgen kann, dafür Funds aufzusetzen. Das wären Sachen, wovon ich glaube, da würden wir extrem profitieren.

gibt auch Länder in Europa, die haben das schon sehr gut vorgemacht und die haben da auch schon mehr investiert und auch gezielter angegangen. Da wünsche ich mir noch ein bisschen mehr und hoffe einfach darauf, dass wir auch in dieser Legislatur noch ein bisschen was schaffen.

Super. Also ich höre ganz klar Mutig sein, in Produkten denken, schnell auch mal was auszuprobieren. Glaubst du, wir sind in Deutschland gut genug aufgestellt, Startups dabei zu unterstützen, dies zu tun?

Startups selber gehen noch so halbwegs. Wirklich schwierig wird es dann, wenn es in die Scale-ups geht. Also Startups finden noch zumindest eine Anfangsfinanzierung. Bei Scale-ups haben wir dann das Problem. Ich glaube, wir müssen noch ein paar Sachen dafür machen. Also wir müssen zum einen für entsprechende Geldmittel sorgen. Wir müssen zum anderen für einfachen Zugang zu diesen Geldern sorgen. Das ist jetzt nicht so, als würde irgendein VC

Da von dir nicht auch jede Menge Unterlagen fordern und nicht von dir eine überzeugende Story haben wollen, aber vielleicht ein bisschen weniger bürokratischen Aufwand. Also dafür zu sorgen, dass es einfacher ist an diese Gelder zu kommen und die auch zu investieren. Wir brauchen eine Fehlerkultur, die sagt, hey, von zehn Investments gehen neun schief. Das ist eine Statistik, an der man sich messen kann. Jetzt kannst aber auch offen über die Neuen, die schiefgegangen sind, zu motzen. Das ist ganz wichtig. Das gehört dazu. Das ist normal. Das ist Teil des Geschäfts- und des Business-Modells.

Wir brauchen, glaube ich, mehr Austausch an ganz vielen verschiedenen Stellen. Und wenn es darum geht, auch dafür zu sorgen, dass im Zweifelsfall auch ein Staat oder eine Union oder ein Land oder eine Kommune Auftraggeber dafür sein kann, brauchen wir aus meiner Sicht auch nochmal Anpassungen und Spezial- und Experimentierklauseln in den entsprechenden Beschaffungsgesetzen halte ich für super wichtig, weil dann haben die nämlich auch Zugang zu solchen Auftraggebern.

Beispiel aus unserer gemeinsamen Vergangenheit, Felix. Wir waren beide mal bei der Bahn. Ich bin jedenfalls nicht mehr da. was dort, weiß, werde ich nie vergessen, hat ein Kollege mal gesagt, ja diese Startups, die sind super. Wenn wir die als Bahn einmal geküsst haben, fallen die tot rum. Und genauso ist es. Da treffen zwei Kulturwelten aufeinander. Und das müssen wir leichter machen. Da müssen wir leichter die Übergänge schaffen, dass man hier auch wirklich an Aufträge dran kommt. Und das machen andere Länder im Zweifelsfall ein bisschen gezielter. Da können wir viel tun.

Und wenn man ganz konkret die Maßnahmen dafür haben will, schlage ich dringend vor, mal den Draghi-Report zu lesen. Von Mario Draghi. Der hat nämlich so Report für die EU geschrieben, wo drin steht, was man mal machen müsste. Das ist super gut. Super gut. Und der war ja früher Präsident der EZB. Wir haben ihn früher immer Super Mario genannt. Und das war jetzt auch nicht von ungefähr. Weil das waren schon gute Sachen. Und der hat diese Sachen aufgeschrieben, was man mal tun müsste. Wenn wir nur die Hälfte davon umsetzen, machen wir, glaube ich, einen gigantischen Schritt nach vorne in Europa.

Super. Den werden wir auf jeden Fall in den Show Notes verlinken. Ich werde den mal hoch googeln und dann mit anfügen und selbst natürlich auch lesen. Aber das sollte uns trotzdem nicht davon abhalten, mutig zu sein, Sachen auszuprobieren, weil am Ende des Tages zieht sich auch Qualität durch. Also das heißt, wenn ich ein gutes Produkt habe, wenn ich eine gute Idee habe, die das Problem löst, werde ich zwangsläufig Kunden bekommen und ich werde auch selbst tragbar sein

Geld dazu bekommen ja super danke dir dafür danke auch für deinen Impuls ich möchte jetzt noch mal einen Switch machen wir haben einen neuen Player in town AI und das Thema

Mhm. Habe ich auch gehört.

ist im Moment in den Bresse, es ist auf LinkedIn, es ist überall zu sehen. Und es ist ein bisschen heikel jetzt, weil wir wollen von der Sicherheitsseite dran schauen. Und natürlich mit der Prämisse, dass wir Innovationen hier nicht aufhalten wollen, sondern Innovationen fördern. Wir glauben, sehr wichtig, Thema. Aber trotzdem ist sehr viel FOMO da mit drin. Das heißt, es werden sehr viele Sachen irgendwie einfach mal ausprobiert. Es werden sehr viele Sachen in Unternehmen reingebracht und oft in einer Geschwindigkeit.

wo die Fachexperten auf der Sicherheitseite nicht hinterher kommen. Teilst du diese Meinung? Wie schätzt du das ein im Moment? Sind wir gut genug aufgestellt für AI im Moment?

Das ist ein riesen Thema. Ich hoffe, hast noch mal so zwei bis drei Stunden Zeit, die werden wir wohl brauchen. Also, wo fange ich an? Was wir definitiv festhalten können, ist die die Angreife nutzen KI. Die nutzen KI, sich zu optimieren, schneller zu werden, effizienter zu werden. Das tun sie im Moment. Die Angreife haben inzwischen echt so eine Industrie und das ist echt eine arbeitsteilige Industrie. Da gibt es welche, die besorgen geklaute Credentials, also Login-Daten.

Dein Login und dein Passwort. Ganz platt gesagt. Dann gibt es welche, die kümmern sich darum, welche Schwachstellen du in deinem System und kann man die verkaufen. Dann gibt es wiederum welche, die dann wissen, wie man sich in, wenn man sich mal in eine Firma z.B. infiltriert hat, wie man sich da drin bewegt. Dann gibt es wiederum welche, die wissen, wie man Daten rausbringt. Und dann gibt es zum Schluss noch welche,

erklären, und zwar wirklich in einer Engelsgeduld, supportmäßig, wie man denn jetzt Bitcoins überweist. Herzlichen Dank. Da gibt es eine echte Supportindustrie. Das heißt, die arbeiten ganz arbeitsteilig. Und dann gibt es es natürlich super spannend für die, aus deren Sicht, mit dieser kriminellen Energie KI zu nutzen und diese einzelnen Prozessschritte besser zu machen. Das heißt, im Zweifelsfall

Das Schreiben, in dem drin steht, wie man Bitcoins überweist und dieses nette Anschreiben, das du dann im Zweifelsfall kriegst, das stellen die dir in 25 verschiedenen Sprachen zur Verfügung, weil einmal auf den Knopf gedrückt und das ist hochqualitativ. Na super, danke schön. Dann gibt es jemanden, der die Schwachstellen wie gesagt sucht. Naja, wenn du eine gute KI hast, siehst du im Zweifelsfall auch in der Lage, Schwachstellen in einem Quelltext zu finden. Und wenn du die findest, bevor dich jemand anders findet, kannst du sie halt auch ausnutzen.

