Aufbau von Sicherheitsbeziehungen durch Transparenz mit Andrea Rohr

Andreas Rohr: Die überzeugendste Geschichte für Betriebsräte, die eigentlich nicht dazu da sind, die Sicherheit zu verhindern oder das Unternehmen daran zu hindern, die richtigen Dinge zu tun, sondern dafür zu sorgen, dass die Daten nicht gegen die Rechte der Arbeitnehmer missbraucht werden. Es ist ihre Mission, ihre Aufgabe, und es ist eine gültige. Als ich CISO in solchen Unternehmen war, in denen es tatsächlich einen starken Betriebsrat gab, war die beste Beziehung: Wenn man wirklich transparent macht, was man tut, warum tut man das?

Sprecher 2: Hallo und willkommen bei Security Visionaries. Sie haben gerade vom heutigen Gast Andreas Rohr, CTO bei DCSO, gehört. Die Ausrichtung von Organisationen auf Sicherheit erfordert viele Fähigkeiten, vor allem Transparenz. Von der Einrichtung einer Top-Down-Kommunikation bis hin zur Zusammenarbeit mit Betriebsräten – Transparenz beantwortet dabei viele Fragen. Wer hat zum Beispiel Zugriff auf die sensiblen Informationen? Wie groß ist die Risikobereitschaft einer Organisation? Und wie werden die Daten der Mitarbeiter geschützt? Bevor wir uns mit Andreas' Interview befassen, hier ein kurzes Wort unseres Sponsors. Dieser Security Visionaries-Podcast wird vom Team von Netskope bereitgestellt. Bei Netskope definieren wir Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten überall dort bietet, wo sie sich befinden. Um mehr darüber zu erfahren, wie Netskope seinen Kunden hilft, auf ihrer frechen Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE.com. Genießen Sie ohne weitere Umschweife Folge 20 von Security Visionaries mit Andreas Rohr, CTO bei DCSO, und Ihrem Moderator Mike Anderson.

Mike Anderson: Willkommen zur heutigen Folge von Security Visionaries. Ich bin Ihr Gastgeber, Mike Anderson. Ich bin der Chief Digital and Information Officer hier bei Netskcope. Heute ist Andreas Rohr aus Deutschland bei uns. Wie geht es dir heute, Andreas?

Andreas Rohr: Oh, sehr gut. Vielen Dank, dass Sie den Namen sehr schön ausgesprochen haben.

Mike Anderson: Ich freue mich sehr auf dieses Gespräch heute, denn wenn wir über Cybersicherheit nachdenken, haben Sie einige sehr interessante Dinge getan, um Menschen in der DACH-Region zusammenzubringen und an Unternehmen jeder Größe zu denken, wenn Sie über das Thema Cyber nachdenken . Können Sie uns also mehr über DCSO erzählen, wie es begann, welche Mission Sie haben, was Sie erreichen möchten und wie Sie mit Unternehmen zusammenarbeiten?

Andreas Rohr: DCSO steht also für German Cyber Security Organization. Das D steht also für Deutsch, für diejenigen, die vielleicht mit der Sprache vertraut sind. Und was im Grunde genommen vier Unternehmen in der DACH-Region sind; Allianz, BASF, Volkswagen und Bayer, von denen Sie vielleicht schon gehört haben, einige der größten Unternehmen in Europa, haben erkannt, dass sie grundsätzlich ihre Kräfte bündeln und sich mit anderen Kollegen austauschen sollten, um die Sicherheitsthemen nicht immer wieder neu zu erfinden und mitzubringen ihre Experten zusammen. Weil sie eines gemeinsam haben: 90 %, 80 % ihrer Herausforderungen, und die Sicherheit ist mehr oder weniger gleich, obwohl sie auf dem Markt konkurrieren. Und zweitens gibt es nicht genügend Talente auf dem Markt. Wenn man sie also unter einem Dach zusammenbringt und sie mit Dingen betraut, die sie alle interessieren, würde es die Sache noch besser machen. Und ressourcengestütztes Testen neuer Ideen. Das ist also eines der Dinge. Der zweite Grund ist, dass sie alle ihre Lieferkette haben, von der sie abhängig sind. Und das war vor sieben Jahren, also war der Begriff Supply-Chain-Angriff noch nicht geboren, aber sie erkannten bereits, dass das schwächste Glied im Grunde nicht ihre Sicherheit und ihr Sicherheitsteam und deren Reife sind, sondern ihre Lieferkette sind am meisten davon abhängig.

Andreas Rohr: Und die Dinge aus ihren Sicherheitserkenntnissen und Erkenntnissen zu verarbeiten oder auf eine Art und Weise verdaulich zu machen, ist das Ziel von DCSO als Community-gesteuerter Austausch, um solche Erkenntnisse und Technologien so zu operationalisieren, wie wir auch gegründet wurden, und um Wege zu finden, es einfacher zu machen zu verwenden und auch für Unternehmen zu beantragen, die nicht über ein großes Sicherheitsteam oder gar Kenntnisse verfügen. Daher war die Operationalisierung mit Sicherheitsdiensten die zweite Aufgabe, im Wesentlichen während der Gründung des Unternehmens.

Mike Anderson: Nein, das ist großartig. Und ich weiß definitiv, dass wir heute so viele offene Cyber-Rollen haben. Alles, was Sie tun können, um Unternehmen dabei zu helfen, die schlechten Akteure zu bekämpfen, die den Unternehmen Schaden zufügen wollen. Wie Sie sagten, handelt es sich teilweise um Konkurrenten, die sich an einen Tisch setzen, um herauszufinden, wie sie uns grundsätzlich vor den Widersachern schützen können, die da draußen in der Wildnis leben. Es ist also definitiv eine starke Mission. Gab es weitere Unternehmen, die sich dem angeschlossen haben? Und Sie haben über die vier gesprochen, die sich ursprünglich angeschlossen haben, aber gab es noch weitere, die sich dieser Mission angeschlossen haben?

Andreas Rohr: Das ist also eine gute Frage. Das sind also nicht nur die vier. Wir haben sehr früh damit begonnen, mit rund 16 Steuerfirmen, heute sind es etwa 20, 21 oder so, und ein paar Familienunternehmen von gleicher Größe. Und sie steuern im Grunde die Entwicklung des Portfolios durch DCSO und darüber, worüber wir sprechen und was Sie in Bezug auf Themen und Richtungen recherchieren sollten, und helfen uns, sozusagen in einer Beratung, wohin wir uns weiterentwickeln sollen. Und das Zweite ist, was wir auch gerne umsetzen und auch tatsächlich erreichen, ein sehr regelmäßiges Format, bei dem sie nicht nur mit neuen Themen lernen, sondern auch mit den bestehenden Dingen, wo sie versagt haben oder wie sie bestimmte Herausforderungen gelöst haben und was nicht geklappt hat. Das ist umso wichtiger, um die Lernkurve zu verkürzen. Und das gilt nicht nur für die weniger reifen Unternehmen, sondern auch für die reifen Unternehmen. Und das beweist, dass das Zusammenbringen von Menschen trotz ihres Wettbewerbs auf einem Markt tatsächlich sinnvoll und effektiv ist und sich nicht nur auf die Unternehmen selbst beschränken sollte, sondern auch auf die Beziehung zu Behörden und vielleicht sogar zu diesen Forschungsinstituten. Es wird also wirklich eine Brücke zwischen den verschiedenen Fachgebieten und Erkenntnissen geschlagen, insbesondere auch im Hinblick auf Geheimdienste. In beiden Fällen ist es sinnvoll, einen Fluss zu haben und ihn, wie Sie sagten, weder für die Abnehmer noch für die Gegner sichtbar zu machen.

Mike Anderson: Ich verspüre auf jeden Fall die Notwendigkeit einer öffentlich-privaten Partnerschaft rund um den Austausch von Geheimdienstinformationen und die aktuellen Entwicklungen unter Bedrohungsgesichtspunkten. Auch hier spiegelt sich das ganze Konzept wider, dass Sicherheit ein Mannschaftssport ist. Es sind nicht nur die vier Wände meiner Organisation, sondern das gesamte Ökosystem, das zusammenarbeitet. Wenn Sie sich das ansehen, bin ich einfach neugierig: Wenn Sie an die Behörden denken, die da draußen sind, konnten Sie Richtlinien oder Änderungen beeinflussen, die Unternehmen dabei helfen würden, bessere Orientierungspunkte oder Dinge zu haben, an denen sie sich orientieren können?

