Netskope wurde im Gartner® Magic Quadrant™ 2024 für Security Service Edge als Leader ausgezeichnet. Report abrufen

Schließen
Schließen
  • Warum Netskope? Chevron

    Verändern Sie die Art und Weise, wie Netzwerke und Sicherheit zusammenarbeiten.

  • Unsere Kunden Chevron

    Netskope bedient mehr als 3.000 Kunden weltweit, darunter mehr als 25 der Fortune 100

  • Unsere Partner Chevron

    Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.

Immer noch am Höchsten in der Ausführung.
Immer noch am Weitesten in der Vision.

Erfahren Sie, warum Netskope im Gartner® Magic Quadrant ™ 2024 zum dritten Mal in Folge zum Leader für Security Service Edge ernannt wurde.

Report abrufen
Netskope wird im ® Magic Quadrant ™ für Security Service Edge 2024 als führend eingestuft. Grafik für Menü
Wir helfen unseren Kunden, auf alles vorbereitet zu sein

Unsere Kunden
Lächelnde Frau mit Brille schaut aus dem Fenster
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.

Erfahren Sie mehr über Netskope-Partner
Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft
Ihr Netzwerk von morgen

Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.

Whitepaper lesen
Ihr Netzwerk von morgen
Vorstellung der Netskope One-Plattform

Netskope One ist eine cloudnative Plattform, die konvergierte Sicherheits- und Netzwerkdienste bietet, um Ihre SASE- und Zero-Trust-Transformation zu ermöglichen.

Erfahren Sie mehr über Netskope One
Abstrakt mit blauer Beleuchtung
Nutzen Sie eine Secure Access Service Edge (SASE)-Architektur

Netskope NewEdge ist die weltweit größte und leistungsstärkste private Sicherheits-Cloud und bietet Kunden eine beispiellose Serviceabdeckung, Leistung und Ausfallsicherheit.

Mehr über NewEdge erfahren
NewEdge
Netskope Cloud Exchange

Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.

Erfahren Sie mehr über Cloud Exchange
Netskope-Video
  • Edge-Produkte von Security Service Chevron

    Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.

  • Borderless SD-WAN Chevron

    Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.

  • Secure Access Service Edge Chevron

    Netskope One SASE bietet eine Cloud-native, vollständig konvergente SASE-Lösung eines einzelnen Anbieters.

Die Plattform der Zukunft heißt Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) und Private Access for ZTNA sind nativ in einer einzigen Lösung integriert, um jedes Unternehmen auf seinem Weg zum Secure Access Service zu unterstützen Edge (SASE)-Architektur.

Netskope Produktübersicht
Netskope-Video
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert

Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.

Erfahren Sie mehr über Next Gen SASE Branch
Menschen im Großraumbüro
Entwerfen einer SASE-Architektur für Dummies

Holen Sie sich Ihr kostenloses Exemplar des einzigen Leitfadens zum SASE-Design, den Sie jemals benötigen werden.

Jetzt das E-Book lesen
Steigen Sie auf marktführende Cloud-Security Service mit minimaler Latenz und hoher Zuverlässigkeit um.

Mehr über NewEdge erfahren
Beleuchtete Schnellstraße mit Serpentinen durch die Berge
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.

Erfahren Sie, wie wir den Einsatz generativer KI sichern
ChatGPT und Generative AI sicher aktivieren
Zero-Trust-Lösungen für SSE- und SASE-Deployments

Erfahren Sie mehr über Zero Trust
Bootsfahrt auf dem offenen Meer
Netskope erhält die FedRAMP High Authorization

Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.

Erfahren Sie mehr über Netskope GovCloud
Netskope GovCloud
  • Ressourcen Chevron

    Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.

  • Blog Chevron

    Erfahren Sie, wie Netskope die Sicherheits- und Netzwerktransformation durch Security Service Edge (SSE) ermöglicht

  • Events und Workshops Chevron

    Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus

  • Security Defined Chevron

    Finden Sie alles was Sie wissen müssen in unserer Cybersicherheits-Enzyklopädie.

Security Visionaries Podcast

On Patents, Trolls, and Innovation
In this episode host Emily Wearmouth chats with Suzanne Oliver, an intellectual property expert, and Krishna Narayanaswamy, co-founder and CTO of Netskope, about the world of patents.

Podcast abspielen
On Patents, Trolls, and Innovation
Neueste Blogs

Lesen Sie, wie Netskope die Zero Trust- und SASE-Reise durch Security Service Edge (SSE)-Funktionen ermöglichen kann.

Den Blog lesen
Sonnenaufgang und bewölkter Himmel
SASE Week 2023: Ihre SASE-Reise beginnt jetzt!

Wiederholungssitzungen der vierten jährlichen SASE Week.

Entdecken Sie Sitzungen
SASE Week 2023
Was ist Security Service Edge?

Entdecken Sie die Sicherheitselemente von SASE, die Zukunft des Netzwerks und der Security in der Cloud.

Erfahren Sie mehr über Security Service Edge
Kreisverkehr mit vier Straßen
  • Unternehmen Chevron

    Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.

  • Leadership Chevron

    Unser Leadership-Team ist fest entschlossen, alles zu tun, was nötig ist, damit unsere Kunden erfolgreich sind.

  • Kundenlösungen Chevron

    Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.

  • Schulung und Zertifizierung Chevron

    Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Unterstützung der Nachhaltigkeit durch Datensicherheit

Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.

Finde mehr heraus
Unterstützung der Nachhaltigkeit durch Datensicherheit
Denker, Architekten, Träumer, Innovatoren. Gemeinsam liefern wir hochmoderne Cloud-Sicherheitslösungen, die unseren Kunden helfen, ihre Daten und Mitarbeiter zu schützen.

Lernen Sie unser Team kennen
Gruppe von Wanderern erklimmt einen verschneiten Berg
Das talentierte und erfahrene Professional Services-Team von Netskope bietet einen präskriptiven Ansatz für Ihre erfolgreiche Implementierung.

Erfahren Sie mehr über professionelle Dienstleistungen
Netskope Professional Services
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.

Erfahren Sie mehr über Schulungen und Zertifizierungen
Gruppe junger Berufstätiger bei der Arbeit
Miniaturansicht des Beitrags

In dieser Folge gibt es ein Interview mit Andreas Rohr, Gründungsmanager und CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO). Bei DCSO ist Andreas für Innovation und Security Engineering sowie deren Managed Cyber Defense Services verantwortlich. Er verfügt über mehr als 15 Jahre Erfahrung in den Bereichen IT und Cybersicherheit und hatte Führungspositionen in der Energie- und Automobilindustrie inne.

In dieser Folge sprechen Mike und Andreas über die Abstimmung mit Betriebsräten, den Aufbau von Geschäftsbeziehungen durch Transparenz und die Einbettung von Sicherheit in Wertströme.

Transparenz ist der Schlüssel für die Zusammenarbeit mit dem Betriebsrat, der eigentlich nicht dazu da ist, die Sicherheit zu verhindern oder das Unternehmen daran zu hindern, die richtigen Dinge zu tun, sondern dafür zu sorgen, dass die Daten nicht zum Nachteil der Mitarbeiter missbraucht werden. Das ist ihre Mission, ihre Aufgabe, und sie ist berechtigt.

—Andreas Rohr, CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO)

 

Zeitstempel

*(02:06): Andreas erklärt, was DCSO ist*(23:34): Andreas' Rat zur Festlegung des Budgets für Sicherheit
*(09:18): Wegweiser DCSO hilft Unternehmen bei der Ausrichtung*(27:30): Wie Andreas Unternehmen dabei berät, Sicherheit zum Bestandteil ihrer Organisation zu machen
*(15:45): Wie Andreas Unternehmen dabei hilft, sich im Deutschen Betriebsrat zurechtzufinden*(34:29): 2030 Schutzbrille
*(19:27): Andreas‘ Weg vom CISO zum CTO*(43:01): Schnelle Treffer

 

Andere Möglichkeiten zum Zuhören:

grünes plus

In dieser Folge

Andreas Rohr
CTO bei DCSO

Chevron

Andreas Rohr

Dr. Andreas Rohr ist Gründungsmanager und CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem Joint Venture zwischen Allianz, Bayer, BASF und Volkswagen. Rohr verantwortet im DCSO-Vorstand die Bereiche Innovation und Security Engineering sowie Managed Cyber Defense Services.

Rohr verfügt über mehr als 15 Jahre Erfahrung in verschiedenen Bereichen der IT und Cybersicherheit. Zuvor war er in Führungspositionen in der Energie- und Automobilindustrie tätig. Er engagiert sich seit über einem Jahrzehnt intensiv in der Start-up-Szene für Cybersicherheitstechnologien und fungierte oft als Berater, der aufstrebenden Unternehmen eine einzigartige europäische Perspektive verschaffte. Zuvor diente er als Offizier der deutschen Luftwaffe und hatte die Funktion des stellvertretenden CISO im deutschen Bundesverteidigungsministerium inne.

