#48 Microsoft & NIS-2 aktuell
Schwachstellen, Bedenken und Umsetzung
01.08.2025 51 min
Zusammenfassung & Show Notes
Wir sprechen über IT-Sicherheitsrisiken bei SharePoint, vergleichen Cloud- und On-Premise-Modelle und beleuchten die Folgen des Cloud Act. Außerdem zeigen wir, was mit der NIS-2-Richtlinie auf Unternehmen zukommt – und warum Sicherheit in der Lieferkette und klare Compliance-Verantwortung immer wichtiger werden.
Wir diskutieren aktuelle Herausforderungen in der IT-Sicherheit – mit besonderem Fokus auf Microsoft SharePoint und die Schwachstellen lokaler On-Premise-Lösungen. Dabei vergleichen wir Cloud-Dienste mit klassischen Installationen, beleuchten die Auswirkungen des Cloud Act und sprechen über die NIS-2-Richtlinie. Auch die Verantwortung in der Lieferkette und neue Compliance-Anforderungen stehen im Mittelpunkt.
Takeaways
Takeaways
- Die Sicherheitslücke bei Microsoft SharePoint betrifft nur On-Premise-Lösungen.
- Cloud-Dienste bieten oft mehr Sicherheit als lokale Installationen.
- Der Cloud Act ermöglicht US-Behörden den Zugriff auf Daten, die von US-Unternehmen verarbeitet werden.
- Die NIS 2-Richtlinie wird in nationales Recht umgesetzt, betrifft aber nicht alle Unternehmen direkt.
- Unternehmen sollten sich proaktiv mit den Anforderungen der NIS 2-Richtlinie auseinandersetzen.
- Compliance-Anforderungen können Unternehmen unter Druck setzen, ihre Lieferketten zu überprüfen.
- Die Diskussion um Datenschutz und Sicherheit ist komplex und erfordert differenzierte Betrachtungen.
- Die Verantwortung für die Informationssicherheit liegt nicht nur bei den Dienstleistern, sondern auch bei den Unternehmen selbst.
- Die Umsetzung von Compliance-Anforderungen kann in der Praxis herausfordernd sein.
- Die Balance zwischen Sicherheit und Geschäftstätigkeit ist entscheidend.
Transkript
Moin, René.
Moin, Michael.
René, wir müssen reden.
Wie so selten.
Wie so selten. Also wir sind ja relativ aktuell mit unseren Podcast-Folgen. Wir sind ja nicht die, die aus der Konserve aufzeichnen.
Du kommst ja extra aus dem Urlaub zur Aufzeichnung rein. Und deswegen können wir auch mal über ein aktuelles Thema reden. Wir müssen reden.
Es gibt Redebedarf bei Microsoft, glaube ich.
Ja, das sehe ich ganz genauso.
Und ich glaube, wenn ich es richtig jetzt zusammen recherchiert habe, es gibt sogar zweifachen Redebedarf bei Microsoft.
Ja, der eine Part ist ja eher so deine Seite.
Und der andere Part ist eher so deine Seite.
Ja, ja, genau. Deswegen also ganz vorweg, du hast es gerade gesagt. Ich komme aus dem Urlaub für die Aufzeichnung wieder.
Deswegen habe ich also nicht groß News vorbereitet. Aber dieses Thema, darüber müssen wir auf jeden Fall sprechen. Und das ist halt genau die Microsoft On-Prem SharePoint-Lösung.
Die momentan halt eine riesige Sicherheitslücke darstellt. Und ja, die wird halt wirklich auch aktiv ausgenutzt. Also Microsoft sagt auch selber, ja, uns ist bekannt, dass auch schon Server angegriffen wurden, hat aber auch tatsächlich noch gar keine Lösung dafür.
Also das heißt, die Sicherheitslücke ist so, dass es die Möglichkeit gibt, ein Shardcode remote auszuführen auf diesen Servern. Also du brauchst keinen direkten Zugriff auf den Server, sondern kannst ihn dann eben remote ausführen. Und das ist halt ein riesiges Problem.
Und da ist es auch nicht so, dass wir dann irgendwie eingeschränkt sind, diesen Code auszuführen, sondern es ist wirklich einfach, ich kann alles ausführen, was ich will auf diesem Server. Und das wird halt nicht... Also es wird über manipulierte API-Aufrufe ausgelöst.
Und das ist halt genau das Problem aktuell.
Aber lass uns bitte nicht in den Hype verfallen, den ich aktuell durch die Social Medias und durch die Nachrichten sehe. Lass uns das mal vernünftig einordnen. Hier geht es nämlich, das ist nämlich das mir am wichtigsten und für alle, die jetzt auch zuhören, hier geht es nicht um SharePoint im Kontext von Microsoft 365, sondern hier geht es, ja, weil der Großteil unserer Hörer, der Großteil, die aktuell bei 365 unterwegs sind, und da stelle ich jetzt mal sehr wahrscheinlich, wenn sie mit SharePoint unterwegs sind, in der 365-Instanz unterwegs.
Und genau das betrifft es nicht, ganz wichtig. Also hier ist nicht, und wir kommen auch gleich dazu, aber hier ist ganz genau nicht die Sache, sind die Daten in der Cloud, sind sie weg, sondern das hier ist ein Thema, was SharePoint on-prem betrifft. Und nur Leute und nur ausschließlich Unternehmen, die SharePoint als on-prem-Lösung bei sich lokal liegen haben.
Das muss man bitte ganz, ganz klar, fest dazu sagen. Und was man auch dazu sagen muss, und dann leite ich gleich über in die ganze Thema und gebe dir den Ball, was man auch sagen muss, dass ja die SharePoint-Lösung aktuell noch auf der Serverlösung 2019 beruht und dass der Support sowieso Ende des Jahres endet. Das heißt, ich gehe jetzt ketzerisch in das Thema dran und du fängst mich gleich auf.
Ich sage mal ketzerisch, die, die nicht schon auf dem aktuellen Stand der Technik sind und nicht schon den Weg in die Cloud gegangen sind und die, die der Meinung sind, sie könnten auf ihren alten, bestehenden System weiterarbeiten, sind genau die, die jetzt im Hintern gekniffen sind, weil genau die sind betroffen.
Ja, aber das ist ja, also es ist ja genau das, was wir eigentlich jedes Mal predigen. Bitte auf dem aktuellen Stand bleiben. Immer auch sehen, dass man eben auch, also wir haben auch gerade, was das angeht, den Wechsel in die Cloud zum Beispiel, dass man da eben durch den Hersteller ja auch abgesichert ist, weil der ja auch entsprechend die Updates und sowas selber einführt oder durchführt oder auch, dass wenn Schwachstellen gefunden werden, dass diese auch schnell durch den Hersteller selbst gelöst werden.
Das sind halt alles so Dinge, wenn man jetzt sagt Okay, ich bleibe immer noch auf dem On-Prem und immer noch auf der Version. Natürlich ist das eine sicherheitskritische Geschichte. Auf alle Fälle ist es dann leider auch passiert.
Jetzt ist es aktiv in der Ausnutzung. Das soll nicht heißen, dass es uns egal ist, aber das wäre halt die Lösung dazu. Und das muss jeder jetzt für sich tatsächlich auch zeitnah in Betracht ziehen.
Die Lösung von Microsoft, die sie da jetzt im Moment so ein bisschen an die Hand gegeben haben, dass man eben mit dem Defender arbeitet. Ja, das mag erst mal eine Teillösung sein, kann aber nicht das finale Endding sein. Also da sollte man sich wirklich überlegen, abzugraden oder wenn nicht sogar komplett in die Cloud zu wechseln.
Ja, also das ist so. Das ist so das Thema. Das finde ich halt wichtig, weil ich habe halt das Gefühl oder ich merke es halt.
Die Sau wird halt im Moment durchs Dorf getrieben. SharePoint ist unsicher. Microsoft hat versagt.