Und für uns als Verteidiger stellt sich die Frage, wer ist am Ende des Tages schneller? Ich bleibe bei genau dem Beispiel der Schwachstellen. Wenn wir eine KI haben, die die Schwachstellen findet und wir können vorher den Hersteller warnen und er gibt einen Patch raus, bevor ein Angreifer die Schwachstelle gefunden und ausgenutzt hat, dann haben wir gewonnen. Wenn der Angreifer die Schwachstelle vorher findet und sie ausnutzt, bevor wir sie gefunden haben, davor zu warnen, hat der Angreifer gewonnen. Das heißt, am Ende des Tages kommt es auf Agilität und vor allen Dingen auf Speed an.

Wie schnell ist man darin KI für sich selber nutzbar zu machen, ⁓ Angriffe zu durchzuführen oder zu verhindern? Und die Angreifer nutzen es schon. Also sie nutzen es. Was wir noch nicht sehen, muss man auch ganz klar sagen, wir sehen noch nicht, dass sie so einen vollautomatischen Angriff haben. Da gab es jetzt mal Meldungen vor kurzem. Da sind wir noch ein kritisch. Das stand jetzt noch nicht der Fall. Aber sie benutzen es in den einzelnen Schritten. Und mindestens in den einzelnen Schritten müssen wir sehr viel schneller, sehr viel besser werden als die Angreifer.

Sonst gewinnen die. Und dann spielt KI gegen uns statt für uns. Und deswegen ist mein Plädoyer machen. KI nutzen. Auf Teufel komm raus. Damit besser werden, lernen. Die Capabilities aufbauen. Auch das Business aufbauen. Ich sag's nochmal, wir müssen auch digital erfolgreich werden, weil wir die Kompetenzen brauchen und die Investitionsmöglichkeiten. Aber eben halt gerade auch im Verteidigungsbereich. KI nutzen. Anomalie Detection. Schwachstellen finden.

wirklich alles reinsetzen, um da eine gute Automatisierung auch mit Hilfe von KI hinzubekommen, dann haben wir eine Chance, aber das müssen wir machen.

war letztens auf einer Security-Konferenz und da hat man gesagt, die Art und Weise hat sich verlagert. Also man hat vorher in dem Security-Bereich oft von Gatekeeping gesprochen. Man wollte quasi die Angreifer draußen halten und die haben ganz plakativ gesagt, im Moment kann jeder damit rechnen, dass irgendwo schon ein Angreifer innerhalb der Unternehmens- oder in der persönlichen Grenzen sind und es geht eher darum, jetzt schneller darauf zu reagieren, das zu mitigieren und zu bekämpfen,

wie nur allein das Guard, Gatekeeping sozusagen, außenrum zu haben. Stimmst du dem zu oder was siehst du aktuell im Trend?

Das sehe ich definitiv genauso. Wenn man sich anschaut, wie Zero Trust Ansätze funktionieren, das ist ja genau das. Du musst immer davon ausgehen, dass da schon jemand ist und der Angreifer sich entsprechend auch schon zusätzliche Rechte besorgt hat. Das heißt, musst einfach Stück für Stück gucken, dass du jede Hürde, jede Aktion, ausgeführt wird, dass du die auch legst. Das heißt, du immer schaust, ist jemand dazu berechtigt, diese Dinge zu tun. Gatekeeping auf einer sehr granularen Ebene, wenn du so willst. Das wäre mal der Schritt Nummer eins.

Das an sich ist aber tatsächlich auch nur die Hälfte der Miete. Der nächste Punkt muss sein, Mist, hier habe ich einen Angreifer gefunden, der ist in dem und dem Netzwerkbereich unterwegs oder ganz platt gesagt, der fängt schon an, irgendwas zu verschlüsseln. Dann musst du in dem Moment alles weitere absichern und oder abschalten, je nachdem, was die Situation ist. Und bevor du da lang darüber nachgedacht hast, hat der Angreifer schon, ich weiß nicht, was alles zusätzlich verschlüsselt. Das heißt, hier ganz, ganz, ganz schnell agieren.

Und an der Stelle auch wirklich dafür sorgen, dass ganz schnell Aktionen gefahren werden. Das kriegst du nur mit einer Automatisierung hin. Du musst es frühzeitig merken und frühzeitig automatisiert reagieren. Das geht gar nicht anders. Weil du kannst nicht alles mitigieren. ich meine Verschlüsselung, ja das kannst du durch ein immutable, also nicht überschreibbares Backup kannst du sowas mitigieren, zumindest bis zu einem gewissen Punkt. Aber du willst ja nicht, dass vorher schon alle deine Server verschlüsselt wurden. Dann magst du vielleicht vorher abbrechen. Wär mal eine Maßnahme.

jeden Fall müssen wir schauen, dass wir eine sehr gute Observability haben, also dass wir das schnell mitbekommen und dann können wir nur automatisiert reagieren. ich jetzt eben verstanden und das ist wichtig. Jetzt lass uns doch nochmal auf die andere Seite von AI schauen, die GenAI. Also die wird ja oft bei uns jetzt auch eingesetzt in den Unternehmen. Also jeder hat jetzt irgend so ein GPT-Modell, was er seinen Mitarbeitern zugänglich macht oder wir wollen GenAI-Themen mit in die Software mit einbauen.

Und wir denken jetzt über Agents los, die autonom irgendwo unterwegs sind. Es gab jetzt einen Vorfall von ServiceNow, wo irgendwie die Agents losgelaufen sind und Daten in der Datenbank verändert haben, E-Mails verschickt haben an Kunden, was jetzt irgendwie nicht Sinn der Erfindung war, aber auf der anderen Seite in der Möglichkeit der Umsetzung war. Also wie kriegen wir die ganzen Agents im Griff, was sollten wir dort machen, damit wir ...

dort ein sicheres Gefühl haben und mit GEN.AI auch das Potenzial ausnutzen können, aber trotzdem sicher zu sein.

Das halte ich für das große Feld, das wir uns kümmern müssen. Da geht es weniger darum, die KI an sich abzusichern gegen Angriffe, sondern es geht vor allen Dingen darum, die Nutzung auch vernünftig abzusichern. für mich ist dabei wichtig, dass wir

Ich fange mal vorne an. Punkt Nummer eins. Ich hätte gerne vernünftige Authentifizierungs- und Identity and Access-Rechte und Management für KI und insbesondere für Agenten. Und wenn ich mir den Moment anschaue, was da in einem MCP drin ist, dann sage ich einfach, es ist noch bisschen dünn. Klar, authentifizierungsmäßig ein bisschen was gemacht, aber dann war es das auch. Und ich glaube, das wird das viel früher.

von Anfang an mit reindenken müssen. Also was darf ein Agent? Unter welchen Bedingungen? Und das ist wieder der Zero Trust Ansatz, wenn man so will. Also wenn ich mir zum Beispiel vorstelle, ich will mit einem, ich nehme jetzt mal ein ganz plastisches Beispiel, mit einem Digital Twin von mir selbst arbeiten. Der soll mich von meinem ganzen administrativen Blödsinn befreien und soll bitte alles das tun, was ich sonst tun müsste. Dann müsste ich jetzt mal ganz plakativ gesprochen dem alle Rechte geben, die ich selber auch habe.

