Cybersecurity ist Chefsache
Cybersecurity ist Chefsache

Cybersecurity ist Chefsache

Nico Freitag & Ann-Katrin Lange

Podcast

Der wöchentliche Podcast „Cybersecurity ist Chefsache“ ist eine Plattform, auf der verschiedene Experten aus der Welt der Digitalisierung und Cybersecurity zusammenkommen, um über aktuelle Themen, Trends und praktische Anwendungen zu sprechen. Die Hosts Nico Freitag und Ann-Kathrin Lange laden regelmäßig Freunde, Kollegen und Gleichgesinnte aus unterschiedlichen Branchen ein, um ihre Erfahrungen und Perspektiven zu teilen. Gemeinsam diskutieren sie aktuelle Themen rund um Digitalisierung, Cybersecurity, OT-Sicherheit, Datenschutz und Informationssicherheit sowie deren praktische Umsetzung. Die Themen werden durch die Community mitbestimmt, sodass die Zuhörer:innen relevante, praxisnahe und aktuelle Einblicke erhalten.

Alle Folgen

  • SOC-Ausschreibung: Wie Unternehmen Hunderttausende verbrennen

    Heute55:16

    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Katrin in einer Solo-Folge ohne externen Gast über das Thema Security Operations Center, kurz SOC. Es ist gleichzeitig die erste Folge nach längerer Pause, der Auftakt mit neuem Makeover und Nicos neuer Co-Host Ann-Kathrin, die als Security-Beraterin selbst tief in dem Thema steckt und ab sofort regelmäßig dabei ist. Zum Einstieg räumen die beiden mit einem Mythos auf: Nicht jedes SOC ist für jedes Unternehmen geeignet, und 24/7 ist nicht automatisch die richtige Antwort. Bevor man überhaupt über Anbieter, Vergleichbarkeit oder Preise spricht, muss klar sein, was das SOC eigentlich leisten soll, welche Risiken überhaupt überwacht werden und wie viel der eigene Betrieb noch selbst tragen kann. Ein zentraler Teil der Folge dreht sich um SOC-Ausschreibungen. Nico und Ann-Katrin zeigen mit vielen Beispielen aus der Beratungspraxis, warum genau dieser Beschaffungsweg in der Security so oft schiefgeht: Anbieter interpretieren Vorgaben unterschiedlich, geben generische Pauschalangebote ab, kopieren Anforderungen aus anderen Branchen oder nennen Referenzahlen, hinter denen man als Mittelständler nur eine kleine Nummer ist. Die Folge: Vergleichbarkeit, das eigentliche Ziel jeder Ausschreibung, ist am Ende oft gar nicht gegeben. Im weiteren Verlauf wird es konkret. Beide gehen detailliert auf Stolperfallen ein, die Unternehmen unbedingt auf dem Schirm haben sollten: Vendor-Lock-in, der oft erst beim Wechsel