Mike Anderson
Chief Digital & Information Officer bei Netskope

Chevron

Mike Anderson

Mike Anderson ist Chief Digital and Information Officer für Netskope. In den letzten 25 Jahren hat er leistungsstarke Teams in verschiedenen Disziplinen aufgebaut und geleitet, darunter Vertrieb, Betrieb, Geschäftsentwicklung und Informationstechnologie. Er kam von Schneider Electric, einem globalen Fortune-500-Unternehmen, zu Netskope und fungierte als SVP, CIO und Digital Leader für Nordamerika. Im Jahr 2020 wurde er von Constellation Research zum Mitglied der Business Transformation 150 ernannt, einer Eliteliste, die die weltweit führenden Führungskräfte auszeichnet, die in ihren Unternehmen geschäftliche Transformationsbemühungen anführen. Auch der National Diversity Council zeichnete ihn 2020 und 2021 als einen der 50 besten CIOs für Diversität und Inklusion aus. Vor Schneider Electric war Mike als CIO für CROSSMARK tätig, wo er die Geschäftsfunktionen des 40.000 Mitarbeiter umfassenden Dienstleisters für die Einzelhandels- und Konsumgüterindustrie digital transformierte. Darüber hinaus hatte er leitende Führungspositionen bei Enterprise Mobile inne, einem Microsoft-Joint-Venture, das heute Teil von Honeywell, Insight, Software Spectrum und InVerge ist, einem Webservice-Pionier, den er 1999 mitbegründete. Mike ist Mitglied zahlreicher Beratungsgremien für Technologie und Industrie und arbeitet ehrenamtlich für gemeinnützige Organisationen, die sich auf psychische Gesundheit und Suizidprävention konzentrieren und die Entwicklung unserer zukünftigen Arbeitskräfte in den Bereichen Wissenschaft, Technologie, Ingenieurwesen und Mathematik fördern.

Andreas Rohr

Dr. Andreas Rohr ist Gründungsmanager und CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO), einem Joint Venture zwischen Allianz, Bayer, BASF und Volkswagen. Rohr verantwortet im DCSO-Vorstand die Bereiche Innovation und Security Engineering sowie Managed Cyber Defense Services.

Rohr verfügt über mehr als 15 Jahre Erfahrung in verschiedenen Bereichen der IT und Cybersicherheit. Zuvor war er in Führungspositionen in der Energie- und Automobilindustrie tätig. Er engagiert sich seit über einem Jahrzehnt intensiv in der Start-up-Szene für Cybersicherheitstechnologien und fungierte oft als Berater, der aufstrebenden Unternehmen eine einzigartige europäische Perspektive verschaffte. Zuvor diente er als Offizier der deutschen Luftwaffe und hatte die Funktion des stellvertretenden CISO im deutschen Bundesverteidigungsministerium inne.

Mike Anderson

Mike Anderson ist Chief Digital and Information Officer für Netskope. In den letzten 25 Jahren hat er leistungsstarke Teams in verschiedenen Disziplinen aufgebaut und geleitet, darunter Vertrieb, Betrieb, Geschäftsentwicklung und Informationstechnologie. Er kam von Schneider Electric, einem globalen Fortune-500-Unternehmen, zu Netskope und fungierte als SVP, CIO und Digital Leader für Nordamerika. Im Jahr 2020 wurde er von Constellation Research zum Mitglied der Business Transformation 150 ernannt, einer Eliteliste, die die weltweit führenden Führungskräfte auszeichnet, die in ihren Unternehmen geschäftliche Transformationsbemühungen anführen. Auch der National Diversity Council zeichnete ihn 2020 und 2021 als einen der 50 besten CIOs für Diversität und Inklusion aus. Vor Schneider Electric war Mike als CIO für CROSSMARK tätig, wo er die Geschäftsfunktionen des 40.000 Mitarbeiter umfassenden Dienstleisters für die Einzelhandels- und Konsumgüterindustrie digital transformierte. Darüber hinaus hatte er leitende Führungspositionen bei Enterprise Mobile inne, einem Microsoft-Joint-Venture, das heute Teil von Honeywell, Insight, Software Spectrum und InVerge ist, einem Webservice-Pionier, den er 1999 mitbegründete. Mike ist Mitglied zahlreicher Beratungsgremien für Technologie und Industrie und arbeitet ehrenamtlich für gemeinnützige Organisationen, die sich auf psychische Gesundheit und Suizidprävention konzentrieren und die Entwicklung unserer zukünftigen Arbeitskräfte in den Bereichen Wissenschaft, Technologie, Ingenieurwesen und Mathematik fördern.

Episodentranskript

Offen für Transkription

Andreas Rohr: Die überzeugendste Geschichte für Betriebsräte, die eigentlich nicht dazu da sind, die Sicherheit zu verhindern oder das Unternehmen daran zu hindern, die richtigen Dinge zu tun, sondern dafür zu sorgen, dass die Daten nicht gegen die Rechte der Arbeitnehmer missbraucht werden. Es ist ihre Mission, ihre Aufgabe, und es ist eine gültige. Als ich CISO in solchen Unternehmen war, in denen es tatsächlich einen starken Betriebsrat gab, war die beste Beziehung: Wenn man wirklich transparent macht, was man tut, warum tut man das?

Sprecher 2: Hallo und willkommen bei Security Visionaries. Sie haben gerade vom heutigen Gast Andreas Rohr, CTO bei DCSO, gehört. Die Ausrichtung von Organisationen auf Sicherheit erfordert viele Fähigkeiten, vor allem Transparenz. Von der Einrichtung einer Top-Down-Kommunikation bis hin zur Zusammenarbeit mit Betriebsräten – Transparenz beantwortet dabei viele Fragen. Wer hat zum Beispiel Zugriff auf die sensiblen Informationen? Wie groß ist die Risikobereitschaft einer Organisation? Und wie werden die Daten der Mitarbeiter geschützt? Bevor wir uns mit Andreas' Interview befassen, hier ein kurzes Wort unseres Sponsors. Dieser Security Visionaries-Podcast wird vom Team von Netskope bereitgestellt. Bei Netskope definieren wir Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten überall dort bietet, wo sie sich befinden. Um mehr darüber zu erfahren, wie Netskope seinen Kunden hilft, auf ihrer frechen Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE.com. Genießen Sie ohne weitere Umschweife Folge 20 von Security Visionaries mit Andreas Rohr, CTO bei DCSO, und Ihrem Moderator Mike Anderson.

Mike Anderson: Willkommen zur heutigen Folge von Security Visionaries. Ich bin Ihr Gastgeber, Mike Anderson. Ich bin der Chief Digital and Information Officer hier bei Netskcope. Heute ist Andreas Rohr aus Deutschland bei uns. Wie geht es dir heute, Andreas?

Andreas Rohr: Oh, sehr gut. Vielen Dank, dass Sie den Namen sehr schön ausgesprochen haben.

Mike Anderson: Ich freue mich sehr auf dieses Gespräch heute, denn wenn wir über Cybersicherheit nachdenken, haben Sie einige sehr interessante Dinge getan, um Menschen in der DACH-Region zusammenzubringen und an Unternehmen jeder Größe zu denken, wenn Sie über das Thema Cyber nachdenken . Können Sie uns also mehr über DCSO erzählen, wie es begann, welche Mission Sie haben, was Sie erreichen möchten und wie Sie mit Unternehmen zusammenarbeiten?

Andreas Rohr: DCSO steht also für German Cyber Security Organization. Das D steht also für Deutsch, für diejenigen, die vielleicht mit der Sprache vertraut sind. Und was im Grunde genommen vier Unternehmen in der DACH-Region sind; Allianz, BASF, Volkswagen und Bayer, von denen Sie vielleicht schon gehört haben, einige der größten Unternehmen in Europa, haben erkannt, dass sie grundsätzlich ihre Kräfte bündeln und sich mit anderen Kollegen austauschen sollten, um die Sicherheitsthemen nicht immer wieder neu zu erfinden und mitzubringen ihre Experten zusammen. Weil sie eines gemeinsam haben: 90 %, 80 % ihrer Herausforderungen, und die Sicherheit ist mehr oder weniger gleich, obwohl sie auf dem Markt konkurrieren. Und zweitens gibt es nicht genügend Talente auf dem Markt. Wenn man sie also unter einem Dach zusammenbringt und sie mit Dingen betraut, die sie alle interessieren, würde es die Sache noch besser machen. Und ressourcengestütztes Testen neuer Ideen. Das ist also eines der Dinge. Der zweite Grund ist, dass sie alle ihre Lieferkette haben, von der sie abhängig sind. Und das war vor sieben Jahren, also war der Begriff Supply-Chain-Angriff noch nicht geboren, aber sie erkannten bereits, dass das schwächste Glied im Grunde nicht ihre Sicherheit und ihr Sicherheitsteam und deren Reife sind, sondern ihre Lieferkette sind am meisten davon abhängig.

Andreas Rohr: Und die Dinge aus ihren Sicherheitserkenntnissen und Erkenntnissen zu verarbeiten oder auf eine Art und Weise verdaulich zu machen, ist das Ziel von DCSO als Community-gesteuerter Austausch, um solche Erkenntnisse und Technologien so zu operationalisieren, wie wir auch gegründet wurden, und um Wege zu finden, es einfacher zu machen zu verwenden und auch für Unternehmen zu beantragen, die nicht über ein großes Sicherheitsteam oder gar Kenntnisse verfügen. Daher war die Operationalisierung mit Sicherheitsdiensten die zweite Aufgabe, im Wesentlichen während der Gründung des Unternehmens.

Mike Anderson: Nein, das ist großartig. Und ich weiß definitiv, dass wir heute so viele offene Cyber-Rollen haben. Alles, was Sie tun können, um Unternehmen dabei zu helfen, die schlechten Akteure zu bekämpfen, die den Unternehmen Schaden zufügen wollen. Wie Sie sagten, handelt es sich teilweise um Konkurrenten, die sich an einen Tisch setzen, um herauszufinden, wie sie uns grundsätzlich vor den Widersachern schützen können, die da draußen in der Wildnis leben. Es ist also definitiv eine starke Mission. Gab es weitere Unternehmen, die sich dem angeschlossen haben? Und Sie haben über die vier gesprochen, die sich ursprünglich angeschlossen haben, aber gab es noch weitere, die sich dieser Mission angeschlossen haben?