Sicherheitslücken bei Microsoft SharePoint langsam. Fertiglesen? Ja, Haise hat einen sehr guten Bericht.
Kann man, kann man sich nur drüber, kann man sich mal wirklich drüber informieren, was los ist, was im aktuellen Kram ist. Es geht um die SharePoint Server Lösung, die lokal gehostet werden. Es geht nicht um die 365er SharePoint Instanz.
Ich möchte mal kurz anmerken, Michael.
Das hier ist eine absolute Premiere in diesem Podcast, glaube ich. Also wir machen es jetzt seit knapp zwei Jahren. Und ich glaube, das ist das allererste Mal, dass du nicht derjenige bist, der bei Microsoft sofort aufspringt und sagt, ich habe es euch gesagt, geht zu Apple.
Ja, tun wir da ein bisschen.
Aber es ist ja so. Also am Ende des Tages, jeder Hersteller hat auch mal eine Sicherheitslücke. Man muss das halt gut einordnen können und auch die die entsprechenden Konsequenzen für sich daraus ziehen.
Was ist der nächste Weg? Was ist jetzt wirklich meine eigene Betroffenheit? Ich kann auf jeden Fall, wie du gerade schon gesagt hast, über die allermeisten unserer Kunden sprechen.
Und die haben halt ein 365, also ein SharePoint Online. Da haben wir das Problem zum Glück gar nicht erst. Aber für alle, die es eben nicht haben, bitte aktiv werden.
Ja, zumal ja der SharePoint Server 2019, wie schon gesagt, abgelöst wird beziehungsweise bereits abgelöst wurde, weil er bereits abgekündigt ist. Er hat ein EOL nächstes Jahr. Und wenn du weiterhin einen Server betreiben willst, also wenn du weiterhin auf deiner Instanz sein willst, das geht jetzt richtig in die Kohle.
Also ich habe da kurz Zahlen, ich habe mal kurz recherchiert. Das ist halt einfach, sollte ich das sagen, je nach Unternehmensgröße so unfassbar teuer, dass das überhaupt keine Option mehr ist, das in irgendeiner Art und Weise zu machen. Also da sind wir, da reden wir von Konzernen.
Ja, und das ist nichts, was jetzt KMUs betrifft.
Natürlich, Microsoft geht seinen Weg natürlich auch immer weiter in die Cloud. Ja, man pusht das natürlich dann so ein bisschen in seine Richtung, so wie sie es gerne hätten. Auf der anderen Seite, man muss natürlich auch sehen, der Onlinespeicher ist auch noch recht teuer, keine Frage.
Aber das Grundgerüst, also den Server an sich, wenn ich ein 365 Tenant habe, muss ich ja nicht mitbezahlen. Also das ist ja schon mal da mit einem gewissen Speicherumfang, natürlich Terabyte plus entsprechende User. Also pro User bekommt man ja noch 50 Gigabyte.
So erhöht sich das halt ein bisschen. Aber klar, irgendwann, wenn man an der Schwelle ankommt, dass auch das ausgereizt ist, dann wird es natürlich auch teuer. Aber ich spare mir die initialen Kosten überhaupt für die Hardware, für die Lizenz.
Von daher muss man das immer alles in Relation setzen. Und da darf es irgendwann, also aus meiner Sicht oder was heißt, da darf es. Aber da ist es irgendwann kein Argument mehr zu sagen, wir sind günstiger, weil wir es lokal machen.
Man muss halt wirklich immer gegenhalten, was bedeutet das eigentlich?
Genau. Ja, und was man sich auch klarhalten muss, auch bei lokalen Installationen ist man vor Bugs nicht gewalttätig.
Also wie man sieht, jetzt in diesem Fall sogar weniger als in der Cloud.
Ja, also von daher, das war mir wichtig als Einordnung, dass wir über das erste Microsoft Thema mal drüber reden, dass wir es sauber einordnen. Es betrifft nur On-Prem Lösungen, es betrifft nicht die 365 Instanzen. Es ist wohl ein Patch raus.
Also es ist wohl was mit Defender. Du hast jetzt da eine Lösung. Versuch mal, ob das jetzt dein Hinder retten.
Aber wir werden irgendwann mal ein Update schieben. Also die sind wohl mit Hochdruck dran. Zum Zeitpunkt der Aufnahme ist jetzt noch keine finale Lösung da.
Es wird eine Lösung geben. Wichtig ist das Learning aus dieser Sache und zu sehen, wie man aus der Situation rauskommt und was man für die Zukunft in der Risiko Betrachtung besser machen kann. Das ist das, was wichtig ist.
Ich glaube jetzt genau jetzt, wir haben so einen gewissen Zyklus bei Microsoft. Ganz viele Produkte laufen aus. Also jetzt in kürzer Zeit auch einfach, wenn man den Server 2012 sieht, 2016 kommen, dann das Windows 10 läuft aus, SharePoint läuft aus.
Also man sollte sich wirklich mal dann, wenn man noch eine dieser Varianten oder Versionen nutzt, dann jetzt auch irgendwie die Roadmap machen, dass man recht schnell dann wieder aus dieser Situation rauskommt. Weil man läuft dem Problem ja immer nur so knapp davon. Ja, ist aber so.
Aber hättest du ein Problem wirklich im Nacken, musst du aktiv werden. Und das ist halt immer schlecht. Also am besten im Voraus planen.
Ich weiß, dass es für einige Firmen oder Unternehmen ja schon gewisse Investitionskosten mit sich bringt. Keine Frage, aber ein Sicherheitsvorfall bringt sicherlich noch mehr mit sich. Und dementsprechend seid da bitte wirklich aktiv.
Versucht, eure Umgebung so aktuell wie möglich zu halten, um euch da kein Risiko auszusetzen. Und wenn man sich einen guten Plan aufgestellt hat, ist es auch nicht teurer, als wenn man jetzt dem Problem nur davon läuft. Dann hat man es nämlich immer mit allen kalkuliert.
Und da auch kein Problem.
So ist das. Bringt uns aber als super tolle Überleitung zum zweiten Microsoft-Thema. Und zwar, wie fange ich an?
Wir haben ja eben gerade gesagt, Cloud ist besser, Cloud ist cool, Cloud ist sicherer. O365 ist ein tolles Produkt. So, jetzt kommen die Franzosen, hätte ich fast gesagt.
Und zwar, worum geht es? Und zwar geht es noch um eine Anhörung in Frankreich. Und da saß einer der Köpfe von Microsoft und ist gefragt worden, ob er sicherstellen kann, dass die US-Behörden keinen Zugriff auf die Daten haben in der EU.
Und da hat der sagen können, so richtig cool sicherstellen, also die Hand dafür ins Feuer und unter Eid, er nicht. So, und das hat natürlich auch oder das schlägt auch gerade Riesenwellen, nämlich da kommen wieder die Buzzwords durch die soziale, vielleicht bin ich auch einfach in der Nerdblase und in der Bubble so drin, dass mir das permanent um die Ohren fliegt. Aber da kommen jetzt auch wieder die ganzen Sachen hin.
US-Zugriffe, EU-Clouds sind unsicher, US-Anbieter kannst du nicht benutzen. Cloud greift immer etc. pp.
Und das ist im Moment auch so eine Sache, die echt kritisch gesehen wird oder wo halt viele Leute aus dieser Aussage, aus diesem kleinen Kraus jetzt wieder das typische Microsoft 365-Fass aufmachen.
Also grundsätzlich, wie du hast es ja schon gesagt, also jetzt, das ist aus zweierlei Sicht ein bisschen bedenklich. Also ich finde, das größte Problem dabei ist halt, dass Microsoft sich selbst ja, war das nicht dieses Data Resilience irgendwas?
EU Data Boundary haben die sich.
So rum war es, ja genau. Und das haben die sich ja quasi auferlegt, haben damit so die Sicherheit der europäischen Daten gewährleisten wollen und haben damit nach außen hin einmal geworben. Und dann finde ich es jetzt natürlich äußerst schlecht, wenn sich jemand da hinsetzt und sagt, na ja, ob das wirklich so gemacht wird, weiß ich nicht.