sichtbar wird, fehlende eigene Mannschaft im Hintergrund (zum Beispiel niemand, der nachts ein Passwort zurücksetzen kann, obwohl das SOC 24/7 alarmiert), reine Linearität der Ausschreibung, die der Realität eines SOC-Betriebs nicht gerecht wird, sowie kreative Preisgestaltungen, bei denen ein Anbieter eine Million, der nächste zehn Millionen aufruft und niemand mehr weiß, was eigentlich verglichen wurde. Spannend wird es bei einer kleinen Anekdote, die Nico aus seiner Beratungszeit mitbringt: Ein Kunde wird angegriffen, das eigene Monitoring schlägt an, der externe SOC-Dienstleister meldet sich aber nicht. Auf Nachfrage hieß es lapidar: „Doch, gesehen haben wir das, aber weil sich niemand gemeldet hat, sind wir davon ausgegangen, dass alles in Ordnung war." Genau solche Fälle, sagen die beiden, sind der Grund, warum eine SOC-Auswahl mehr braucht als ein gut formuliertes Lastenheft. Im Gespräch geht es außerdem um: Wann ein SOC sinnvoll ist und wann ein gut aufgestelltes internes Team reichtWarum 24/7 nicht für jedes Unternehmen die richtige Lösung istVendor-Lock-in als oft unterschätzte Red Flag bei Tooling-EntscheidungenWie man Referenzen wirklich auswertet, nämlich im direkten Gespräch mit aktiven Kunden, nicht nur über Logo-ListenWarum „SOC-Umsatz" oder „Mitarbeiterzahl" als KPI nur bedingt aussagekräftig sindWie man verhindert, dass die Vergleichbarkeit von Angeboten an unterschiedlichen vertrieblichen Auslegungen scheitertDen Unterschied zwischen Anbieter, Größe und Passung: Wer 500 Referenzen hat, kann großartig sein, oder man ist schlicht eine Nummer von vielenWarum Ausschreibungen für SOCs strukturell schwierig sind und zu generischen Antworten führenDen Praxistipp einer (gerne bezahlten) Probewoche oder eines Proof of Concepts vor jeder großen SOC-Vergabe, damit beide Seiten wissen, worauf sie sich einlassenNico und Ann-Kathrin geben einen sehr ehrlichen, hands-on-orientierten Einblick, was bei der Auswahl, Ausschreibung und Bewertung eines SOC wirklich zählt, und warum die scheinbar saubere Beschaffungslogik aus anderen IT-Bereichen bei Security oft genau das Falsche ist. Eine Folge für alle, die gerade vor einer SOC-Entscheidung stehen oder einen bestehenden Anbieter ehrlich auf den Prüfstand stellen wollen. ____________________________________________ ? Mehr Informationen Nico - LinkedIn Profil Ann-Katrin - LinkedIn Profil ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