Andreas Rohr: Das ist also eine gute Frage. Das sind also nicht nur die vier. Wir haben sehr früh damit begonnen, mit rund 16 Steuerfirmen, heute sind es etwa 20, 21 oder so, und ein paar Familienunternehmen von gleicher Größe. Und sie steuern im Grunde die Entwicklung des Portfolios durch DCSO und darüber, worüber wir sprechen und was Sie in Bezug auf Themen und Richtungen recherchieren sollten, und helfen uns, sozusagen in einer Beratung, wohin wir uns weiterentwickeln sollen. Und das Zweite ist, was wir auch gerne umsetzen und auch tatsächlich erreichen, ein sehr regelmäßiges Format, bei dem sie nicht nur mit neuen Themen lernen, sondern auch mit den bestehenden Dingen, wo sie versagt haben oder wie sie bestimmte Herausforderungen gelöst haben und was nicht geklappt hat. Das ist umso wichtiger, um die Lernkurve zu verkürzen. Und das gilt nicht nur für die weniger reifen Unternehmen, sondern auch für die reifen Unternehmen. Und das beweist, dass das Zusammenbringen von Menschen trotz ihres Wettbewerbs auf einem Markt tatsächlich sinnvoll und effektiv ist und sich nicht nur auf die Unternehmen selbst beschränken sollte, sondern auch auf die Beziehung zu Behörden und vielleicht sogar zu diesen Forschungsinstituten. Es wird also wirklich eine Brücke zwischen den verschiedenen Fachgebieten und Erkenntnissen geschlagen, insbesondere auch im Hinblick auf Geheimdienste. In beiden Fällen ist es sinnvoll, einen Fluss zu haben und ihn, wie Sie sagten, weder für die Abnehmer noch für die Gegner sichtbar zu machen.

Mike Anderson: Ich verspüre auf jeden Fall die Notwendigkeit einer öffentlich-privaten Partnerschaft rund um den Austausch von Geheimdienstinformationen und die aktuellen Entwicklungen unter Bedrohungsgesichtspunkten. Auch hier spiegelt sich das ganze Konzept wider, dass Sicherheit ein Mannschaftssport ist. Es sind nicht nur die vier Wände meiner Organisation, sondern das gesamte Ökosystem, das zusammenarbeitet. Wenn Sie sich das ansehen, bin ich einfach neugierig: Wenn Sie an die Behörden denken, die da draußen sind, konnten Sie Richtlinien oder Änderungen beeinflussen, die Unternehmen dabei helfen würden, bessere Orientierungspunkte oder Dinge zu haben, an denen sie sich orientieren können?

Andreas Rohr: Ja, auf jeden Fall. Das war eines der Dinge, die ich grundsätzlich von den Staaten gelernt habe. Ich habe also die NCFTA gesehen, bei der das FBI und andere Strafverfolgungsbehörden und die Industrie zusammengearbeitet haben. Ich denke an die Anfangsjahre, an die Nullerjahre der 2000er Jahre und auch an andere Formate, bei denen es sich um etwas handelt, das vom Staat gesteuert wird. Aber im Allgemeinen gefällt mir die Idee sehr gut, dass es eine fließende Beziehung gibt, in der die notwendigen Dinge, um sich gegenseitig zu helfen, tatsächlich ausgetauscht werden. Und das hat auch meine Art beeinflusst, wie wir das machen, und tatsächlich haben wir ein sehr gutes Verhältnis zum Innenministerium, das eigentlich für die Beratungsfunktion und die Aufsicht über die Bundespolizei des BSI, des Bundes, zuständig ist Amt für Informationssicherheit und zugleich Verfassungsschützer. Ich bin mir nicht sicher, was das ins Englische übersetzt. Also diese Autoritäten zu haben, die alle ihre eigenen Erkenntnisse aus [0:07:13.7] haben ____, zum Beispiel von ihren Kollegen beim FBI oder von anderen Strafverfolgungs- oder Geheimdiensten, und sicherstellen, dass die Informationen über DCSO als vertrauenswürdige Clearingstelle weitergeleitet werden, wenn Sie möchten, wo sie darauf vertrauen können, dass dies nicht an die Öffentlichkeit gelangt, vor allem gegenüber den Angreifern.

Andreas Rohr: Aber Unternehmen helfen, bestimmte Dinge zu finden, bei denen sie keinen klaren Hinweis darauf haben, dass ein bestimmtes Unternehmen von einem bestimmten Akteur bedroht wird. Aber im Allgemeinen hat es sich als sehr wertvoll erwiesen, herauszufinden, ob diese Angreifer in diesen Netzwerken aktiv sind, da wir auch den Behörden dabei geholfen haben, herauszufinden, dass eine bestimmte Gruppe aktiv war, indem wir die Informationen, die sie uns gegeben haben, in einer vertrauenswürdigen Form umsetzten Weg. Und wir könnten ihnen im Grunde antworten: „Okay, schauen Sie mal, dieses Ding, das Sie uns gegeben haben, wir haben keine Ahnung, wo es herkommt, aber wir haben es hier gesehen.“ Und so helfen wir den Strafverfolgungsbehörden und auch den Nachrichtendiensten, ihre Ziele besser überwachen zu können, wenn sie keine Sensoren haben, denn im Inland sind die Behörden im Gegensatz zum Ausland auf ihre Möglichkeiten beschränkt. Und das Gleiche gilt andererseits: Unternehmen, die manchmal vielleicht sehr zurückhaltend sind, wenn es darum geht, Behörden Einblick in ihre Netzwerke zu gewähren, könnten uns nutzen, um sicherzustellen, dass nur die Dinge weitergegeben werden, die tatsächlich zur Erfüllung jedes einzelnen Auftrags erforderlich sind. Und uns im Grunde genommen als Brücke zu haben, um auch abzudecken, und dann nicht immer am Anfang Vertrauen zu schenken.

Andreas Rohr: Es hat sich also zu etwas entwickelt, bei dem es einen vertrauenswürdigeren Austausch gibt, bei dem die anfänglichen Ängste nicht verschwunden sind, aber sie sind definitiv geringer als zuvor. Das hilft also am Ende allen. Ich möchte hier nicht pathetisch werden, aber es trägt auch dazu bei, die Demokratie selbst dort besser zu schützen, wo es einflussreiche Parteien gibt.

Mike Anderson: Nun, es hört sich so an, als hätten Sie von mangelndem Vertrauen gesprochen, also klingt es wie null Vertrauen. Es scheint also, dass das überall ein gemeinsames Thema ist. Ich sehe viele Organisationen, die versuchen, sich daran anzupassen. Schauen Sie sich den Wegweiser an, wie in den USA und sogar darüber hinaus, manchmal sehen wir Leute, die sich den NIST-Kontrollen anschließen, die es gibt, weil die Versicherungsgesellschaften, die; Das wird ein Thema sein, über das wir etwas später sprechen werden. Sie nutzen es als Wegweiser. Prüfer nutzen es als Wegweiser. Was ist Ihrer Meinung nach der Wegweiser für die Unternehmen, mit denen Sie heute zusammenarbeiten? Was ist dieser Wegweiser, an dem sie sich orientieren wollen?

Andreas Rohr: Es ist also nicht so sehr NIST-getrieben, es liegt einfach in der Natur, dass wir in Europa sind und manchmal versuchen, das Rad selbst zu erfinden, anstatt unsere Kräfte zu bündeln. Aber wie auch immer, der Wegweiser hier ist eher ISO 27000 oder etwas Ähnliches. Es ist eine sehr deutsche Version davon. Sie alle versuchen sicherzustellen, dass Sie Ihre Sicherheit richtig verwalten. Und noch wichtiger ist für die Entwickler der letzten Jahre, dass der Reifegrad dieser Kontrollimplementierungen wichtiger ist als deren tatsächliche Konformität. Stellen Sie sich also vor, dass es zuerst Compliance-Themen gibt und dann, vielleicht vor 10 Jahren, mit der Umsetzung dieser Dinge begonnen wurde. Die Wirksamkeit davon ist das, was zählt. Es gibt also tatsächlich eine Verschiebung, und was mir am NIST und auch anderen Rahmenwerken gefällt, ist, dass sie versuchen, mehr in die Richtung zu gehen, wie effektiv Sie sich tatsächlich schützen, und nicht unbedingt nur, dass Sie grundsätzlich Ihre Risiken verwalten und Kontrollen haben. Und hier sollte sich die Sache eigentlich weiterentwickeln. Compliance ist also erforderlich, aber sie ist nur eine notwendige Bedingung, sie reicht nicht aus, denn eine ausreichende Bedingung ist die Wirksamkeit. Und effektiv ist tatsächlich wichtiger als die vollständige Compliance. Dies darf jedoch bitte nicht einer Aufsichtsbehörde mitgeteilt werden.

Mike Anderson: Nun, es ist interessant, denn ich sehe oft, dass Leute Werkzeuge erwerben, weil die Prüfer sagen, dass man das Werkzeug braucht. Aber wie Sie sagten, liegt die Effektivität tatsächlich darin, dass Sie das Tool verwenden, um das Ziel zu erreichen, das Sie erreichen möchten, oder um das Geschäftsergebnis voranzutreiben? Und das ist oft ein fehlendes Glied, weil Menschen Tools ansammeln, um Prüfer zufrieden zu stellen, sie aber nicht die Effektivität erzielen, die sie benötigen. Und so setzen sie sich nun einer Geschäftsunterbrechung aus, sei es durch Ransomware oder durch einen Datenverstoß in ihrem Unternehmen.

