users lounge

Der Podcast für mehr IT-Sicherheit

#61 Angst ist kein gutes Sicherheitskonzept

Warum IT-Security Strategie braucht – und keine Panik

30.01.2026 49 min

Zusammenfassung & Show Notes

Wir sprechen über zentrale Herausforderungen und sinnvolle Strategien in der IT-Sicherheit und im Datenschutz. Dabei machen wir deutlich, warum Panikmache und Aktionismus keine nachhaltigen Lösungen sind und wie wichtig Schulungen sowie individuelles Risikomanagement sind. Der Fokus liegt auf maßgeschneiderten Sicherheitskonzepten statt Standardmaßnahmen. Abschließend betonen wir die Bedeutung langfristiger Strategien sowie klarer und strukturierter Entscheidungen.

Wir diskutieren die Herausforderungen und Strategien im Bereich IT-Sicherheit und Datenschutz. Dabei beleuchten wir die Gefahren von Panikmache, die Notwendigkeit nachhaltiger Sicherheitsstrategien und die Bedeutung von Mitarbeiterschulungen. Zudem thematisieren wir das individuelle Risikomanagement in Unternehmen, um passgenaue Sicherheitslösungen zu entwickeln. Abschließend betonen wir die Bedeutung langfristiger Strategien sowie Klarheit und Struktur in der Entscheidungsfindung.

Takeaways
  • Panikmache ist eine schlechte Geschäftsgrundlage.
  • Die Wahrheit liegt zwischen den Extremen.
  • Passwörter müssen sicher sein und regelmäßig aktualisiert werden.
  • Nachhaltige Sicherheitsstrategien sind entscheidend.
  • Mitarbeiterschulungen sollten kontinuierlich und nicht sporadisch erfolgen.
  • Risikomanagement muss individuell auf das Unternehmen abgestimmt sein.
  • Technische Maßnahmen sind wichtig, aber nicht die einzige Lösung.
  • Klarheit und Struktur sind entscheidend für Sicherheit.
  • Langfristige Strategien sind notwendig, um IT-Sicherheit zu gewährleisten.
  • Entscheidungen sollten nicht aus Panik, sondern mit Bedacht getroffen werden.

Transkript

René
00:00:56
Michael, den Button musst du schon drücken.
Michael
00:00:59
Ja, Button ist gedrückt. Wenn man den Button drückt, ein deutlich besseres Ergebnis. Schönen guten Tag und willkommen zur aktuellen users lounge. Servus, René, ich grüße dich.
René
00:01:10
Moin, moin.
Michael
00:01:10
Moin.
René
00:01:12
Ja, das lag diesmal aber nicht am Riverside Update.
Michael
00:01:16
Nein, technische Hürden sind genommen. Ich habe den Aufnahmeknopf jetzt gefunden.
René
00:01:21
Sehr schön. Gar nicht lange drum zu, Michael. Wir haben die letzte Zeit oft über NIS-2 gesprochen. Und in der NIS-2 ist es ja viel so, dass in allen Social-Media-Kanälen und was weiß ich was, ja viel Panik gemacht wird. Und das Gleiche findet ja eigentlich auch in der IT-Security statt. Also da wird auch sehr, sehr viel mobil machen. Also sehr viel Panik reingeschoben oder sehr viel mit Angst gearbeitet. Ja, wir sprechen auch viel über die IT-Security, ist es auch wichtig. Aber Angst ist meist ein schlechter Ratgeber. Und das ist halt ein Thema, da sollten wir auch drüber sprechen. Ich meine, nehmen wir mal wirklich jetzt so, wenn du jetzt ein LinkedIn oder was weiß ich was aufmachst, wie sehen denn die Schlagzeilen da aus? Also da gibt es ja, du wirst es mitkennen, du bist bei LinkedIn noch aktiver als ich.
Michael
00:02:19
Also ich finde es, also wahrscheinlich ist es meine Timeline, aber auch das, was bei mir in die Timeline gespielt wird und bei dir, kann halt auch bei vielen in die Timeline spülen, die da eben nicht die Sensitivität für haben, die wir vielleicht haben, beziehungsweise am anderen Ende die mir egal Gedanken wieder einer, der Panik macht. Ich finde halt, wie du schon schön gesagt hast, dass Panik und Angst ein schlechtes Geschäft ist und eine sauschlechte Geschäftsgrundlage ist und eine schlechte Basis ist, weil spätestens wenn so ein Geschäftsführer das sieht und liest und macht und einer da so ein bisschen sensitiv ist, entweder lässt er sich von der Panik catchen oder er sagt einfach, rutsch mir den Buckel runter und schaltet halt einfach auf stur, weil er denkt, es funktioniert nicht.
René
00:03:04
Das wäre aber noch schlechter. Also das ist nachher, kommen wir gleich denke ich zu, aber dieses, also wie du gerade sagst, das eine ist natürlich, ja ich muss jetzt schnell, das ist natürlich schlecht auf der einen Seite, weil klar, das ist dann immer so ein bisschen jetzt gerade, wir müssen ganz schnell irgendwie was machen, ist immer schwierig, da kommen die schlechtesten Konzepte bei raus und auf der anderen Seite, wenn jemand sagt, ja ist mir doch egal und es läuft dann wirklich über zwei Jahre gut und es ist nichts passiert, dann ja, warum, ich mache jetzt auch in Zukunft nichts. Das wäre natürlich genauso schlecht, also ja, schwierig. Deswegen sprechen wir heute aber auf jeden Fall mal wirklich über IT-Sicherheit, wo man nicht Angst als Auslöser hat, sondern mit einem gesunden Verstand.
Michael
00:03:52
Genau, das ist uns halt wichtig. Das ist halt wichtig, sicherlich, ich meine ganz grundlegend, wer uns verfolgt, gehört es fast in jeder Folge, die Wahrheit liegt dazwischen. Am Ende vom Tag, du musst halt einfach dich von Panik nicht anstecken lassen, aber diese ganzen LinkedIn-Buzzwords-Kram sollten schon mal ein Trigger sein, sich darüber Gedanken zu machen. Wir haben so oft schon gesprochen über Geschäftsführer müssen, was eigentlich intrinsisches Bestreben von einem Geschäftsführer sein müsste, genau dahin zu arbeiten und seine Security dicht zu haben und deswegen finde ich das Thema heute super interessant, dass wir einfach mal reden, was sind denn Basics, ohne dass ich mich jetzt anstecken lasse, wo gehe ich denn einfach hin an der Stelle?
René
00:04:34
Richtig, ja, also, wenn wir mal IT-Security so nehmen, also was jetzt, ich sage mal, im Marketing-Bereich oder im Social-Media-Bereich angeht, da ist ja nun mal, da wird sehr, sehr viel mit Druck gearbeitet. Wir dürfen hier so sprechen, wir vermarkten hier gar nichts. Ja, genau. Nein, aber es ist einfach so, also Teil der Security ist einfach, Druck aufzubauen und da so ein gewisses, ja, ein bisschen zu pushen in die richtige Richtung, die man da irgendwie dann erwartet. Ja, gibt es ja dann einfach immer so bestimmte Sätze, die dann eben fallen, also immer fallen, auch wenn, ohne zu wissen, was ich wirklich in meinem Unternehmen habe.