Ja, das ist schwierig.
Ja, ja, nein, ja, nein. Also sicherlich ist es ein Thema und wir kommen auch nicht, aber wir packen jetzt voll ins 365-Fass rein. Wir kommen.
Sicherlich ist es ein Thema. Wir reden über den Cloud Act. Der Cloud Act ist genau das Thema, worum sich es reibt.
Es geht nicht darum, dass die Amerikaner kein angeschlossenes, kein angemessenes Datenschutz Niveau haben, etc. Sondern am Ende geht es um den Cloud Act. Was sagt der Cloud Act?
Am Ende sagt der Cloud Act, dass US-Behörden Zugriffe kriegen können auf Daten, die von S-Unternehmen verarbeitet werden. Ganz grob, salopp ausgedracht. Und am Ende vom Tag bleibt Microsoft ein US-Unternehmen.
Das ist ganz entscheidend, dass es ein US-Unternehmen ist. Gibt halt nicht die Microsoft Deutschland GMEA. Jetzt betreibt die Microsoft USA in Europa Serverstandorte, Serverfarm, machen eine EU-Boundary, machen die Kiste zu.
Jetzt ist natürlich so die Sache, dass man sagen kann, ja, jetzt können ja theoretisch die Behörden, also wenn Cloud Act greift, wenn die Behörden kommen und schießen durch, dann schießen die einfach durch bis auf den Server in Frankfurt. Und damit ist die Sache erledigt. Somit machen den Sack zu.
US-Anbieter sind unsicher. Microsoft kannst du nicht benutzen. Mach den Sack zu, Häkchen dran fertig, damit wir das Thema beendet.
Dann hast du aber auch nur die halbe Wahrheit gemacht und hast nur die Hälfte gesehen. Hast dir das nicht ganz angeguckt und hast dir das meiner Meinung nach viel zu einfach gemacht. Also ich finde, das ist zu einfach, sich das zu machen.
Wenn du dir Microsoft anguckst, Microsoft, auch das, ich will jetzt keine Lanze für Microsoft sprechen oder dagegen, aber Microsoft macht halt sehr, sehr viele Dinge, um die Datensicherheit sicherer zu stellen. Und was sie auch machen, sie arbeiten mit Transparenz. Also ganz im Ernst an Stettel, dass der gesagt hat, na ja, so ganz sicher stellen unter Eid kann ich das jetzt nicht.
Hätte er auch unter Eid sich irgendeine Aussage einfallen lassen können, die nach außen so aussieht, als würde er ja sagen. Also das ist ja auch so eine Sache. Also sie arbeiten ja bewusst mit Transparenz, gestehen Dinge ein und geben Dinge zu.
Nur die Überlegung ist halt immer, was würde denn passieren oder warum kann denn ein Cloud Act überhaupt greifen? Und was wäre denn wie und was muss denn überhaupt passieren? Und das sind so viele juristische Dinge, die vorher da sind und die vorher passieren müssen, bis wirklich eine US-Behörde über den EU, über den, Entschuldigung über den EU, bis eine US-Behörde über den Cloud Act bei Microsoft anfragt, um Zugriff auf Serverdaten in Frankfurt zu kriegen von einem gewissen Unternehmen.
Das können die sich nicht einfach so aus dem Rippen saugen.
Ich wollte gerade sagen, es ist ja auch nicht so, dass jetzt die US-Regierung sagen könnte Okay, wir wollen jetzt von von all euren Kunden jetzt die Daten haben, sondern die müssten ja gezielt auch ein Unternehmen dann ausrufen, also einen Kunden, wo Microsoft dann entsprechend die Daten freigibt. Das muss man ja zum einen schon mal sehen. Also es ist nicht so, wenn wenn Microsoft, wenn wenn die USA mal sagen sollten Ja, okay, wir brauchen jetzt die Daten von Unternehmen XY, dass wir jetzt alle ein Problem haben und alle unsere Daten automatisch darüber gehen.
Nee, so ist es halt auch nicht. Also da gibt es schon noch eine Einschränkung. Am Ende des Tages, Michael, ich wollte damit gar nicht sagen, du hast natürlich recht.
Es ist eine Transparenz und das wird auch offen kommuniziert, relativ offen natürlich. Aber was ich immer also für mich ist es halt nur schwierig, weil wir auf der einen Seite dann gesagt haben oder sagen Okay, so und so ist es. Und auf der anderen Seite ist es dann leider dann doch nicht.
Weißt du, wie ich meine?
Nee, es war ja nie anders da. Also auch das natürlich nicht, aber es war ja nie anders. Also diesen Cloud gibt es ja schon schon lange.
Also das war ja nie anders. Es ist halt, es ist, wie es ist. Es ist halt eine Frage.
Es ist halt für mich immer wieder die Frage, wie lege ich es aus? Und wie treibe ich die berühmte Saudersdorf? Und Microsoft arbeitet mit Transparenz.
Die machen Schritte mit EU-Boundary. Die versuchen viele Dinge gut zu machen. Die machen viele Dinge gut.
Ich habe mal vor einem Jahr oder vor einem halben Jahr eine Podcast-Reihe gehört, die super interessant zu dem Thema war, auch mit einem von Microsoft Deutschland. Das war jetzt eine richtig coole Kiste. Und das war super interessant dazu zu hören.
Die machen echt viele Dinge. Und das ist schon alles in Ordnung. Und Gerichte und Rechte, das muss auch erst mal dazukommen.
Und da war auch die Aussage, selbst wenn von, wenn mal was, wenn mal was gekommen wäre vom Cloud-Egg, weil das auch, das muss man dazu sagen. Die Frage war ja auch, und das ist ja das, was er auch beantwortet hat, war ja der Nebensatz, wie viele Anfragen von US-Behörden haben sie aktuell beantwortet? Und wie oft haben sie US-Behörden Zugriff geben müssen?
Antwort Null. So, also das ist ja auch, ich meine, das muss ich in dem Kontext auch bewerten. Hätte er jetzt gesagt 736 im letzten halben Jahr, wären wir mit Sicherheit bei einer anderen Diskussion gewesen.
Aber da steht eine Null. Und wenn ich ihm glaube, dass er offen und ehrlich sagt, wir haben es, wir können es nicht in letzter Konsequenz, am letzten Schritt, wenn alle Gerichte durch sind und alles. Wir können es nicht verhindern.
Und ich ihm das glaube und ich ihm deswegen vorwerfe, hör, pass auf, da ist wohl was unsicher. Dann muss ich ihm auch die Null glauben und dann muss ich wieder sehen und dann kann ich wieder sagen, jawohl, aber diese Menge an Kunden, die bei Microsoft bedient werden, aus Deutschland, nur aus Deutschland, die Menge, die da liegt an Kunden, die Anzahl an Kunden, die Menge an Daten da liegen, alle Unternehmensgrößen, aktuelle Anfragen von US-Behörden mit korrektem Zugriff oder aktuelle Herausgaben von Daten aus genau diesem Pott, Null.
Da muss wohl irgendwas dahinter liegen. Das heißt, die haben entweder irgendwelche Schritte, wo sie, wenn Anfragen kommen, sie die Anfragen abwehren können, dürfen. Ja, das ist ja eine Sache.
Oder es ist halt einfach, um es mal ganz salopp zu sagen, der US-Behörden ist das Humbe, was da liegt. Also die interessieren sich nicht. Die brauchen ja auch einen Anfangsverdacht.
Die können ja auch nicht nicht verdachtlos einfach irgendwie mal sagen, jetzt mach mal, sondern die brauchen ja, die brauchen ja entsprechende Regulatorien und die brauchen entsprechende Ansätze und die müssen sich ja auch an Spielregeln halten. Ich meine, da sitzt ja, da sitzt ja jetzt auch keiner in den US-Behörden und sagt, boah, was mache ich denn heute den ganzen Tag? Ach, weißt du was?