Das will ich ganz sicher nicht. Das will ich ganz sicher nicht. Weil dann kann genau so was passieren. Irgendwo mal falsch abgebogen und dann kommen da ganz komische Dinge raus in meinem Namen. So jetzt denken wir mal nicht an mich, sondern an irgendeine Maschine, irgendeine Aktion, die gemacht werden muss. Das heißt, ich muss es schaffen, zum einen Granularer die Rechte zu verteilen, was darf jeder einzelnen Agent, weil das hier nicht einer, das sind ja verschiedene. Das kaskadiert ja. Und was auch noch mal ganz wichtig ist, ich muss es schaffen, den wichtigen Punkten Kontrollpunkte einzubauen.

Die Punkte, denen ich als Claudia sage, jo, machen. Oder halt auch, ne, blöde Idee, machen wir bitte nicht. Wir sind heute nicht an einem Stand von KI, wo ich sagen kann, einfach durchlaufen lassen, das wird schon gut gehen. Da sind wir genau nicht. Sondern wir müssen genau hier schaffen, die richtigen Punkte einzuziehen. Und das ist auch bei allen Punkten, die man da anführen kann, das auch das Wesen des AI-Acts, über den sich im Moment auch viele beschweren, was ich gar nicht weiter kommentieren will.

Aber der entscheidende Punkt ist ja das Wesen des AI Acts sagt zunächst mal, brauchst an den wichtigen Punkten die Möglichkeit, was zu tun. Und dieses Thema, was darf ein Agent und was darf er vor allen Dingen auch ohne, dass ich dem zustimme, das sind die Fragen, die wir uns stellen müssen. Und die sind aus meiner Sicht noch nicht hinreichend beantwortet. Und ich glaube auch nicht, dass wir sie jetzt gleich übermorgen hinreichend beantworten werden. Das ist aber erstmal okay, weil das darf sich auch entwickeln. Das wird sich auch weiterentwickeln.

Aber wir müssen sicherstellen, dass wir in dieser Entwicklung das Thema Sicherheit mitdenken. Ansonsten haben wir so ein Desaster wie E-Mail, was an sich eine wundervolle Sache ist, was vor 30 Jahren mehr als 30 was eine richtig klasse Sache ist, auf was auch nach wie vor als Medium noch wächst in der Kommunikation. Wir aber feststellen, damals waren die Leute total begeistert, dass sie sich Nachrichten schreiben konnten. Das war großartig. Hey, der Kaffee ist fertig. Ganz problemlos. Super.

Problem war, sie haben halt nicht daran gedacht, dass Menschen das auch missbrauchen können, weil sie sich völlig begeistert und berauscht waren von der Möglichkeit, man Technik für sowas nutzen kann. Den Moment dürfen wir nicht wiederholen. Wir zahlen heute noch den Preis für mangelnde E-Mail-Sicherheit. Und so dürfen wir bei KI nicht denselben Fehler machen. Wir müssen frühzeitig darüber nachdenken, was dürfen Agenten, unter welchen Bedingungen, mit welchen Rechten und wie können wir das auch vernünftig kontrollieren.

Ja, spannend. Also das heißt, human in the loop. Also das war glaube ich dieser Punkt, wo du sagst, ich entscheide, was er darf und was er nicht darf. Eventuell kleinere Schritte mit reinbauen, wo man immer mitkriegt. Also auch wieder dort eine observability mit reinbauen und dem Agenten eventuell eine eigene Identity verpassen und ihn sandboxen, dass er nicht wild durchdrehen kann und alles machen mit den Rechten, die er auf dem Rechner hat. Das sind glaube ich nochmal sehr spannende Tipps. Danke dir dafür.

Ich würde jetzt noch einen Switch machen in das Thema Open Source und Supply Chain im Thema Open Source. Da sind ja eigene Themen, im letzten Jahr oder in letzten Monaten gerade sehr spannend waren. Zuerst die Frage, wie stehst du eigentlich zu Open Source?

Ja dafür. Ich glaube,

die Frage stellt sich überhaupt nicht. Das ist voll dafür. Das ist eine ganz tolle Sache, wenn man Dinge gemeinsam entwickeln kann. Es macht es an vielen Stellen auch sicherer. Nicht überall, aber an vielen Stellen macht es sicherer, wenn mehr Leute drauf schauen können. Und ich halte es auch an vielen Stellen für einen Gemeingut, vor dem ich mich freue, dass es auch allen zur Verfügung steht und eben nicht so eine Exklusivität und vor allen Dingen auch eine rein monetäre Macht dadurch entsteht.

Jetzt müssen wir aber auch klar festhalten, das ist nicht die Antwort auf alle Fragen des Universums, das ist und bleibt 42, versteht sich von selbst, aber trotzdem an vielen Stellen macht das sehr, sehr viel Sinn und ich finde es schon auch beeindruckend, wie die Welt es geschafft hat, sich hier mit einer Apache-License oder einer MIT-License irgendwo ein Stück ein Regelwerk zu geben, das auch honoriert wird. Also das finde ich schon ziemlich Es wird auch weiterhin immer wieder Fälle geben, wo wir feststellen, wir brauchen

ein proprietären Stack. Das kann und wird es geben. Das kann und an verschiedensten Stellen auch das Richtige sein für mein jeweiliges Problem, was ich versuche zu lösen in meiner IT, in meinem digitalen Produkt. Aber überall da, wo wir es schaffen, Open Source gut einzubauen, ist viel gewonnen. Wir dürfen uns aber nicht einbilden, dass Open Source jetzt einfach nur günstige Software ist. Die muss ich nicht bezahlen, die kann ich mir runterladen und direkt verwenden. Das mag für ein Experiment stimmen.

Aber in dem Moment, wo ich Produkte bauen will, auch mit Open Source, muss ich ganz klar sagen, ich brauche einen vernünftigen Lebenszyklus da drauf. Ich brauche jemanden, der mir Bescheid sagt, wenn da eine Schwachstelle drin ist. Und ich brauche im Zweifelsfall auch jemanden, der mir hilft, neues Update einzuspielen oder Dinge anzupassen oder auch einfach nur mal zu verstehen, also Supportleistung. hier ist glaube ich ganz oder man nimmt ein Stück Open Source Software und macht das enterprisefähig. Da gehört ja noch mehr dazu. Da brauchst du eine zentrale Wartbarkeit, da brauchst du Compliance, da brauchst du Log

und ich weiß nicht was alles. Diese Dinge sind manchmal nicht von vornherein her da. Wenn ich die verwenden will, dann brauche ich die. Dann muss ich mir entweder die Ressourcen dafür selber zur Verfügung stellen, damit ich das alles selber machen kann oder aber ich muss mir noch jemanden suchen, der in der Lage ist, diese Leistung, diesen Service für mich noch anzubieten und dadurch wird es sehr oft auch gar nicht unbedingt jetzt so viel günstiger, wie man sich das vielleicht gewünscht oder vorgestellt hat.