Andreas Rohr: Ja, auf jeden Fall. Das war eines der Dinge, die ich grundsätzlich von den Staaten gelernt habe. Ich habe also die NCFTA gesehen, bei der das FBI und andere Strafverfolgungsbehörden und die Industrie zusammengearbeitet haben. Ich denke an die Anfangsjahre, an die Nullerjahre der 2000er Jahre und auch an andere Formate, bei denen es sich um etwas handelt, das vom Staat gesteuert wird. Aber im Allgemeinen gefällt mir die Idee sehr gut, dass es eine fließende Beziehung gibt, in der die notwendigen Dinge, um sich gegenseitig zu helfen, tatsächlich ausgetauscht werden. Und das hat auch meine Art beeinflusst, wie wir das machen, und tatsächlich haben wir ein sehr gutes Verhältnis zum Innenministerium, das eigentlich für die Beratungsfunktion und die Aufsicht über die Bundespolizei des BSI, des Bundes, zuständig ist Amt für Informationssicherheit und zugleich Verfassungsschützer. Ich bin mir nicht sicher, was das ins Englische übersetzt. Also diese Autoritäten zu haben, die alle ihre eigenen Erkenntnisse aus [0:07:13.7] haben ____, zum Beispiel von ihren Kollegen beim FBI oder von anderen Strafverfolgungs- oder Geheimdiensten, und sicherstellen, dass die Informationen über DCSO als vertrauenswürdige Clearingstelle weitergeleitet werden, wenn Sie möchten, wo sie darauf vertrauen können, dass dies nicht an die Öffentlichkeit gelangt, vor allem gegenüber den Angreifern.

Andreas Rohr: Aber Unternehmen helfen, bestimmte Dinge zu finden, bei denen sie keinen klaren Hinweis darauf haben, dass ein bestimmtes Unternehmen von einem bestimmten Akteur bedroht wird. Aber im Allgemeinen hat es sich als sehr wertvoll erwiesen, herauszufinden, ob diese Angreifer in diesen Netzwerken aktiv sind, da wir auch den Behörden dabei geholfen haben, herauszufinden, dass eine bestimmte Gruppe aktiv war, indem wir die Informationen, die sie uns gegeben haben, in einer vertrauenswürdigen Form umsetzten Weg. Und wir könnten ihnen im Grunde antworten: „Okay, schauen Sie mal, dieses Ding, das Sie uns gegeben haben, wir haben keine Ahnung, wo es herkommt, aber wir haben es hier gesehen.“ Und so helfen wir den Strafverfolgungsbehörden und auch den Nachrichtendiensten, ihre Ziele besser überwachen zu können, wenn sie keine Sensoren haben, denn im Inland sind die Behörden im Gegensatz zum Ausland auf ihre Möglichkeiten beschränkt. Und das Gleiche gilt andererseits: Unternehmen, die manchmal vielleicht sehr zurückhaltend sind, wenn es darum geht, Behörden Einblick in ihre Netzwerke zu gewähren, könnten uns nutzen, um sicherzustellen, dass nur die Dinge weitergegeben werden, die tatsächlich zur Erfüllung jedes einzelnen Auftrags erforderlich sind. Und uns im Grunde genommen als Brücke zu haben, um auch abzudecken, und dann nicht immer am Anfang Vertrauen zu schenken.

Andreas Rohr: Es hat sich also zu etwas entwickelt, bei dem es einen vertrauenswürdigeren Austausch gibt, bei dem die anfänglichen Ängste nicht verschwunden sind, aber sie sind definitiv geringer als zuvor. Das hilft also am Ende allen. Ich möchte hier nicht pathetisch werden, aber es trägt auch dazu bei, die Demokratie selbst dort besser zu schützen, wo es einflussreiche Parteien gibt.

Mike Anderson: Nun, es hört sich so an, als hätten Sie von mangelndem Vertrauen gesprochen, also klingt es wie null Vertrauen. Es scheint also, dass das überall ein gemeinsames Thema ist. Ich sehe viele Organisationen, die versuchen, sich daran anzupassen. Schauen Sie sich den Wegweiser an, wie in den USA und sogar darüber hinaus, manchmal sehen wir Leute, die sich den NIST-Kontrollen anschließen, die es gibt, weil die Versicherungsgesellschaften, die; Das wird ein Thema sein, über das wir etwas später sprechen werden. Sie nutzen es als Wegweiser. Prüfer nutzen es als Wegweiser. Was ist Ihrer Meinung nach der Wegweiser für die Unternehmen, mit denen Sie heute zusammenarbeiten? Was ist dieser Wegweiser, an dem sie sich orientieren wollen?

Andreas Rohr: Es ist also nicht so sehr NIST-getrieben, es liegt einfach in der Natur, dass wir in Europa sind und manchmal versuchen, das Rad selbst zu erfinden, anstatt unsere Kräfte zu bündeln. Aber wie auch immer, der Wegweiser hier ist eher ISO 27000 oder etwas Ähnliches. Es ist eine sehr deutsche Version davon. Sie alle versuchen sicherzustellen, dass Sie Ihre Sicherheit richtig verwalten. Und noch wichtiger ist für die Entwickler der letzten Jahre, dass der Reifegrad dieser Kontrollimplementierungen wichtiger ist als deren tatsächliche Konformität. Stellen Sie sich also vor, dass es zuerst Compliance-Themen gibt und dann, vielleicht vor 10 Jahren, mit der Umsetzung dieser Dinge begonnen wurde. Die Wirksamkeit davon ist das, was zählt. Es gibt also tatsächlich eine Verschiebung, und was mir am NIST und auch anderen Rahmenwerken gefällt, ist, dass sie versuchen, mehr in die Richtung zu gehen, wie effektiv Sie sich tatsächlich schützen, und nicht unbedingt nur, dass Sie grundsätzlich Ihre Risiken verwalten und Kontrollen haben. Und hier sollte sich die Sache eigentlich weiterentwickeln. Compliance ist also erforderlich, aber sie ist nur eine notwendige Bedingung, sie reicht nicht aus, denn eine ausreichende Bedingung ist die Wirksamkeit. Und effektiv ist tatsächlich wichtiger als die vollständige Compliance. Dies darf jedoch bitte nicht einer Aufsichtsbehörde mitgeteilt werden.

Mike Anderson: Nun, es ist interessant, denn ich sehe oft, dass Leute Werkzeuge erwerben, weil die Prüfer sagen, dass man das Werkzeug braucht. Aber wie Sie sagten, liegt die Effektivität tatsächlich darin, dass Sie das Tool verwenden, um das Ziel zu erreichen, das Sie erreichen möchten, oder um das Geschäftsergebnis voranzutreiben? Und das ist oft ein fehlendes Glied, weil Menschen Tools ansammeln, um Prüfer zufrieden zu stellen, sie aber nicht die Effektivität erzielen, die sie benötigen. Und so setzen sie sich nun einer Geschäftsunterbrechung aus, sei es durch Ransomware oder durch einen Datenverstoß in ihrem Unternehmen.

Andreas Rohr: Ja. Das ist etwas, worüber die Wirtschaftsprüfer und Regulierungsbehörden vielleicht in Zukunft anders denken sollten, weil sie diese Entwicklung durch die Art und Weise, wie sie ihre Regulierung formulieren, vorantreiben. Und es gibt eine gute Änderung, die meiner Meinung nach eine lokale Sicherheitsrichtlinie war, die tatsächlich am 1. Mai in Deutschland in Kraft trat oder vollständig in Kraft treten wird, was darauf hinweist, dass Sie ... Wie in der neuen Version von ISO 27000, dass Sie Es sind Systeme zur Erkennung von Angriffen erforderlich. So nennen sie es. Also im Grunde ISO-Erkennungsmechanismen und auch Reaktion. Und das sind wirklich die Dinge, auf die Sie sich auch beziehen. Dabei handelt es sich nicht nur um eine Werkzeugsache, sie schreiben auch vor, dass Sie organisatorisch sicherstellen müssen, dass Sie in der Lage sind, diese Dinge menschlich zu analysieren und daraus einen Sinn zu ziehen, unabhängig davon, ob es sich dabei um etwas Ernsthaftes handelt oder nicht. Und noch wichtiger: reagieren zu können und umzusetzen. Es ist also auch eine organisatorische Angelegenheit, bei der Sie rund um die Uhr in der Lage sein müssen, etwas dagegen zu unternehmen. Wenn es Anzeichen dafür gibt, dass sich eine Ransomware-Gruppe in einem frühen Stadium befindet. Weil Ihnen möglicherweise nur noch ein paar Stunden oder maximal Tage bleiben, um den maximalen Schaden zu verhindern.