Heute surfe ich mal oder heute scroll ich mal durch die Microsoft Instanz in Frankfurt und dann schickt der, dann macht der unten sein VPN auf, einmal Microsoft Frankfurt und Microsoft bestätigt das bzw. hat seine Zugangsdaten auf das Ding und dann setzt er sich da hin und googelt, Entschuldigung, googelt bei Microsoft Bing, sucht bei Microsoft ja mal eben den gesamten Server durch und guckt mal, ob er irgendwelche interessanten Urlaubsfotos oder irgendwelche geheimen Firmendaten findet.
Ich meine, das will ich mir nicht vorstellen, wenn das irgendwann mal der Fall wäre.
Ja, aber ich glaube, das ist bei manchen Leuten die Vorstellung, die einfach sagen, ja gut, das sind vier US-Behörden, die können ansatzlos jetzt mal eben drauf. Die haben ein VPN oder was auch immer. Ja, wählt sich ein Teamführer, hat ein Teamführer pro Lizenz.
Da schaltet, ja, da schaltet er sich auf und dann sucht er sich da mal was raus. So ist es ja nicht.
Ja, genau. Und man muss ja auch dazu sagen, ich habe es schon mal gesagt, aber auf uns bezogen als Dienstleister, so ist es bei denen aber auch. Es ist ja nicht so, dass Microsoft Zugang zu den eigenen Daten hat.
Auch für die bleiben die Daten ja uneinsehbar. Ich meine, klar, es gibt Möglichkeiten, die wieder sichtbar zu machen. So nicht.
Aber grundsätzlich ist es ja so, der Administrator hat erst mal keine Zugänge auf die Daten. Die können natürlich administrieren, können am Server was machen und so weiter und so fort. Aber die sehen die Daten nicht inhaltlich.
Das ist auch jeder, der vielleicht bei Microsoft mal ein Support im 365-Bereich angefordert hat. Da ist es ja auch so, im Tenant muss man diese Person, also dieser Person erst mal noch mal den Zugang gewähren. Ist nicht einfach, dass sie sagen, Kundennummer, ich bin schon drin.
Nein, so läuft es ja auch nicht. Und wo wir gerade bei dem Thema waren, weicht jetzt gerade ein bisschen von Microsoft ab. Aber grundsätzlich, wenn die US-Regierung Interesse hat an Daten, das bedeutet nicht, dass sie grundsätzlich einen Zugriff bekommt.
Selbst bei US, also Daten in den USA. Bestes Beispiel da ist ja Apple. Diese Diskussion, die da immer wieder auf, ja, die immer wieder hochkommt, wenn irgendwie was passiert ist, dass sie dann ja die Zugänge auf die iPhones und sowas haben wollen.
Nee, kriegen die nicht. Also das ist ja genau das, wofür diese Unternehmen ja auch ein Stück weit stehen. Und dieser Überzeugung, da gehen ja bis vors Gericht mit und versuchen, das durchzusetzen.
Also von daher, ich glaube schon, dass, wie gesagt, also vorhin, ich habe gesagt, okay, ich finde das blöd, dass das so nach außen hin dann so aussieht. Ja, es gibt. Natürlich geht es nicht darum, ob die jetzt die ganzen Daten rausgeben.
Da hast du schon völlig recht. Das tun sie nicht. Also es ist jetzt nicht so, dass wir einfach sagen, okay, damit wir unseren Soll erfüllt haben gegenüber der Regierung, machen wir alles auf.
Die kämpfen schon für ihr Recht und für das, was also für die Verbraucher, für die Benutzer am Ende. Mir ging es einfach nur darum, ist es natürlich schade, dass diese diese Möglichkeit besteht, obwohl man versucht, dieses durch Maßnahmen und so zu verhindern. Am Ende des Tages kann aber Microsoft sowie Apple oder egal wer, die können ja nun mal nichts dafür.
Ja, aber schiebt doch durch. Meinst du, Google Workspace ist besser? Nein, nein, sicher nicht.
Das ist, wie es ist. Es ist ein Thema, mit dem man umgehen muss, mit dem man leben muss. Das ist, wie es ist.
Also das ist klar, so geht es doch nicht vor.
Wir reden immer über die USA. Guck doch mal, was jetzt kommt. Die EPA zum Beispiel, das wird ja jetzt einfach ausgerollt.
Im Oktober kriegt einfach jeder eine. Du kannst aktiv widersprochen haben. Da liegen dann keine Daten drin.
Aber erst mal wird für dich eine eröffnet, auch wenn du das nicht willst. So und genauso wird es nachher. Also der Plan ist ja auch zum Beispiel, alle Daten nachher zusammenzuführen.
Du hast eine ID, da liegen alle deine Daten drin und die sollen mit der gesamten EU geteilt werden. Ist das also jetzt gerade viel besser als das, was die USA machen?
Also wir reden immer nur über eine Sache, aber wir machen den gleichen Müll ja auch.
Ja, mach weiter.
Schlimmer. Guck dir an, was auch zyklisch immer wieder kommt. Werf mal das Stichwort Chat-Kontrolle bei uns rein.
Was wir mit den Behörden da sind. Chat-Kontrolle, Vorratsdatenspeicherung, wo wir dran sind. Da sind wir ja kein Deut besser.
Also da war ja die Diskussion oder ist ja bei der Chat-Kontrolle die Diskussion, halt einfach die Verschlüsselung aufzubrechen, dass die einfach sagen können, die können auf jede verschlüsselte Cloud oder die können auf jeden Gramm zugreifen und können sich... Wir haben über über CSAM-Scanner gesprochen. Wir haben darüber gesprochen oder in Diskussionen gehabt, dass du, egal in welcher Cloud, Scanner durchlaufen können, um Bilderkennung auf deinen Bildern...
Klingt ein bisschen blöd, aber eine automatische Bilderkennung darüber laufen zu können, um zu gucken, ob du Bilder auf deiner Cloud liegen hast, die im Zusammenhang mit Kindesmissbrauch stehen. Ja, und das sind halt alles so Sachen, um Gottes Willen. Ja, auch da wieder.
Meine Kinder sind zum Glück groß, aber auch da wieder ist ja die Gefahr viel, viel größer, dass du da auch unter so ein Ding reinfällst, so ein Raster reinfällst. Die vierjährige Tochter steht in der Badewanne. Du machst ein Bild davon.
Ja, dein dreijähriges Kind liegt auf dem Winkeltisch oder fährt nackt Fahrrad bei schönstem Wetter. Das sind ja alles so Dinge. Also da ist ja die potenzielle Gefahr, dass wir da irgendwie reinrutschen oder dass da mal irgendeiner Pranger, ja, irgendeiner mal da dran steht und mal Post kriegt und mal irgendwas dran.
Das ist ja noch viel, viel höher wie das, was wir gerade im Cloud-Eck diskutieren. Und das sind ja aktuelle Themen. Ich meine, die sind nicht da, aber das sind Themen, die aktuell besprochen werden und aktuell immer mal wieder, immer mal wieder zyklisch auf ein Ding kommen.
Also Michael, machen wir uns doch auch nichts vor. Wenn was besprochen wird, irgendwann wird irgendwas in irgendeiner Form kommen. So und dann, dann meckern wir heute über die Amerikaner, obwohl wir da wenig Sorgen haben.
Wenn ich aber überlege, ich habe später eine ID und da ist alles drin, meine Bankdaten, meine was weiß ich und das geht dann nachher durch die durch die EU durch und alle Behörden haben Zugriff darauf. Und wenn nur einer, egal wo, diese ID knackt, sind alle meine Daten frei verfügbar im Netz.
Also mal ganz ehrlich, über was sprechen wir hier? Solange, solange die Technik funktioniert, bin ich mit allen Sachen dabei. Und es gibt auch Techniken, die funktionieren.