Ja, ist super spannend. Ich glaube, du sprichst auf das Open-Core-Modell. Also der Kern ist offen, aber ich habe da noch eine Firma, ein Geschäftsmodell außenrum hat. Was ich jetzt aber sehe mit, wir haben am Anfang über die Angriffsfläche gesprochen, über Reaktionszeiten und oft ist es so, dass Firmen jetzt den Schritt gehen, den du beschrieben hast, ja, ich habe erstmal freie Software, experimentiere und dann sehe ich, dass ich die Reaktionszeiten nicht hinbekomme. Also das heißt, selbst wenn ich jetzt eine Firma dahinter habe, die ich vermeintlich dahin bringen kann, dass sie mir das innerhalb

von X Stunden oder Tagen patcht, was Minuten, was natürlich oft auch, wenn ich dafür Geld bezahle, ein idealistischer Gedanke ist, weil es muss natürlich noch jemand machen.

Minuten.

Glaubst du, dass das ein bisschen eine Sache aus der Vergangenheit ist, dass wir sagen, ich habe hier jemanden, den ich greifen kann, den bezahle ich dafür, der mir das patcht? Oder glaubst du ihr dran, dass das ein Modell, gefördert werden sollte, ⁓ mit gerade diesen Open Source Komponenten, was ja ein Community Ansatz ist, wo ja Leute das freiwillig machen, diese Patch-Zeiten hinzubekommen? Also große kriegen das hin mit Sicherheit, da sind genug Leute dran, aber es gibt dann auch Nischen, Themen, da schaffst

nicht in Minuten, in Stunden oder auch nicht in Wochen. Was für Tipps hast du denn für Unternehmen dort?

Da war es wieder. Wenn ich die Antwort auf alle Fragen des Universums hätte, habe ich nicht. Aber grundsätzlich halte ich es für absolut lohnenswert und auch ein gutes Investment.

hier zu investieren und auch dafür zu sorgen, dass auch solche Lösungen sicherer sein können und sind. Wir haben zum einen diese schnelle Reaktionsfähigkeit, dort im Zweifelsfall auch schnell zur Not auch irgendeinen Hotfix bereitzustellen oder ähnliches. Das Thema haben wir und da reden wir wirklich von Geschwindigkeit, weil inzwischen haben wir auch schon Angriffe gesehen, da geht es innerhalb von Minuten von Bekanntwerden, von Schwachstellen, dass da dann reagiert wird. Und dann ist man natürlich als Verteidiger dann auch gefragt, schnell zu reagieren.

Also da werden wir definitiv was machen müssen. Der zweite Punkt ist, es werden Schwachstellen nicht nur bekannt, sondern im Zweifelsfall auch eingebracht und auch ganz bewusst eingebracht. Davon hatten wir auch ein paar Fälle jetzt in letzter Zeit. Also XZ war ein schönes Beispiel und jetzt der vor kurzem, ich schon vergessen wie der hieß. Also da war, du weißt vielleicht...

von

React, React Shell, React for Shell oder sowas. Also ein React-Thema, NPM-Ökosystem hatte eins,

Ja, genau, das war richtig.

Du siehst es in so vielen an verschiedenen Stellen. Das sind dann Sachen, wo wir sagen müssen, wie können wir auch systematisch Open Source Software noch mal absichern? Denn das wird nicht zum letzten Mal passiert sein. Wenn man sich anschaut, wie die Verteilung von Open Source Entwicklern aussieht, die im Zweifelsfall auch auf GitHub entsprechend mitarbeiten oder auf anderen

wobei GitHub natürlich riesig ist, dann sieht man schon auch, dass da ein strategisches Interesse auch wahrgenommen wird. Das heißt, ich rechne damit, dass es mehr wird. Und das heißt, wir müssen uns überlegen, auch zusammen mit anderen Institutionen, die wir auch im Bund noch haben, hier in Sovereign Tech Fund wäre da auch noch zu nennen, die da sehr systematisch dran gehen. Da müssen wir uns Gedanken darüber machen, wie sichern wir das ab. Und da haben wir noch nicht die völlig fertigen, alle umfassenden, hundertprozentig funktionierenden Konzepte für die Zukunft.

Da werden wir uns rantasten müssen. Da passiert schon ganz viel. Da wird dafür gesorgt, dass entsprechende Entwickler auch gesponsert sind, dass sie auch solche Wartungen machen können und ähnliches. halte ich für sehr zielführend. Aber wir werden uns auch überlegen müssen, wie wir da noch Kontrollmechanismen einziehen. Vielleicht auch auf der privatwirtschaftlichen Seite. Dann können vielleicht große Unternehmen auch solche Sachen prüfen. Ich glaube, mit KI kann man sehr, viel dann noch machen, sodass man Stück für Stück da näher rankommt. Da liegen noch nicht alle fertigen Konzepte auf dem Tisch.

Aber das Thema ist brisant und ich glaube, es ist wert da rein zu investieren und sich diesem Thema anzunehmen, weil der Benefit auf der anderen Seite ist natürlich riesig. ich glaube, ihr habt einen Schritt schon gemacht mit eurer NIS 2 Vorgabe, dass man mit S-Bombs erstmal Transparenz schafft. Was habe ich eigentlich hier im Einsatz und quasi auch mal dort besser maschinenlesbar analysieren kann, was ist in den Produkten überhaupt drin und das abgleichen kann mit den Datenbanken.

die die CVE's dann veröffentlichen. Wenn wir jetzt das Thema S-Bomb, ich habe schon von dem Thema C-Bomb gehört, Cryptobomb, also im Quantencomputing gibt es diese Theorie, und du kannst es vielleicht ein bisschen besser erklären, die Sammeln der Credentials jetzt, Exposen später.

ist das Thema, wie real ist diese Geschichte? Vielleicht kannst du das Thema der Quanten-Security noch mal kurz anreißen und deine Einschätzung geben, wie nah sind wir an dem Thema oder wie weit sind wir davon noch entfernt?

mache ich gerne. Ganz kurz noch zur Ergänzung. Einfach nur der Falsch in die Kalt halber. Es gibt zwischendurch auch einen AI-Bomb. Und da geht es auch etwas Ähnliches, nämlich Transparenz darüber schaffen, was in einem System drin steckt. Also S-Bomb ist ja für alle Entwickler unter uns. Ganz ehrlich, meine jeder von uns, mal einen Ant, Gradle oder einen Maven-Script gesehen hat, der weiß, wie das funktioniert. Der entscheidende Punkt ist eben halt, dass man dran kommt. Und so ist es halt auch bei AI-Bomben gedacht und so ist es halt auch bei Krypto-Themen gedacht. Grundsätzlich erst mal zu der Frage.