Andreas Rohr: Und diese organisatorischen Dinge zusätzlich zu den Tools und der Integration zu haben und sie effektiv zu nutzen, das ist der Punkt, wo die Regulierung sein sollte ... Wie es Versicherungsunternehmen tatsächlich tun, werden sie eher darauf achten, ob etwas tatsächlich sicher ist oder nicht. Und dorthin muss es sich tatsächlich entwickeln. Aber für die Regulierungsbehörde ist es einfacher zu sagen, dass man eine SIM-Karte braucht, man braucht eine Netzwerkerkennungsüberwachung. Also, ob Sie ein eigenes Rechenzentrum haben und was nicht. Aber am Ende könnte es auch ein guter Ratschlag für die Regulierungsbehörde sein, vielleicht ist das eine der nächsten Aufgaben von DCSO, um zu beeinflussen, dass das, was sie ihnen tatsächlich sagen, praktisch relevanter wird. Und es gibt ein gutes Beispiel für das nationale Sicherheitsgesetz, das vor zwei Jahren in Deutschland verabschiedet wurde.

Mike Anderson: Nein, das ist großartig. Sie haben die Bewältigung der Auswirkungen erwähnt. Ich erinnere mich, dass ein Kollege von einem globalen Unternehmen für Konsumgüterverpackungen sagte, als NotPetya zuschlug, habe es innerhalb von 15 Minuten weltweit das gesamte Netzwerk und alle Systeme infiziert. Daher denke ich, dass die Denkweise traditionell ist: „Wie bringe ich Dinge so schnell wie möglich von Punkt A nach Punkt B, von C nach D und durch mein Unternehmensnetzwerk?“ Das Ganze muss neu überdacht werden, denn wenn ich in einem Knoten kompromittiert werde, kann es dann schnell mein gesamtes Netzwerk übernehmen und mein gesamtes Unternehmen zum Erliegen bringen?

Andreas Rohr: Genau. Und wenn Sie auch nach diesem Thema suchen, denken Sie darüber nach, dass dieses NotPetya etwas war, das die meisten Leute durch mehr Hygiene bei ihren Flicken hätten verhindern können. Doch bevor so etwas passiert, machen sie, zumindest bei Ransomware-Vektoren, etwas Lärm im Netzwerk. Es gibt also fast 100 % der Fälle, in die wir verwickelt waren, als wir die Reaktion auf Vorfälle durchführten. Wir sahen genügend Signale, die grundsätzlich hätten analysiert und Maßnahmen eingeleitet werden können, um den Angriff zu stoppen. Es würde sie nicht unbedingt dazu zwingen, diese Systeme zu sanieren und Dinge von Grund auf neu aufzubauen, aber sie hätten den gesamten Schaden, der tatsächlich eingetreten ist, nach ein paar Tagen verhindern können. Und das Gleiche gilt auch für NotPetya: Wenn Sie die Dinge hätten patchen können, von denen bekannt ist oder war, dass sie kritisch sind, und ein paar andere gute Praktiken, die tatsächlich in diesen Standards vorgeschrieben sind, die Sie zuvor erwähnt haben, dann ist dies die Hausaufgabe , die notwendige Bedingung. Und das Ausreichende besteht darin, darüber hinaus ein gutes Erkennungsnetz aufzubauen, das Ihnen tatsächlich den Auslöser zum Handeln gibt. Und ich bin mir nicht sicher, ob es in 15 Minuten erledigt gewesen wäre, aber im Allgemeinen wird der Zeitrahmen fairerweise kleiner.

Andreas Rohr: Aber es gibt einen Zeitrahmen, in dem man Dinge erkennen kann und davon ausgehen kann, dass nicht alle Schutzmaßnahmen einen immer zu 100 % schützen. Entweder klickt ein Benutzer auf etwas, Sie haben keinen Patch installiert oder die Konfiguration ist unsicher oder was auch immer. Aber wenn Sie davon ausgehen, dass das der Fall ist und Sie ein Erkennungsgitter darüber haben, wird Ihnen das sagen: „Okay, da ist etwas, das Sie hier nicht haben möchten.“ Bitte schauen Sie vorbei und handeln Sie.“ Für wirklich gute Unternehmen im Hinblick auf den Sicherheitszustand muss vielleicht sogar eine sehr automatisierte oder vordefinierte Art und Weise getan werden, um solche Angriffe zu stoppen.

Mike Anderson: Ja, da stimme ich voll und ganz zu. Wenn es manuell geht, sind Sie immer auf die Person am Stuhl angewiesen und es besteht ein Qualifikationsdefizit, das problematisch werden kann. Also genau auf Ihren Punkt, die Automatisierung. Es ist von entscheidender Bedeutung, dass ich vorbeugende Maßnahmen ergreifen und mein Spiel so schnell wie möglich durchführen kann. Wenn ich noch einmal über die Sicherheitsseite nachdenke, und ich denke an den Datenschutz, dann reden alle über die DSGVO. Ich erinnere die Leute immer daran: Sie denken, dass die DSGVO hart ist, und warten Sie, bis Sie vor den deutschen Betriebsrat gehen und über den Datenschutz für deutsche Bürger sprechen müssen. Wenn Sie über viele Sicherheitstools nachdenken, prüfen Sie, was die Leute tun. Wie unterstützen Sie Unternehmen dabei, sich im deutschen Betriebsrat zurechtzufinden, um sicherzustellen, dass sie die richtigen Schutzmaßnahmen ergreifen und gleichzeitig die Privatsphäre der deutschen Bürger wahren?

Andreas Rohr: Das ist eine knifflige Frage. Es gibt kein Allheilmittel, um dies zu erreichen. Fairerweise muss man sagen, dass dieser Betriebsrat mit dem zufrieden ist, was passiert, wenn riesige Datenmengen eingesehen werden, die für die Erkennung erforderlich sind. Aber die überzeugendste Geschichte ist für Betriebsräte, die eigentlich nicht dazu da sind, die Sicherheit zu verhindern oder das Unternehmen daran zu hindern, die richtigen Dinge zu tun, sondern dafür zu sorgen, dass die Daten nicht gegen ihre Mitarbeiter missbraucht werden. Es ist ihre Mission, ihre Aufgabe, und es ist eine gültige. Und um mit den Betriebsräten auszukommen... Und als ich CISO in solchen Unternehmen war, in denen es tatsächlich einen starken Betriebsrat gab, war die beste Beziehung, wenn man wirklich transparent darlegte, was man tat und warum man es tat. Ich war also damals noch ziemlich jung. Ich war nicht wirklich gut darin, möglicherweise zu argumentieren, im Grunde genommen nicht über ihre Mission, weil sie auch die Mission haben, die Mitarbeiter vor Schaden zu schützen. Und dazu zählen auch Cyberangriffe oder Datenschutzverletzungen und -verstöße etc. Damals hätte ich argumentieren sollen, was ich heute tue, dass es der richtige Weg gewesen wäre, Angriffe zu verhindern, indem man einen Teil des Datenverkehrs überprüft oder bestimmte Daten erfasst. Und das ist eines der Dinge, die sie nicht leugnen können, wenn man weiß, wie die Verfassung grundsätzlich funktioniert.

Andreas Rohr: Wenn Sie ihnen sagen, dass der einzige Anwendungsfall für die Verwendung dieser Daten, bei dem die Verwendung der Daten zulässig ist, die Erkennung böswilliger Aktivitäten und nicht die Verfolgung von Mitarbeitern usw. ist, und wenn Sie dies schriftlich mitteilen, dass Sie dies tun Und wenn Sie sich in diesem Sinne an Ihre eigenen Regeln halten, werden sie Ihnen im Grunde zunächst ein paar Steine in den Weg legen und sehen, ob Sie sich benehmen oder nicht. Aber wenn Sie das ständig so machen, dass Sie es nur zum Aufspüren bösartiger Dinge verwenden und dadurch deren Bestandteile im Grunde verhindern, wenn Sie wollen, dann werden Sie beim nächsten Mal leichter durch die Tür gehen als zuvor. Zumindest habe ich es nie versäumt, Dinge durch den Betriebsrat zu bringen. Es ist einfach so, wie Sie das ausdrücken, und dass Sie sich wirklich an die meisten Grundsätze halten, die Daten nicht für etwas anderes zu verwenden, für das Sie sie erhalten.