Aber solange ich das so umsetze, wie ich die EPA umsetze, um Gottes Willen, dann vertraue ich lieber US-amerikanischen Unternehmen. Ja, wie in Deutschland der EPA Umsetzung. Vergess es.
Deswegen, das war mir jetzt noch mal wichtig, auch die Diskussion einfach mal so ein bisschen einzuordnen, weil wir reden immer über andere. Aber hier ist es nicht besser.
Also lieber Microsoft wie die Gematik, wenn ich mir das aussuchen darf. Also wenn ich mir das aussuchen darf, lege ich die Daten lieber bei Microsoft wie bei der Gematik. Es ist halt einfach so.
Das zeigt genau das Ding. Also mir ist nur wichtig, dass man da auch. Ja, ich finde das nicht schön.
Ich fände es aber in die andere Richtung auch nicht schön, wenn es da möglich wäre. So darum ging es mir einfach nur. Also bevor wir das jetzt von vorhin ein bisschen falsch einordnen.
Ja, die Situation, also die Möglichkeit besteht. Ja, das Risiko ist gering, dass meine Daten ausgelesen werden. Ja, ich finde das schade, dass es möglich ist.
Aber ich fände es andersherum genauso blöd. Und das müssen wir immer wirklich mit dem Nutzen gegenüberstellen. So und wir haben im Moment keine passende, adäquate Lösung, die all das kann, was Microsoft kann und schon gar nicht viele Anbieter, die so viele Dinge in die Hand nehmen, um eben genau diesen Fall, diesen negativen Fall vom Daten herausgeben, dass das also, dass sie versuchen, das zu verhindern.
So, da gibt es nicht viele Unternehmen. Und von daher also vor allem, dass sie auch das Standing gegenüber der Regierung haben, dass sie sagen Nee, dem Weg gehen wir nicht mit. Von daher glaube ich nicht, dass das jetzt.
Ja, dass wir das jetzt noch groß weiterhin thematisieren müssen. Ich ja, die Diskussion ist da, aber für uns ist sie, glaube ich, an dieser Stelle erst mal abgeschlossen, wenn du nicht noch was dazu beizutragen hast an der Stelle. Deswegen würde ich sagen, das lassen wir jetzt mal dann damit auf sich beruhen.
Wenn da jemand andere Meinung ist, gerne raus damit. Hören wir uns natürlich immer gerne an. Tauschen wir uns auch gerne mit euch nochmal aus, falls da irgendwie Punkte gibt.
Okay, so und jetzt pass auf, jetzt haben wir das Thema Microsoft behandelt, was ein heißes Eisen ist, wo man echt viel Fettnäpfchen machen kann und echt kontroverser Meinung darüber sein kann und gerne Feedback. Wir sind für alles offen, gerne Feedback. Ich würde sagen, wenn wir jetzt sowieso auf so so saudünnem Eis uns die ganze Zeit bewegen, wir machen mit dünnem Eis weiter.
Und zwar lass uns das dünne Eis, lass uns, lass uns das dünne Eis der NIST 2 betreten.
Ja, wir hatten es ja angekündigt. Wir wollten ja mal einmal eine so eine Episode machen, wo es wirklich dann darum geht, dass wir auf die Richtlinie eingehen und dass die NIST 2 aktueller Stand, glaube ich, auf jeden Fall jetzt im Punkt.
Bevor wir das noch mal kurz über die NIST 2 reden, ich möchte es bitte für alle, die es noch nicht gehört haben, wir haben es schon mal besprochen, aber für alle, die es noch nicht gehört haben, ich würde es gerne mal kurz einordnen. NIST 2 ist eine Richtlinie. Richtlinien werden von der EU in Kraft gesetzt und müssen von den Ländern in Gesetze umgewandelt werden.
Die NIST 2-Richtlinie ist nicht direkt wirksam für Unternehmen. Kein Unternehmen unterliegt der NIST 2-Richtlinie. Provokante Aussage, formal allerdings korrekt.
Was die Unternehmen irgendwann mal erfüllen müssen, ist das, was in Deutschland aus der NIST 2-Richtlinie gemacht wird, nämlich das NIST 2-Umsetzungsgesetz. Natürlich wird das NIST 2-Umsetzungsgesetz sich an der NIST 2-Richtlinie orientieren, weil die muss einhalten. Aber formal, jippie, hey, ihr müsst jetzt alle NIST 2 machen, kann man differenziert betrachten.
Dagegen sprechen, und das nur noch mal kurz beharren, sprechen Verordnungen. Wenn von der EU Verordnungen verhängt werden und ausgerufen werden oder freigegeben werden, sind diese direkt wirksam und müssen nicht in Landesrecht umgesetzt werden. Konkretes, bestes Beispiel DSGVO, Datenschutzgrundverordnung.
Das heißt, was man hier wichtig hat, es gibt Richtlinien und Verordnungen, was aus Brüssel kommen. Verordnung direkt durch, ja, wird direkt durchgebracht, wir haben die Gültigkeit direkt durch. Richtlinien müssen in nationales Recht umgewandelt werden.
Das ist wichtig, nur ganz kurz zur Einordnung.
Unter der Stelle stehen wir noch nicht.
Ich wollte gerade sagen, genau an dieser Stelle, nämlich die Umsetzung der Richtlinie in nationales Recht, da feiern wir uns gerade als Deutschland ein bisschen. Wir hatten Frist, letztes Jahr, August, September, so genau, boah, ja, will ich mich da jetzt gerade mal festlegen, ich habe auch die konkreten Zahlen nicht mehr im Kopf, ich weiß nur, dass die jetzt über mir tanzen. Natürlich tanzen die so und machen feine Entwürfe.
Und zwar war das Gesetz kurz davor, bevor die Ampelkoalition gecrashed ist, jetzt hat sich eine neue Regierung gebildet, jetzt fangen die so langsam an zu arbeiten. Es sind ganz andere Menschen, die an dem Entwurf arbeiten, die früher da drin waren, die jetzt einfach gar nicht mehr in der Regierung sitzen, das heißt, andere Köpfe, die haben sich konsolidiert, haben jetzt angefangen, mal was zu machen und haben am 24.06., also jetzt war knapp vor vier Wochen ungefähr, einen neuen Referentenentwurf veröffentlicht und sind da noch dran. Wir haben ein paar Kleinigkeiten gefeilt, wir haben ein paar Sachen gemacht, man kann beim Bund diesen Umsetzungszustand sehen, man kann den Referentenentwurf runterladen, ich meine, es wären so 67 Änderungen oder was gewesen, was ich so quer gelesen habe, aber dieser Referentenentwurf ist noch nicht, der ist veröffentlicht, aber es gibt noch keinen Regierungsentwurf und das Gesetz ist noch nicht verkündet.
Das ist ganz wichtig. Also somit sind wir heute noch in einem Raum oder in einem luftleeren Raum, wo man sagen kann, also das wird kommen, also Entschuldigung, ich schritt zurück, natürlich wird das Gesetz in irgendeiner Art und Weise kommen und natürlich wird es so sein, dass sich die Unternehmen da direkt auch noch dran zu halten haben. Das heißt, es ist durchaus schlau, jetzt schon mal einen Blick in den NIS 2 zu werfen, um ein Gefühl dafür zu bekommen, was auf einen zukommen wird.
Ganz klare Sache, alles gut. Aber eben nur mit dem Hinterkopf, da ist noch was am Gehren, da kann sich noch was ändern, da schrauben die noch dran. Und ein konkretes Beispiel, dass ich sagen kann, wo ich sage, da schrauben die noch dran, war zum Beispiel das Thema mit den Meldungen.
Aktuell im neuen Referentenentwurf, mit den neuen Ideen, die kommen, mit den neuen Sachen, die kommen, sind jetzt auch mal die Meldewege so langsam mal klar geworden oder sie haben sich jetzt auf Meldewege geeinigt und zwar geht es einfach darum, dass man gesagt hat, dass man die Meldewege für IT-Sicherheitsvorfälle und für Datenschutzvorfälle schon mal vereinigt. Das war ja das, worüber wir auch schon gesprochen haben, dass wir gesagt haben, okay, ich habe einen Datenschutzvorfall, den muss ich meiner Behörde melden. Wo melde ich denn jetzt um alles in der Welt einen IT-Sicherheitsvorfall hin, weil das war noch gar nicht geklärt.