Vielen

Mmh.

Wir nehmen das Thema durchaus sehr ernst und wir haben dazu auch eine Empfehlung ausgegeben. Also wir haben gesagt, wir gehen davon aus, dass auch jetzt schon Dinge abgegriffen und einfach verschlüsselt entnommen und geklaut oder mitgelesen werden und verschlüsselt einfach irgendwo hingelegt werden und man wartet ganz geduldig auf der Angreiferseite bis irgendwann entsprechende Quantencomputer zur Verfügung stehen, die dann auch bei einer Entschlüsselung helfen können.

Das ist das Szenarium, das es da geht. Die Idee ist quasi, dass man heute was klaut, was auch in fünf Jahren noch spannend ist. Und in fünf Jahren hat man den Entschlüsselungsmechanismus durch Quantencomputer, sodass man es plötzlich lesen kann, auch wenn es heute nur wilder Buchstabensalat ist. Das ist ein Szenario, das wir durchaus sehen. Das ist natürlich vor allen Dingen für sehr brisante Informationen spannend. Also im Zweifelsfall Intellectual Property, die auch in fünf Jahren noch noch Hightech ist.

Oder aber irgendwas im Staatsbereich, was eigentlich nicht an die Öffentlichkeit soll. Also es gibt alle möglichen Szenarien, wo das eine Rolle spielen kann. Und wir haben als BSI zusammen mit den Kolleginnen und Kollegen in Frankreich, in Holland, Schweden war noch dabei. Wir haben zusammen ein Paper geschrieben, wo wir gesagt haben, da müsst ihr euch jetzt darauf vorbereiten und wir sagen eure Originalzitat, your most sensitive workloads.

Die müssen bis 2030 auch migriert sein auf wirklich eine quantensichere Verschlüsselung. Ab da sagen wir wird es dann jetzt mal heikel. Und jetzt kann man darüber streiten, ob das Jahr jetzt das Richtige ist. Sollte es vielleicht eher 29 sein, eher 32. Ganz ehrlich, das ist jetzt erstmal gar nicht der entscheidende Punkt. Wir haben jetzt mal 2030 gesagt, das ist ein Richtwert, den wir nach bestem Wissen und Gewissen mit den Kolleginnen und Kollegen festgelegt haben. Und was mir sehr, gut gefallen hat, wir haben das mit ganz vielen in Europa abgestimmt. Wir haben so eine Working Group, die echt super funktioniert.

und haben da ganz viele Directors zusammengebracht und haben, ich glaube es waren 23 oder so von den 27, aus der EU alleine unterschrieben. Und das haben wir dann in einen schönen Brief gepackt und auch wieder an die Kommission geschickt, an die EU-Kommission. So übrigens, bevor ihr euch was eigenes ausdenkt, nehmt mal das von den Experten. Wir hätten hier mal eine Empfehlung. Das ist auch dankbar aufgenommen worden, das ist auch in der EU Roadmap aufgenommen worden. Und so stelle ich mir das eigentlich vor, weil bei uns sind die Menschen, das verstehen.

die dann auch eine Empfehlung aussprechen können und dann damit auch im Zweifelsfall den Decision Makers, wie man so schön sagt, den Policy Makers das Ganze auch zur Verfügung stellen, damit die gute Entscheidungen treffen kann auf Basis dessen, was auch ein paar Experten nach bestem Wissen und Gewissen ausgearbeitet haben und ich kann für uns sagen, wir.

Ja, sehr gut, super. auf jeden Fall das Thema ernst nehmen, sich heute schon damit auseinandersetzen, vielleicht auch eure Empfehlungen dazu mal lesen und das Thema mit auf die Roadmap nehmen. Das war jetzt eine spannende Überleitung. Wir sind in Deutschland ja dafür oder in Europa eher dafür bekannt, mehr zu regulieren. Und es gibt ganz viele Ansätze, wo wir einfach mit Gesetzen reingehen, was vermeintlich manchmal das Gefühl hat, dass Innovationen bremsen. Du.

Du sehr hands-on. Was ist denn dein Beitrag, die Vorgaben, die ein Gesetz werden, möglichst gut umsetzbar sind, wenig Kosten erzeugen, wenig Aufwand besorgen? Weil wir haben jetzt gerade im Datenschutz solche Sachen. Die Idee ist super. Der Cookie-Clicker, der auf jeder Webseite ist, ist einfach nur nervig für alle. Wie kriegst du das persönlich in deiner Rolle hin, dass diese Sachen, die wir später in ein Gesetz oder eine Vorgabe gießen, dass die sehr pragmatisch

sind und mit möglichst wenig Reibungswiderstand sozusagen umsetzbar sind.

Ich bin auch kein Freund von Regulierung, ich war 20 Jahre auf der anderen Seite. Ich weiß schon, was das bedeutet und weiß auch, wie wichtig das ist, dass man das pragmatisch macht. Also Punkt Nummer eins ist, wir versuchen natürlich, bevor Gesetze entstehen, auch Gehör zu finden und auch zu beraten. Also wenn man gute Vorschläge macht, wie man etwas gestalten kann, dann habe ich durchaus auch die Erfahrung gemacht, an vielen Stellen wird man da auch gehört. Und da haben wir eine Behörde, die hat ein Auge und ein Ohr dafür.

Und wenn wir dann entsprechend auch mal sagen können, das ist übrigens unsere Meinung, so würden wir vorschlagen, dass man das macht, dann hat man immer auch mal wieder die Chance da auch wirklich verstanden und gehört zu werden, dann wird es besser. Das ist Punkt Nummer eins, den man da angreifen kann. Also wenn dann Sachen da drin stehen, die sehr abstruz sind, man sagt, das willst du so nicht. Und das ist manchmal immer Glück. Der nächste Punkt, der mir glaube ich ganz, ganz wichtig ist, ist Regulierung ist das eine, Umsetzung ist das andere.

Wie man das umsetzt, auch als im Zweifelsfall diejenigen Behörde, die das Ganze am Ende des Tages dann beaufsichtigen muss, da steckt ganz viel Musik drin. Ich gebe dir ein Beispiel. Damals noch aus der EU-Datenschutz-Grundverordnung. Ich bin voll bei dir. Das Gesetz an sich, ich halte es nach wie vor das für am meisten missverstandene Gesetz, zumindest in Deutschland überhaupt.

Ich habe dann tatsächlich mit manchen Datenschutzbeauftragten darüber diskutiert, ob die jetzt eine Informationsvorlage haben müssen, wenn ich in eine Excel-Datei diejenigen Namen reingeschrieben habe, die an der Weihnachtsfeier teilnehmen. Das ist jetzt kein Witz. Das ist mir tatsächlich genau so passiert. So und dann stehe ich halt da und denke nur so, das Gesetz war nicht so gedacht, ehrlich nicht. Da bin ich mir ganz sicher, dass diejenigen, die dieses Gesetz geschrieben haben, das nicht im Sinn hatten.