  • Trailer 4.0

    Heute0:42

    Der wöchentliche Podcast „Cybersecurity ist Chefsache“ ist eine Plattform, auf der verschiedene Experten aus der Welt der Digitalisierung und Cybersecurity zusammenkommen, um über aktuelle Themen, Trends und praktische Anwendungen zu sprechen. Die Hosts Nico Freitag und Ann-Kathrin Lange laden regelmäßig Freunde, Kollegen und Gleichgesinnte aus unterschiedlichen Branchen ein, um ihre Erfahrungen und Perspektiven zu teilen. Gemeinsam diskutieren sie aktuelle Themen rund um Digitalisierung, Cybersecurity, OT-Sicherheit, Datenschutz und Informationssicherheit sowie deren praktische Umsetzung. Die Themen werden durch die Community mitbestimmt, sodass die Zuhörer:innen relevante, praxisnahe und aktuelle Einblicke erhalten. ____________________________________________ ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

  • Datensouveränität oder Abhängigkeit? KRITIS setzt trotzdem auf Microsoft

    Heute1:19:10

    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Roland Klobs, Konzerndatenschutzbeauftragter bei Uniper, einem der großen deutschen Energieversorger und Betreiber kritischer Infrastruktur mit rund 7.000 Mitarbeitenden, über das zentrale Thema digitale und datenbezogene Souveränität. Roland erklärt zu Beginn, warum „Datensouveränität" weit mehr bedeutet als nur die Frage, wo Daten physisch gehostet werden. Es gehe nicht primär um den Standort eines Rechenzentrums, sondern um die Hoheit und Macht über die eigenen Daten, also um vertragliche Absicherung, Portabilität und die Möglichkeit, jederzeit den Anbieter zu wechseln. Aus seiner technischen wie juristischen Perspektive (Maschinenbauingenieur und Master of Laws) zeigt er, wie Uniper das in der Praxis umsetzt: mit Microsoft 365 als zentralem Cloud-Partner mit Hosting in Amsterdam, SAP als weiterem strategischem Partner und einem klaren Rahmen aus Master Service Agreements und Auftragsverarbeitungsverträgen. Ein zentraler Punkt ist die Realität zwischen Anspruch und Machbarkeit. Roland, Nico und Ann-Kathrin diskutieren offen, warum trotz aller Diskussionen rund um DSGVO, Schrems II und das Data Privacy Framework am Ende kaum ein Unternehmen Microsoft Teams oder andere Hyperscaler-Dienste rauswirft, die Wechselkosten und der Innovationsverlust wären zu groß. Stattdessen plädieren alle drei für ein echtes, sauberes Risikomanagement statt panik- oder hypegetriebener Bauchentscheidungen. Auch Open Source bekommt einen ehrlichen Blick: technisch attraktiv, aber rechtlich und vertraglich oft unmöglich abzusichern und mit eigenen Risiken wie eingeschleusten Hintertüren in offenem Quellcode. Im weiteren Verlauf geht es darum, wie KI im Unternehmen sicher eingeführt werden kann. Roland beschreibt die Einführung von Microsoft Copilot bei Uniper: wie Vertraulichkeitslabel von PowerPoint auf erzeugte Word-Dokumente weitergegeben werden, wie die Beschäftigten geschult wurden, dass Daten den eigenen Tenant nicht verlassen und nicht für Trainingszwecke bei OpenAI oder Microsoft landen, und warum die KI-Verordnung sowie Codes of Conduct (Telekom seit 2017, Microsoft) wichtige Leitplanken sind. Spannend wird es, wenn er von seinen eigenen Anfängen mit neuronalen Netzen Ende der 1990er erzählt und damit erklärt, warum er heute weder Hype-getrieben noch ängstlich auf KI schaut. Im Gespräch geht es außerdem um: Den Unterschied zwischen Hosting-Standort und echter DatensouveränitätVertragsgestaltung mit Cloud-Anbietern: Provider-Wechsel, Insolvenzszenarien, DatenrückgabeOpen Source als Chance und Risiko inklusive Lieferketten und VertrauensfragenWarum Initiativen wie die „deutsche Cloud" immer wieder am gleichen Punkt scheitern: der ZahlungsbereitschaftDatenschutz als echter Wettbewerbsvorteil, warum manche Kunden bereit sind, mehr zu zahlenKI-Einführung im Konzern: Schulungen, Tenant-Schutz, Diskriminierungsfreiheit, WahrheitsprüfungMultifaktor-Authentifizierung, Passkeys und die wachsende Abhängigkeit vom SmartphoneKuriose Praxisbeispiele: Bußgelder fürs Bedienen des Tesla-Displays oder einer E-Zigarette während der FahrtEinen Zehn-Jahres-Ausblick: verteilte Data Lakes, abgestufte Datensilos nach Schutzbedarf, Sensorik überall und eine Hybrid-Lösung zwischen Innovation und Schutz besonders schützenswerter BereicheRoland, Nico und Ann-Kathrin geben einen sehr praxisnahen Einblick, wie ein Konzern mit 7.000 Beschäftigten Datenschutz, Datensouveränität und Innovationsdruck gleichzeitig managt – und warum am Ende kein Unternehmen drumherum kommt, Sicherheit und Datenschutz als kontinuierliche Management-Aufgabe und nicht als einmaliges Compliance-Projekt zu begreifen. ____________________________________________ ? Mehr Informationen Name - LinkedIn Profil: Ronald Knop ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