Andreas Rohr: Ja. Das ist etwas, worüber die Wirtschaftsprüfer und Regulierungsbehörden vielleicht in Zukunft anders denken sollten, weil sie diese Entwicklung durch die Art und Weise, wie sie ihre Regulierung formulieren, vorantreiben. Und es gibt eine gute Änderung, die meiner Meinung nach eine lokale Sicherheitsrichtlinie war, die tatsächlich am 1. Mai in Deutschland in Kraft trat oder vollständig in Kraft treten wird, was darauf hinweist, dass Sie ... Wie in der neuen Version von ISO 27000, dass Sie Es sind Systeme zur Erkennung von Angriffen erforderlich. So nennen sie es. Also im Grunde ISO-Erkennungsmechanismen und auch Reaktion. Und das sind wirklich die Dinge, auf die Sie sich auch beziehen. Dabei handelt es sich nicht nur um eine Werkzeugsache, sie schreiben auch vor, dass Sie organisatorisch sicherstellen müssen, dass Sie in der Lage sind, diese Dinge menschlich zu analysieren und daraus einen Sinn zu ziehen, unabhängig davon, ob es sich dabei um etwas Ernsthaftes handelt oder nicht. Und noch wichtiger: reagieren zu können und umzusetzen. Es ist also auch eine organisatorische Angelegenheit, bei der Sie rund um die Uhr in der Lage sein müssen, etwas dagegen zu unternehmen. Wenn es Anzeichen dafür gibt, dass sich eine Ransomware-Gruppe in einem frühen Stadium befindet. Weil Ihnen möglicherweise nur noch ein paar Stunden oder maximal Tage bleiben, um den maximalen Schaden zu verhindern.

Andreas Rohr: Und diese organisatorischen Dinge zusätzlich zu den Tools und der Integration zu haben und sie effektiv zu nutzen, das ist der Punkt, wo die Regulierung sein sollte ... Wie es Versicherungsunternehmen tatsächlich tun, werden sie eher darauf achten, ob etwas tatsächlich sicher ist oder nicht. Und dorthin muss es sich tatsächlich entwickeln. Aber für die Regulierungsbehörde ist es einfacher zu sagen, dass man eine SIM-Karte braucht, man braucht eine Netzwerkerkennungsüberwachung. Also, ob Sie ein eigenes Rechenzentrum haben und was nicht. Aber am Ende könnte es auch ein guter Ratschlag für die Regulierungsbehörde sein, vielleicht ist das eine der nächsten Aufgaben von DCSO, um zu beeinflussen, dass das, was sie ihnen tatsächlich sagen, praktisch relevanter wird. Und es gibt ein gutes Beispiel für das nationale Sicherheitsgesetz, das vor zwei Jahren in Deutschland verabschiedet wurde.

Mike Anderson: Nein, das ist großartig. Sie haben die Bewältigung der Auswirkungen erwähnt. Ich erinnere mich, dass ein Kollege von einem globalen Unternehmen für Konsumgüterverpackungen sagte, als NotPetya zuschlug, habe es innerhalb von 15 Minuten weltweit das gesamte Netzwerk und alle Systeme infiziert. Daher denke ich, dass die Denkweise traditionell ist: „Wie bringe ich Dinge so schnell wie möglich von Punkt A nach Punkt B, von C nach D und durch mein Unternehmensnetzwerk?“ Das Ganze muss neu überdacht werden, denn wenn ich in einem Knoten kompromittiert werde, kann es dann schnell mein gesamtes Netzwerk übernehmen und mein gesamtes Unternehmen zum Erliegen bringen?

Andreas Rohr: Genau. Und wenn Sie auch nach diesem Thema suchen, denken Sie darüber nach, dass dieses NotPetya etwas war, das die meisten Leute durch mehr Hygiene bei ihren Flicken hätten verhindern können. Doch bevor so etwas passiert, machen sie, zumindest bei Ransomware-Vektoren, etwas Lärm im Netzwerk. Es gibt also fast 100 % der Fälle, in die wir verwickelt waren, als wir die Reaktion auf Vorfälle durchführten. Wir sahen genügend Signale, die grundsätzlich hätten analysiert und Maßnahmen eingeleitet werden können, um den Angriff zu stoppen. Es würde sie nicht unbedingt dazu zwingen, diese Systeme zu sanieren und Dinge von Grund auf neu aufzubauen, aber sie hätten den gesamten Schaden, der tatsächlich eingetreten ist, nach ein paar Tagen verhindern können. Und das Gleiche gilt auch für NotPetya: Wenn Sie die Dinge hätten patchen können, von denen bekannt ist oder war, dass sie kritisch sind, und ein paar andere gute Praktiken, die tatsächlich in diesen Standards vorgeschrieben sind, die Sie zuvor erwähnt haben, dann ist dies die Hausaufgabe , die notwendige Bedingung. Und das Ausreichende besteht darin, darüber hinaus ein gutes Erkennungsnetz aufzubauen, das Ihnen tatsächlich den Auslöser zum Handeln gibt. Und ich bin mir nicht sicher, ob es in 15 Minuten erledigt gewesen wäre, aber im Allgemeinen wird der Zeitrahmen fairerweise kleiner.

Andreas Rohr: Aber es gibt einen Zeitrahmen, in dem man Dinge erkennen kann und davon ausgehen kann, dass nicht alle Schutzmaßnahmen einen immer zu 100 % schützen. Entweder klickt ein Benutzer auf etwas, Sie haben keinen Patch installiert oder die Konfiguration ist unsicher oder was auch immer. Aber wenn Sie davon ausgehen, dass das der Fall ist und Sie ein Erkennungsgitter darüber haben, wird Ihnen das sagen: „Okay, da ist etwas, das Sie hier nicht haben möchten.“ Bitte schauen Sie vorbei und handeln Sie.“ Für wirklich gute Unternehmen im Hinblick auf den Sicherheitszustand muss vielleicht sogar eine sehr automatisierte oder vordefinierte Art und Weise getan werden, um solche Angriffe zu stoppen.

Mike Anderson: Ja, da stimme ich voll und ganz zu. Wenn es manuell geht, sind Sie immer auf die Person am Stuhl angewiesen und es besteht ein Qualifikationsdefizit, das problematisch werden kann. Also genau auf Ihren Punkt, die Automatisierung. Es ist von entscheidender Bedeutung, dass ich vorbeugende Maßnahmen ergreifen und mein Spiel so schnell wie möglich durchführen kann. Wenn ich noch einmal über die Sicherheitsseite nachdenke, und ich denke an den Datenschutz, dann reden alle über die DSGVO. Ich erinnere die Leute immer daran: Sie denken, dass die DSGVO hart ist, und warten Sie, bis Sie vor den deutschen Betriebsrat gehen und über den Datenschutz für deutsche Bürger sprechen müssen. Wenn Sie über viele Sicherheitstools nachdenken, prüfen Sie, was die Leute tun. Wie unterstützen Sie Unternehmen dabei, sich im deutschen Betriebsrat zurechtzufinden, um sicherzustellen, dass sie die richtigen Schutzmaßnahmen ergreifen und gleichzeitig die Privatsphäre der deutschen Bürger wahren?

Andreas Rohr: Das ist eine knifflige Frage. Es gibt kein Allheilmittel, um dies zu erreichen. Fairerweise muss man sagen, dass dieser Betriebsrat mit dem zufrieden ist, was passiert, wenn riesige Datenmengen eingesehen werden, die für die Erkennung erforderlich sind. Aber die überzeugendste Geschichte ist für Betriebsräte, die eigentlich nicht dazu da sind, die Sicherheit zu verhindern oder das Unternehmen daran zu hindern, die richtigen Dinge zu tun, sondern dafür zu sorgen, dass die Daten nicht gegen ihre Mitarbeiter missbraucht werden. Es ist ihre Mission, ihre Aufgabe, und es ist eine gültige. Und um mit den Betriebsräten auszukommen... Und als ich CISO in solchen Unternehmen war, in denen es tatsächlich einen starken Betriebsrat gab, war die beste Beziehung, wenn man wirklich transparent darlegte, was man tat und warum man es tat. Ich war also damals noch ziemlich jung. Ich war nicht wirklich gut darin, möglicherweise zu argumentieren, im Grunde genommen nicht über ihre Mission, weil sie auch die Mission haben, die Mitarbeiter vor Schaden zu schützen. Und dazu zählen auch Cyberangriffe oder Datenschutzverletzungen und -verstöße etc. Damals hätte ich argumentieren sollen, was ich heute tue, dass es der richtige Weg gewesen wäre, Angriffe zu verhindern, indem man einen Teil des Datenverkehrs überprüft oder bestimmte Daten erfasst. Und das ist eines der Dinge, die sie nicht leugnen können, wenn man weiß, wie die Verfassung grundsätzlich funktioniert.

Andreas Rohr: Wenn Sie ihnen sagen, dass der einzige Anwendungsfall für die Verwendung dieser Daten, bei dem die Verwendung der Daten zulässig ist, die Erkennung böswilliger Aktivitäten und nicht die Verfolgung von Mitarbeitern usw. ist, und wenn Sie dies schriftlich mitteilen, dass Sie dies tun Und wenn Sie sich in diesem Sinne an Ihre eigenen Regeln halten, werden sie Ihnen im Grunde zunächst ein paar Steine in den Weg legen und sehen, ob Sie sich benehmen oder nicht. Aber wenn Sie das ständig so machen, dass Sie es nur zum Aufspüren bösartiger Dinge verwenden und dadurch deren Bestandteile im Grunde verhindern, wenn Sie wollen, dann werden Sie beim nächsten Mal leichter durch die Tür gehen als zuvor. Zumindest habe ich es nie versäumt, Dinge durch den Betriebsrat zu bringen. Es ist einfach so, wie Sie das ausdrücken, und dass Sie sich wirklich an die meisten Grundsätze halten, die Daten nicht für etwas anderes zu verwenden, für das Sie sie erhalten.