Die hatten was anderes im Sinn. haben gezielt auf die Großen. Und Daten bitte nicht missbrauchen. Die Menschen schützen. Nicht vor der Weihnachtsfeierliste. Das war nicht der Punkt. Auf jeden Fall glaube ich, ganz viel darin steckt, wie man das auch auslebt. Und wir als BSI haben jetzt Aufsicht für das NIS-2-Gesetz. Also wie die Menschen und die sich einigen Firmen schützen müssen. Die Institutionen.

Wir haben auch die Verantwortung für den Cyber Resilience Act. Also die Frage, wie baut man sichere Produkte, da werden wir mit dabei sein. Und die Frage ist, wie macht man das möglichst pragmatisch? Und hier muss ich leider echt sagen, das Wichtigste ist, Augen auf dem Straßenverkehr. Mann, Mann, Mann. Du musst jederzeit immer aufpassen, dass diese Dinge nicht ein Eigenleben annehmen, dass sie nicht überbürokratisch werden. Im Zweifelsfall musst du selber mal aufs Meldeformular drauf gucken und dich fragen,

Sind diese Felder, die da drauf stehen, realistisch für jemanden, der gerade einen Cyberangriff laufen hat? Der will keine 72 Fragen beantworten. Das kann der auch gar nicht. Der hat gerade Herzrasen. Der hat ein ganz anderes Problem. Der muss seine Firma irgendwie retten. So und dann da drauf zu schauen und zu sagen, okay das ist, äh, Ganz ehrlich, wir wollen nur wissen, da ist grad was. Und dann kriegt der Mensch hoffentlich einen Anruf und wir fragen, hey, brauchst du Hilfe? So stelle ich mir das vor. Und wir haben da bei uns, muss ich wirklich sagen, eine ganz, ganz tolle Mannschaft. Die haben einen sehr klaren Blick dafür und die versuchen das auch wirklich möglichst niederschwellig.

Jeder Euro, der in die Sicherheit investiert wird und nicht in die Dokumentation nur für die Sicherheit, damit ich eine Dokumentation habe, ist mir ein Euro, der in der Sicherheit besser ausgegeben ist als in der Dokumentation. Das heißt nicht, dass wir keine Dokumentation brauchen, aber wir müssen es echt niederschwellig machen und wir bauen da ganz viel. Wir haben gerade ein Portal gebaut, das in den nächsten Tagen live geht, kurz nach Jahresbeginn, wo die Firmen sich hinwenden können, wo sie die Dinge melden können, wo sie sich registrieren können. Wir versuchen auch das zu digitalisieren, dann wird es für uns alle einfach.

ganz klar pragmatisch auch dahin gehen mal, wo quasi in der Werkstatt, wie das beim Toyota Production System, Go to Gamba, oft gelebt wird. Und habt ihr Try Runs mal durchgeführt? Also habt ihr wirklich Leute bei euch gehabt, die ihr mal dahin gesetzt habt und gesagt, ihr seid jetzt angegriffen, ihr seid jetzt in dieser Situation und ihr spielt das Ganze mal von A bis Z durch und guckt mal, wie sich das anfühlt. Das alles auszufüllen, alles an Informationen durchzuführen.

Ob wir genau diese Übung gemacht haben, kann ich dir nicht sagen. Aber was ich weiß, ist, dass wir mit Firmen Testkunden hatten, mit denen wir die Dinge durchgespielt haben. Wir waren unter Umständen nicht selber diejenigen, die es ausgefüllt haben, aber mindestens haben wir mit Firmen das ausprobiert. Wir haben das durch diverse Konsultationen laufen lassen in verschiedensten Schüttungen. Da ist relativ viel passiert. glaube, mit Kritisunternehmen auch einiges.

Also ich kann jetzt nicht die Details nennen, aber die Antwort ist, wir haben das nicht nur im Elfenbeinturm gemacht, sondern wir haben da mindestens ganz, ganz stark den Austausch, das Feedback und das Ausprobieren das gemeinsame gesucht.

wäre sehr cool. Ganz toll. Vielen Dank für die Insights, die du auch hier teilst. möchte jetzt, bevor wir zum Abschluss kommen, nochmal auf dich Du bist seit 2023 in einem Amt, warst vorher in der Industrie, bist jetzt auf der anderen Seite sozusagen. Was hat sich denn für dich am meisten verändert?

Ich habe bei jedem Job immer schon gedacht, mehr arbeiten kann man eigentlich nicht mehr. Und in jedem Job habe ich festgestellt, dass doch geht. Also müsste meine direkte Anpflicht erst mal sein, ich schlafe weniger. Das ist jetzt leider auch wahr, gebe ich ganz offen zu. Und ein weiterer Punkt, der sich jetzt tatsächlich auch genau mit diesem Job verändert hat. Ich verbringe mehr Zeit in Räumen ohne Fenster und mit ganz dicken Türen, weil man eben halt dann doch über paar echt heikle Dinge auch mal spricht.

Die Verantwortung ist groß. Ich nehme sie auch sehr ernst. Ich schlafe trotzdem gut, wenn auch weniger. das hat sich schon verändert. Es ist was anderes, eine Firma kümmern zu müssen, dort IT zu bauen, was ich ja vorher primär gemacht habe. Oder das Eurosystem, das was die EZB braucht, zusammen mit den anderen europäischen Nationalbanken und den Aufsichtsbehörden.

Und jetzt plötzlich stehst du dann davor und die Welt guckt dich an und sagt, du bist hier für die Sicherheit, für die Cyber-Sicherheit in Deutschland verantwortlich. Dann stehst du da so, das kann ich nicht alleine. Aber das ist schon nochmal eine ganz, ganz große Aufgabe und das hat sich definitiv verändert. Für mich vor allen Dingen dieser Kooperationsaspekt super wichtig, weil wir alleine schaffen da gar nichts. Wir schaffen das nur, wenn wir da alle mit anpacken. Und da sind auch sehr, viel mehr noch ein Teil dieser Gesamtscyber-Sicherheit in Deutschland. Der Teil hat sich für mich echt nochmal verändert.

deutlich größerer Scope und auch deutlich mehr Kontakt und gegenseitige Abhängigkeit. Wir werden da nur zusammen erfolgen.

Ja, super. Spannende Worte. Ich habe diese Frage im Briefing deinem Kollegen aus der Presse gestellt. Er musste bisschen sprunzeln. Deshalb bin ich umso mehr gespannt, wie du jetzt antwortest. Also wir haben jetzt, was hat sich für dich verändert? Aber was hat sich denn für die anderen verändert auf der anderen Seite, seitdem du im Amt bist? Und der Kollege meinte nur eine ganze Menge. Ich habe jetzt schon sehr viel von deiner Hands-on-Mentalität mitgekriegt. Teile uns doch mal, was hat sich für die anderen alles verändert?

Okay.

Es kommt jetzt an, wann wir die anderen sind. Also wenn du die anderen bei uns... Okay. Okay, okay. Also rund uns rum, innerhalb der Behörde... Ich glaube, habe schon... Ich habe einen Anspruch an Veränderung und an Geschwindigkeit, der schon den einen oder anderen da auch ordentlich fordert. Also irgendjemand hat, glaube ich, mal gesagt gehabt, ja, mit Claudia ist schon ganz gut, aber du musst ja auch nicht mit ihr arbeiten. Also das trifft es wahrscheinlich an der einen oder anderen Stelle auch.