Michael
00:05:20
Ja, das sind diese Buzzwords, sie sind nicht sicher, jederzeit werden sie gehackt. Klassisch finde ich auch immer cool, es ist nicht eine Frage, ob sie gehackt werden, sondern nur noch wann. Und wenn sie das nicht haben, riskieren sie Bußgelder oder irgendwelche Abmahnungen. Also es ist immer diese Angst, die schüttet. Ich habe heute bei LinkedIn wieder, ich weiß gar nicht, ob wer was der Community kennt und ob du die auch kennst, so alle Vierteljahr kommt mal so der Running Gag, diese Matrix, wie lange ein Passwort hält, bis es gehackt wurde. Von einem Tag mit vier Tagen mit vier Buchstaben bis hin zu 98 Milliarden Jahren, wenn du 40 Stellen oder so ein Kram hast. Was soll das? Also was will ich damit noch sagen? Also jeder, der in 2026, da sind wir angekommen, nicht verstanden hat, dass Passwörter sicher sein müssen, ist ein ganz anderes Thema. Den kriege ich mit so einer Matrix nicht. Und auf der anderen Seite habe ich so eine Matrix immer, das sind alles Wahrscheinlichkeitsberechnungen. Es kann auch passieren, ich meine, der Teufel ist ein Eichhörnchen. Es kann auch bei einem Vierstelligen passieren, dass ich eben 64 Versuche habe. Es kann aber auch passieren, ich bin der Lucky Punch und ich treffe es beim ersten Mal. Also diese ganzen Jahresberechnungen, diesen ganzen Kram, auf was baue ich das auf? Was will ich damit vermitteln und welchen Zweck verfolge ich, wenn ich sowas publiziere? Oder auch publiziere, wenn du das nicht machst, ist Bußgelder und dann hast du Angst und dann hast du Kram. Ich finde alles super wichtig. Ich muss gucken, welche Quelle das publiziert. Also welche Quelle ist da intrinsisch dran und hat das publiziert?
René
00:06:56
Und unter welchem Augenmerk.
Michael
00:06:58
Das finde ich halt.
René
00:06:59
Ob es Marketing ist oder ob es wirklich jetzt eine Information ist. Das sind zwei unterschiedliche Dinge.
Michael
00:07:04
Und deswegen muss ich die Quellen beleuchten. Wenn hinter dieser Matrix, ich sage jetzt einfach mal, ein Hersteller von einem Passwortgenerator sitzt oder sowas, dann ist das ganz anders zu bewerten, als wenn irgendeine Meldung vom BSI kommt, wo drin steht, passt mal auf, Passwörter wären eine coole Nummer. Also die Quelle der Information finde ich super wichtig, um zu wissen, wie ich eine Information zu bewerten habe.
René
00:07:29
Ja, genau. Also es ist nicht die Frage, ob du gehackt wirst, sondern wann. Ja, dem stimme ich allerdings zu, aber es ist auch nicht die Frage, ob jemand gehackt wird, sondern ich sehe das eher auf den Angriff bezogen. Jeder wird angegriffen. Da ist die Frage, wann. Dass jemand gehackt wird, gibt ja das Gefühl, dann ist man wirklich erfolgreich gehackt. Und das sehe ich wieder anders. Also so sollte man nicht argumentieren.
Michael
00:08:02
Genau, das erste Argument wäre, was bedeutet dann, denn sie werden gehackt? Also ist das der Versuch? Dann gehe ich vollkommen mit. Dass wir alle irgendwo die Möglichkeit haben, Daten öffentlich zu haben. Große Cloud-Anbieter, wo wir wahrscheinlich unsere Informationen liegen haben, dass wir sehr wahrscheinlich dann Beifang vor einem Heck wären, dass wir persönlich angegriffen werden. Ganz klar. Aber ist das dann schon das, wovon die immer reden und Panik machen? Oder ist erst, wenn einer durchkommt und ist auf meinem Rechner, das, wo die Panik machen und wo die drüber erzählen? Und da finde ich, ist schon die erste große Erscheinung. Die Frage ist ja nicht, wann sie gehackt werden, sondern das ist ein ganz anderes Thema. Weil wenn ich meine Hausaufgaben gemacht habe und wenn ich mir so ein bisschen Gedanken darüber gemacht habe, und viele Systeme arbeiten nativ ja schon gar nicht so schlecht, dann ist das, wann sind wir wieder in unserer Matrix? Jahre nach vorne, beziehungsweise die Wahrscheinlichkeit sehr gering. Aber die Versuche sind natürlich wesentlich häufiger.
René
00:09:03
Genau, deswegen war es auch wichtig für mich jetzt gerade wirklich. Also ich sehe das auch so. Dieser Unterschied, das muss man halt unterschiedlich bewerten. Es gibt Aussagen, denen stimme ich zu, aber unter anderen Gesichtspunkten halt. Also die Sache, wie ich gerade schon gesagt habe, dieses mit Angst führen oder jemandem Druck machen, das ist halt eine Sache, die wirkt immer kurzfristig. Das ist ja auch einfach. Ich lese das jetzt. Zwei Wochen später ist mir das Thema dann im schlechtesten Fall schon wieder egal. Und dann wird es mir noch egaler sein, als es vorher war.
Michael
00:09:39
Genau, weil du hast halt einfach diese Sache, wenn du auf sowas reagierst, über Panikmache, dann hast du eine sehr punktuelle Lösung von dem Problem. Vergleichst, bist du der Feuerwehrmann, dann holst du dein Feuerlöscher raus, knallst da an einer Stelle mal schnell das Feuer nieder und sagst dir, hey, ich hab was gemacht. Aber du hast dir nicht grundsätzlich Gedanken um dein Brandschutzkonzept gemacht. Das heißt immer, wenn du so Panik hast und dann machst du kurzfristige Aktionen, die halten kurzfristig an. Du siehst diesen, lass uns bei den Passwörtern, du sagst, oh, da ist mir jetzt was eingefallen, lass mal Passwörter sicher machen. Dann gehst du vielleicht von 4 auf 8. Hey, hättest du schon lang machen sollen, vielleicht bist du schon bei 8, gehst auf 2, etc., pp. Dann hast du aber genau an dieser Stelle einen kleinen Brand in deiner Firma mit einem kleinen Feuerlöscher erschlagen und zugemacht. Aber das macht nicht das Thema der Nachhaltigkeit und nicht die Sache hin, dass du wirklich Ruhe im Karton hast, sondern solche Sachen, solche Panikmache ist, wie du das sagst, es ist halt immer nur eine kurzfristige Aktion und es ist nicht nachhaltig.
René
00:10:47
Ja, und dann hast du halt immer so diese Situation, kennt man ja, aber dann stehst du irgendwo beim Netzwerken oder so und dann einer sagt, ja, letztes Mal hier einer von meinem, ich weiß nicht, wie sich schimpft, fällt mir gerade nicht ein, auf jeden Fall bei uns aus der Branche auch, ja, hier, den kenne ich ganz gut, der hat letztes Mal einen Angriff gehabt. Jetzt muss ich auch unbedingt was machen. Das ist ja auch sowas. Ich meine, die Voraussetzungen sind ja eigentlich andere, eigentlich immer.