Mike Anderson: Das ist großartig. Nun, hoffentlich ist das ein Produktlinienangebot, das Sie bei DCSO anbieten.

Andreas Rohr: Wenn Sie Managed Services von DCSO kaufen, sind diese inklusive. Wir helfen dem Kunden also, durch die Tür des Betriebsrats zu kommen, und ich denke, wir haben einen ziemlich guten Ruf. Und da ich schon früher mit Betriebsräten in der Volkswagen-Welt zusammengearbeitet habe, aber auch bei den Versorgern, wo sie wirklich starke Betriebsräte haben und von meiner Vergangenheit mit ihnen erzählen und wie gut die Beziehung usw. war, dann ist das der andere Teil der Geschichte . Wir bringen also unsere Erfahrung ein, und das gefällt ihnen normalerweise und macht ihnen das Leben leichter, indem sie ihnen helfen, mit ihren Leuten zu streiten. Und dann ist es am Ende eine Frage des Vertrauens, nicht wie bei Nullvertrauen, sondern eher umgekehrt. Wenn Sie also ein Vertrauen aufbauen, können Sie die meisten Dinge mit dem Betriebsrat erledigen. Und selbst wenn Sie ihnen nur einen kleinen Hinweis geben, einen schreibgeschützten Account für die Technologie, die Sie einsetzen, hilft das auch sehr. Sie müssen also Transparenz haben und ihnen helfen, zu sehen, was Sie sehen und was Sie daraus machen und wie Sie Fälle kommentieren usw. Dies trägt auch zum Aufbau von Vertrauen bei. Sie erfassen vielleicht nicht alles so, wie sie es sehen, aber hier haben sie nicht das Gefühl, dass etwas im Dunkeln geschieht, das meinem Volk schaden könnte. Und es ist keine geheime Erfolgszutat, aber es ist etwas, das Ihnen, wenn Sie sich daran halten, tatsächlich zu einem guten Ergebnis verhelfen wird.

Mike Anderson: Das ist großartig. Ich stimme zu 100 % zu, Transparenz schafft Vertrauen. Wenn Menschen keine Transparenz haben, raten sie, und Vermutungen führen nicht zu Vertrauen. Das ist also ein toller Ratschlag im Umgang mit dem Deutschen Betriebsrat und ganz allgemein als Geschäftsgrundsatz. Transparenz schafft Vertrauen. Wenn ich mir die Rolle ansehe, die Sie heute innehaben, und Sie über einige Ihrer Rollen gesprochen haben, welche Erkenntnisse haben Sie dann in DCSO eingebracht? Sie haben erwähnt, dass Sie in der Vergangenheit CISO waren und jetzt CTO für DCSO sind. Sprechen Sie ein wenig über diese Reise und wie haben sich die Dinge in Ihrem Denken entwickelt, als Sie in die Rolle übergegangen sind, die Sie heute haben, und nicht mehr in die Rollen, die Sie in der Vergangenheit eher als Praktiker und CISO hatten?

Andreas Rohr: Als ich damals CISO war, stand ich vor der gleichen Herausforderung wie die meisten CISOs, die auch technische Teams haben. Ich hatte also das Glück, nicht nur für die Governance und das Sicherheitsmanagementsystem verantwortlich zu sein, sondern auch über ein eigenes operatives Sicherheitsteam zu verfügen und den Luxus zu haben, mit Technologie usw. herumzuspielen. Was ich also am meisten angefangen habe, war, dass ich all die Werkzeuge hatte, die für die Insel einen guten oder sogar einen guten Job machen, aber es gab keine kohärente Möglichkeit, das für ein ganzes Bild zu nutzen. Und ich möchte nicht sagen, dass alles nur eine einzige Glasscheibe ist. Ich meine, das wird oft verwendet, aber die Nutzung der Stärken der verschiedenen Technologien und deren Kombination hat es mir im Grunde genommen ermöglicht, sehr kosteneffizient zu sein und tatsächlich den gesamten Wert aus den verschiedenen Technologien, die ich eingesetzt habe, herauszuholen. Und ich habe mein Team damals auch in die Lage versetzt, einige nette Dinge zu tun, die nicht dem Durchschnitt dessen entsprachen, was Teams erreichen können. Wenn man also zum Beispiel einen Satz oder mehrere Werkzeuge mitnimmt, ein Taschenmesser, wenn man so will, ein Schweizer Taschenmesser, dann ist das Team, das dieses Messer bedient, eigentlich am wichtigsten. Daher war es mein Antrieb, sie dazu zu bringen, mit unterschiedlichen Arten von Eingabetechnologien, Streams und Erkenntnissen umzugehen und die unterschiedlichen Fähigkeiten und Fertigkeiten der Menschen zu operationalisieren, um das Ergebnis zu maximieren und auch dabei zu helfen, bestimmte Hausaufgaben für unsere Kunden in DCSO zu lösen. Das war es, was mich bei unserer Entwicklung angetrieben hat das Portfolio.

Andreas Rohr: Eines der Dinge, die ich vorher nicht erwähnt habe, war, dass ich vor sieben Jahren auch mit der Entwicklung eines Managed-Security-Services-Portfolios beauftragt wurde. Versetzen Sie sich also zurück in die Zeit, in der es nicht sehr üblich war, vielleicht ein ausgelagertes SARC oder so zu haben, aber nicht so viele verwaltete Sicherheitsdienste auszulagern und diesen Organisationen Hausaufgaben zu machen, damit sie sich auf die interessantesten und schwierigsten Nüsse konzentrieren können, die es zu knacken gilt Die tägliche Arbeit nicht zu erledigen und diese sehr effizient zu gestalten, war möglich, weil ich zuvor in dieser Position war. Und gleichzeitig nicht die Ansprache an den Kunden zu haben: „Das machen wir für Sie.“ Und als würde man Ihnen den Job wegnehmen, was wirklich etwas ist, auf das Sie bei den Sicherheitsteams, mit denen Sie Geschäfte zu machen versuchen, großen Widerstand stoßen. Aber um ihnen zu helfen: „Sehen Sie, wir wissen, dass Sie das tun müssen, und es ist manchmal schmerzhaft, und wir waren auch schon einmal in dieser Position, also würden wir uns gerne in Ihr Team einfügen und einfach akzeptieren, dass wir derjenige sind, der das Super macht.“ Hausaufgaben jeden Tag, rund um die Uhr, und warum konzentrierst du dich nicht auf die interessanten Dinge?“ Und wir geben Ihnen alle Zutaten dafür. Das ist eines der Dinge, die aus Sicht eines CISOs sehr geholfen haben, und auch die Angst davor, dass diese reifen Teams und der Kundenbereich akzeptieren, dass wir einen Mehrwert bringen. Es handelt sich also nicht um eine technische Frage, sondern vielmehr darum, wie Sie die Fähigkeiten und Kapazitäten des Teams integrieren und ergänzen. Und dann gelingt es Ihnen, auch die Techniker auf Kundenseite zu überzeugen.

Andreas Rohr: Und das hat sehr geholfen, das Portfolio aufzubauen, wie wir es ausdrücken, und auch den Community-Anteil in jedem der Dienste ins Spiel zu bringen, wo sie mit Kollegen reden und sich austauschen, nicht nur darüber, wie sie uns mögen, sondern auch wie sie Sie können bestimmte Probleme in der realen Welt im Alltag lösen, ohne einen Berater vor Ort zu haben, der ihnen auf die eine oder andere Weise bei der Lösung hilft. Aber das Lernen von den anderen, die uns ermöglicht werden, macht unseren Erfolg tatsächlich erst möglich. Und das ist auch irgendwie einzigartig. Wir konzentrieren uns also nicht nur auf Zahlen innerhalb der Kundenzahl für VC, sondern gehen wirklich zielorientiert darauf ein, dass sie sich gegenseitig helfen können und wir ihre Hausaufgaben auf die innovativste Art und Weise erledigen, die wir können. Dabei hat mir meine Vergangenheit tatsächlich dabei geholfen, ein andersartiges Portfolio aufzubauen.