Mike Anderson: Das ist großartig. Nun, hoffentlich ist das ein Produktlinienangebot, das Sie bei DCSO anbieten.

Andreas Rohr: Wenn Sie Managed Services von DCSO kaufen, sind diese inklusive. Wir helfen dem Kunden also, durch die Tür des Betriebsrats zu kommen, und ich denke, wir haben einen ziemlich guten Ruf. Und da ich schon früher mit Betriebsräten in der Volkswagen-Welt zusammengearbeitet habe, aber auch bei den Versorgern, wo sie wirklich starke Betriebsräte haben und von meiner Vergangenheit mit ihnen erzählen und wie gut die Beziehung usw. war, dann ist das der andere Teil der Geschichte . Wir bringen also unsere Erfahrung ein, und das gefällt ihnen normalerweise und macht ihnen das Leben leichter, indem sie ihnen helfen, mit ihren Leuten zu streiten. Und dann ist es am Ende eine Frage des Vertrauens, nicht wie bei Nullvertrauen, sondern eher umgekehrt. Wenn Sie also ein Vertrauen aufbauen, können Sie die meisten Dinge mit dem Betriebsrat erledigen. Und selbst wenn Sie ihnen nur einen kleinen Hinweis geben, einen schreibgeschützten Account für die Technologie, die Sie einsetzen, hilft das auch sehr. Sie müssen also Transparenz haben und ihnen helfen, zu sehen, was Sie sehen und was Sie daraus machen und wie Sie Fälle kommentieren usw. Dies trägt auch zum Aufbau von Vertrauen bei. Sie erfassen vielleicht nicht alles so, wie sie es sehen, aber hier haben sie nicht das Gefühl, dass etwas im Dunkeln geschieht, das meinem Volk schaden könnte. Und es ist keine geheime Erfolgszutat, aber es ist etwas, das Ihnen, wenn Sie sich daran halten, tatsächlich zu einem guten Ergebnis verhelfen wird.

Mike Anderson: Das ist großartig. Ich stimme zu 100 % zu, Transparenz schafft Vertrauen. Wenn Menschen keine Transparenz haben, raten sie, und Vermutungen führen nicht zu Vertrauen. Das ist also ein toller Ratschlag im Umgang mit dem Deutschen Betriebsrat und ganz allgemein als Geschäftsgrundsatz. Transparenz schafft Vertrauen. Wenn ich mir die Rolle ansehe, die Sie heute innehaben, und Sie über einige Ihrer Rollen gesprochen haben, welche Erkenntnisse haben Sie dann in DCSO eingebracht? Sie haben erwähnt, dass Sie in der Vergangenheit CISO waren und jetzt CTO für DCSO sind. Sprechen Sie ein wenig über diese Reise und wie haben sich die Dinge in Ihrem Denken entwickelt, als Sie in die Rolle übergegangen sind, die Sie heute haben, und nicht mehr in die Rollen, die Sie in der Vergangenheit eher als Praktiker und CISO hatten?

Andreas Rohr: Als ich damals CISO war, stand ich vor der gleichen Herausforderung wie die meisten CISOs, die auch technische Teams haben. Ich hatte also das Glück, nicht nur für die Governance und das Sicherheitsmanagementsystem verantwortlich zu sein, sondern auch über ein eigenes operatives Sicherheitsteam zu verfügen und den Luxus zu haben, mit Technologie usw. herumzuspielen. Was ich also am meisten angefangen habe, war, dass ich all die Werkzeuge hatte, die für die Insel einen guten oder sogar einen guten Job machen, aber es gab keine kohärente Möglichkeit, das für ein ganzes Bild zu nutzen. Und ich möchte nicht sagen, dass alles nur eine einzige Glasscheibe ist. Ich meine, das wird oft verwendet, aber die Nutzung der Stärken der verschiedenen Technologien und deren Kombination hat es mir im Grunde genommen ermöglicht, sehr kosteneffizient zu sein und tatsächlich den gesamten Wert aus den verschiedenen Technologien, die ich eingesetzt habe, herauszuholen. Und ich habe mein Team damals auch in die Lage versetzt, einige nette Dinge zu tun, die nicht dem Durchschnitt dessen entsprachen, was Teams erreichen können. Wenn man also zum Beispiel einen Satz oder mehrere Werkzeuge mitnimmt, ein Taschenmesser, wenn man so will, ein Schweizer Taschenmesser, dann ist das Team, das dieses Messer bedient, eigentlich am wichtigsten. Daher war es mein Antrieb, sie dazu zu bringen, mit unterschiedlichen Arten von Eingabetechnologien, Streams und Erkenntnissen umzugehen und die unterschiedlichen Fähigkeiten und Fertigkeiten der Menschen zu operationalisieren, um das Ergebnis zu maximieren und auch dabei zu helfen, bestimmte Hausaufgaben für unsere Kunden in DCSO zu lösen. Das war es, was mich bei unserer Entwicklung angetrieben hat das Portfolio.

Andreas Rohr: Eines der Dinge, die ich vorher nicht erwähnt habe, war, dass ich vor sieben Jahren auch mit der Entwicklung eines Managed-Security-Services-Portfolios beauftragt wurde. Versetzen Sie sich also zurück in die Zeit, in der es nicht sehr üblich war, vielleicht ein ausgelagertes SARC oder so zu haben, aber nicht so viele verwaltete Sicherheitsdienste auszulagern und diesen Organisationen Hausaufgaben zu machen, damit sie sich auf die interessantesten und schwierigsten Nüsse konzentrieren können, die es zu knacken gilt Die tägliche Arbeit nicht zu erledigen und diese sehr effizient zu gestalten, war möglich, weil ich zuvor in dieser Position war. Und gleichzeitig nicht die Ansprache an den Kunden zu haben: „Das machen wir für Sie.“ Und als würde man Ihnen den Job wegnehmen, was wirklich etwas ist, auf das Sie bei den Sicherheitsteams, mit denen Sie Geschäfte zu machen versuchen, großen Widerstand stoßen. Aber um ihnen zu helfen: „Sehen Sie, wir wissen, dass Sie das tun müssen, und es ist manchmal schmerzhaft, und wir waren auch schon einmal in dieser Position, also würden wir uns gerne in Ihr Team einfügen und einfach akzeptieren, dass wir derjenige sind, der das Super macht.“ Hausaufgaben jeden Tag, rund um die Uhr, und warum konzentrierst du dich nicht auf die interessanten Dinge?“ Und wir geben Ihnen alle Zutaten dafür. Das ist eines der Dinge, die aus Sicht eines CISOs sehr geholfen haben, und auch die Angst davor, dass diese reifen Teams und der Kundenbereich akzeptieren, dass wir einen Mehrwert bringen. Es handelt sich also nicht um eine technische Frage, sondern vielmehr darum, wie Sie die Fähigkeiten und Kapazitäten des Teams integrieren und ergänzen. Und dann gelingt es Ihnen, auch die Techniker auf Kundenseite zu überzeugen.

Andreas Rohr: Und das hat sehr geholfen, das Portfolio aufzubauen, wie wir es ausdrücken, und auch den Community-Anteil in jedem der Dienste ins Spiel zu bringen, wo sie mit Kollegen reden und sich austauschen, nicht nur darüber, wie sie uns mögen, sondern auch wie sie Sie können bestimmte Probleme in der realen Welt im Alltag lösen, ohne einen Berater vor Ort zu haben, der ihnen auf die eine oder andere Weise bei der Lösung hilft. Aber das Lernen von den anderen, die uns ermöglicht werden, macht unseren Erfolg tatsächlich erst möglich. Und das ist auch irgendwie einzigartig. Wir konzentrieren uns also nicht nur auf Zahlen innerhalb der Kundenzahl für VC, sondern gehen wirklich zielorientiert darauf ein, dass sie sich gegenseitig helfen können und wir ihre Hausaufgaben auf die innovativste Art und Weise erledigen, die wir können. Dabei hat mir meine Vergangenheit tatsächlich dabei geholfen, ein andersartiges Portfolio aufzubauen.

Mike Anderson: Nein, das ist großartig. Ich muss eine der Fragen stellen, die mir immer gestellt werden, und dann sah ich gestern online auf LinkedIn eine Debatte zwischen CISOs darüber, wie man das Budget für Sicherheit festlegt. Und die Debatte geht immer weiter: Ist es ein Prozentsatz des Umsatzes des Unternehmens? Ist es ein Prozentsatz des IT-Budgets? Basiert es auf der Risikolage der Organisation und darauf, was sie in diesem Zusammenhang investieren möchte? Wie geht es dir... Ich muss mir vorstellen, dass Unternehmen diese Frage ständig stellen. Wie beantworten Sie diese Frage?