Michael
00:11:17
Ja, ich wollte es gerade sagen und wenn du dann solche Kurzschlussaktionen hast, dann hast du halt das Thema, dann wird halt irgendwas irgendwie gemacht oder irgendwas irgendwie gekauft. Ja, dann kaufst du halt noch einen Virenscanner, kaufst noch irgendwie die dritte Firewall, die du hinten auf Reihe dransetzt, kaufst dir wegen mir noch einen LTE-Ruder, weil du Angst hast, dass irgendwann das Internet wegfällt. Im Moment hast du diese Panikmache, ich glaube, wir können es ziemlich konkretisieren auf so ein Thema, im Moment hast du diese Panikmache gerade, nimm Amerika, ohne tiefer ins Detail zu gehen, lass uns neutral Amerika nehmen und sag halt einfach, viele Panikmache bzw. viele stellenweise noch berechtigte Themen, aber da musst du halt eben entsprechend die Ahnung haben, viele Themen drehen sich aktuell um digitale Souveränität. Und dann sind halt viele in so einem, sorry, in so einem Aktionismus drin, dass sie sagen, bleibt ganz pauschal, Amerika doof, Deutschland gut, also sehe ich zu, dass ich sofort alle meine Daten nach Deutschland transferiere und sehe zu, dass ich alle meine Daten, auch das finde ich super gefährlich, können wir gerne ins Detail nochmal reingehen, alle meine Daten auf eine Nasslege, bei mir zu Hause, an sich erstmal mag vom Ansatz alles gut sein, aber gut gemeint ist noch nicht gut gemacht. Ja, also dann ist immer so die Überlegung, wo lege ich es denn in Deutschland hin, welche Konsequenz hat es denn, ist die Nass im Keller, die ich mit einer Fritzbox im Port öffne, um Daten von außen drauf zuzugreifen, wirklich sicherer und wirklich besser, wie das, was ein Rechenzentrum Amerika machen könnte. Also diese Konsequenzen, die daraus entstehen, aus so einem blinden Aktionismus, das sind Dinge, wo ich sage, das muss alles wohl überlegt sein und da bringt es halt eben nichts, auf Panikmacher mit blindem Aktionismus zu reagieren. Das ist so die Gefahr, die ich sehe. Und das ist, glaube ich, gerade mit digitaler Souveränität, stell doch mal alles um, sag Microsoft ist doof und versuch mal für alles auf der Stelle ad hoc einen Ersatz zu finden und versuch dann nochmal, genau.
René
00:13:22
Das Thema finden wir jetzt schon ein paar Mal, finden wir nichts Adäquates gerade. Mehrfach, mehrfach. Ja, es ist so. Das ist halt immer so. Aber das ist ja genau das, also es ist ja dann dieses Stückchenweise. Also ich setze jetzt, wir sprechen ja auch immer darüber, das ganzheitliche Konzept, dass ganz viele, dass am besten die Module ineinander greifen, um ein wirklich gutes Konzept bieten zu können. Aber das, was dann meist passiert, ist ja dieses Stückeln halt. Also ich nehme dann immer wieder Insellösungen, die aber gar nicht miteinander funktionieren. Das ist immer schwierig. Also deswegen ist auch diese Angstmache halt sehr, sehr schwer da, weil du bist halt so in diesem Aktionismus drin, dass du sagst, ich brauche jetzt erst mal was. Ja, und dadurch, dass du erst mal was hast, was gar nicht berücksichtigt hat, was außenrum noch dazugehört oder da dran passt, wird es dann später auch schwerer, wieder ein einheitliches Konzept daraus zu machen. Und dann wird es meist auch noch teurer. Das heißt, dann ist die Akzeptanz noch geringer dafür.
Michael
00:14:27
Ja, du hast zwei Akzeptanzgetäle, also zwei Akzeptanzdinger. Das eine ist, du musst das für dich oder für dein Unternehmen klarmachen. Du bist halt, wir reden ja hier mit Unternehmen, du hängst halt immer in einer Bubble drin, auch von Abhängigkeiten. Das heißt, du musst ein vernünftiges Risikomanagement haben, musst einen Schritt zurücktreten und musst sagen, wenn ich an der Stellschraube jetzt drehe, was hat das für Auswirkungen, welchen Impact hat das auf andere Dinge, wie funktioniert es? Nenn es mal die technische Sache, wir sind immer von technisch-organisatorischen Sachen, das ist so die technische Maßnahme, die du treffen musst. Und organisatorisch ist die meisten oder viele haben ja auch Mitarbeiter im Kontext, was sie organisatorisch treffen müssen, was sie mitnehmen müssen an der Stelle. Und da ist es aus meiner Erfahrung super wichtig, den Mitarbeitern langsam, kontinuierlich, nachhaltig, vernünftig zu erklären, worum es geht und neue Dinge einzuführen. Heute die Software, morgen die Software. Heute eine Richtlinie, Passwortsicherheit, 8 Zeichen, morgen habe ich gesehen, 10 wären besser, übermorgen mache ich vielleicht 12 oder überlege ich gleich richtig und sage, lass uns 14 nehmen, lass uns Passkeys einführen oder lass uns vielleicht mal mindestens auf einen gescheiten Passwortmanager gehen. Also so diese Tätigkeiten, die daraus rühren und erst recht die Akzeptanz im Unternehmen, eine Richtlinie, zwei Richtlinien, ändern hier, ändern da, Passwort da. Heute bring your own device, morgen WhatsApp böse. Also all diese ganzen Dinge, die du hast, das muss halt in einem Kontext von einem Unternehmen sanft mit einem Masterplan, nenne ich es jetzt einfach mal, rein, wo Sinn und Verstand dran ist, dass du eben die Wahrscheinlichkeit, dass du noch was nachstellen musst, relativ gering ist, weil du eine grundsolide Basis hast. Und das kriegst du meiner Meinung nach eben nicht mit blindem Aktionismus hin und mit dem Hinterherhecheln nach neuen Schlagzeilen.
René
00:16:24
Ja, und gerade wie du gesagt hast, dass ich heute mit einer Sache komme und morgen eine neue einführe und dann wieder und wieder und wieder. Am Ende des Tages erzeugt das ja keine Sicherheit. Das mag sein, dass ich meine Sicherheit auf dem Papier erhöhe, aber ich habe im Team, in meinem Unternehmen mehr Unsicherheiten drin, weil keiner weiß, wie er so richtig damit umzugehen hat. Keiner hat so einen richtigen Plan. Ich meine, wenn man sowas macht, sollte man ja zumindest schon mal so einen groben Plan haben. Das ist jetzt das, worauf wir hingearbeitet haben, das ist das, wo wir jetzt auch stehen. Und das habe ich ja dann gar nicht. Und das Problem, was dann da entsteht, ist halt, dass die Leute einfach innerlich auch abschalten. Die sind halt sicherheitsmüde. Sie werden sich immer weiter davon zurückziehen und machen nach bestem Wissen und Gewissen und dann war es das auch.