Mike Anderson: Nein, das ist großartig. Ich muss eine der Fragen stellen, die mir immer gestellt werden, und dann sah ich gestern online auf LinkedIn eine Debatte zwischen CISOs darüber, wie man das Budget für Sicherheit festlegt. Und die Debatte geht immer weiter: Ist es ein Prozentsatz des Umsatzes des Unternehmens? Ist es ein Prozentsatz des IT-Budgets? Basiert es auf der Risikolage der Organisation und darauf, was sie in diesem Zusammenhang investieren möchte? Wie geht es dir... Ich muss mir vorstellen, dass Unternehmen diese Frage ständig stellen. Wie beantworten Sie diese Frage?

Andreas Rohr: Vielmehr sollten die CISOs einen, wenn Sie mich fragen, vertrauenswürdigen, neutralen Berater bekommen, der kein eigenes Interesse daran hat, etwas zu verkaufen. Manchmal finde ich tatsächlich ähnliche Positionen. Wir werden vom Vorstand eingestellt und schauen uns im Grunde deren Nachlass usw. an und wissen dann, dass ich diese Dienstleistungen auch verkaufe, ihnen aber sage, was benötigt wird und was ... Ich sage keinen Unsinn, sondern wo sie zu viel ausgeben und wirklich offen sein und nicht nur nach Maßstäben suchen und nach wirksamen Dingen streben. Welche Dinge möchten Sie also am meisten schützen, damit Ihr Unternehmen tatsächlich läuft? Wie eine Business-Impact-Analyse. Wenn Sie wissen, dass Sie bei 10 % sind, sind Sie am meisten davon abhängig, und wenn Sie darüber hinaus alle effektiven Sicherheitsfunktionen einsetzen und für die übrigen Dinge einen mittleren Job machen, ist das der bessere Rat, dem Sie folgen sollten, anstatt danach zu suchen die, reine Zahlen. Und entweder Sie wollen Ihr Unternehmen schützen oder nicht, die 10 %. Und das ist die Art und Weise, wie ich mit ihnen spreche. Okay, was ist dafür nötig? Offensichtlich ist die nächste Frage. Und wie viel Geld kann man nun angemessen ausgeben? Während sie zuerst von oben nach unten vorgehen, habe ich mich um die kritischen Geschäftsprozesse gekümmert und dann von unten nach oben. Was wird dafür benötigt? Und sagen Sie dann: „Okay, für den Rest kann ich einen Benchmark verwenden.“ So würde ich es also angehen.

Mike Anderson: Ja, das ist ein guter Rat, wenn ich unternehmensübergreifend denke. Sie haben bereits zu Beginn des Gesprächs über Risiken in der Lieferkette gesprochen. Als ich bei Schneider Electric war, habe ich mit unserem Leiter der Lieferkette darüber gesprochen, wie die Sicherheitslage unserer Lieferanten ist. Wie passt das in unsere Beschaffungsstrategie? Und es dreht sich alles um die gesamte Unternehmensrisikodiskussion, nicht nur um Cyberrisiken, sondern um die finanzielle Stabilität des Unternehmens, mit dem ich zusammenarbeite. Sicherheit wird jetzt zu einer weiteren Frage, die direkt daneben steht, denn wenn ich keinen Stahl bekomme, ist es schwierig, Produkte ohne Stahl herzustellen. Und wenn ich das durchschaue, denke ich, dass Sie damit genau richtig liegen. Ich würde hoffen, dass das für die meisten Unternehmen auf dem Fertigungsgipfel und für die 10 %, auf die sie sich wirklich konzentrieren und die sie schützen wollen, zutrifft.

Andreas Rohr: Auf jeden Fall. Und wir haben die Unterbrechung der Lieferkette durch den Suezkanal gelernt, was ein sehr physisches Ereignis ist, jetzt hatten wir diese Pandemie, wir haben vielleicht diesen Handelskrieg und damit verbundene Dinge, und dann haben wir diesen Ressourcenmangel aufgrund der Krise in Europa mit dem Krieg und auch mit der Tatsache, dass China seine Fabriken vielleicht nicht mehr betreiben kann, weil es das nicht kann oder will. Also was auch immer es ist. Wenn wir also genau wissen, wo Ihre Schwachstellen liegen, und diese tatsächlich verwalten, wird unsere Art der Risikomessung im Grunde genommen oder bereits geändert. Und wir sollten auch berücksichtigen, das ist eine der Erkenntnisse des letzten Jahres, dass die Gegner nicht immer rational handeln. Wenn also ein Risikomanagement und eine Risikobewertung auf dem rationalen Verhalten anderer basieren, mag dies für die meisten Dinge zutreffen, etwa für den Finanzmarkt und andere Dinge, aber nicht unbedingt für Staaten wie Russland. Und wir sollten auch davon ausgehen, dass es eine störende Art des Handelns gibt, ohne dass es für diejenigen, die dies tun, eine offensichtliche Belohnung gibt, was rational wäre. Und das ist einer der Punkte, bei denen Sie bei der Bewertung dieser Risiken vorsichtiger sein sollten, anstatt zu sagen: „Ja, das ist so unwahrscheinlich, also wird es nicht passieren.“ Das ist auch etwas, das wir eigentlich berücksichtigen sollten.

Mike Anderson: Absolut. Da Sie über die Arbeit mit dem Vorstand und anderen gesprochen haben, werde ich ein wenig umdenken. Wenn Sie Sicherheit als einen Mannschaftssport betrachten, ist es oft der CISO, der alle Aufgaben übernimmt ... Das ist wahrscheinlich einer Einer der härtesten Jobs der Welt, denn es gibt keinen Dollarbetrag, den Sie ausgeben können, der Sie zu 100 % schützt, und daher ist es immer ein Risiko-Ertrags-Kompromiss. Aber es ist auch nicht nur die Aufgabe des CISO. Wie sehen Sie das, und wie unterstützen Sie Unternehmen bei der Beratung dabei, wie sie Sicherheit zu einem Teil der Struktur ihrer Organisation und ihrer Mitarbeiter im gesamten Unternehmen in allen verschiedenen Einheiten, Geschäftsbereichen und Funktionen machen können? Wie treiben Sie das voran und sehen Sie, dass die Entwicklung in dem Tempo abläuft, das Sie erwarten würden?

Andreas Rohr: Daher empfiehlt es sich, es in zwei unterschiedliche Disziplinen aufzuteilen. Die eine betrifft eher die Compliance-Perspektive und die Schaffung eines Rahmens sowie die Unterstützung des Vorstands für die allgemeinsten Dinge, die an sich nicht geschäftsorientiert sind. Und der zweite Punkt besteht darin, den Teams umfassende Verantwortung zu übertragen. Die moderne Art der Entwicklung und Ausführung von Anwendungen ist also das DevOps-Team. Dies hat sich also für die meisten Dinge als das beste Setup erwiesen. Und das Hinzufügen von Sicherheit – und das war das Schlagwort DevSecOps – bedeutet eigentlich, dass man die Sicherheit für den Betrieb, aber auch für die Entwickler in einen sehr engen Kreislauf einbettet. Und auf diese Weise machen Sie tatsächlich jedem bewusst, was er tut, welche Auswirkungen dies hat und was im besten Fall implementiert werden sollte, anstatt einen Gateway-zentrierten Entwicklungszyklus. Und dadurch können Sie viel schneller auf Schwachstellen, auf Erkenntnisse, auf Dinge und den Missbrauch durch Angreifer reagieren, als es eine normale Funktion sein könnte. Und das ist das modernste Setup, das Sie sich in der IT überhaupt wünschen, und das mit der nötigen Sicherheit. Und dabei müssen auch die Entwickler und dann die Betriebsleute dazu gebracht werden, zu wissen, was sie tun sollen, denn im Grunde sind sie nicht mit diesem Wissen aufgewachsen. Und Training on the Job ist sozusagen die beste Möglichkeit, dies am effektivsten umzusetzen.