  • Ausbildung in der Cybersecurity: Wege, Stolpersteine und Chancen

    29.12.202547:35

    In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Roland Klobs, Konzerndatenschutzbeauftragter bei Uniper, einem der großen deutschen Energieversorger und Betreiber kritischer Infrastruktur mit rund 7.000 Mitarbeitenden, über das zentrale Thema digitale und datenbezogene Souveränität. Roland erklärt zu Beginn, warum „Datensouveränität" weit mehr bedeutet als nur die Frage, wo Daten physisch gehostet werden. Es gehe nicht primär um den Standort eines Rechenzentrums, sondern um die Hoheit und Macht über die eigenen Daten – also um vertragliche Absicherung, Portabilität und die Möglichkeit, jederzeit den Anbieter zu wechseln. Aus seiner technischen wie juristischen Perspektive (Maschinenbauingenieur und Master of Laws) zeigt er, wie Uniper das in der Praxis umsetzt: mit Microsoft 365 als zentralem Cloud-Partner mit Hosting in Amsterdam, SAP als weiterem strategischem Partner und einem klaren Rahmen aus Master Service Agreements und Auftragsverarbeitungsverträgen. Ein zentraler Punkt ist die Realität zwischen Anspruch und Machbarkeit. Roland, Nico und Ann-Kathrin diskutieren offen, warum trotz aller Diskussionen rund um DSGVO, Schrems II und das Data Privacy Framework am Ende kaum ein Unternehmen Microsoft Teams oder andere Hyperscaler-Dienste rauswirft – die Wechselkosten und der Innovationsverlust wären zu groß. Stattdessen plädieren alle drei für ein echtes, sauberes Risikomanagement statt panik- oder hypegetriebener Bauchentscheidungen. Auch Open Source bekommt einen ehrlichen Blick: technisch attraktiv, aber rechtlich und vertraglich oft unmöglich abzusichern – und mit eigenen Risiken wie eingeschleusten Hintertüren in offenem Quellcode. Im weiteren Verlauf geht es darum, wie KI im Unternehmen sicher eingeführt werden kann. Roland beschreibt die Einführung von Microsoft Copilot bei Uniper: wie Vertraulichkeitslabel von PowerPoint auf erzeugte Word-Dokumente weitergegeben werden, wie die Beschäftigten geschult wurden, dass Daten den eigenen Tenant nicht verlassen und nicht für Trainingszwecke bei OpenAI oder Microsoft landen, und warum die KI-Verordnung sowie Codes of Conduct (Telekom seit 2017, Microsoft) wichtige Leitplanken sind. Spannend wird es, wenn er von seinen eigenen Anfängen mit neuronalen Netzen Ende der 1990er erzählt – und damit erklärt, warum er heute weder Hype-getrieben noch ängstlich auf KI schaut. Im Gespräch geht es außerdem um: Den Unterschied zwischen Hosting-Standort und echter DatensouveränitätVertragsgestaltung mit Cloud-Anbietern: Provider-Wechsel, Insolvenzszenarien, DatenrückgabeOpen Source als Chance und Risiko – inklusive Lieferketten- und VertrauensfragenWarum Initiativen wie die „deutsche Cloud" immer wieder am gleichen Punkt scheitern: der ZahlungsbereitschaftDatenschutz als echter Wettbewerbsvorteil – warum manche Kunden bereit sind, mehr zu zahlenKI-Einführung im Konzern: Schulungen, Tenant-Schutz, Diskriminierungsfreiheit, WahrheitsprüfungMultifaktor-Authentifizierung, Passkeys und die wachsende Abhängigkeit vom SmartphoneKuriose Praxisbeispiele: Bußgelder fürs Bedienen des Tesla-Displays oder einer E-Zigarette während der FahrtEinen Zehn-Jahres-Ausblick: verteilte Data Lakes, abgestufte Datensilos nach Schutzbedarf, Sensorik überall und eine Hybrid-Lösung zwischen Innovation und Schutz besonders schützenswerter BereicheRoland, Nico und Ann-Kathrin geben einen sehr praxisnahen Einblick, wie ein Konzern mit 7.000 Beschäftigten Datenschutz, Datensouveränität und Innovationsdruck gleichzeitig managt – und warum am Ende kein Unternehmen drumherum kommt, Sicherheit und Datenschutz als kontinuierliche Management-Aufgabe und nicht als einmaliges Compliance-Projekt zu begreifen. ? Mehr Informationen Ralf Kleinfeld - LinkedIn Profil: https://www.linkedin.com/in/ralfkleinfeld/ ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