Michael
00:17:13
Ja, die spüren das halt auch sofort, wenn sowas kommt. Also auch da nicht falsch verstehen. Du brauchst halt das gesunde Mittelmaß zwischen der Hektik und Panik und eben gar nichts zu tun. Sondern du musst dir eine Mitarbeiter natürlich mitnehmen, musst dir Anweisungen und Regelungen an die Hand geben, musst denen was erzählen, aber nett. Heute ist es Fishing, morgen ist es dieses Tool, übermorgen ist es das andere Tool und in drei Wochen machen wir alles wieder über den Haufen, weil wir sagen, jetzt gibt es was Neues. Sondern es geht halt wirklich darum, vernünftig da was reinzubringen.
René
00:17:47
Ja, das Problem ist ja auch, wenn die Mitarbeiter dann so eine gewisse Unsicherheit haben, oder Mitarbeitenden, dann gibt es ja immer irgendwelche Warnungen, Meldungen, irgendwas. Sie werden es irgendwann irgendwie umgehen. Nicht böswillig irgendwie wirklich dagegen schießen, aber sie werden halt auch aufgrund dessen, dass sie gar nicht wissen, also dann nicht mehr wissen, wie sie damit umgehen sollen, weil es halt eine gewisse Überforderung ist. Du hast es schon mal gesagt, die Natur findet seinen Weg und es wird passieren. Das passiert immer dann, wenn man keine einheitliche Linie fährt.
Michael
00:18:29
Ja, aber dann hast du durch deinen Aktionismus die Situation verschlimmbessert und nicht optimiert. Das ist ja das Problem. Das ist halt einfach so eine Sicherheitsmüdigkeit. Wenn jede Woche von irgendeinem Tool irgendeine Phishing-Mail reinkommt, wo ich irgendwie wieder irgendwas drücken muss, und wenn ich aus Versehen irgendwie falsch gedrückt habe, wieder eine E-Mail und eine Nachschulung bekomme. Also wenn ich permanent mit sowas überlastet und überfahren werde und angetriggert werde, dann ist das nicht zwingend erforderlich, eine Erhöhung der internen IT-Sicherheit, sondern dann ist es halt einfach, komm, da wird eh schon wieder sowas sein. Ich drücke den Kram einfach weg, was soll's. Und dann ist da mal das eine Richtige dabei, dann hast du den Salat. Also das sind so Dinge, da muss man halt wirklich mit einem Konzept dahinter sein.
René
00:19:21
Genau. Ja, Michael, lass uns mal einmal einen Schritt zurückgehen, wenn wir das jetzt so ein bisschen schon in die Tiefe angesprochen haben. Ich glaube, ein zentraler Denkfehler ist einfach auch, dass viele glauben, die Sicherheit ist ein Zustand, also die IT-Sicherheit. Ganz klar. Wir machen jetzt was, und dann ist das da.
Michael
00:19:42
Aber ich vergleiche es jetzt mal. Das ist wie, sind wir denn jetzt mit der Umsetzung der DSGVO fertig, und wir haben doch jetzt das Zertifikat für die 9001 an der Wand, das Thema ist doch jetzt erledigt für uns. Das sind halt einfach fortlaufende Themen. Da ist man nie fertig. Also das gibt es nicht. Man erreicht ein gewisses Level, ein gewisses Grad. Das wird mal ruhiger, das wird mal ein bisschen aufregender. Aber fertig im Sinne von Haken dran, vergessen, beiseite legen, bist du da halt nie mit.
René
00:20:15
Ja, die Angriffe entwickeln sich ja auch, die Gefahren, die da lauern, mögen irgendwann, oder jetzt heute schon, und dann natürlich irgendwann, das entwickelt sich natürlich. Und es ist halt, wie du gerade gesagt hast, es ist ein kontinuierlicher Prozess, da geht man schrittweise mit. Und dementsprechend, ja, das Gute dabei ist, eigentlich ist es ja auch was Positives, so muss man das ja auch sehen. Ich meine, wenn ich das heute einführe, und wir würden es einfach immer so laufen lassen, dann würde damit keiner mehr sich so wirklich identifizieren mit den Problemen, sondern das ist halt so. Und wenn wir das aber immer wieder fördern, dann ist es ja ein fortlaufender Prozess für alle.
Michael
00:20:59
Und das ist halt total wichtig, finde ich, und das ist für alle eine total wichtige Erkenntnis. Du hast halt nicht das Streben, es mit einem Schuss absolut perfekt zu machen, sondern du hast das Streben, mit einer Implementierung eine gute Basis zu finden und zu haben, die okay ist, auf die du aufbauen kannst. Aber es muss halt eben nicht alles perfekt sein mit dem ersten Schuss.
René
00:21:24
Richtig. Ja, wichtig ist, so wie du jetzt gerade sagst, wenn nicht alles perfekt ist, und das wird es nie sein, weil dann, das Konzept stellt uns gerne mal vor, aber es ist so, wenn nicht alles perfekt ist, logischerweise, also ich finde, wichtig dabei ist halt, dass sich das Unternehmen, die entsprechenden Verantwortlichen, dass sie das auch realistisch einschätzen. Wo stehen wir jetzt gerade? Also was ist jetzt für mein Unternehmen realistisch auch? Also auch bei der Umsetzung, was ist wirklich überhaupt realistisch? Und welche Risiken sind für uns wirklich relevant? Also, dass wir nicht, keine Ahnung, in Taiwan wurden Server von was weiß ich wem angegriffen, und da müssen wir jetzt aufpassen, dass die Server quasi in Taiwan sicherer sind, aber wir nutzen gar keinen von da. Also man muss halt wirklich gesund einschätzen, was betrifft uns, und wo müssen wir jetzt gerade aktiv werden. Und dann hat man es um einiges leichter.
Michael
00:22:29
Erschreckend, wenn man weiß, was man hat, kann man sein Risiken bewerten. Meint man. Meint man, total verrückt. Also das sind wir ja wieder das, was wir schon ewig predigen. Es ist halt einfach ein Handwerksbetrieb zum Beispiel, hat andere Risiken und andere Sicherheitsanforderungen wie ein Onlinehändler, oder ein Personaldienstleister, oder eine IT-Softwarebude, oder einen IT-Dienstleister. Das sind alles individuelle Sachen, aber das sind alles Dinge, wo man sich halt leider Gottes, da kommt halt keiner, wie du gesagt hast, oder wie du eben gesagt hast, meldet euch gerne, da kommt halt keiner, der sagt, pass auf, das Päckchen, die Dollars, einmal rein, passt für jedes Unternehmen, kauf das und dann bist du fertig. Sondern das ist halt eben eine Sache, die auf das Unternehmen angepasst und auf das Unternehmen matchen muss. Verrückterweise muss da halt das Unternehmen mitspielen und muss sich halt auch mal, wir reden uns immer um das Risikomanagement, es muss sich mal um seine Risiken bewusst werden. Wo liegen Daten, welche Risiken habe ich, was für Daten können überhaupt eingegriffen werden, wenn ein Angriff durchgehen würde, erfolgreich? Wo liegen Server, wo sind die getrennt? Habe ich alles in der Cloud und habe in meinem Unternehmen nur noch Notebooks, die quasi nur noch über einen Router online gehen und in der Firma an sich liegen keine Daten mehr. Die Desktop-Rechner sind verschlüsselt, alles liegt in der Cloud. Wie viele Firewalls brauche ich denn dann in der Firma? Also das sind immer so Sachen, wo man sich in Ruhe Gedanken machen drücken muss.