Andreas Rohr: Reden Sie nicht über ihre Fähigkeiten herab, wenn es darum geht, das richtig zu machen. Aber wenn irgendjemand daneben sitzt und das Ding hat und sie sich in bestimmten Aspekten grundsätzlich gegenseitig unterstützen, ist das der effektivste Weg, das zu tun. Und das ist der zweite Punkt, der umgesetzt werden sollte. Und die funktionale Führung oder sozusagen die Stammesleitung für das Thema Sicherheit sollte beim CISO liegen. Es gibt also eine Matrix-organisierte Methode zur Implementierung, aber sie sollten in die Zusammenarbeit mit den Entwicklern und den Betriebsleuten eingebettet sein, so wie es bei einer normalen Sicherheit der Fall wäre. Meiner Meinung nach ist das der beste Weg. Es gibt Branchen, in denen das nicht funktioniert und in denen wir anders handeln müssen. Für IT-gesteuerte Unternehmen ist dies jedoch der beste Weg, um sicherzustellen, dass dies geschieht. Und vielleicht können die Sicherheitsleute nicht 100 % ihrer Zeit dort sein, weil es an Talenten mangelt, wie wir wissen, aber wenn man das im Allgemeinen hat, wird man es umsetzen, die Teams austauschen und das schaffens possible is the way how it should go.

Mike Anderson: Das ist großartig. Und Dinge, die ich bis jetzt gesehen habe... Wenn ich darüber nachdenke, dass IT- und Digitalteams aufbrechen, ist DevSecOps definitiv die Blaupause, um dieses Schlagwort zu verwenden, der richtige Weg. Wenn ich an meine Finanzfunktionen, meine HR-Funktionen und meine verschiedenen Geschäftsbereiche denke, welche Dinge sehen Sie Ihrer Meinung nach daran, Sicherheit in die Denkweise von Menschen außerhalb der Technologieorganisation und des Technologieunternehmens zu bringen? Wie machen Sie Sicherheit zum Bestandteil der Organisationsstruktur?

Andreas Rohr: Ich bin mir nicht sicher, ob dies tatsächlich nur eine aktive Aufgabe des CISO ist, das ist eine Art Vorstandsmitglied, das mit der Reise beginnt. Und es ist keine Herausforderung mehr, denn die Angriffe von Kollegen und nahegelegenen Zielen sowie die störenden Aktionen der Angreifer des letzten Jahres haben tatsächlich sehr dazu beigetragen, das Unwahrscheinliche, was meiner Organisation passieren könnte, in eine tatsächliche Sache zu verwandeln. Okay, wir müssen uns darum kümmern. Es ist keine statistische Sache, es wird mich alle 10 Jahre treffen, aber es wird mich definitiv innerhalb der nächsten zwei Jahre treffen und deshalb muss ich mich darum kümmern. Und es ist allgemein bekannt, dass Sicherheit nicht zu 100 % sicher umgesetzt werden kann, um alles zu verhindern. Und das gilt auch für Personalwesen, Finanzen usw. Der Unterschied zu ihnen besteht also darin, dass ihnen ein Tor gegeben werden muss [0:31:15,5] ____ was sie tun sollten, was sie nicht tun sollten und wie und wo sie fragen können, wenn sie sich bei bestimmten Dingen unsicher sind. Und das ist in erster Linie Bewusstsein, oder... Ich denke, Netskope verwendet dafür von Zeit zu Zeit auch den Begriff „menschliche Firewall“. Und es ist gut, sie grundsätzlich zu beraten und zu unterrichten, aber es ist nicht so gut, ihnen auch eine helfende Hand zu geben, wenn sie es brauchen, was zu tun ist, wenn sie unsicher sind. Das ist also noch wichtiger, damit es vielleicht etwas Verdächtiges gibt, okay, aber wenn sie auf einen Blick von einer Stunde oder ein paar Minuten Hilfe bekommen, wird das noch wichtiger sein.

Mike Anderson: Ja. Sie hatten die menschliche Firewall erwähnt. Es war intern eine große Kampagne unseres CISO hier in Lamont, weil wir immer darauf achten, dass das schwächste Glied in jedem Sicherheitsprogramm die Leute sind, die den Vorsitz innehaben und jeden Tag ihre Arbeit erledigen. Wir verfügen über großartige Werkzeuge, um die Menschen zu finden, die vorsätzlich Schaden anrichten wollen. Es sind die Menschen, die jeden Tag versehentlich Schaden anrichten und auf Links klicken, die sie nicht tun sollten. Sie bringen Apps mit, die sie nicht verwenden sollten. Sie legen Daten in den Apps ab, die dort nicht sein sollten. Das ist die Sache, mit der wir uns befassen wollen. Eines der großen Dinge, von denen ich ein großer Fan bin, ist, wie wir bessere digitale Bürger schaffen können. Man hört Schatten-IT als ein Konzept, das es heute gibt. Und wenn Sie den CEO jetzt fragen, ist es eher eine geschäftsorientierte IT, weil wir eine neue Generation von Mitarbeitern haben, die Digital Natives sind. Und wie ermöglichen wir ihnen, Probleme auf sichere Weise zu lösen? Das ist meine neue Lebensaufgabe als CIO eines Sicherheitsunternehmens: Wie ermögliche ich der Person am Vorsitz, das Problem auf sichere Weise zu lösen, damit wir diese Digital-Native-Denkweise freisetzen können? Wie entwickeln die Menschen das weiter? Schatten-IT war schon immer das große Ding, aber wenn man sich viele Zulieferfabriken ansieht, wie Sie erwähnt haben, stellt der Leiter der Fabrik jemanden ein, der ein Dashboard für sie erstellt. Wie sehen Sie also, dass sich einige dieser Überlegungen weiterentwickeln?

Andreas Rohr: Die Schatten-IT entsteht dadurch, dass Sie keinen flexiblen Support erhalten, Ihr eigenes Gerät mitbringen oder einen Server hochfahren oder was auch immer. Eine agilere und vertrauenswürdigere Methode zur Bereitstellung von Rechen- und Speicherressourcen würde vielen dieser Schatten-IT-Mitarbeiter helfen, da sie keinen Server unter ihrem Schreibtisch haben möchten. Also will das niemand. Sie tun das nur, weil sie nicht die Hilfe bekommen, die sie brauchen. Lösen Sie das Problem also schrittweise und nehmen Sie vielleicht auch das Risiko in Kauf, dass sie nicht die Besten in der Verwaltung eines Servers sind, aber es ist immer noch besser, als eine Schatten-IT zu haben. Und so das Erste. Und die zweite Möglichkeit besteht darin, dass die Benutzer zum Beispiel ihre eigenen Sachen mitbringen und um diese vielleicht eine kleine Mauer herum bauen können, die dabei hilft, die wichtigsten hygienischen Dinge zu klären, aber kein zu 100 % verwaltetes Gerät zu haben. Das könnte also auch helfen. Und dann gibt es Hinweise, Sie erhalten eine E-Mail von einer Zeitzone oder von einem Ort, dieses Zentrum, in das Sie zuvor eingegriffen haben, ist nicht korrekt oder anders, dann erhalten Sie möglicherweise eine Kleinigkeit: „Ja, diese E-Mail stammt von.“ Ihre Organisation oder dies wurde in einer ungewöhnlichen Zeit gesendet.“ Wenn man also im Grunde darauf hinweist, dass die Benutzer ein genaueres Auge auf das haben, was sie gerade tun und womit sie konfrontiert sind, hilft das am Ende auch dabei, bessere Entscheidungen zu treffen.

Mike Anderson: Nein. Das ist definitiv ein toller Rat. Ich möchte also ein wenig darauf eingehen, wir nennen das die futuristischen Fragen. Wenn wir also nach vorne schauen, haben Sie sicher gelernt, dass Sie, wenn Sie auf die letzten fünf Jahre zurückblicken, wahrscheinlich eine Menge Dinge gesagt hätten: „Wenn ich das anders machen könnte, hätte ich es getan.“ Hier entlang." Wenn ich auf fünf, zehn Jahre vorspule, sagen wir mal 2030, in was würden sich Sicherheits- und IT-Verantwortliche wünschen, dass sie jetzt investiert hätten, wenn sie auf das Jahr 2030 zurückblicken?