Und das haben die jetzt am 4.7. mal geklärt. Und das sind halt so die Sachen, wo man sagt, guckt dir das mal in aller Ruhe an.
Ja, also die grundsätzlichen Sachen, die in der NIS 2 drin sind, kann man natürlich aber trotzdem schon mal angehen. Sollte man auch, damit es nachher nicht zu knapp wird. Wir haben vor, ich glaube vor einem Dreivierteljahr oder so, haben wir mal eine Episode gemacht.
Da haben wir gesagt, okay, kein Grund zur Eile. Ja, ist auch richtig. Aber jetzt ist das Dreivierteljahr auch um.
Also spätestens jetzt bitte auch mal loslaufen, grundsätzliche Dinge schon mal angehen, dass man das schon mal in der Tasche hat. Wenn man dann nachher den fertigen Entwurf hat und weiß, okay, das wird kommen, damit dann die Hürde nicht mehr so hoch ist.
Aber auch da, ich bin ein Freund von Cybersecurity, ich bin ein Freund von Informationssicherheit. A, mag ich, also verdiene ich damit mein Geld. Ja, es macht mir aber auch großen Spaß.
Und ich bin der Meinung, dass viele Unternehmen, alle Unternehmen sich mit dem Thema auseinandersetzen müssen, sich beschäftigen müssen, müssen die Informationssicherheit nach oben treiben. Vollkommen klar. Aber wo ich mich auch gegen wäre oder wo ich auch ein Freund davon bin, die Kirche im Dorf zu lassen und den gesunden Menschenverstand dran zu walten.
Und da bin ich bei der Sache, wenn du dir aktuell oder permanent die Nachrichten anguckst und guckst dir permanent an, was so los ist, hast du ja das Gefühl, als wären wir alle auf einmal NIS2 betroffen. Als wären wir alle auf einmal diejenigen, die NIS2 einhalten müssen. Also NIS2 Umsetzungsgesetz, bleibt bei NIS2.
Und dem ist ja nicht so. Das heißt, wenn ich einen Tipp geben darf an die Unternehmen, jetzt an der Stelle wirklich mal, es hat sich jetzt, wir sind ein Dreivierteljahr weiter, wir haben einen neuen Referentenentwurf, es hat sich ein bisschen geschüttelt. Guckt euch an, ob ihr betroffen seid, ja oder nein.
Und macht eine Betroffenheitsprüfung und investiert auch gerne mal in einen Anwalt rein, der das für einen schmalen Markt oder für eine Beraterhaunera das wasserdicht euch macht.
Wobei man muss ja trotzdem sagen, vielleicht lege ich damit jetzt falsch, aber es werden ja trotzdem hinten raus viele davon betroffen sein, weil ja die Lieferkette hinter den kritischen Infrastrukturen ja trotzdem dazu zählt.
Nein Anlaster. Nein Anlaster. Und zwar habe ich einen konkreten Punkt.
Du bist ja, wenn du, also fällst du unter NIS2, wir bleiben jetzt mal am Wording NIS2. Wenn du NIS2 bist, musst du dich registrieren beim BMI. Und wenn du NIS2 bist, bist du wesentliche oder wichtige Einrichtung.
BSI, meinst du, oder? Genau. Ja, weil du gerade BNI gesagt hast.
Und du bist einer der 18 Wirtschaftssektoren, wie sie im Annex 1 benannt sind. Dann bist du echter NIS2er. Natürlich kann es passieren, dass im Zuge des Lieferketten Sorgfalt, dass du in der Lieferkette von einem NIS2-Unternehmen drin bist und dann bist du aber ein Zulieferer.
Dann ist jetzt die Frage, du musst dich für dich bewerten. Bist du wirklich wesentlich und wichtig oder bist du nur im Zuge der Lieferkette dazu verpflichtet, dich um deine Informationssicherheit kümmern zu dürfen? Also da musst du halt einfach aufpassen.
Du musst halt einfach gucken, unterliege ich dieser gesetzlichen Anforderung oder unterliege ich einer Anforderung zur Informationssicherheit über meine Lieferkette und über eine Anforderung, die ein Lieferer oder die ein Kunde von mir an mich dran bringt. Das sind für mich in der Betrachtung zwei unterschiedliche Paar Schuhe.
Ja, nehmen wir mal ein konkretes Beispiel. Das jetzt mal so auf uns bezogen, damit man das vielleicht ein bisschen einordnen kann. Ich meine, okay, klar, wenn du jetzt ein Maler bist, ja gut, dann bist du natürlich nicht betroffen.
Wenn du, nehmen wir mal an, man würde auch Daten verarbeiten, also grundsätzlich mit Daten arbeiten und ich würde jemandem einen Cloud-Dienst verkaufen. Okay, die Daten liegen nicht bei mir, sondern beim Anbieter, meinetwegen bei Microsoft. Dann bin ich auch nicht betroffen.
Wenn ich eine Mail-Archivierung stelle und das ist auf unserer Infrastruktur, bin ich dann betroffen?
Nein, also erst mal muss man sagen, ab 50 Beschäftigte Jahresumsatz 10 Millionen.
Ja gut, das betrifft ja erst mal das Unternehmen, was quasi wirklich dann in die NIST 2 für sich selbst fällt. Genau. Aber der Zulieferer, betrifft den das nicht trotzdem?
Also kann den das nicht auch trotzdem betreffen?
50, 10 Millionen.
Das heißt, wenn ich drunter bin, ist es sowieso völlig egal, ob ich den...
Und einer der Sektoren. Jetzt gibt es einen Annex 1. Ich relege jetzt nur mal so ein bisschen, ja.
Wir sind hier bei Verteilernetzbetreiber, Stromdiensteanbieter, Betreiber von Ladepunkten, Betreiber von Fernwärme, Erdgas,
Energie, Verkehr, Bankwesen,
Speicheranlagen im Sinne Artikel 2, da muss man halt mal durchgeben, LNG-Anlagen, Wasserstoff, Teilsektorverkehr, Luftfahrtunternehmen, Betreiber von Verkehrsmanagement, Infrastrukturbetreiber, Eisenbahnunternehmen, Schifffahrt, Passagier- und Frachtbeförderungsunternehmen, Straßenverkehrsbehörden, Bankwesen, Finanzen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur.
Da könntest du jetzt drunter kommen. Betreiber von Internetknoten, DNS-Anbieter, Anbieter von Cloud-Computing, Rechenzentrum, Vertrauensdiensteanbieter, öffentliche elektronische Kommunikationsnetze, ITK-Anbieter, öffentliche Verwaltung und Weltraum nicht zu vergessen. Post- und Kurierdienste, Abfallwirtschaft, also chemische Produkte.
Du siehst schon, du musst dich da schon wiederfinden und du musst das kritisch machen. Und dann bist du halt, wenn du da in diese Nummer reinkommst, musst du dich halt vernünftig melden, musst das behandeln. In der Lieferkette an sich kann höchstens ein Lieferant sagen, ja pass mal auf, ein Dienstleister oder ein Kunde von dir sagen, ja pass mal auf, ich arbeite mit dir nur zusammen, wenn du entsprechend die Anforderungen aus NIST 2 einhältst.
Und dann kannst du eben sagen, ja klar, mach ich. Eine 27001 zum Beispiel, ich hab die NIST 2 Addons noch oben drauf, coole Kiste, aber dann musst du dich noch lange nicht irgendwo melden und musst offiziell dich als NIST 2-Unternehmen registrieren lassen. Wer mir jetzt, darf immer sein, dass ich auch da wieder, wenn ich Völlevans erzähle, gerne melden, gerne in den Dialog reingehen, aber nein, warum?