René
00:24:02
Ja, es ist ja auch so, dieses altberühmte mit Kanonen auf Spatzen schießen. Aber es ist so, mittlerweile wird halt ganz oft einfach suggeriert, dass jeder extrem starke Security-Maßnahmen hat. Gut, dass du es gerade gesagt hast, es muss halt wirklich aufs Unternehmen angepasst sein. Mich da, keine Ahnung. Also das ist halt Panik machen.
Michael
00:24:30
Ja, so individuell wie die Risiken sind, die du entstehen, also die du wirklich hast, so individuell sind die Maßnahmen, die du da noch ableiten kannst. Und daraus ergibt sich ja schon ganz klar, dass Panikmache im Internet von irgendwelchen Themen niemals, nie nicht alle immer zu 100% auf dein Unternehmen catchen müssen, weil die, die Panik machen, kennen ja dein Unternehmen gar nicht. Also das ist so das Problem. Und wenn du dein Unternehmen kennst und weißt, was gut ist, und kennst natürlich auch deine Schwachstellen, brauchen wir auch nicht drüber reden, dann kannst du bewerten, ob das, was da kommt, wirklich Panikmache ist. Und wo du sagst, ich scroll weiter, Haken dran, fertig. Oder wo du sagst, könnte vielleicht ein Punkt für mich sein, ich kümmere mich mal drum. Aber das musst du individuell abgrasen.
René
00:25:24
Es tut mir total leid, aber er muss jetzt sein, weil er halt richtig gut reinpasst. Sucht euch ein Unternehmen, das euch IT-Lösungen nach Maß bietet.
Michael
00:25:34
Oh, IT-Lösungen nach Maß, ja.
René
00:25:37
Habe ich irgendwo schon mal gehört. Entschuldigung, der musste jetzt gerade sein. Ja, es ist halt einfach so. Ja, genau. So, Michael, kommen wir mal zu meinem, unserem Lieblingsthema. Ich glaube, da unterhalten wir uns immer wieder sehr, sehr viel drüber.
Michael
00:25:55
Dem Menschen ist ein Riesenpunkt an der Stelle. Ja, wie wir es eben oben schon gesagt haben, der Mensch als Schwachstelle. Wir haben eben oben auch schon mal drüber gesprochen. Wir haben eben das Thema Mensch auch schon wieder reinmachen. Aber ja, und dann kommt noch, der Mensch ist kein Problem, er ist Teil der Lösung. Damit komme ich dann und konter dir das gegen. Wenn du sagst, dass der Mensch das Problem ist, sage ich, nein, er ist nicht das Problem. Er ist Teil der Lösung.
René
00:26:25
Kann man so und so sehen. Ich hasse den Satz oder die Sätze eigentlich. Aber ja, man kann es machen. Aber es ist halt trotzdem irgendwie schwierig. Also gerade Teil der Lösung kannst du nur werden, wenn du halt nicht das machst, was wir gerade gesagt haben. Diesen Aktionismus immer wieder, was Neues und so. Nur dann ist er von diesem Druck frei und kann auch wirklich Teil der Lösung werden.
Michael
00:26:47
Ja, aber das funktioniert halt eben nicht über Angst, sondern es funktioniert nur über Verständnis. Und es funktioniert nur auch, wir haben es ja eben schon mal gesagt, nur über klare, relativ kontinuierliche Vorgaben in einem Unternehmen. Nicht heute hü, morgen hot, jetzt das, jetzt die Software, jetzt gehen wir nach da, jetzt haben wir das, sondern es geht halt wirklich nur darum, dass der Mitarbeiter eine Chance hat, hinter dem ganzen Kram noch mitzukommen und zu verstehen, worum es geht und einfach das Verständnis dafür zu haben.
René
00:27:19
Genau. Nehmen wir mal, Phishing ist ja ein gutes Beispiel dafür, wenn wir jetzt mal die Variante Angst verwenden würden, würden wir mit Angst arbeiten, dann würden wir ja quasi sowas, keine Ahnung, da kommen da so Sätze wie, wenn du klickst, gefährdest du halt das ganze Unternehmen oder wegen dir geht es hier den Bach runter, wenn du das falsch anklickst. Sinnvoll wäre aber vielleicht dann auch einfach mal zu sagen, ja okay, so sehen die typischen, also wenn man da so herangeht und dann einfach mal zeigt, wie sehen so typische Phishing-Mails aus und genau das wären die Dinge, die daraus passieren, also dadurch passieren können, darum sind sie gefährlich. Das ist ja eine ganz andere Herangehensweise.
Michael
00:27:59
Ja, bin ich bei dir, also diese zwei Dinge machen schon, die zwei Varianten, die du erzählt hast, machen einen riesigen Unterschied. Ich mache was anderes, also Provokante, wir sind immer wieder Datenschutz, Informationssicherheit, wir sind bei technischen organisatorischen Maßnahmen. Eine organisatorische Maßnahme, dem Mitarbeiter zu erklären, was Phishing-Mails sind und warum diese gefährlich sind und wie die es erkennt, ist das Versagen der technischen Maßnahme, dass der Spam-Filter nicht richtig funktioniert. Ah ja, das würde ich nicht hundertprozentig unterschreiben. Ich gehe aber dabei, wo ich hin will, ist, kümmert euch technisch um gescheite Firewalls, um Spam-Filter, um Erkennung, um den ganzen Zermorn, der da durchgeht, eben nicht beim Mitarbeiter abzuladen, sondern filtert vernünftig technisch vor. Und allein das, du bist ein ITler, du bist in der IT-Bubble drin, ich bin in der Beratungs-Bubble drin, für uns ist das selbstverständlich, da professionelle Systeme davor geschaltet zu haben. Es ist aber in der Realität leider nicht so. Wenn da der kostenlose Spam-Filter von Gmail oben davor hängt und die Postfächer nicht richtig aufgeräumt sind und da kein richtiges nachhaltiges Konzept dahinter ist, was wir eben oben besprochen haben, dann hast du das Thema, dass du das in einer Panikaktion, wenn wieder eine News kommt, Phishing-Attacken nehmen zu, dass du die Mitarbeiter wieder informieren musst, musst dir wieder irgendwas erklären, irgendwas zeigen, anstatt zu wissen, tiefenentspannt. Ich habe einen bescheidenen Spam-Filter, der schmeißt 98 Prozent raus, wir haben schon mal ein gutes Sicherheitsniveau und für die letzten zwei Prozent informiere ich meine Mitarbeiter.
René
00:29:35
Genau, also deswegen, das ist keine hundertprozentige Geschichte, ich meine ganz ehrlich, ich weiß es gerade aus dem aktuellen Fall, Konzernumfeld, im Konzern hat halt jemand, ich kann nicht mal sagen, auf welchem Wege, auf jeden Fall aus irgendeinem Grund hat jemand seinen MFA-Code weitergegeben, das heißt, das ganze Konto wurde entsprechend kompromittiert und dann gibt es ja logischerweise eine Übernahme auch der Mail-Kunden und von da aus verbreitet sich sowas.