Andreas Rohr: 2030 ist ein ziemlich langer Zeitraum, aber sagen wir mal, in den nächsten fünf Jahren. Immer noch herausfordernd genug, um zu erraten, was im Grunde wichtig gewesen wäre, sich im Ökosystem der Partner, in denen man agiert, flexibel zu machen, und dies führt zu einer Möglichkeit der Integration nicht kontrollierter Ressourcen. Entweder Datenflüsse oder Dienste usw. zu sein, war eine sehr flexible Möglichkeit, sie in eine Verbindung einzubinden und auf dieser sehr abstrakten Ebene bestimmte Richtlinien und Dinge durchzusetzen, die Sie möglicherweise ändern möchten, wenn Sie Ihren Partner oder Ihre Plattform ändern. und so weiter. Und das führt zu einem Zero-Trust-Prinzip und zweitens zu einer Art Fabric, die Sie kontrollieren, die aber flexibel genug ist, um im Laufe der Zeit kein Monolith zu sein, sondern Ihnen die Nutzung verschiedener Cloud-Dienste, verschiedener Partnernetzwerke usw. zu ermöglichen so weiter. Und wenn Sie nicht in die Möglichkeit investieren, diese Dinge steckbar zu machen, haben Sie viel mehr Zeit, um neue Setups auf den Markt zu bringen. Und das wird am Ende ein Wettbewerbsvorteil sein oder auch nicht, wenn Sie das nicht tun. Sie möchten also in steckbare Lösungen investieren und Punkte durchsetzen, um sicherzustellen, dass Ihre Entscheidungen auf die richtige Art und Weise getroffen werden. Und am Ende handelt es sich gewissermaßen um ein Zero-Trust.

Mike Anderson: Das ist großartig. Da Sie also das Wort „Zero Trust“ angesprochen haben, denken wir oft an Cyber. Warum investieren wir in Cyber? Es geht darum, Verstöße wirklich zu vermeiden und Geschäftsunterbrechungen zu vermeiden. Wenn wir also Zero Trust betrachten, wie sehen Sie die Entwicklung? Welchen Einfluss hat das darauf, wie Unternehmen über den Schutz ihrer Daten denken? Denn das ist offensichtlich der Kern dessen, was wir im Hinblick auf Datenschutzverletzungen zu schützen versuchen.

Andreas Rohr: Ich glaube, dass Zero Trust tatsächlich anders hilft, als die meisten Leute denken, wenn es um die Verhinderung von Verstößen und eine bessere Verwaltung von Datenzäunen geht, wenn Sie so wollen. Vielmehr geht es darum, flexibler zu sein, wenn Sie Ihre Architektur, Ihre Anwendungslandschaft, Ihre Partner, Ihre Akquisition usw. ändern, und dadurch Zeit für die Markteinführung zu haben, um auf Änderungen zu reagieren. Und aus diesem Grund möchten Sie möglicherweise nicht viele Annahmen in Ihre Architektur und Ihre Datenflüsse einfließen lassen. Zero Trust und auch sehr datenzentrierte Workflow-Ansätze helfen Ihnen also, flexibler zu bleiben. Und der größte Vorteil einer Website besteht darin, dass Sie, wenn Sie sehr gut darin sind und kontrollieren können, wer welchen Datendienst von welchem Standort aus und mit welchem Gerätetyp und was auch immer und mit Authentifizierungsebene nutzen darf, dann wahrscheinlich auch beim Schutz bessere Arbeit leisten es ist eine ganz große Lücke. Möglicherweise verlieren Sie das eine oder andere System oder das eine oder andere Daten, aber nicht das Ganze, wenn Sie diese mikrosegmentierte Art haben, die verschiedenen Teile zu steuern, wenn Sie das wollen. Und die Fähigkeit, dies zu tun, wird Ihnen Wettbewerbsvorteile verschaffen. Wenn Sie mich nebenbei fragen: Wenn Sie es mit einer guten Governance und Sicherheitsabläufen richtig umsetzen, dann haben Sie auch den Nebeneffekt, dass Sie Ihre Daten besser schützen.

Mike Anderson: Nein. Das ist gut. Das ist ein toller Rat. Und wenn ich einen Moment darüber nachdenke, ist Zero Trust bei allen Unternehmen, mit denen Sie heute zusammenarbeiten, offensichtlich ein heißes Thema, denn wenn Sie zu RSA gehen, hat jeder Anbieter es auf seinem Stand. Ich bin mir sicher, dass wir dieses Jahr dasselbe sehen werden. Wenn Sie sagen würden: Was sind die zwei oder drei wichtigsten Dinge, von denen Sie hören, von CIOs und CISOs und Vorständen, mit denen Sie heute zusammenarbeiten? Was sind die aktuellen Themen, die Sie heute hören?

Andreas Rohr: Das Dringendste ist, dass wir wissen, dass sich niemand zu 100 % schützen kann. Es ist wirklich [0:38:05.0] ____ von Leuten, bei denen sie grundsätzlich Angst haben, dass sie die Signale nicht früh genug sehen und dann im Grunde eine schwache durchschnittliche Ausfallzeit haben und in diesem Sinne während dieser Ausfallzeit Millionen oder sogar zweistellige Milliarden verlieren und nicht darüber reden, dass sie keine neuen machen können Geschäft usw. Das ist also wirklich das Risiko Nummer eins, für das sie auch Schwierigkeiten haben, einen Versicherungsschutz zu bekommen. Das ist also eine Störung ihres Kerngeschäfts und ohne dass sie auch im Hinblick auf ihre Fürsorgepflicht genug getan haben. Daher wissen die meisten Direktoren im Vorstand, dass sie ein solches statistisches Risiko nicht vernachlässigen können, aber sie müssen sich darum kümmern. Und sie wollen auch sicherstellen, dass das, was sie tun, nicht etwas ist, das sie mit mehr Konzentration oder mehr Budget hätten verhindern können. Und die zweite Sache, die ebenfalls damit zusammenhängt, ist, dass sie sicherstellen wollen, dass ihre wichtigsten Lieferkettenpartner in etwa in der gleichen Lage sind wie sie selbst. Es kommt also zu Geschäftsunterbrechungen, nicht unbedingt für die eigenen Systeme und die eigene Umgebung, sondern für diejenigen in der Lieferkette, die vor- oder nachgelagert ist. Stellen Sie außerdem sicher, dass ihnen grundsätzlich keine Einnahmequellen entgehen. Und das ist eigentlich das, was ich am häufigsten höre, und Sicherheit ist da nur der gemeinsame Nenner.

Andreas Rohr: Es geht also darum, den Datenfluss der Wertschöpfungsströme wirklich resilient gegen solche Angriffe zu machen. Und die übrigen Dinge sind einfach eine Ableitung davon. Das ist es, was ich am häufigsten höre, und Zero Trust ist leider kein künstliches Thema, denn es handelt sich um die strategischere Sache, um besser zu werden, und das ist eine zweite Agenda im Vergleich zu dem, worum es ihnen heute eigentlich geht. Das wird das Problem also in 3-5 Jahren lösen, aber nicht unbedingt heute, denn Zero Trust ist kein Produkt. Sie beginnen das zu verstehen. Und dann sage ich ihnen auch: „Fallen Sie nicht auf diejenigen herein, die Ihnen sagen, es sei ein Produkt.“ Es ist einfach so, dass Greenfield eine neue Sache war. Machen Sie Ihre Erkenntnisse, passen Sie es an Ihre Bedürfnisse an und versuchen Sie dann im Laufe der Zeit, es zu migrieren und akzeptieren Sie, dass 20 % nie Zero Trust aktiviert haben. Belassen Sie es einfach als Vermächtnis, bauen Sie größere Zäune darum herum und stellen Sie sicher, dass Sie diese Dinge unter Kontrolle haben und nicht zu viel nachdenken.

Mike Anderson: Nein. Das ist definitiv ein toller Rat. Und es gibt zu viele Unternehmen da draußen, die sagen: „Kaufe mein Produkt und jetzt hast du null Vertrauen.“ Und das gibt es, wie Sie sagten, einfach nicht. Es ist also auf jeden Fall ein toller Rat. Sie haben das Thema Versicherungen ein wenig angesprochen, und wenn ich über die Versicherungsbasis nachdenke, fällt mir auf, dass viele Leute sagen: „Weißt du was?“ Wir werden uns selbst versichern oder die Dollars, die wir für Versicherungen ausgeben, in unser Sicherheitsprogramm investieren.“ Weil sie das Gefühl haben, dass es im Grunde so viele Möglichkeiten gibt, wie die Versicherungsgesellschaften aus der Zahlung herauskommen können, wie z. B. zu vermeiden, dass der Nationalstaat sagt, wenn es sich um einen Angriff des Nationalstaats handelt, gilt das nicht. Wie sehen Sie die Denkweise der Menschen? Beobachten Sie das Gleiche, wenn die Leute sagen: „Weißt du was, warum versichern wir uns nicht einfach selbst und investieren das in unser Sicherheitsprogramm?“ Siehst du das? Wie sieht die Zukunft der Versicherung im Cyberspace aus?