Dein Dein Team. Rund dich herum.

Ich habe da einen hohen Anspruch an das, was wir schaffen müssen. Das merken die Menschen auch. Das stresst auch und das schafft auch. Ich bin super stolz auf das, was wir 2025 abgeliefert haben. Das ist wirklich gut. Ich sage aber auch, klar, 2026 muss noch mal besser werden. Es führt kein Weg dran vorbei. Und das spürt man bei unseren Stakeholdern, bei unseren Kunden, wenn du so willst, nach draußen. Ich glaube, die merken schon auch, dass wir das Thema ernst meinen.

Und ich glaube, merken auch jedenfalls, spiegeln Sie mir das, dass Sie verstehen, dass es uns vor allen Dingen wichtig ist, Deutschland sicherer zu machen, Europa sicherer zu machen. Uns geht es nicht darum, irgendjemanden zu ärgern. Uns geht es nicht darum, möglichst effiziente Aufsichtsbehörde zu sein, die mit vielen Paragrafen und Knüppeln durch die Gegend läuft, sondern uns geht es vor allen Dingen darum, in Kooperation, im Dialog die Dinge nach vorne zu bringen. Jedes

Unternehmen, jeder kritis Betrieb, der es schafft, ein, zwei Reife-Gradstufen in seiner Sicherheit nach vorne zu bringen, ist was, was wir feiern. Ich glaube, das merken die schon. Das strahlen wir aus und ich glaube, das wird auch angenommen. Das ist authentisch und das spüren die Leute schon auch. Hoffe ich jedenfalls.

Ja, auf jeden Fall. Also super spannend. glaube auch, kein Angreifer hat jemals gesagt, das ist out of scope oder das ist nicht im Backlog drin. Also die Angreifer schlafen auch nicht. Deshalb mit großer Aufgabe muss natürlich auch dort einiges an Zug dahinter sein. Du hast denn eine sensationelle Karriere hingelegt.

Oder immer noch, also es geht ja auch weiter, die Frage ist, was ist denn eigentlich aus deiner Einschätzung dein Nummer 1 Skillset, was dich so weit gebracht hat? Was prägt dich? Was ist dieses eine Skillset, das du jetzt nennen würdest, was dich dorthin gebracht hat?

Das kann ich dir jetzt gar nicht so genau sagen. Wenn du so ein LinkedIn-Profil liest, sieht immer alles total gerade und nicht aus. Da steckt viel Zufall drin. Auch mein Links-Rechts-Schwenker, den findest du dann keinen Lebenslauf mehr. Aber da sind viele Sachen dabei, die sich so ergeben haben, sage ich jetzt mal fast. Was mir definitiv geholfen hat, ich sage das jetzt einfach mal in voller Arroganz, ich glaube ich bin nicht ganz doof.

Da bringe ich ein bisschen was an notwendiger Bedingungen mit. Das hilft schnell auch Übersichten zu schaffen und sich auch gut durch zu navigieren. Ich lerne relativ schnell. Das ist natürlich auch eine Folge davon. Und das sind Sachen, die helfen. Aber ganz ehrlich, am Ende des Tages ist es das Stück Glück zur richtigen Zeit, am richtigen Ort zu sein und dann einfach auch zuzupacken und zu sagen, ja das will ich. Und ich habe immer das...

Ich jedem Schritt immer das Gefühl gehabt, ich mag was machen, ich mag was bewegen. Das ist die deutsche Ingenieursmentalität. Wenn du da so Problem vor mich hinlegst, dann geh mir aus dem Weg, dann kümmere ich mich auch darum. So ungefähr. Wenn man mir die Herausforderungen schildert und sagt, da muss was gemacht werden, dann kann es schon passieren, dass dachte, das ist ja ein interessantes Problem. Dann fängt man halt mal an. Ich habe immer Herausforderungen gewollt, habe immer was gewollt, wo man was bewegen kann. Das Schlimmste waren immer die Situationen die Positionen, in denen ich das Gefühl hatte,

Du noch mit 43.000 Leuten abstimmen und irgendwie kommst du zu Pottel. Da bin ich dann auch relativ schnell geflüchtet. Mich muss man machen lassen. Wenn man mich dann machen lässt, dann kommt manchmal auch was vernünftiges bei raus. Nicht immer, aber manchmal. Und das hat dann geholfen. Also ich kann dir nicht sagen, es war nicht die eine Sache. Es war eine Verkettung glücklicher Umstände und vielleicht auch das Zupacken in dem Moment, wo ein Umstand da war.

Also ich übersetze das mal, was ich gehört habe. ganz klar das Machergehen. Die Sachen einfach mal machen, anpacken und nicht zu viel drüber nachdenken. Super.

Du engagierst dich sehr für Women in Tech. Das heißt, man sieht das auch oft, wenn du auf LinkedIn postest oder hast du auch früher gemacht, dass du einzelne Ladies hervorgehoben hast, dass du dann einfach dort auch eine Stimme warst und dass du dich dafür engagierst. Was können sich denn die Ladies abschauen bei dir oder was für Tipps hast du denn, wie man das Ganze noch verbessern könnte?

Also das wichtigste was ich immer sage ist, lasst euch auf gar keinen Fall ausbremsen und glaubt auch nicht, dass man immer alles können muss. Ich sage immer ganz platt, ich habe noch nie Schuhe angezogen, die nicht zu groß für mich waren. Noch nie Fußstapfen reingetreten, die nicht zu groß für mich waren. Das gehört so. Man wächst in die Dinge rein, wenn man sie sich zutraut, auch wenn man sie noch nicht kann und dieses Gefühl von ich muss erst alles da haben, sagen zu können, wird schon gehen? Nee, man muss nicht alles.

schon vorher können. Dafür nimmt man eine neue Verantwortung, da eben auch reinwachsen zu können. Ich glaube, das ist ein ganz ganz wichtiger Punkt. Nicht warten, machen. Und wenn jemand sagt, kannst du das? Dann sagst du, wird schon gehen. So, also das ist so ein ganz klassisches Fake it till you make it. Das funktioniert meines Erachtens sehr sehr gut und das können wir uns alle erlauben. Und mir ist das insofern ein Anliegen, da sind so kluge und so schlaue Frauen da draußen, wir brauchen die.

Wir brauchen die. Wir brauchen die für digital, brauchen die für Cyber, wir brauchen die für diese ganzen wirklich anspruchsvollen und komplexen Dinge. ich meine Cyber, das was mit Technik zu tun, Aber das ist nur ein Teil davon. Ein ganz großer Teil dessen, was wir tun, hat was mit Kommunikation zu tun. Wir müssen den Menschen erklären, was wir brauchen, was zu tun ist. Versucht das mal mit jemandem, ne, mit einem rein männlichen Team. Wird nicht funktionieren. Du brauchst eine gute Mischung, du brauchst verschiedene Perspektiven, du brauchst die richtigen Menschen, die richtigen anderen Menschen anzusprechen.