Michael
00:30:09
Aber ich bin dabei, aber auch das ist nicht die Lösung, die Mitarbeiter zu informieren, wie das Phishing funktioniert, sondern wenn du konkret so einen Fall hast, ist es eine Rundmail an die Mitarbeiter, wir haben einen konkreten Informations- und Sicherheitsvorspruch, wir haben einen konkreten Vorspruch, von dem Mitarbeiter keine Mails mehr annehmen, dann sind wir wieder nicht bei der pauschalen Sache, ich lade das Risiko Phishing-Mails zu 100 Prozent bei meinen Mitarbeitern, indem ich denen dreimal im Jahr erkläre, wie eine Phishing-Mail aussieht oder jede Woche mit irgendwelchen Phantom-Phishing-Mails zu triggern und sonst irgendwas.
René
00:30:42
Ja, ja, ist ja auch richtig, da gebe ich dir recht. Mir ging es jetzt nur darum, nicht jede Phishing-Mail muss auch wirklich von außen kommen, wenn du nicht, also dieses, es ist ja gar nicht aufgefallen, dass das Ganze nicht in Ordnung war. Und die Sache ist halt die, derjenige hat halt sehr lange, also der Angreifer hat erstmal lange geguckt und gewartet und hat sich erstmal geguckt, was läuft denn hier in diesem Postfach und so auf, welche sind die Kontakte, hat sich dann die Signaturen und so von diesen Kontakten geholt und hat dann im Namen dieser Kontakte an diese Person wieder geschickt und sich dann quasi Geld überweisen lassen. Das muss man erstmal, so, und das sind halt so Sachen, wo ich sage, okay, da kann man mal drüber sprechen, da ruft niemals jemand an und sagt, gib mir mal deinen MFA-Code, du hast recht, wenn der Fall bekannt ist, klar, es ist eine Rundenmail, keine Frage, aber wenn es eben noch nicht der Fall ist, ist es natürlich schwierig, so ein paar Grundregeln kann man schon noch rausgeben.
Michael
00:31:43
Ja, aber diese Grundregeln gilt es vernünftig auch zu klären intern. Absolut. Regelung, wir geben, erstmal Regelung, wir nutzen MFA grundsätzlich. Zweite Regelung, wir nutzen, wir geben grundsätzlich niemals, nie, nicht MFA weiter. Zweite Regelung, niemals, nie, nicht, kommen Geldanweisungen per Mail. Sollte sowas, zum Teufel noch eins kommen, immer telefonisch rückspalten. Das ist ziemlich simpel, was du da machen kannst.
René
00:32:11
Und am besten mit einem vereinbarten Kennwort am Telefon auch, was nirgendwo niedergeschrieben ist.
Michael
00:32:17
Genau, also es gibt ja wieder Maßnahmen, die du ableiten kannst, um genau für solche Problemfälle da zu sein. Das ist eine Karte, die am Monitor hängt oder das ist Mindset im Unternehmen. Und nicht Panik mache, weil es ist jetzt ein Phishing-Angriff. Also, verstehst du, was ich meine?
René
00:32:34
Deswegen, also wie gesagt, mir ging es jetzt nur darum, dass wir jetzt, es ist nie irgendwas hundertprozentiges, es gibt auch immer irgendwie eine Möglichkeit. Deswegen ist der Mensch ja auch immer mit einem Faktor. Dann kann es manchmal auch mit den technischen Lösungen schwierig werden. Aber ja, du hast natürlich recht. Alles, was wir technisch lösen können, müssen wir technisch lösen. Und erst dann greifen die organisatorischen Sachen.
Michael
00:32:59
Deswegen heißt es auch nicht organisatorische und technische Maßnahmen, sondern technische und organisatorische Maßnahmen.
René
00:33:03
Nein, das hat einen ganz anderen Grund. Du sagst Toms, aber sag mal Ottums. Das macht ja keiner.
Michael
00:33:11
Das ist der Grund.
René
00:33:14
Entschuldigung, der war flach. Genau. Ja, du hast gerade ja gesagt, also ohne Panik auf jeden Fall. Das ist definitiv sinnvoll. Und Risiken sollten halt wirklich immer bewertet werden und nicht dramatisiert.
Michael
00:33:33
Reale Szenarien, reale Risiken bewerten. Und da ist, glaube ich, so ein Auswirkungsrisikomanagement, hast du immer so Eintrittswahrscheinlichkeit, Auswirkung. Und dann darf sich ruhig jeder mal für sich so eine kleine Matrix machen. Linksseite runter die Eintrittswahrscheinlichkeit, oben rechts rüber die Auswirkung. Gerne dreimal drei, viermal vier. Von mir egal, bis Unternehmen geht kaputt, wäre die Auswirkung. Und die Eintrittswahrscheinlichkeit von, wird wohl einmal in fünf Jahren passieren und passiert uns quasi wöchentlich. So, und dann habe ich so eine grobe Kiste, die ich drin habe. Und wenn ich dann einfach noch sage, da kümmere ich mich drum, das kann ich liegen lassen und da brennt die Bude ab, da muss ich auf jeden Fall dran gehen. Dann ist das schon viel Risikomanagement, aber du hast eine gewisse Struktur, dass du das erkennen kannst. Weil viele fragen, wie mache ich denn, was ist denn sehr gefährlich oder was ist denn Auswirkung hoch. Ich sage, ich schreibe Dollars dahinter, das kann ich dir nicht abnehmen. Das ist deine Firma, du musst eher wissen, was du willst. Was tut dir denn weh? Tut dir weh, wenn du einen Schaden hast, dass 10.000 Euro weg sind? Oder tut dir weh, wenn du einen Schaden hast, weil eine halbe Million weg geht? Also das muss jeder für sich, individuelles Risikomanagement, individuell Gedanken darüber machen, was tut mir denn weh? Oder was tut mir zwar nicht geldmäßig weh, aber ich will es halt einfach nicht, dass es passiert. Das ist ja das nächste. Und darüber muss man sich halt, leider Gottes, Gedanken machen und muss sich klar werden darüber. Es gibt Leute, die beraten das. Es gibt Leute, die begleiten bei solchen Prozessen. Dann kann man das gemeinsam machen. Kann man aber auch für sich im Kämmerchen mal tun. Es gibt, wie gesagt, ich arbeite gerne mit solchen Matrix, mit solchen Sachen. Und rückwärts denken ist halt einfach, wenn ich überlege, wie kriege ich denn meine Risiken hin, ist für mich immer ganz cool, wenn ich reingehe und sage, was muss denn hier crashen, damit ihr kein Geld mehr verdienen könnt? Was muss passieren, damit ihr einfach keine Dollars mehr machen könnt? An welcher Schraube muss der Mitarbeiter drehen, damit der Laden steht? Ja, und dann sagt er wahrscheinlich, es wäre schon blöd, wenn einer ins Serverschrauben geht, nimmt das Server-Rack raus und trägt es mit nach Hause. Muss man ganz dumm ausdrücken.
René
00:35:37
Ja, das ist aber schon mal einer der simpelsten Fälle.