Andreas Rohr: Vielmehr sollten die CISOs einen, wenn Sie mich fragen, vertrauenswürdigen, neutralen Berater bekommen, der kein eigenes Interesse daran hat, etwas zu verkaufen. Manchmal finde ich tatsächlich ähnliche Positionen. Wir werden vom Vorstand eingestellt und schauen uns im Grunde deren Nachlass usw. an und wissen dann, dass ich diese Dienstleistungen auch verkaufe, ihnen aber sage, was benötigt wird und was ... Ich sage keinen Unsinn, sondern wo sie zu viel ausgeben und wirklich offen sein und nicht nur nach Maßstäben suchen und nach wirksamen Dingen streben. Welche Dinge möchten Sie also am meisten schützen, damit Ihr Unternehmen tatsächlich läuft? Wie eine Business-Impact-Analyse. Wenn Sie wissen, dass Sie bei 10 % sind, sind Sie am meisten davon abhängig, und wenn Sie darüber hinaus alle effektiven Sicherheitsfunktionen einsetzen und für die übrigen Dinge einen mittleren Job machen, ist das der bessere Rat, dem Sie folgen sollten, anstatt danach zu suchen die, reine Zahlen. Und entweder Sie wollen Ihr Unternehmen schützen oder nicht, die 10 %. Und das ist die Art und Weise, wie ich mit ihnen spreche. Okay, was ist dafür nötig? Offensichtlich ist die nächste Frage. Und wie viel Geld kann man nun angemessen ausgeben? Während sie zuerst von oben nach unten vorgehen, habe ich mich um die kritischen Geschäftsprozesse gekümmert und dann von unten nach oben. Was wird dafür benötigt? Und sagen Sie dann: „Okay, für den Rest kann ich einen Benchmark verwenden.“ So würde ich es also angehen.

Mike Anderson: Ja, das ist ein guter Rat, wenn ich unternehmensübergreifend denke. Sie haben bereits zu Beginn des Gesprächs über Risiken in der Lieferkette gesprochen. Als ich bei Schneider Electric war, habe ich mit unserem Leiter der Lieferkette darüber gesprochen, wie die Sicherheitslage unserer Lieferanten ist. Wie passt das in unsere Beschaffungsstrategie? Und es dreht sich alles um die gesamte Unternehmensrisikodiskussion, nicht nur um Cyberrisiken, sondern um die finanzielle Stabilität des Unternehmens, mit dem ich zusammenarbeite. Sicherheit wird jetzt zu einer weiteren Frage, die direkt daneben steht, denn wenn ich keinen Stahl bekomme, ist es schwierig, Produkte ohne Stahl herzustellen. Und wenn ich das durchschaue, denke ich, dass Sie damit genau richtig liegen. Ich würde hoffen, dass das für die meisten Unternehmen auf dem Fertigungsgipfel und für die 10 %, auf die sie sich wirklich konzentrieren und die sie schützen wollen, zutrifft.

Andreas Rohr: Auf jeden Fall. Und wir haben die Unterbrechung der Lieferkette durch den Suezkanal gelernt, was ein sehr physisches Ereignis ist, jetzt hatten wir diese Pandemie, wir haben vielleicht diesen Handelskrieg und damit verbundene Dinge, und dann haben wir diesen Ressourcenmangel aufgrund der Krise in Europa mit dem Krieg und auch mit der Tatsache, dass China seine Fabriken vielleicht nicht mehr betreiben kann, weil es das nicht kann oder will. Also was auch immer es ist. Wenn wir also genau wissen, wo Ihre Schwachstellen liegen, und diese tatsächlich verwalten, wird unsere Art der Risikomessung im Grunde genommen oder bereits geändert. Und wir sollten auch berücksichtigen, das ist eine der Erkenntnisse des letzten Jahres, dass die Gegner nicht immer rational handeln. Wenn also ein Risikomanagement und eine Risikobewertung auf dem rationalen Verhalten anderer basieren, mag dies für die meisten Dinge zutreffen, etwa für den Finanzmarkt und andere Dinge, aber nicht unbedingt für Staaten wie Russland. Und wir sollten auch davon ausgehen, dass es eine störende Art des Handelns gibt, ohne dass es für diejenigen, die dies tun, eine offensichtliche Belohnung gibt, was rational wäre. Und das ist einer der Punkte, bei denen Sie bei der Bewertung dieser Risiken vorsichtiger sein sollten, anstatt zu sagen: „Ja, das ist so unwahrscheinlich, also wird es nicht passieren.“ Das ist auch etwas, das wir eigentlich berücksichtigen sollten.

Mike Anderson: Absolut. Da Sie über die Arbeit mit dem Vorstand und anderen gesprochen haben, werde ich ein wenig umdenken. Wenn Sie Sicherheit als einen Mannschaftssport betrachten, ist es oft der CISO, der alle Aufgaben übernimmt ... Das ist wahrscheinlich einer Einer der härtesten Jobs der Welt, denn es gibt keinen Dollarbetrag, den Sie ausgeben können, der Sie zu 100 % schützt, und daher ist es immer ein Risiko-Ertrags-Kompromiss. Aber es ist auch nicht nur die Aufgabe des CISO. Wie sehen Sie das, und wie unterstützen Sie Unternehmen bei der Beratung dabei, wie sie Sicherheit zu einem Teil der Struktur ihrer Organisation und ihrer Mitarbeiter im gesamten Unternehmen in allen verschiedenen Einheiten, Geschäftsbereichen und Funktionen machen können? Wie treiben Sie das voran und sehen Sie, dass die Entwicklung in dem Tempo abläuft, das Sie erwarten würden?

Andreas Rohr: Daher empfiehlt es sich, es in zwei unterschiedliche Disziplinen aufzuteilen. Die eine betrifft eher die Compliance-Perspektive und die Schaffung eines Rahmens sowie die Unterstützung des Vorstands für die allgemeinsten Dinge, die an sich nicht geschäftsorientiert sind. Und der zweite Punkt besteht darin, den Teams umfassende Verantwortung zu übertragen. Die moderne Art der Entwicklung und Ausführung von Anwendungen ist also das DevOps-Team. Dies hat sich also für die meisten Dinge als das beste Setup erwiesen. Und das Hinzufügen von Sicherheit – und das war das Schlagwort DevSecOps – bedeutet eigentlich, dass man die Sicherheit für den Betrieb, aber auch für die Entwickler in einen sehr engen Kreislauf einbettet. Und auf diese Weise machen Sie tatsächlich jedem bewusst, was er tut, welche Auswirkungen dies hat und was im besten Fall implementiert werden sollte, anstatt einen Gateway-zentrierten Entwicklungszyklus. Und dadurch können Sie viel schneller auf Schwachstellen, auf Erkenntnisse, auf Dinge und den Missbrauch durch Angreifer reagieren, als es eine normale Funktion sein könnte. Und das ist das modernste Setup, das Sie sich in der IT überhaupt wünschen, und das mit der nötigen Sicherheit. Und dabei müssen auch die Entwickler und dann die Betriebsleute dazu gebracht werden, zu wissen, was sie tun sollen, denn im Grunde sind sie nicht mit diesem Wissen aufgewachsen. Und Training on the Job ist sozusagen die beste Möglichkeit, dies am effektivsten umzusetzen.

Andreas Rohr: Reden Sie nicht über ihre Fähigkeiten herab, wenn es darum geht, das richtig zu machen. Aber wenn irgendjemand daneben sitzt und das Ding hat und sie sich in bestimmten Aspekten grundsätzlich gegenseitig unterstützen, ist das der effektivste Weg, das zu tun. Und das ist der zweite Punkt, der umgesetzt werden sollte. Und die funktionale Führung oder sozusagen die Stammesleitung für das Thema Sicherheit sollte beim CISO liegen. Es gibt also eine Matrix-organisierte Methode zur Implementierung, aber sie sollten in die Zusammenarbeit mit den Entwicklern und den Betriebsleuten eingebettet sein, so wie es bei einer normalen Sicherheit der Fall wäre. Meiner Meinung nach ist das der beste Weg. Es gibt Branchen, in denen das nicht funktioniert und in denen wir anders handeln müssen. Für IT-gesteuerte Unternehmen ist dies jedoch der beste Weg, um sicherzustellen, dass dies geschieht. Und vielleicht können die Sicherheitsleute nicht 100 % ihrer Zeit dort sein, weil es an Talenten mangelt, wie wir wissen, aber wenn man das im Allgemeinen hat, wird man es umsetzen, die Teams austauschen und das schaffens possible is the way how it should go.

Mike Anderson: Das ist großartig. Und Dinge, die ich bis jetzt gesehen habe... Wenn ich darüber nachdenke, dass IT- und Digitalteams aufbrechen, ist DevSecOps definitiv die Blaupause, um dieses Schlagwort zu verwenden, der richtige Weg. Wenn ich an meine Finanzfunktionen, meine HR-Funktionen und meine verschiedenen Geschäftsbereiche denke, welche Dinge sehen Sie Ihrer Meinung nach daran, Sicherheit in die Denkweise von Menschen außerhalb der Technologieorganisation und des Technologieunternehmens zu bringen? Wie machen Sie Sicherheit zum Bestandteil der Organisationsstruktur?