Also deswegen sich trauen, das geht schon. Und sich begeistern lassen auch von diesen Themen. Und ich glaube dann haben wir schon ganz ganz viel gewonnen.

Ja,

sehr spannend. Ich sehe es leider auch immer noch auf Konferenzen, auf anderen Treffen, dass die Zahl der Frauen immer noch sehr, sehr gering ist. es sehr viel männlicher, in unserer Industrie männlicher Beteiligung ist. Was wir auch jetzt haben, sind solche Women-in-Tech-Konferenzen. Und ich habe mal mit jemandem gesprochen, darüber habe gesagt, ja, komm, lass uns doch mal einen Hackathon für Ladies machen oder so was. Und die hat zu mir gesagt ...

Das will ich gar nicht. Ich will nicht irgendwie speziell irgendwas, dass wir irgendwie was Besonderes sind. Wir wollen einfach so mitmachen. Also teilst du das? Und wie sieht man das dann irgendwie jetzt falsch, wenn man sagt, man macht jetzt extra Veranstaltungen, ⁓ das Thema Frauen herauszuarbeiten? Oder sollte man das einfach machen? Also die mit mit reinnehmen? Wie siehst du das? Ja, genau.

ist die alte Quotendiskussion,

Genau

Ich habe damals schon gesagt und das sage ich auch heute noch, ich wünschte wir würden das nicht brauchen, aber ich glaube wir brauchen es. Ich stelle immer wieder fest, ab dem Moment wo du so ein gutes Drittel hast, 35%, 30, 35, ab da wird es geil. Ab da macht arbeiten Spaß und ab da stellst du dann auch fest, dass die Strukturen sich Stück für Stück auch verändern. Wenn das lange genug in place ist, dann

kommt irgendwann auch der Moment, wo Dinge anfangen, selbstläufer zu werden. Also wo man quasi dann irgendwann auch feststellt, es hat eine echte Veränderung stattgefunden, das Bewusstsein ist da und es ist auch selbstverständlich, selbstverständlich, dass man Menschen nach Qualifikationen auswählt und soll ich dir was sagen? Dann kommen da auch die richtigen Quoten bei raus. Das Problem ist ja immer, wenn du keine Quote hast und alle einfach nur ihre Best Buddies sozusagen da entsprechend in die Positionen reinbringen. Und das musst du ja aufbrechen. Das hört auf.

wenn die Verteilung von Best Buddies eine entsprechende Verteilung hat. Das heißt, wenn du gewissen Prozentsatz hast, dann hast du auch eine gute Chance, das fortzusetzen. Insofern bin ich immer noch der Meinung, wir brauchen das. Und wir haben selber genug Beispiele an verschiedenen Stellen. Ich nenne jetzt keine Namen oder Institutionen und nichts Sonstiges, wo wir feststellen, ohne eine Quote ist es auch nicht witzig. Ich kann selber sagen, da wo wir früher zusammen gearbeitet haben, da kann ich mich an ein frühes Stadium erinnern.

Da waren nicht so viele Frauen. Das war einsam. Und irgendwann wurden es mehr. Ab dem Moment, wo es so ein gutes Drittel wird, da macht arbeiten Spaß und die Ergebnisse werden einfach besser. Also das ist mich ein absolutes Minimum. 50 fände ich super. Dann flutscht es auch.

Ja super, also ich glaube, das passt. Mutiger sein, sich auch sichtbar machen und sagen, hey, ich kann das, sich das trauen und auf der anderen Seite die Seilschaften der Buddies aufbrechen und das ganze Thema anreichern mit einer gemischten Team sozusagen. Perfekt, hört sich sehr cool an. Liebe Claudia, vielen Dank. haben hier knapp über eine Stunde jetzt zusammen gesprochen. 1000 Dank, dass du dir so viel Zeit genommen hast. Wenn man jetzt abschließend, wir haben ganz viel

Sachen an Infomaterialien referenziert. Wo können denn die Leute da nachlesen oder was sind dann gute Informationszeiten, wo sie sich das vielleicht bei euch direkt nochmal anschauen können oder wo können sie dem BSI folgen, wo kriegt man diese Information?

Also wenn ihr einfach was nachschauen wollt, eine Veröffentlichung zu irgendwas, den 12-Punkten-Notplan nach einem Cyber-Angriff, die Verbraucherschutzinformationen mit wie sichere ich das Handy für mein Kind, was auch immer, findet ihr alles bei uns auf der Webseite.

Da sind mit allem drum und dran, ich weiß gar nicht, also zehntausende Publikationen. Da findet man auf jeden Fall ganz ganz viel Material. Man findet uns auf LinkedIn, auf Mastodon, wie sie alle heißen, sind wir dabei. Also auch dort einfach eine Subscription. Wir kriegen da auch ganz gutes Feedback. Also da sind viele, die uns da entsprechend folgen. Wir geben uns auch echt viel Mühe, das launig zu machen und auch dafür zu sorgen, dass es Spaß macht, das zu lesen.

muss jetzt auch nicht in jede einzelne technische Richtlinie rein, aber es ist doch schon mal gut, wenn man weiß, ok, da kümmert sich jemand drum. Also wir versuchen das so zu machen, dass es auch ein bisschen unterhält. Da gibt es ganz viele Informationen. Das wären so die beiden Sachen, die mir auf jeden Fall zuerst einfangen.

Perfekt, werden wir auch verlinken in den Show notes. Claudia, hast du noch ein paar finale Gedanken, die du mit der Community teilen möchtest, bevor wir den Podcast abschließen?

Ich habe einfach nur immer wieder denselben Gedanken. Wir müssen es schaffen, Land und auch die Union zu einem Platz zu machen, an dem man Digitalisierung beherrscht und dem man sichere Digitalisierung beherrscht. Deswegen haben wir gesagt, wir müssen das alle zusammen machen. Wir kriegen das auch nur zusammen hin. Das heißt, dieses ganze Thema Kooperation ist für mich da super wichtig. Wir haben dafür diese Dachmarke Cybernation ausgerufen und ich möchte einfach, dass wir da alle zusammen anpacken.

Wir fangen bei uns im Privaten an, wir kümmern uns unsere Firmen, sichern die sauber ab, wir denken, wenn wir das nächste IT-System aufsetzen, daran, wie man das vielleicht auch vernünftig härten kann. Das sind die Sachen, mir wichtig sind. Und jedes Stück, das ihr dazu beitragt, macht unser Leben leichter und unser Land stärker. Danke.

Vielen Dank Claudia, dass du im Podcast Und an alle anderen, Dank, dass ihr zugehört habt. Denkt bitte dran, den Podcast auf allen Plattformen zu liken und zu subscriben und teilt ihn doch mit euren Kollegen oder Freunden, damit die Community noch wachsen kann. Ich habe mich gefreut, dass ihr wieder zugehört habt und bis zur nächsten Episode. Vielen Dank und ciao.

Danke schön für die Einladung.