Ja gut, das war jetzt nur meine Frage. Nicht, dass ich mich unbedingt melden muss, sagen wir mal so, ich glaube, gut, ich fall nicht zwingend da rein, aber die Chance, dass dann jemand sagt, entweder machst du es oder wir arbeiten nicht mehr zusammen, ist dadurch ja schon deutlich höher.
Darüber, da brauchen wir nicht drüber reden. Wir brauchen auch nicht drüber reden, dass ich es gut finde, wenn du das machst. Also NIST 2, oder ja, es kann eine Möglichkeit sein, die Informationssicherheit nach oben zu treiben, neben vielen anderen Dingen auch.
Also das ist schon ein, aber es ist halt ein ziemlich hohes Ding. also vom Level her, dann ist die Frage, muss ich oder darf ich? Und wenn ich mir das aussuchen darf, dann bin ich da wesentlich entspannter und kann mit Schilder an die Nummer drangehen, als wenn ich ein Mussig bin.
Und das muss ich halt einfach, das muss ich halt einfach vernünftig berücksichtigen und bei all dem Hype mir wirklich für mich und für mein Unternehmen entscheiden. Ja. Und dieses Lieferketten, ich bin mal gespannt, wie weit das mit der Lieferkette noch geht und mit diesem Lieferkettengesetz und wie viele Themen wir noch behandeln.
Ja, ich habe jetzt inzwischen, habe ich Sachen hier mit Menschenrechtssachen. Dann fragen Kunden, ob meine, ja, dann kommen meine Mandanten und sagen, pass mal auf, was soll ich denn jetzt hier? Ja, und da steht drin, sich verpflichten, Sanitäranlagen für ihre Mitarbeiter zur Verfügung zu stellen.
Wir reden von hier. Und dass wir Kinderarbeit nicht importen und so ein Kram. Und es gibt echt Firmen, die wollen das und die sagen halt einfach im Zuge des Lieferantenmanagements, drücken wir das durch und wollen diese Compliance-Anforderungen von allen Mitarbeitern bestätigt haben.
Ja, ich habe heute, ich habe heute was wieder gekriegt oder ein Kunde von mir hat heute wieder was gekriegt. Dazu Erklärung zur Einhaltung der Vorschriften der Verordnung 2023 1115 über die Bereitstellung bestimmter Rohstoffe in der Zeugnis, die mit Entwaldung und Waldschädigung in Verbindung stehen auf dem Unionsmarkt und ihrer Ausfuhr oder der Union. Also jetzt fangen wir auf einmal an und müssen bestätigen, dass wir keine Waldrodung vornehmen für die Produkte, die wir herstellen.
Also ich habe da ein ganz ungutes Gefühl, was mit diesem Lieferkettengesetz und in dem Zuge des Lieferantenmanagement durch ist. Ich glaube, da wird viel, viel, viel Schindblut getrieben. Viele Firmen sind der Meinung, sie können diese Rechte alle abtreten oder diese Pflichten alle nach unten weggeben.
Viele haben das Gefühl, die mahnen einen kompletten Overkiller an der Stelle. Das ist nicht mehr im Sinne dessen.
Es kann aber nachher auch und ja, das hört sich jetzt so ein bisschen abgedroschen an, aber es kann nachher auch so eine Marketinggeschichte sein, dass man sagt, ich habe in meiner ganzen Lieferkette dafür gesorgt, dass genau das eben nicht der Fall ist. Oder so wie, was weiß ich. Ja, aber wie hast du das?
Das wäre ein Energieausgleich in der gesamten Produktionslinie.
Aber wie hast du denn darüber versorgt? Was soll ich denn jetzt damit machen? Ja, mein Kunde ist Hersteller, der liefert denen ein fertiges Produkt.
Das besteht aus fünf, also ja, das ist ein relativ easy. Soll ich das jetzt wieder weitergeben und wieder weitergeben und wieder? Wer will denn am Ende?
Verstehst du, was ich meine? Also wo hört denn die Kette auf und wie viele Leute müssen jetzt so ein Blatt Papier unterschreiben, was das Papier ist, was es wert ist? Also ich glaube, dass das kein guter Trend ist.
Also ich sag mal, das kann so ein Marketingding sein. Versteh mich nicht falsch. Also ich glaube gerade auch dieses Rechte und sowas.
Also wir. Ich sag mal so, wir bei uns können uns das sowieso ganz, ganz schlecht vorstellen. Natürlich gibt es das weltweit, dass da Kinder arbeiten, dass da Leute auch definitiv ihren Leistungen nicht gerecht bezahlt werden.
Ja, das haben wir hier nicht. Deswegen ist das Thema für uns manchmal so abstrakt, denke ich. Ja, aber die Sache ist einfach die.
Ich glaube, dass es mittlerweile, da das Thema ja bei uns trotzdem immer weiter hochkommt, dieses nachhaltig, dass man Energie nicht einfach nur verbraucht, sondern sie ausgleicht, dass man Menschen auch entsprechend gerecht entlohnt und so. Ich kann mir vorstellen, dass das irgendwann so der Weg ist, dass man dann nach außen dann sagen kann, ja, aber wir sorgen uns um all das. Ob das dann nachher der Fall ist, weil irgendwann nehmen wir mal an, selbst wenn du jetzt sowas hättest, du würdest jetzt Textilien herstellen und würdest jetzt in Bangladesch die Anfrage stellen, da kann ich dir auch sagen, die würden auch sagen, das machen wir nach den Regeln, wie es sein soll.
Ja, aber dann ist es halt schwierig. Bleibt mal genau bei ServeCom. Ihr bezieht, ich meine, das ist ja kein Geheimnis, ihr bezieht ja Ware von Wortmann, ihr habt ja Terraprodukte im Angebot.
Wortmann ist eine riesengroße Firma. Jetzt gibst du das Ding oder gibst das andere Ding, gibst du Wortmann, sagst dir, pass auf, hier, wir Surfcom wollen, ja, füll mal aus, ob du Hölzer, ob du abholzt oder ob du Produkte verarbeitest, die abholzend drin sind und bestätigen, dass die Menschenrechte einhalten. Was will denn Wortmann machen?
Die bauen ja die PCs zusammen.
Theoretisch müssen die weitergehen zu Intel und was weiß ich.
Genau, die müssen jetzt weitergehen zu Intel, zu AMD, zu whatever, wo die Computer, wo will denn die Kette aufhören? Verstehst du, was ich meine? Also irgendeiner, ich glaube, in der Praxis macht irgendeiner den Stopp an der Kette, schaltet den Kopf ein und sagt entweder ich mache das, ich unterschreibe das nicht, ganz egal, was passiert oder sagst, komm her, ich unterschreibe es, alles ist gut, dann geht es schon auf.
Verstehst du, was ich meine? Das ist das, worauf ich vorhin hinaus wollte.
Wo ist die Grenze dann? Das wirst du nicht durchziehen können. Also meine feste Überzeugung, ja.
Ja, ist so, also gerade in der IT, also gerade bei elektronischen, nicht nur IT, aber grundsätzlich elektronische Teile, du hast so viele Produktionsschritte und so viele unterschiedlichen Stellen dazwischen, da hast du völlig recht, da hast du, ist es halt nicht so, dass man dann einfach sagen kann, OK, unterschreib mal eben, dahinter steht keiner mehr. Deswegen, darauf wollte ich aber vorhin auch hinaus. Wo ist dann die Grenze?
Weil am Ende des Tages, wenn wir jetzt gesagt hätten, OK, wir stellen euch eine Mailarchivierung auf unserer Infrastruktur. Die Infrastruktur ist ja nicht bei uns im Haus. Wir stellen sie bereit.
So, das heißt, dahinter steht dann das Rechenzentrum. Dahinter steht dann Anbieter XY. Also das ist ja genau das.
Und eigentlich bist du da ja auch immer wieder in der Lieferkette weiter einen Schritt runter. Also deswegen ist es schwierig.