Andreas Rohr: Ich bin mir nicht sicher, ob dies tatsächlich nur eine aktive Aufgabe des CISO ist, das ist eine Art Vorstandsmitglied, das mit der Reise beginnt. Und es ist keine Herausforderung mehr, denn die Angriffe von Kollegen und nahegelegenen Zielen sowie die störenden Aktionen der Angreifer des letzten Jahres haben tatsächlich sehr dazu beigetragen, das Unwahrscheinliche, was meiner Organisation passieren könnte, in eine tatsächliche Sache zu verwandeln. Okay, wir müssen uns darum kümmern. Es ist keine statistische Sache, es wird mich alle 10 Jahre treffen, aber es wird mich definitiv innerhalb der nächsten zwei Jahre treffen und deshalb muss ich mich darum kümmern. Und es ist allgemein bekannt, dass Sicherheit nicht zu 100 % sicher umgesetzt werden kann, um alles zu verhindern. Und das gilt auch für Personalwesen, Finanzen usw. Der Unterschied zu ihnen besteht also darin, dass ihnen ein Tor gegeben werden muss [0:31:15,5] ____ was sie tun sollten, was sie nicht tun sollten und wie und wo sie fragen können, wenn sie sich bei bestimmten Dingen unsicher sind. Und das ist in erster Linie Bewusstsein, oder... Ich denke, Netskope verwendet dafür von Zeit zu Zeit auch den Begriff „menschliche Firewall“. Und es ist gut, sie grundsätzlich zu beraten und zu unterrichten, aber es ist nicht so gut, ihnen auch eine helfende Hand zu geben, wenn sie es brauchen, was zu tun ist, wenn sie unsicher sind. Das ist also noch wichtiger, damit es vielleicht etwas Verdächtiges gibt, okay, aber wenn sie auf einen Blick von einer Stunde oder ein paar Minuten Hilfe bekommen, wird das noch wichtiger sein.

Mike Anderson: Ja. Sie hatten die menschliche Firewall erwähnt. Es war intern eine große Kampagne unseres CISO hier in Lamont, weil wir immer darauf achten, dass das schwächste Glied in jedem Sicherheitsprogramm die Leute sind, die den Vorsitz innehaben und jeden Tag ihre Arbeit erledigen. Wir verfügen über großartige Werkzeuge, um die Menschen zu finden, die vorsätzlich Schaden anrichten wollen. Es sind die Menschen, die jeden Tag versehentlich Schaden anrichten und auf Links klicken, die sie nicht tun sollten. Sie bringen Apps mit, die sie nicht verwenden sollten. Sie legen Daten in den Apps ab, die dort nicht sein sollten. Das ist die Sache, mit der wir uns befassen wollen. Eines der großen Dinge, von denen ich ein großer Fan bin, ist, wie wir bessere digitale Bürger schaffen können. Man hört Schatten-IT als ein Konzept, das es heute gibt. Und wenn Sie den CEO jetzt fragen, ist es eher eine geschäftsorientierte IT, weil wir eine neue Generation von Mitarbeitern haben, die Digital Natives sind. Und wie ermöglichen wir ihnen, Probleme auf sichere Weise zu lösen? Das ist meine neue Lebensaufgabe als CIO eines Sicherheitsunternehmens: Wie ermögliche ich der Person am Vorsitz, das Problem auf sichere Weise zu lösen, damit wir diese Digital-Native-Denkweise freisetzen können? Wie entwickeln die Menschen das weiter? Schatten-IT war schon immer das große Ding, aber wenn man sich viele Zulieferfabriken ansieht, wie Sie erwähnt haben, stellt der Leiter der Fabrik jemanden ein, der ein Dashboard für sie erstellt. Wie sehen Sie also, dass sich einige dieser Überlegungen weiterentwickeln?

Andreas Rohr: Die Schatten-IT entsteht dadurch, dass Sie keinen flexiblen Support erhalten, Ihr eigenes Gerät mitbringen oder einen Server hochfahren oder was auch immer. Eine agilere und vertrauenswürdigere Methode zur Bereitstellung von Rechen- und Speicherressourcen würde vielen dieser Schatten-IT-Mitarbeiter helfen, da sie keinen Server unter ihrem Schreibtisch haben möchten. Also will das niemand. Sie tun das nur, weil sie nicht die Hilfe bekommen, die sie brauchen. Lösen Sie das Problem also schrittweise und nehmen Sie vielleicht auch das Risiko in Kauf, dass sie nicht die Besten in der Verwaltung eines Servers sind, aber es ist immer noch besser, als eine Schatten-IT zu haben. Und so das Erste. Und die zweite Möglichkeit besteht darin, dass die Benutzer zum Beispiel ihre eigenen Sachen mitbringen und um diese vielleicht eine kleine Mauer herum bauen können, die dabei hilft, die wichtigsten hygienischen Dinge zu klären, aber kein zu 100 % verwaltetes Gerät zu haben. Das könnte also auch helfen. Und dann gibt es Hinweise, Sie erhalten eine E-Mail von einer Zeitzone oder von einem Ort, dieses Zentrum, in das Sie zuvor eingegriffen haben, ist nicht korrekt oder anders, dann erhalten Sie möglicherweise eine Kleinigkeit: „Ja, diese E-Mail stammt von.“ Ihre Organisation oder dies wurde in einer ungewöhnlichen Zeit gesendet.“ Wenn man also im Grunde darauf hinweist, dass die Benutzer ein genaueres Auge auf das haben, was sie gerade tun und womit sie konfrontiert sind, hilft das am Ende auch dabei, bessere Entscheidungen zu treffen.

Mike Anderson: Nein. Das ist definitiv ein toller Rat. Ich möchte also ein wenig darauf eingehen, wir nennen das die futuristischen Fragen. Wenn wir also nach vorne schauen, haben Sie sicher gelernt, dass Sie, wenn Sie auf die letzten fünf Jahre zurückblicken, wahrscheinlich eine Menge Dinge gesagt hätten: „Wenn ich das anders machen könnte, hätte ich es getan.“ Hier entlang." Wenn ich auf fünf, zehn Jahre vorspule, sagen wir mal 2030, in was würden sich Sicherheits- und IT-Verantwortliche wünschen, dass sie jetzt investiert hätten, wenn sie auf das Jahr 2030 zurückblicken?

Andreas Rohr: 2030 ist ein ziemlich langer Zeitraum, aber sagen wir mal, in den nächsten fünf Jahren. Immer noch herausfordernd genug, um zu erraten, was im Grunde wichtig gewesen wäre, sich im Ökosystem der Partner, in denen man agiert, flexibel zu machen, und dies führt zu einer Möglichkeit der Integration nicht kontrollierter Ressourcen. Entweder Datenflüsse oder Dienste usw. zu sein, war eine sehr flexible Möglichkeit, sie in eine Verbindung einzubinden und auf dieser sehr abstrakten Ebene bestimmte Richtlinien und Dinge durchzusetzen, die Sie möglicherweise ändern möchten, wenn Sie Ihren Partner oder Ihre Plattform ändern. und so weiter. Und das führt zu einem Zero-Trust-Prinzip und zweitens zu einer Art Fabric, die Sie kontrollieren, die aber flexibel genug ist, um im Laufe der Zeit kein Monolith zu sein, sondern Ihnen die Nutzung verschiedener Cloud-Dienste, verschiedener Partnernetzwerke usw. zu ermöglichen so weiter. Und wenn Sie nicht in die Möglichkeit investieren, diese Dinge steckbar zu machen, haben Sie viel mehr Zeit, um neue Setups auf den Markt zu bringen. Und das wird am Ende ein Wettbewerbsvorteil sein oder auch nicht, wenn Sie das nicht tun. Sie möchten also in steckbare Lösungen investieren und Punkte durchsetzen, um sicherzustellen, dass Ihre Entscheidungen auf die richtige Art und Weise getroffen werden. Und am Ende handelt es sich gewissermaßen um ein Zero-Trust.

Mike Anderson: Das ist großartig. Da Sie also das Wort „Zero Trust“ angesprochen haben, denken wir oft an Cyber. Warum investieren wir in Cyber? Es geht darum, Verstöße wirklich zu vermeiden und Geschäftsunterbrechungen zu vermeiden. Wenn wir also Zero Trust betrachten, wie sehen Sie die Entwicklung? Welchen Einfluss hat das darauf, wie Unternehmen über den Schutz ihrer Daten denken? Denn das ist offensichtlich der Kern dessen, was wir im Hinblick auf Datenschutzverletzungen zu schützen versuchen.

Andreas Rohr: Ich glaube, dass Zero Trust tatsächlich anders hilft, als die meisten Leute denken, wenn es um die Verhinderung von Verstößen und eine bessere Verwaltung von Datenzäunen geht, wenn Sie so wollen. Vielmehr geht es darum, flexibler zu sein, wenn Sie Ihre Architektur, Ihre Anwendungslandschaft, Ihre Partner, Ihre Akquisition usw. ändern, und dadurch Zeit für die Markteinführung zu haben, um auf Änderungen zu reagieren. Und aus diesem Grund möchten Sie möglicherweise nicht viele Annahmen in Ihre Architektur und Ihre Datenflüsse einfließen lassen. Zero Trust und auch sehr datenzentrierte Workflow-Ansätze helfen Ihnen also, flexibler zu bleiben. Und der größte Vorteil einer Website besteht darin, dass Sie, wenn Sie sehr gut darin sind und kontrollieren können, wer welchen Datendienst von welchem Standort aus und mit welchem Gerätetyp und was auch immer und mit Authentifizierungsebene nutzen darf, dann wahrscheinlich auch beim Schutz bessere Arbeit leisten es ist eine ganz große Lücke. Möglicherweise verlieren Sie das eine oder andere System oder das eine oder andere Daten, aber nicht das Ganze, wenn Sie diese mikrosegmentierte Art haben, die verschiedenen Teile zu steuern, wenn Sie das wollen. Und die Fähigkeit, dies zu tun, wird Ihnen Wettbewerbsvorteile verschaffen. Wenn Sie mich nebenbei fragen: Wenn Sie es mit einer guten Governance und Sicherheitsabläufen richtig umsetzen, dann haben Sie auch den Nebeneffekt, dass Sie Ihre Daten besser schützen.