Michael
00:35:39
Das ist schon mal einer der simpelsten Fälle. Und es wäre wahrscheinlich auch blöd, wenn in der Produktionsmaschine kein Strom zur Verfügung wäre für das nächste Vierteljahr. Also all so Spielereien, die man dann mal treiben kann, muss man sich angucken. Dann wird man wahrscheinlich auch schnell auf die Idee kommen, was passiert, wenn ein Laptop verloren geht? Wie egal ist mir das? Und dann baue ich mir alles logisch. Dann kommt alles andere hintendran. Das kommt mit der Natur, wenn ich feststelle, boah, Laptop weg wäre echt schlecht. Was mache ich denn, wenn der jetzt weg wäre? Es gibt auch Leute, die probieren das aus. Die sagen, heute lasse ich einfach mal meinen Laptop aus. Ich stelle ihn einfach mal in die Ecke. Ich tue so, als wäre er kaputt. Ich gucke mal, wie ich über andere Wege an irgendwelche Informationen komme und kann ich überhaupt arbeiten? Und wenn die feststellen, ich kriege den Tag nicht bewältigt, weil ich mit anderen Geräten nicht auf irgendwelche Cloud-Systeme komme, weil nur die Telefonnummern nur auf meinem Notebook liegen, weil vielleicht der Passwortgenerator lokal nur auf meinem Notebook liegt, das merke ich dann schon, wenn ich mit sowas einfach mal Fachbegriff für Spielen und Simulationen, also Gameplay, und dann weiß ich, wo ich einen Angriff vielleicht habe, wo ich loslegen kann. Und das ist wesentlich besser wie eine Panikmache aus einer Schlagzeile, die ich bei LinkedIn oder aus dem Medien herauslese. Absolut.
René
00:36:50
Ja, und was halt wichtig ist, deswegen ist diese Matrix auch so interessant, dass man halt nicht davon ausgeht, was ist jetzt wirklich das Schlimmste, was mir passieren kann, sondern die realistischen Dinge. Ich meine, das Schlimmste ist, meine Firma brennt ab und ich stehe noch drin. Also, was ist das denn? So geht man ja auch nicht ran.
Michael
00:37:15
Das Risikoszenario haben die meisten Journalisten, da sehe ich, dass ich rauskomme, dann schmeiße ich den Laptop noch ins Feuer und rufe die Versicherung an und dann gucken wir mal, was passiert. Also, das sind immer so Dinge, ja.
René
00:37:25
Deswegen, also realistisch einschätzen, dann passt das. So, zweiter Punkt ist sicherlich Priorisieren an der Stelle. Und logischerweise nicht alles gleichzeitig. Es hat auch nicht alles die gleiche Gewichtung. Du hast es ja gerade gesagt. Wenn ich diese Matrix aufstelle, meine Risikoanalyse oder mein Risikomanagement dann erstmal stehen habe, oder, nee, eigentlich erstmal ist es ja die Entscheidungsmatrix. Ich sehe ja erstmal, was hat gerade den höchsten Impact bei mir und das ist das, was ich gerade als erstes angehe.
Michael
00:38:01
Das ist ziemlich easy. Wir reden jetzt hier von Risikomatrix, aber bevor ich die Leute in die Risikomatrix reinpresse und in KMU sage, du musst jetzt Risikomanagement machen, ist es ganz einfach. Bau dir diese Matrix da mal auf. Die Arbeit musst du dir halt einfach mal machen. Schreibe auf, was passieren kann und teile diese Felder in Rot, Gelb, Grün ein. Und das, was passieren kann, das markierst du dir genau in den Farben und dann fängst du natürlich, wie bei der Ambel, bei den Roten an, lässt die Grünen mal liegen und machst erstmal Rot weg. Siehst du, dass du alles Rot mal mindestens auf Gelb kriegst. Und dann guckst du mal nach, ob du so ein, zwei Gelbe noch auf Grün kriegst und dann ist die Sache erledigt und Grün lässt liegen. Und das sind so Priorisieren. Da haben wir noch kein aufgeblasenes Risikomanagement mit Dokumentation, Excel-Software. Ja, schön, freue ich mich. Hilft, wenn ich nochmal tief unterwegs bin. Super Sache. Aber für mich, für mein Unternehmen, erstmal einen Einstieg zu kriegen, erstmal überhaupt ein Stück Sensibilisierung reinzukriegen, um besser zu werden, um ein Niveau zu heben. Schreib's auf, mach dir eine Matrix wegen mir, 3x3. Ja, markier's mit Farben und fang an, das rote Zeug wegzuarbeiten.
René
00:39:07
Ja, genau so.
Michael
00:39:11
Drittens, Technik. Technische Maßnahmen. Technik, Prozesse, rein mit dem Kram. Wenn du die Maßnahmen hast, wenn du das Thema hast, guck dir den ganzen Kram an und setze vernünftige Technik ein. Schreibe Prozesse, schreib es runter. Mach dir Gedanken. Wie wir eben oben schon gesagt haben, setze Richtlinien im Unternehmen fest. Wir nutzen Multifaktor. Wir geben Multifaktor nicht weiter. Wir werden niemals Geldanweisungen per E-Mail senden. All diese Dinge festsetzen, runterschreiben und nachhaltig machen und auch mit den Mitarbeitern gerne gemeinsam. Also auch da nicht irgendwas vorwerfen oder irgendwas vorsetzen, sondern mit den Betroffenen in der Abteilung hingehen. Lass uns bei dem Geld bleiben. Geh mit der Fibo hin, setz sie mit der Fibo hin und sag, passt mal auf. Das und das, wie wollen wir denn damit umgehen? Es gibt potenzielle Gefahr. Ich habe mir überlegt, es wäre besser, wir würden irgendwann mal jetzt hier was festhalten. Lasst es uns doch so und so machen. Und dann hörst du dir an, was passiert und guckst, was kommt.
René
00:40:21
Genau. Externe Partner, das ist, denke ich, auch logisch, ist halt für die Übersetzung da. Da haben wir ja jetzt schon ein paar Mal gesagt, dieses aus dem Technischen heraus dann wirklich an alle, die es verstehen müssen.
Michael
00:40:38
Aber auch das, immer wieder auch hier die Analogie zu dem ganzen Kram. Ich kann es nicht, ich habe keinen Bock zu und ich habe keine Zeit für. Das sind so die drei Sachen, die ich nehme. Alles drei trifft halt auch, das werden wahrscheinlich alle haben oder fast alle haben, trifft halt einfach auch auf den Steuerberater zu. Ich könnte mich in den Kram auch reinfuchsen und könnte es machen, aber ich habe keinen Bock zu, keine Zeit zu und habe ich keine Ahnung von. Also gebe ich es raus und lasse es mir von einem machen und lasse mich von einem beraten und lasse mich von einem unterstützen, der das eben machen kann, damit ich mich konzentriert auf das konzentrieren kann, wo ich Lust zu habe, nämlich mein Business führen. Da gehört IT so ein Stück weit auch mit dazu. Und auch das, selbst das Einschalten eines Steuerberaters ist ja impliziert, ohne tief nachzudenken, von jedem neben den drei Punkten auch praktiziertes Risikomanagement gewesen, weil die sagen, ich verliere Kohle, beziehungsweise ich kriege vom Finanzamt eine auf den Deckel, wenn es nicht richtig ist, Risikostrafzahlung ist zu hoch, wie reduziere ich mein Risiko? Ich hole mir eine Ahnung ab. Das ist gelebtes Risikomanagement, ohne dass ich was aufgeschrieben habe oder sonst was habe. Das mache ich halt einfach als Chef schon nativ.