  • Produkte mit digitalen Elementen richtig absichern

    22.12.20251:10:07

    In dieser Folge von Cybersecurity ist Chefsache spricht der Host mit Maximilian Moser, Consultant Industrial & Product Security beim VDMA über die Herausforderungen und Chancen des EU Cyber Resilience Act. Gemeinsam klären sie, was der Act für Hersteller von Produkten mit digitalen Elementen bedeutet, welche Pflichten auf Unternehmen zukommen und wie man ein sinnvolles Risikomanagement aufsetzt. vdma.org Max erklärt, was unter einem „Produkt mit digitalen Elementen“ zu verstehen ist und warum es gerade im EU-Markt wichtig ist, Produktgrenzen klar zu ziehen und zu dokumentieren. Er erläutert, wie Hersteller eine Software Bill of Materials (S-BOM) nutzen, um überhaupt ein Risk Assessment durchführen zu können und wie dies die Grundlage für Schutzmaßnahmen schafft. Ein weiterer Schwerpunkt sind Schwachstellen- und Update-Management: Welche Meldefristen gelten bei aktiv ausgenutzten Schwachstellen und wie kann ein Hersteller Prozesse dafür einrichten? Außerdem gehen sie auf Sonderfälle ein – von maßgeschneiderten („Tailor-Made“) Produkten über Ersatzteilregelungen bis zu kritischen Komponenten. Abschließend diskutieren sie, wie Unternehmen die Konformitätsbewertung meistern, welche Fristen wichtig sind und welche Auswirkungen der Cyber Resilience Act auf Lieferketten und globale Anbieter hat. vdma.org Ressourcen & Links: • Cyber Resilience Act (EU-Regulation): Überblick und was Hersteller betrifft vdma.org • VDMA Cybersecurity-Seite mit Leitfäden und Factsheets vdma.org • Maximilian Moser LinkedIn: https://tinyurl.com/2nh3rc2f ____________________________________________ ? Mehr Informationen Name - LinkedIn Profil: ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

  • Klarheit schaffen in der OT-Security: Transparenz, Tools und Governance

    15.12.202543:13

    In dieser Folge spreche ich mit Sander Rotmensen, Head of Business Line Cybersecurity Software for OT bei Siemens. Gemeinsam beschäftigen wir uns mit einem Problem, das viel zu oft ignoriert wird: In der Industrie heißt es häufig „Never change a running system“ patchen wäre zu riskant für Produktion und Sicherheit. Sander erklärt, warum genau dieses Mindset in der OT-Welt problematisch ist: Weil Transparenz über Assets, Firmwarestände und Häufigkeit von Updates fehlt, ist es oft unmöglich, Schwachstellen zuverlässig zu identifizieren und zu beheben. Wir gehen dabei folgende Themen durch: Warum klassische IT-Methoden (automatisches Scannen, schnelle Patches) in Industriesteuerungen selten funktionierenWie wichtig eine gründliche Inventarisierung aller OT-Komponenten ist aktiv und auch Geräte, die selten online sindWie man Schwachstellen-Management in der OT pragmatisch angeht: mit Tools, passenden Prozessen oder mit spezialisierten DienstleisternWarum nicht jedes System einfach gepatcht werden kann Zertifizierungen, Safety-Regeln und Produktionszwänge sind entscheidendWie moderne Ansätze aussehen können: Asset-Mapping + Risiko-Analyse + gezielte Updates oder Kompensationsmaßnahmen (Segmentierung, Monitoring, passive Überwachung)Warum OT-Security ein kontinuierlicher Prozess sein muss nicht ein einmaliges ProjektAm Ende geben wir einen pragmatischen Leitfaden: Transparenz schaffen, mit externen Integratoren oder Dienstleistern starten, Prozesse und Tooling etablieren und Sicherheit zur Chefsache machen. ____________________________________________ ? Mehr Informationen Name - LinkedIn Profil: ____________________________________________ ? Reinschauen lohnt sich! ?Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache ?Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority ?Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen. ____________________________________________ Du findest mich auf folgenden Social Media Kanälen: ? Instagram: cybersec_ist_chefsache ? TikTok: cybersec_ist_chefsache ? LinkedIn - Nico: nicofreitag ? LinkedIn - Ann-Katrin: annkatrin ? Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache ____________________________________________ Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.