Andreas Rohr: Es gibt große Versicherungen, bei denen das unten genannte Cyber-Risiko grundsätzlich nicht gilt... Wir können diese Risiken nicht mehr versichern, weil sie aus Sicht einer Versicherungsgesellschaft den Reifegrad nicht wirklich messen können. Wie wahrscheinlich ist es also, dass ein Unternehmen einem Angriff zum Opfer fällt? Und der zweite Punkt ist, dass die zu erfüllenden Voraussetzungen manchmal willkürlich sind, sagen Versicherungsunternehmen. Es ist anders und es ist tatsächlich ein Albtraum, diese Fragebögen auszufüllen, und manchmal helfen wir ihnen dabei, strategisch das Kreuz an der richtigen Stelle zu setzen und auch nicht falsche Dinge zu sagen, sondern die tatsächlichen Dinge, sodass sie die Entscheidungen sind, die sie im Nachhinein nicht sagen können. „Ja, das haben Sie hier gesagt, und Sie haben sich nicht daran gehalten oder es nicht tatsächlich umgesetzt.“ Geben Sie also den Dollar vielleicht für die eigene Sicherheit aus, anstatt sie zu versichern. In einer guten Mischung aus Risikomanagement möchten Sie immer Wege zu einer Versicherungsgesellschaft aufschieben, die klassische Managementpraxis betreibt. Ich würde daher raten, das überhaupt nicht zu tun. Daher ist es durchaus sinnvoll, auch dann abzusichern, wenn die Dinge wirklich schlecht laufen, um einige Kosten oder Betriebsunterbrechungen abzudecken.

Andreas Rohr: Wenn es ein lächerlich hoher Preis ist, dann denken Sie vielleicht: „Ich setze es besser auf meine Fähigkeit zu reagieren und Dinge zu erkennen.“ Und vielleicht einige der Sicherheitsinitiativen irgendwie vorantreiben, aber ich würde das eine nicht gegen das andere eintauschen. Sie sollten mit Ihrem Vertrauen in architektonische Dinge strategisch vorgehen und sicherstellen, dass Sie selbst die richtigen Hausaufgaben machen, die vollständige Hygiene gewährleisten und dann auch versuchen, die Versicherungsgesellschaften davon zu überzeugen, dass Sie im Sicherheitsbereich gute Arbeit leisten und trotzdem bekommen Das. Ich denke aber, dass die Versicherungsmarke mit der Zeit keine sehr lukrativen Policen für die Versicherung von Cyber-Risiken bieten wird. Das ist mein Bauchgefühl. Das kann ich nicht beweisen. Aber was ich sehe und höre und sehe, wie wir das aus einer statistischen und Massenperspektive messen würden, was eines meiner Studien war, bevor ich meine berufliche Laufbahn begann, dann sehe ich nicht, dass wir in der Lage sind, mit Modellen zu rechnen, die tatsächlich beschreiben richtig mit, weil es keine statistische Grundlage ist.

Mike Anderson: Ich werde uns jetzt einem unterhaltsamen Teil unseres Podcasts widmen, den wir Quick Hits nennen. Ich werde dir ein paar Fragen stellen, Schnellfeuer, und mal sehen, welche Antworten du bekommen hast. Die erste Frage lautet also: Was ist der beste Führungsratschlag, den Sie jemals bekommen haben?

Andreas Rohr: Das war sehr früh in meiner beruflichen Laufbahn. Und im Grunde sagte der CEO zu mir: „Selbst wenn Sie der beste Fachexperte für das sind, was Sie hier auf der Welt zu lösen versuchen, dann hören Sie lieber auf Ihr Team und sagen Ihnen, was Sie sagen, Sie werden überrascht sein, welche Antworten sie geben.“ Komm zu dir mit. Und das ist vielleicht nicht so gut oder so gültig, wie Sie es vielleicht selbst gemacht hätten, aber was noch wichtiger ist, wird sein Beitrag sein, der dafür sorgt, dass es nachhaltig ist und Sie im Grunde besser schlafen und sich der nächsten Herausforderung stellen können. Und das ist so wahr. Und 90 % dessen, was Ihrer Meinung nach die beste Lösung für die Sache gewesen wäre, basiert auf Ihrer eigenen Erfahrung und auf anderen Erfahrungen anderer. Das gilt also auch für Diversität. Während sie dann zuhörten und sich überraschen ließen, wurde ich sehr oft überrascht, was mir am besten gefällt. Deshalb ermutige ich wirklich jeden, das auszuprobieren und ihm eine Chance zu geben.

Mike Anderson: Auf jeden Fall ein guter Rat. In Ordnung. Was wäre Ihre letzte Mahlzeit?

Andreas Rohr: Ich war also einige Zeit in Indien, in Mumbai, also alle zwei Monate für zwei oder drei Wochen. Und ich glaube, das hätte ich gerne, und dort essen sie sehr scharf. Was mir am besten gefiel, war scharfes Hühnchen-Masala und etwas Knoblauch-Naan-Brot. Deshalb vermisse ich das sehr. Vielleicht ist es das, was ich bestellen würde.

Mike Anderson: Alles klar, das Letzte. Was ist Ihr Lieblingsbuch, das Sie dieses Jahr gelesen haben?

Andreas Rohr: Ich habe ein Buch von Ellis Miller gelesen, das eigentlich schon ziemlich alt ist, ich glaube, 30 Jahre alt oder so. Und es heißt „Das Drama des begabten Kindes“. Und es geht darum, ein Kind so zu erziehen, dass es sich nicht an die Erwartungen seiner Umgebung hält und sich anpasst und tut, was es will, sondern dass es das findet, wofür es wirklich leidenschaftlich ist, und es weiter entwickelt. Das ist also ein sehr schönes Buch zum Lesen, das Ihrem Kind hilft, sich zurechtzufinden. Also mir gefällt das sehr gut.

Mike Anderson: Das muss ich auf die Leseliste setzen, da ich als Vater von vier Kindern wahrscheinlich ein paar gute Nuggets zum Mitnehmen dabei habe. Na ja, danke Andreas. Das ist ungefähr die ganze Zeit, die wir heute haben, und ich schätze das Gespräch wirklich. Wir hatten heute also ein tolles Gespräch mit Andreas. Die drei Dinge, die ich daraus in erster Linie mitgenommen habe, und Andreas hat es schon ein paar Mal angesprochen, sind, in unserer gesamten Organisation zu arbeiten, unsere Umgebung zu betrachten und die Menschen um uns herum im Ökosystem zu nutzen, denn das wird uns helfen viel erfolgreicher sein. Das zweite, was ich mir ansehe, ist, wenn wir uns Tools ansehen, nicht nur Tools sammeln, sondern sicherstellen, dass sie integriert sind und dass sie auf die Ergebnisse abgestimmt sind, die ich in meiner Organisation vorantreiben möchte, damit Sie mehr erreichen können effektiv und effizient zugleich. Und das Letzte, was ich aus unserem Gespräch mitgenommen habe, ist: Denken Sie über die Wertströme Ihres Unternehmens nach und wie integriere ich Sicherheit darin, damit ich in Bezug auf diesen bestimmten Wertstrom in meinem Unternehmen die richtige Risikohaltung habe? Super aufschlussreiches Gespräch und ich hoffe, es hat Ihnen gefallen. Schauen Sie sich unsere nächste Folge im Security Visionaries Podcast an, die bald erscheint.

Sprecher 2: Der Security Visionaries Podcast wird vom Team von Netskope bereitgestellt und ist schnell und einfach zu bedienen. Die Netskope-Plattform bietet optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo auch immer sie sich befinden. Wir helfen Kunden, Risiken zu reduzieren, die Leistung zu steigern und einen unübertroffenen Einblick in alle Cloud-, Web- oder privaten Anwendungsaktivitäten zu erhalten. Um mehr darüber zu erfahren, wie Netskope seinen Kunden hilft, auf ihrer frechen Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE.com.

Sprecher 4: Vielen Dank, dass Sie den Sicherheitsvisionären zuhören. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem sie gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir sehen uns in der nächsten.