Mike Anderson: Nein. Das ist gut. Das ist ein toller Rat. Und wenn ich einen Moment darüber nachdenke, ist Zero Trust bei allen Unternehmen, mit denen Sie heute zusammenarbeiten, offensichtlich ein heißes Thema, denn wenn Sie zu RSA gehen, hat jeder Anbieter es auf seinem Stand. Ich bin mir sicher, dass wir dieses Jahr dasselbe sehen werden. Wenn Sie sagen würden: Was sind die zwei oder drei wichtigsten Dinge, von denen Sie hören, von CIOs und CISOs und Vorständen, mit denen Sie heute zusammenarbeiten? Was sind die aktuellen Themen, die Sie heute hören?

Andreas Rohr: Das Dringendste ist, dass wir wissen, dass sich niemand zu 100 % schützen kann. Es ist wirklich [0:38:05.0] ____ von Leuten, bei denen sie grundsätzlich Angst haben, dass sie die Signale nicht früh genug sehen und dann im Grunde eine schwache durchschnittliche Ausfallzeit haben und in diesem Sinne während dieser Ausfallzeit Millionen oder sogar zweistellige Milliarden verlieren und nicht darüber reden, dass sie keine neuen machen können Geschäft usw. Das ist also wirklich das Risiko Nummer eins, für das sie auch Schwierigkeiten haben, einen Versicherungsschutz zu bekommen. Das ist also eine Störung ihres Kerngeschäfts und ohne dass sie auch im Hinblick auf ihre Fürsorgepflicht genug getan haben. Daher wissen die meisten Direktoren im Vorstand, dass sie ein solches statistisches Risiko nicht vernachlässigen können, aber sie müssen sich darum kümmern. Und sie wollen auch sicherstellen, dass das, was sie tun, nicht etwas ist, das sie mit mehr Konzentration oder mehr Budget hätten verhindern können. Und die zweite Sache, die ebenfalls damit zusammenhängt, ist, dass sie sicherstellen wollen, dass ihre wichtigsten Lieferkettenpartner in etwa in der gleichen Lage sind wie sie selbst. Es kommt also zu Geschäftsunterbrechungen, nicht unbedingt für die eigenen Systeme und die eigene Umgebung, sondern für diejenigen in der Lieferkette, die vor- oder nachgelagert ist. Stellen Sie außerdem sicher, dass ihnen grundsätzlich keine Einnahmequellen entgehen. Und das ist eigentlich das, was ich am häufigsten höre, und Sicherheit ist da nur der gemeinsame Nenner.

Andreas Rohr: Es geht also darum, den Datenfluss der Wertschöpfungsströme wirklich resilient gegen solche Angriffe zu machen. Und die übrigen Dinge sind einfach eine Ableitung davon. Das ist es, was ich am häufigsten höre, und Zero Trust ist leider kein künstliches Thema, denn es handelt sich um die strategischere Sache, um besser zu werden, und das ist eine zweite Agenda im Vergleich zu dem, worum es ihnen heute eigentlich geht. Das wird das Problem also in 3-5 Jahren lösen, aber nicht unbedingt heute, denn Zero Trust ist kein Produkt. Sie beginnen das zu verstehen. Und dann sage ich ihnen auch: „Fallen Sie nicht auf diejenigen herein, die Ihnen sagen, es sei ein Produkt.“ Es ist einfach so, dass Greenfield eine neue Sache war. Machen Sie Ihre Erkenntnisse, passen Sie es an Ihre Bedürfnisse an und versuchen Sie dann im Laufe der Zeit, es zu migrieren und akzeptieren Sie, dass 20 % nie Zero Trust aktiviert haben. Belassen Sie es einfach als Vermächtnis, bauen Sie größere Zäune darum herum und stellen Sie sicher, dass Sie diese Dinge unter Kontrolle haben und nicht zu viel nachdenken.

Mike Anderson: Nein. Das ist definitiv ein toller Rat. Und es gibt zu viele Unternehmen da draußen, die sagen: „Kaufe mein Produkt und jetzt hast du null Vertrauen.“ Und das gibt es, wie Sie sagten, einfach nicht. Es ist also auf jeden Fall ein toller Rat. Sie haben das Thema Versicherungen ein wenig angesprochen, und wenn ich über die Versicherungsbasis nachdenke, fällt mir auf, dass viele Leute sagen: „Weißt du was?“ Wir werden uns selbst versichern oder die Dollars, die wir für Versicherungen ausgeben, in unser Sicherheitsprogramm investieren.“ Weil sie das Gefühl haben, dass es im Grunde so viele Möglichkeiten gibt, wie die Versicherungsgesellschaften aus der Zahlung herauskommen können, wie z. B. zu vermeiden, dass der Nationalstaat sagt, wenn es sich um einen Angriff des Nationalstaats handelt, gilt das nicht. Wie sehen Sie die Denkweise der Menschen? Beobachten Sie das Gleiche, wenn die Leute sagen: „Weißt du was, warum versichern wir uns nicht einfach selbst und investieren das in unser Sicherheitsprogramm?“ Siehst du das? Wie sieht die Zukunft der Versicherung im Cyberspace aus?

Andreas Rohr: Es gibt große Versicherungen, bei denen das unten genannte Cyber-Risiko grundsätzlich nicht gilt... Wir können diese Risiken nicht mehr versichern, weil sie aus Sicht einer Versicherungsgesellschaft den Reifegrad nicht wirklich messen können. Wie wahrscheinlich ist es also, dass ein Unternehmen einem Angriff zum Opfer fällt? Und der zweite Punkt ist, dass die zu erfüllenden Voraussetzungen manchmal willkürlich sind, sagen Versicherungsunternehmen. Es ist anders und es ist tatsächlich ein Albtraum, diese Fragebögen auszufüllen, und manchmal helfen wir ihnen dabei, strategisch das Kreuz an der richtigen Stelle zu setzen und auch nicht falsche Dinge zu sagen, sondern die tatsächlichen Dinge, sodass sie die Entscheidungen sind, die sie im Nachhinein nicht sagen können. „Ja, das haben Sie hier gesagt, und Sie haben sich nicht daran gehalten oder es nicht tatsächlich umgesetzt.“ Geben Sie also den Dollar vielleicht für die eigene Sicherheit aus, anstatt sie zu versichern. In einer guten Mischung aus Risikomanagement möchten Sie immer Wege zu einer Versicherungsgesellschaft aufschieben, die klassische Managementpraxis betreibt. Ich würde daher raten, das überhaupt nicht zu tun. Daher ist es durchaus sinnvoll, auch dann abzusichern, wenn die Dinge wirklich schlecht laufen, um einige Kosten oder Betriebsunterbrechungen abzudecken.

Andreas Rohr: Wenn es ein lächerlich hoher Preis ist, dann denken Sie vielleicht: „Ich setze es besser auf meine Fähigkeit zu reagieren und Dinge zu erkennen.“ Und vielleicht einige der Sicherheitsinitiativen irgendwie vorantreiben, aber ich würde das eine nicht gegen das andere eintauschen. Sie sollten mit Ihrem Vertrauen in architektonische Dinge strategisch vorgehen und sicherstellen, dass Sie selbst die richtigen Hausaufgaben machen, die vollständige Hygiene gewährleisten und dann auch versuchen, die Versicherungsgesellschaften davon zu überzeugen, dass Sie im Sicherheitsbereich gute Arbeit leisten und trotzdem bekommen Das. Ich denke aber, dass die Versicherungsmarke mit der Zeit keine sehr lukrativen Policen für die Versicherung von Cyber-Risiken bieten wird. Das ist mein Bauchgefühl. Das kann ich nicht beweisen. Aber was ich sehe und höre und sehe, wie wir das aus einer statistischen und Massenperspektive messen würden, was eines meiner Studien war, bevor ich meine berufliche Laufbahn begann, dann sehe ich nicht, dass wir in der Lage sind, mit Modellen zu rechnen, die tatsächlich beschreiben richtig mit, weil es keine statistische Grundlage ist.

Mike Anderson: Ich werde uns jetzt einem unterhaltsamen Teil unseres Podcasts widmen, den wir Quick Hits nennen. Ich werde dir ein paar Fragen stellen, Schnellfeuer, und mal sehen, welche Antworten du bekommen hast. Die erste Frage lautet also: Was ist der beste Führungsratschlag, den Sie jemals bekommen haben?

Andreas Rohr: Das war sehr früh in meiner beruflichen Laufbahn. Und im Grunde sagte der CEO zu mir: „Selbst wenn Sie der beste Fachexperte für das sind, was Sie hier auf der Welt zu lösen versuchen, dann hören Sie lieber auf Ihr Team und sagen Ihnen, was Sie sagen, Sie werden überrascht sein, welche Antworten sie geben.“ Komm zu dir mit. Und das ist vielleicht nicht so gut oder so gültig, wie Sie es vielleicht selbst gemacht hätten, aber was noch wichtiger ist, wird sein Beitrag sein, der dafür sorgt, dass es nachhaltig ist und Sie im Grunde besser schlafen und sich der nächsten Herausforderung stellen können. Und das ist so wahr. Und 90 % dessen, was Ihrer Meinung nach die beste Lösung für die Sache gewesen wäre, basiert auf Ihrer eigenen Erfahrung und auf anderen Erfahrungen anderer. Das gilt also auch für Diversität. Während sie dann zuhörten und sich überraschen ließen, wurde ich sehr oft überrascht, was mir am besten gefällt. Deshalb ermutige ich wirklich jeden, das auszuprobieren und ihm eine Chance zu geben.

Mike Anderson: A