Ist zweimäßig Informationssicherheit ganz kurz aus abzugreifen. Wenn ihr natürlich Archivierungsleistungen anbietet und die nicht selber hostet, sind natürlich eure Rechenzentrum, die ihr mietet und wo ihr drauf geht, entsprechend zertifiziert. Ihr macht eine vernünftige Belieferantenbewertung.
Wir gucken uns das Datenschutz rechtlich an. Das ist schon alles safe. Aber danach hört es auf.
Also danach ist der Cut. Und ein ganz blödes Beispiel, nochmal ganz kurz auf den anderen Kram zurück. Wo kommt denn Plastik her?
Also verstehst du, irgendeiner stellt also Kunststoffe. Sicherlich der, der dann die Spritzgussmaschine hat und die Kunststoffe verspritzt, der gibt das ja dann auch wieder weiter. So, und wo bist du denn?
Bist du irgendwann bei, ich sage jetzt einfach mal BASF oder bei sonst irgendeinem Chemieunternehmen, Erdölverarbeitung? Was wollen die denn machen? Wo wollen die es denn weitergeben?
Also ich finde diese Kette, dieses Pauschale mit irgendwelchen Compliance- Anforderungen durch die Welt schießen und sich mal eben schnell was unterschreiben lassen, wird keinem wirklich helfen. Das ist so mein Ding. Und wie du schon gesagt hast, das wird am Ende, wo ist die Grenze?
Wo ist der Cut?
Deswegen, da wollte ich eigentlich eingangs auch mit der Frage hin, mal einfach so, dass man halt mal sieht, okay, an der einen Stelle ist es nicht, an der anderen Stelle kann es sein, aber irgendwann muss es ja eine Grenze geben.
Sehr gut.
Aber gibt es da, gibt es da irgendwie jetzt mittlerweile so einen Horizont, wo man sagt, so bis dahin wäre es so der Wunsch, dass man dann mal irgendwann auf den Punkt kommt? Oder warten wir bis auf nächste Regierung?
Irgendwann, irgendwann macht einer. Die haben ja, haben die nicht dieses Lieferketten- Boah, ich bin echt besser vorbei. Dieses Lieferketten-Sorgfalts-Gesetz steht auch sogar auf dem Prüfstand.
Da war doch schon mal irgendwann die Aussage von einem Politiker, der gesagt hat, er wird es genau so ändern, indem er da reinschreibt, das Lieferketten-Sorgfalts-Gesetz wird außer Kraft gesetzt. Punkt. Ende.
Das war alles, was er noch machen wollte. Ich weiß gar nicht, wie weit das im Moment ist. Ich merke es halt nur.
Ich merke halt nur, und das macht die Sache jetzt wieder rund. Ich merke halt nur. Unternehmen sind permanent unter Zunder.
Da kommt einer, der sagt dir was von einer Zwei-Richtlinie. Da kommt irgendeiner, das Thema schneiden wir heute nicht mehr an, das heben wir uns das nächste Mal auf. Aber da kommt irgendeiner, der schreit nach einer KI-Verordnung.
Der nächste schreit nach Bäumen, die abgeholzt werden. Der nächste, der schreit nach Menschenrechtskonventionen und Lieferketten-Sorgfalts-Gesetz. Ja, das ist halt so viel, was um die Ohren fliegt.
Zwischendurch musst du dich noch mit einem Informations- Sicherheitsvorfall bei Microsoft Gedanken machen, weil du eine Datenlücke auf deinem Server liegen hast. Das ist halt, ich merke halt einfach oder ich sehe es halt bei vielen Kunden, denen fliegt so viel um die Ohren. Die haben so viel Mist auf Deutsch gesagt.
Sorry, wenn ich das so sage, mit dem sie sich auseinandersetzen müssen, was sie einfach nur machen müssen, damit sie ihren Job machen können. Weil ihr Job, also unser Job ist, sich um sowas zu kümmern. Also wir leben das, wir machen das den ganzen Tag.
Das ist unser Business. Aber ein produzierendes Gewerbe lebt davon, funktionierende Produkte in einem, ich sage einfach mal, in einem Karton wegzuverkaufen und Rechnungen zu schreiben, damit sie das Geld verdienen, dass sie sich um den ganzen Tralala kümmern können.
Und davon lebt auch wiederum der Staat. Das darf man ja nicht vergessen.
Also das merke ich, das merke ich halt immer wieder. Ich habe da vollstes Verständnis für mein Kunden und sage, was ist denn jetzt noch wieder? Ja, ich hier, wie das Ding jetzt ankam, kam auch nur, kam auch nur drei, drei Smileys mit drin, ein Äffchen, was sich die Ohren, was die Augen zuhält.
Und die Frage, was machen wir denn jetzt schon wieder? Es ist halt einfach, ja, es ist viel. Das ist so.
So. Ja. Und damit es nicht zu viel wird und wir jetzt nicht noch in mehr Fettnäpfchen reinspringen, wir sind heute viel gesprungen und haben heute, glaube ich, viel Näpfchenthemen angesprochen, würde ich sagen, geht ganz schnell in den Urlaub.
Lass es dir gut gehen und wir hören uns in zwei Wochen wieder.
Ja, so ist es. Ja, von mir auch. Danke, Michael, für die ganzen Informationen.
Ist, glaube ich, aus deiner oder von dir am besten oder bei dir am besten aufgehoben, das Thema, weil du da einfach total tief drin bist. Und von daher, du hältst uns sicherlich auf dem Laufenden, wenn es irgendwann mal was Neues zu berichten gibt, wenn es da irgendwie Fortschritte gibt, wenn klar ist, was drinsteht final, werden wir das sicherlich auch nochmal thematisieren, damit wir da so ein paar Punkte nochmal euch an die Hand geben können. Ansonsten würde ich sagen, ja, ich gehe in Urlaub.
Typischer deutscher Urlaub scheinbar, schlechtes Wetter, aber läuft. Es ist erst mal frei. Die Zeit nehme ich mir und dann hören wir uns in 14 Tagen wieder.
Vielen Dank fürs Zuhören. Vielen Dank, Michael. Und bis dahin.
Größeres Wetzlar. Macht's gut. Tschüss.
René
00:00:58
Michael
00:00:59
René
00:01:03
Michael
00:01:04
René
00:01:21
Michael
00:01:24
René
00:01:31
Michael
00:01:35
René
00:01:37
Michael
00:02:48
René
00:04:30
Michael
00:05:47
René
00:06:24
Michael
00:06:39
René
00:06:40
Michael
00:07:11
René
00:07:49
Michael
00:08:51
René
00:09:00
Michael
00:09:04
René
00:09:43
Michael
00:10:55
René
00:12:19
Michael
00:12:38
René
00:12:40
Michael
00:13:01
René
00:15:43
Michael
00:16:42
René
00:19:48
Michael
00:19:51
René
00:20:12
Michael
00:22:28
René
00:22:46
Michael
00:23:15
René
00:24:59
Michael
00:25:29
René
00:25:47
Michael
00:25:56
René
00:26:06
Michael
00:27:43
René
00:28:15
Michael
00:28:29
René
00:30:09
Michael
00:30:12
René
00:32:52
Michael
00:33:25
René
00:34:52
Michael
00:35:07
René
00:36:27
Michael
00:37:06
René
00:37:18
Michael
00:37:30
René
00:37:33
Michael
00:37:36
René
00:37:56
Michael
00:37:58
René
00:39:27
Michael
00:39:45
René
00:42:05
Michael
00:42:24
René
00:42:50
Michael
00:43:57
René
00:44:30
Michael
00:44:33
René
00:44:54
Michael
00:44:56
René
00:45:02
Michael
00:45:54
René
00:47:03
Michael
00:47:16
René
00:47:19
Michael
00:47:32
René
00:49:07
Michael
00:49:12
René
00:50:02
Michael
00:50:50
Feedback geben
Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!