René
00:42:02
Ja, genau. Zusätzlich sollte auch kein Angstmacher sein. Das ist das, was wir eingangs schon gesagt hatten. Und kein Buzzword-Bingo. Eigentlich haben wir es gerade auch schon gesagt, in ähnlicher Form. Das muss halt wirklich jemand sein, der sinnvoll erklären kann, warum etwas machbar ist. Oder nein, der erklären kann, warum etwas sinnvoll ist. Dafür ist es ja wichtig. Da muss jemand wirklich seine Einschätzung geben. Manchmal kann man Dinge auch nicht selber einschätzen. Das kann ich auch verstehen. Wie hoch ist zum Beispiel die Eintrittswahrscheinlichkeit, dass der Server in der Cloud ausfällt. Mal angenommen. Das kann man als Endbenutzer überhaupt nicht greifen. Dafür sind sicherlich die Partner dann die Richtigen. Aber es gibt halt viele Dinge, man weiß es dann aus der Praxis ja schon.
Michael
00:43:04
Aber da müsste ich mir Gedanken gemacht haben, bevor ich in die Cloud reingehe. Sicherlich kann ich das nicht abschätzen. Das sagen wir, Michael. Du weißt, wie die Praxis aussieht. Ich weiß.
René
00:43:16
Ich weiß nicht mehr, wie oft, jetzt mal ganz im Ernst, wie oft hast du, jetzt vielleicht die letzte Zeit nicht mehr, aber nehmen wir mal an, vor fünf Jahren, wie oft hast du Leute getroffen, die nicht mal wussten, auf welchem Server oder auf welchem Kontinent deren Daten bei Microsoft liegen? Das ist ja keine Seltenheit. Ich verstehe das auf der einen Seite auch. Wir müssen was tun. Wir wollen jetzt starten. Dann wird was gemacht. Aber das ist halt das, was wir ja sagten, dieser blinde Aktionismus. Wir starten erst mal. Ich verstehe das alles. Man will schnell vorankommen. Aber genau da greift ja dann der externe Partner, der mich dabei unterstützt und mir sagt, ey, darauf musst du bitte nochmal achten. Wir gucken dann, dass wir das jetzt direkt richtig aufstellen, damit du nicht in fünf Jahren nochmal Geld investieren musst oder Sorgen haben musst, dass irgendwas nicht so richtig läuft.
Michael
00:44:08
Ja.
René
00:44:09
Ja.
Michael
00:44:11
Ja. Okay. Was? Bist du anderer Meinung? Nein, ich bin vollkommen bei dir. Ich kann das auch nachvollziehen mit schnell vorankommen, aus Panik irgendwas tun, schnelle Entscheidungen treffen. Nichtsdestotrotz predige ich und predigen wir ja hier auch im Podcast. Nimm dir Zeit, das vernünftig zu bewerten. Eine HR-Software in die Cloud ist schnell gemacht. Aber wie kriege ich die Daten daraus? Wie werden Backups sichergestellt? Es muss nichts Falsches sein. Um Gottes Willen. Das kann der richtige Weg sein. Aber mach dir wenigstens mal bitte Gedanken darüber. Neue Software, Passwort, den ganzen Kram, den wir eben oben besprochen haben, das funktioniert halt nur nicht mit Aktionismus, sondern mit Sinn und Verstand dahinter. Weil du kannst halt auch das vielleicht auch nochmal abzuschließen und den Punkt auch nochmal mitzunehmen, weil du den gerade eben auch angesprochen hast, dass du in fünf Jahren was hast. Weil wenn du Entscheidungen für was getroffen hast, steckst du sehr viel Zeit und sehr viel Geld und sehr viel Daten in eine Lösung. Egal welche Lösung, ob es lokal, ob es Cloud, ob es Graben Raster nicht gesehen ist. Wenn du nach einem halben Jahr oder nach einem Jahr merkst, das ist das falsche Pferd und du willst umsteigen, ist das meistens mit sehr, sehr viel mehr Arbeit und Aufwand verbunden, als wenn, als wie wenn du dir im Vorfeld Gedanken gemacht hättest, welches Pferd ist denn mein richtiges? Was muss das Pferd denn können? Amen. Entschuldigung.
René
00:45:41
Du hast recht. Ich unterschreibe das auch sofort. Genauso wie du es gesagt hast. Wie gesagt, in der Praxis, man erlebt es aber trotzdem.
Michael
00:45:51
Ja, natürlich.
René
00:45:53
Deswegen, also die externe Unterstützung ist da sicherlich sehr, sehr hilfreich und dann haben wir das ganze Thema so in der Form nicht. Michael, wenn wir heute eine Sache mitnehmen, glaube ich, ist ja schon das, was wir eingangs gesagt haben, ist eigentlich auch mein Fazit. Angst ist kein gutes Sicherheitskonzept.
Michael
00:46:15
Sicherheit entsteht durch Klarheit und Struktur. Das ist ja auch das, was wir gerade wieder verfechtet haben. Also immer das, was wir auch die, die die letzten Jahre unserem Podcast verfolgt haben. Klarheit, Struktur und ruhige Entscheidungen. Ich glaube, das sind so diese drei Dinge, die man mitnehmen muss. Ich sage dann immer gerne nochmal, bevor man eine Entscheidung trifft, einen Schritt zurück, nochmal darüber Gedanken machen und dann bist du bei Klarheit.
René
00:46:38
Genau. Ja, wichtig ist auch, dass man einfach auch im Hinterkopf behält, nicht das Tool, was mir fehlt, ist die Schwachstelle. Also dadurch, dass es mir fehlt, sondern die Schwachstelle liegt woanders. Welches Tool dann nachher dafür da ist, in welchem Maß und sonst irgendwas, steht auf einem ganz anderen Blatt.
Michael
00:46:56
Das ist richtig. Aber wie gesagt, wie wir es auch eben schon mal ausgearbeitet haben, so Entscheidungen aus Panik, Angst, Schnellschuss oder auch dieses berühmte wir machen es erst mal so oder wir nutzen das mal provisorisch. Nichts ist so beständig wie ein Provisorium. Das klappt nicht. Macht es gleich richtig. Nehmt euch die Zeit. Irgendein Zitat, ich weiß nicht, ich glaube von einem guten Bekannten von mir bringt das immer. Wenn ich keine Zeit habe, nimm dir von dieser Zeit am Anfang sehr viel davon. Weil wenn du echt Druck auf der ganzen Kiste hast, macht es halt echt Zeit, besonnen zu starten und sich einen Großteil von dieser Zeit am Anfang zu nehmen und eine Struktur reinzubringen und ein Mindset zu haben, dass ich es nachher wegarbeite, beziehungsweise nachher konzentriert ins Doing gehe. Genau so ist es.
René
00:47:47
Ja, bringt sehr vieles sehr gut auf den Punkt. Ja, richtig. Ja, ich würde sagen, in diesem Sinne, ruhig bleiben, kritisch bleiben, aber auch sicher bleiben.
Michael
00:48:01
Von daher bis zur nächsten Folge, würde ich sagen.
René
00:48:05
Vielen Dank in die Runde, vielen Dank Michael. Und dann hören wir uns in 14 Tagen wieder.
Michael
00:48:10
Von mir auch. Grüße aus Wetzlar, bis dahin. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts