users lounge

Der Podcast für mehr IT-Sicherheit

#73 Streitfall IT

Welche Meinung vertrittst du?

17.07.2026 67 min

Zusammenfassung & Show Notes

Wir vertreten bewusst unterschiedliche Positionen zu Themen wie dem Einsatz von KI in Unternehmen, Cloud-Strategien, der Delegation von IT-Verantwortung, Mitarbeiterschulungen sowie dem Spannungsfeld zwischen IT-Sicherheit und Benutzerfreundlichkeit. Nach jeder Diskussion ordnen wir die Argumente ein und teilen unsere tatsächliche Einschätzung, um Chancen, Risiken und unterschiedliche Perspektiven praxisnah zu beleuchten. So entsteht eine lebendige Diskussion, die zum Nachdenken anregt und zeigt, dass es bei vielen IT-Themen keine einfachen Schwarz-Weiß-Antworten gibt.

Key Topics
  • Wann ist der Einsatz von KI sinnvoll?
  • Vorteile und Risiken von Cloud-Strategien
  • Sicherheitsaspekte bei Passwörtern und Passkeys
  • Prozessautomatisierung in Unternehmen
  • Vertrauen in Cloud-Dienste Kostenvergleich Cloud vs. On-Premise
  • Vorteile externer IT-Dienstleister
  • Verantwortung des Geschäftsführers für IT
  • Notwendigkeit eines IT-Sicherheitsbeauftragten
  • Regelmäßige IT-Schulungen und Tests
  • Technische Maßnahmen vs. Mitarbeiterschulungen
  • IT-Sicherheit und Benutzerfreundlichkeit
  • Delegation der IT-Verantwortung
Soundbites
  • "KI sollte nur bei konkretem Problem eingesetzt werden"
  • "Vertrauen ist der Schlüssel bei Passkeys"
  • "Cloud-Strategie ist für die Zukunft unerlässlich"

Transkript

Anlauf Nummer drei. René, ich grüße dich.
René
00:01:02
Moin, Michael.
Michael
00:01:03
Moin.
René
00:01:05
Nur kurz zur Erklärung, das ist jetzt der dritte Anlauf, das wir jetzt wirklich versuchen, hier irgendwie aufzuzeichnen. Wir haben aber gerade hier internettechnisch Verbindungsabbrüche und das macht es gerade nicht so einfach.
Michael
00:01:16
Habt ihr einen guten Internet, beziehungsweise habt ihr einen guten IT-Dienstleister, den ihr anrufen könntest, wenn die Probleme weiter bestehen?
René
00:01:22
Einen Dienstleister hätte ich, ja, aber das haben wir, glaube ich, nicht wirklich in der Hand. So, also, ja, nicht lange drumherum. Michael, letztes Mal haben wir, ja, mal zwei Folgen außer der Reihe gemacht, so nach einem anderen Format. Ich habe was Ähnliches heute auch vor. Na, dann auf. Nicht genauso wie das letzte Mal. Ich erkläre es kurz, wie es läuft. Das heißt, ich habe zehn Thesen mitgebracht, in diesen Thesen, oder ich habe Thesen mitgebracht. Wir werden sehen, wie weit wir kommen. So wie ich uns kenne, werden es keine zehn, aber wir werden es nicht so machen, dass wir einfach unsere Meinung nennen, sondern wir werden beide eine Position einnehmen. Das heißt, einer von uns wird pro-argumentieren und einer wird kontra-argumentieren. Wir deckeln das Ganze pro Frage tatsächlich auf maximal zehn Minuten. Es kann auch sein, dass wir schneller durch sind, aber wir deckeln es bei zehn Minuten. Und dann würden wir es so halten, dass wir dann tatsächlich doch unsere Meinung nennen, also zum Abschluss dieser These, und dann gehen wir zur nächsten These über. Also einmal ein bisschen anders, auch vielleicht mal aus unserer Komfortzone heraus, weil wir da einfach mal vielleicht eine Position beziehen, die wir normalerweise nicht vertreten. Wie gesagt, wir werden unterschiedliche Positionen einnehmen, werden darüber sprechen, und dann werden wir einfach mal gucken, wo wir dann landen. Wir gucken dann, wie viele Thesen wir heute wirklich durchbekommen. Vielleicht machen wir noch eine zweite Folge, vielleicht zieht es sich durch. Wir werden sehen. Dann würde ich nämlich sagen, Michael, dann starten wir nämlich auch in die erste Frage an der Stelle oder in die erste These. Die erste These ist, sollte jedes KMU KI aktiv einführen?
Michael
00:03:23
Okay. Welche Position darf ich einnehmen, den positiven und den negativen?
René
00:03:31
Genau, das machen wir mal. Wir losen das nämlich jetzt direkt hier in der Episode aus. Und du hast den Kontrapart. Okay.
Michael
00:03:52
Passt zur Woche. Hau rein.
René
00:03:58
Ich vertrete dann logischerweise den Propart. Ich finde, jedes Unternehmen sollte sich damit beschäftigen, weil es Effizienz fördert. Und ganz klar auch Arbeitsabläufe standardisiert zum einen. Ganz oft sind Prozesse chaotisch. Man muss sie erstmal standardisieren, also in eine Form pressen, um daraus wirklich vernünftig KI-Anbindungen bauen zu können. Das kann ein positiver Nebeneffekt dann sein. Und dass Daten in eine Verbindung miteinander gebracht werden, die man an anderer Stelle vielleicht so nie gehabt hätte oder die man sich aus anderen Systemen so nicht hätte ziehen können.
Michael
00:04:48
Du wirfst ein paar Sachen durch den Pott rein, aber kriege ich dich jetzt gleich mit. Bitte. Jedes Unternehmen, soweit gehe ich am Anfang noch mit, sollte sich mit dem Thema beschäftigen. Die Frage war jedoch aktiv einführen. Und dann sage ich ganz klar Nein, weil du für jede Lösung erstmal ein Problem brauchen solltest. Und das, was aktuell mit KI getrieben wird und was aktuell durch die Landschaften gehen, was aktuell ziemlich gepusht wird, ist KI ist dein Allheilmittel. Füll mal ein, du wirst dann schon irgendein Problem finden, was du damit lösen kannst. Und das ist meiner Meinung nach der komplett falsche Ansatz. Du brauchst ein Problem im Unternehmen oder du brauchst etwas, was du verbessern willst. Und das musst du dir angucken, wie du auch eben schon schön gesagt hast. Prozesse standardisieren etc. pp. Und dann kann die Lösung des Problems eine KI sein. Die kann es sein, die muss es aber nicht. Du musst ergebnisoffen in ein Problem reingehen und kannst dann entscheiden, ob eine KI eine Lösung ist. Über Verdei und Verderben einfach KI aktiv einzuführen, ohne einen konkreten Nutzen zu haben und ohne eine konkrete Problemlösung zu haben, ist der komplett falsche Ansatz, der aktuell in vielen Unternehmen aber so betrieben wird.
René
00:06:10
Da hast du recht, KI einzuführen, nur damit man eine KI hat, ist Quatsch, stimmt. Aber das Problem liegt ja eigentlich auf der Hand. Und das ist ganz klar Fachkräftemangel, das ist ganz klar Zeitmanagement, das ist ganz klar Effizienz, alles was von Hand gemacht werden müsste, kann natürlich ein Stück weit durch Automation schon gemacht werden, aber am Ende des Tages ist das alles Part davon. Und da sind die Probleme, auch wenn sie ein Teil des Problems sind.
Michael
00:06:45
Genau, jedoch ist bei vielen Unternehmen unterschätzt, dass man KI, also KI aktiv einführen, heißt nicht KI aktiv einführen. Also ein Account anzulegen bei GCPT heißt nicht, ich habe eine KI eingeführt. Und wenn KNUs wirklich aktiv KIs einführen wollen, hängt da ganz viel Prozess und Vorbereitung dran an der ganzen Sache und auch ganz viel Zeit zum Implementieren von diesen Systemen. Und an der Stelle muss man ganz klar betrachten, ist die Lösung durch die KI und durch die Zeit, die ich brauche, um das damit umzusetzen, steht das in einem angemessenen Verhältnis zu dem Problem. Wenn ich damit nur Kleinigkeiten löse oder immer nur so 10 Sekunden Tätigkeiten lösen, muss ich mir überlegen, wie oft mache ich die 10 Sekunden, dass es sich wirklich lohnt, ein Modell zu trainieren, eine KI anzuschaffen etc. pp. und irgendwie Stunden und Dollars in das Ding zu investieren, wenn es für einen normalen Mitarbeiter eben nur zwei Mausklicks sind. Ich finde die Kontrolle cool, zumal du auch immer wieder das Thema hast, du kannst und darfst nicht die Informationen, die aus der KI rausfallen, ungefiltert und ungeprüft ins Unternehmen spielen oder damit weiterarbeiten. Du brauchst sowieso die Fachkraft am Ende mit dem Ergebnis, was aus dem Ergebnis, was die KI auswirft, einen verwertbaren Inhalt macht oder den ein Dritter weitergibt. Content-Erstellung, Zahlen für die Steuerberater etc. pp. ist niemals ein Thema, was du alleine auf der KI setzen kannst.
René
00:08:27
Ja, gebe ich dir recht. Dennoch bin ich anderer Meinung, logischerweise. Ja, musst du. Richtig. Ja, nein, aber man versenkt da auch Zeit rein. Und ich gebe dir auch recht, dass man sicherlich prüfen muss, was jetzt gerade Sinn macht und was nicht. Also klar, wenn das Kleinigkeiten sind, dann steht der Zeit-Nutzen-Wert nicht gegenüber. Aber es gibt halt sehr, sehr viele Bereiche, wo es durchaus schon möglich ist. Also wo man schon sagen kann, okay, da kann ich jetzt, und das wird jedes Unternehmen haben. Jedes Unternehmen hat Potenzial. Ob sie jetzt wirklich auch aktiv einführen soll, hängt halt von vielen Dingen ab. Aber ich glaube, dass jedes Unternehmen Potenzial hat. Du sagst gerade, wenn wir ein Problem dafür haben müssen. Ein Problem kann auch sein, dass ich zwar Daten habe, diese aber in keine Verbindung bringe und daraus nicht partizipieren kann. Ein Problem kann sein, dass ich keine Zeit habe. Und da beißt sich immer die Katze in den Schwanz. Ich habe keine Zeit zu automatisieren, weil ich so viel manuell machen muss. Ist ja auch mal eins dieser Argumente, was kommen kann. Ja, aber das hole ich mir hinten raus ja wieder rein.
Michael
00:09:44
Da gehe ich mit. Aber ist denn wirklich, du sagst gerade, jedes Unternehmen hat Potenzial zum Optimieren. Gehe ich dagegen, dass ich sage, jedes Unternehmen mag zwar Potenzial zum Optimieren haben, aber jedes Unternehmen muss für sich entscheiden, ob sie dieses Potenzial ausschöpfen will. Es gibt ja durchaus Unternehmen, die im Moment noch ziemlich glücklich damit sind, mit einem Bleistift auf eine Kreidetafel oder auf ein Blatt Papier zu schreiben, das Geschäftsmodell funktioniert. Das sind 20 Mitarbeiter, die lochentackern etc. Ich übertreibe jetzt mal ein bisschen, aber nur um es zu verdeutlichen. Und die sind mit sich im Reinen. Der Chef ist glücklich, die Mitarbeiter sind zufrieden, die Kunden funktionieren, der Umsatz ist da, jeder verdient sein Geld. Alle sind glücklich. Natürlich wäre sofort an der Stelle Potenzial im Unternehmen. Nur wenn das Unternehmen für sich entscheidet, mit meiner jetzigen Situation bin ich Wölkchen, das läuft. Warum muss ich denn aktiv KI einführen? Und das ist so die Sache. Der Wettbewerb. Brauche ich nicht.
René
00:10:51
Der Wettbewerb treibt dich damit rein. Ja, das ist vielleicht heute noch nicht so, aber der Markt dreht sich und das geht schnell oder verändert sich so. Und es wird immer schneller gehen.
Michael
00:11:02
Dennoch bin ich dann an dem Punkt, wo ich sage, ich möchte mein Potenzial nutzen. Ich sehe ein Problem und ich führe dann problem- und lösungsorientierte KI ein. Das ist nach wie vor, stehe ich auf den Standpunkt, stumpf jedes Unternehmen, jedes KMU KI aktiv einführen, sehe ich nach wie vor mit einem Fragezeichen, weil ich sage, vor der Einführung stelle das Problem, was du hast und überlege, ob KI die Lösung für dich ist und schmeißt nicht pauschal KI ins Unternehmen rein und sagt deinen Mitarbeitern, jetzt habt ihr KI, jetzt seid ihr auf einmal 30% effizienter, jetzt macht mal Vollgas. Das ist mein Kontrapunkt.
René
00:11:40
Da hast du ja auch recht. Aber wie gesagt, aus meiner Sicht, selbst wenn du jetzt, nehmen wir dieses Unternehmen, was du gerade beschrieben hast, wenn du da, zum einen das Unternehmen sollte natürlich gucken, dass es sich trotzdem weiterentwickelt. Ob es das für den heutigen Tag oder für die jetzt gerade als notwendig betrachtet, weiß ich nicht. Wahrscheinlich dann nicht, so wie du es beschrieben hast. Aber am Ende des Tages, irgendwann wird einer kommen, der macht es dann halb automatisiert, ist vielleicht günstiger als du und verdrängt dich so vom Markt. Das kann passieren und das ist vielleicht kein Problem, dass das Unternehmen jetzt in diesem Augenblick sieht, aber das ist ein Problem, dass auf dieses Unternehmen zukommen kann. Kommen kann. Genau. Ja klar. Aber es kann auch für mich okay sein zu sagen, okay die Buchhaltung führt jetzt jedes Dokument von Hand von A nach B. Kann ich aber auch automatisieren. Also, Neb, du hast recht. Ja, wenn das jemand nicht will, dann muss er sich dazu nicht drängen lassen. Da gebe ich dir recht. Genau. Aus meiner Sicht aber, um wirtschaftlicher zu sein und um da effizienter zu werden und so weiter, also alles Vorgenannte und so, bin ich der Meinung, dass KI ganz klar eingeführt werden sollte. Bei jedem, okay, ich deckele das auch an der Stelle. Das machen wir jetzt auch. Ja, weil dann verfalle ich doch sehr in meine eigene Meinung. Bei jedem halte ich auch für utopisch. Das ist nicht der richtige Weg, weil nicht jeder dazu gemacht ist oder bei jedem das auch so passt. Aber ich bin schon der Meinung, dass wenn man sich weiterentwickeln möchte und ich bin auch der Meinung, dass so ziemlich jedes Unternehmen immer wieder an sich arbeiten muss, um am Markt zu bestehen, dass da auch entsprechend das Potenzial ist und dass man es zumindest abwägen sollte. Wenn man dann sagt, okay, ich will es nicht, gut, dann ist es in Ordnung. Aber man sollte es auf jeden Fall mal einmal in Betracht ziehen und ganz offen darüber nachdenken, ob das eine Weiterentwicklung sein kann oder eben auch nicht. Genau, passt. Deckel. Okay, ja, ich wollte dich da jetzt nicht einfach überstimmen.
Michael
00:13:57
Du darfst gerne auch deine Meinung nochmal zum Besten geben. Nein, nein, ich gehe damit Deckel. Wir wollten 10 Sekunden Prothese. Mach mal Deckel. Mach mal weiter. 10 Minuten, 10 Sekunden. Ich glaube, die Standpunkte sind ziemlich klar und wir haben beide mal eine Meinung geäußert und da kann man sich die Summe draus machen. Mach weiter. Okay.
René
00:14:17
These 2. Sind Passwörter ein Auslaufmodell? Ich habe es gerade ausgelost. Ich übernehme in diesem Fall die Kontra-Rolle.
Michael
00:14:31
Okay, ich wäre gern bei Kontra geblieben. Ja, also Passwörter sind auf jeden Fall ein Auslaufmodell. Passwörter braucht kein Mensch. Wir machen das alles mit Passkeys und dann sind wir fertig. Wer will sich schon Passwörter merken?
René
00:14:50
Ja, es stimmt, dass sich das keiner merken möchte. Allerdings ist es schon so, also ich glaube nicht, dass es ein Auslaufmodell ist. Das wird sich sehr, sehr lange hinziehen, bis sowas wirklich funktioniert. Und das Vertrauen in diese Methoden ist aus meiner Sicht auch nicht ganz zu Unrecht, da noch nicht so hoch. Also es soll nicht heißen, dass ich gegen Passkeys bin, sondern einfach, dass das Vertrauen logischerweise in der breiten Masse noch nicht so groß ist. Wir hatten mal eine Episode, da haben wir ja mal drüber gesprochen und da haben wir ja festgestellt, es dauert immer eine gewisse Zeit, bis wir an so einer Schwelle sind.
Michael
00:15:27
Ja, und genau deswegen ist es ein Auslaufmodell, weil es aktuell eine reine Vertrauensfrage ist. Die Technik funktioniert, die Plattformen funktionieren, es läuft absolut geschmeidig, es ist eine reine Vertrauensfrage, ob ich mich davon loslöse, Passwörter zu kennen und einer Technik zu vertrauen. Im Unterbewusstsein machen das bereits ganz, ganz viele, indem sie Passwortmanager einsetzen. Sie setzen ja jetzt schon Passwortmanager ein, weil sie wissen, dass Passwörter ein Auslaufmodell sind im Sinne von Passwörter, die ich mir merken kann. Deswegen setzen sie jetzt schon, ich nenne es mal als Krücke oder als Übergangstechnologie, eben hochsichere Passwörter, 25, 30, 40 Zeichen, über einen Passwortmanager ein, weil sie genau nämlich kein Vertrauen mehr in normale Passwörter oder in merkbare Passwörter haben und sie wissen sowieso nicht mehr. Das heißt, wäre ihr Passwortmanager weg, haben sie sowieso keinen Zugriff mehr auf die ganzen Sachen. Und Passkey geht nun schon nochmal weiter. Und da ist der nächste Schritt. Im Passwortmanager habe ich die kleine Angst, dass ich sagen kann, theoretisch könnte ich es mir noch auf ein Blatt Papier schreiben, die 40 Zeichen. In der Praxis macht das aber auch keiner. Und bei Passkeys habe ich es halt einfach nicht mehr so, dass ich es sehe, sondern es läuft automatisiert. Das ist der nächste Schritt. Und weil die Menschen eh über Passwortmanager schon viel arbeiten und zwei Faktor, kriegen sie sowieso schon Angst über Passwörter und deswegen läuft es aus. Das ist eine reine Vertrauensfrage.
René
00:17:00
Also ich würde es nicht alleine ans Vertrauen koppeln. Es kommt ja noch dazu, dass nicht alle Plattformen erstmal diese Technologie bereitstellen. Könnte man jetzt natürlich zeitlich ein bisschen sehen. Keine Frage. Man wird irgendwann an die Stelle kommen, dass es so ist, also dass man weggeht von Passwörtern. Aber die Frage ist, ist es deswegen heute schon ein Auslaufmodell? Und da bin ich der Meinung, dass es nicht so ist, weil dieser Zeitraum sich aus meiner Sicht so lang hinziehen wird. Und du bist ja bei Passkeys, und das ist auch ein gewisser Nachteil. Du bist halt Geräteabhängig, wenn du es lokal auf diesem Gerät generierst. Und wenn du es in der Cloud machst, ist es halt, du hast die Daten in der Cloud.
Michael
00:17:51
Was ist der Unterschied zu deinem Passwortmanager? Wenn du einen Passwortmanager lokal generierst, ist dann, wenn dein Handy tot ist, sind die Daten auch weg. Und wenn du deine Sachen in der Cloud hast, bist du wie bei Passkeys. Was ist der Unterschied zu einem aktuellen Passwortmanager, den jeder benutzt?
René
00:18:06
Na ja, also bei einem Passkey, den kannst du dir ja nicht mal, also den könntest du dir wieder aufschreiben, den hast du nicht in der Hinterhand. Du kannst ja auch kein Backup davon ziehen. Das ist einfach nicht möglich. Das heißt, ist es weg? Ist es wirklich weg? Das ist im Passwortmanager eben anders. Weil wenn ich mir die Daten, die da drin sind, zumindest mal exportiert habe oder so, habe ich die in der Hinterhand. Das habe ich bei einem Passkey nicht. Den kann ich nicht einfach von Hand da eintragen. Also da muss dieser Austausch zwischen beiden Stellen, das muss passen. Das ist klar, denn das, wo denke ich auch noch so sehr die Bedenken sind, natürlich, wir sprechen auch immer davon, wer hat diese Bedenken? Ich glaube, dass sehr technikversierte diese Bedenken meistens nicht haben, beziehungsweise geringere Vorurteile dagegen, als jemand, der vorher, wie du gesagt hast, am besten noch mit seinem Passwortbüchlein unterwegs war. Der wird noch mehr Bedenken dagegen haben, das alles in die Technik zu geben.
Michael
00:19:10
Ja oder nein? Weil derjenige, der den technischen Background hat, vielleicht zu viel nachdenkt und dadurch Skepsis kriegt. Der 0815 oder Standard-User sieht, wow, Passkey, das bedeutet, ich muss mir nichts mehr merken. Alles klar, die Dinger vertrauen sich, das ist sicher, das geht ab. Das kann sich einer mit Passwort, alles klar, Knopfdruck, los geht's. Der geht vielleicht unbefangener an die Sache ran. Wo ich aber bin und wo ich der Recht gebe, ist, dass das ein echtes Vertrauensthema ist. Ich glaube aber, wenn wir über aktuellen Auslaufmodell reden und reden über, lass mal in drei Jahren auslaufen, lass uns mal in drei Jahren podcasten und das Thema Passkeys und Passwörter nochmal aufnehmen, ich glaube, dass du irgendwann hast so einen Switchpunkt. Irgendwann hast du so den Punkt, den wir haben, dass das überwiegend genutzt wird, immer mehr Plattformen nutzen es und ich glaube, das ist nur noch eine Sache der Marktdurchdringung und ich könnte mir vorstellen, dass wir in zwei, drei Jahren viel mehr Passkeys unterwegs haben wie Passwörter.
René
00:20:18
Jetzt hast du, glaube ich, gerade auch schon eigene Meinungen mit reingebracht. Ja, aber deswegen decken wir das jetzt auch. Wir können es auch da decken, genau. Also ich bin auch der Meinung, dass Passkeys sicherlich immer mehr werden. Ich bin aber tatsächlich der Meinung, dass es extrem lange dauern wird, bis wir wirklich von den Passwörtern weg sind. Man muss ja auch sagen, Passkeys, das wird ein immer aktuelleres Thema, aber Passkeys gibt es auch schon super lange. Auf einzelnen Plattformen, keine Frage, es wird jetzt mehr, aber gibt es schon lange und auch die Idee dahinter. Ich weiß, dass wir von Surfcom aus, ich glaube das erste Mal vor fünf Jahren oder so, auch wirklich ausführlich über Passkeys berichtet haben und seitdem muss man sagen, wir stehen an einer immer noch ähnlichen Stelle. Deswegen glaube ich, dass dieser Weg bis dahin noch sehr lang sein wird. Es ist keine schlechte Technologie. Also ich selber nutze es ja auch und du hast ja nicht unrecht, es ist ja ähnlich wie der Passwortmanager. Klar, technisch steckt da ein bisschen was dahinter, aber es ist eigentlich das Gleiche, weil das Passwort, ja, wenn ich es mir exportiere, habe ich es, aber am Ende des Tages, ich kann es mir nicht mehr merken. Das ist halt genau das Gleiche wie beim Passkey, außer dass halt diese gewissen Abhängigkeiten noch dazukommen. Aber genau das erhöht ja auch die Sicherheit dahinter. Also kann man immer so und so sehen. Deswegen, ja, hast du noch was dazu? Nee, mach den Deckel. Okay, dann These drei. Sollte jedes Unternehmen eine Cloud-First-Strategie verfolgen? Ausgelost ist, du übernimmst die Kontraseite. Okay. So, also, ich denke...
Michael
00:22:13
Das passt jetzt ganz gut mit einem IT-Leute und einem Datenschützer. Lass die Position tauschen, ganz im Ernst. Komm, lass uns tauschen. Da sind wir zu befangen untereinander. Ja, dann los.
René
00:22:29
Dann, ja, ich denke nicht... Ich denke jetzt der Pro, gell? Genau, du machst Pro, ich mache Contra. Also ich bin der Meinung, dass es nicht so sein sollte. Einfach, wenn wir jetzt allein technisch... Nein, technisch nicht. Wenn wir jetzt die politische Lage und alles, was so dazugehört, Datensouveränität und so weiter, bin ich der Meinung, dass wir das nicht tun sollten. Daten zurück ins Haus, bei mir liegen lassen. Ich habe Zugriff darauf. Ich weiß ganz genau, was mit meinen Daten passiert.
Michael
00:22:59
Ja, natürlich weißt du auch in der Cloud, was mit deinen Daten passiert. Du hast einen vernünftigen Auftragsverarbeiter. Du hast eine... Nee, ich bin Contra. Hups, habala. Ja, ich war Contra. Nein, du bist jetzt Pro. Also, ich bin jetzt Pro.
René
00:23:13
Wir haben ja getauscht. Du bist Pro.
Michael
00:23:15
Ja, natürlich. Na, super. Also, natürlich musst du deine Daten in die Cloud legen. In der aktuellen mobilen Arbeitswelt kommst du um eine Cloud-Datenlage gar nicht mehr drum rum. Die Idee, dass du in einem Büro arbeitest, hast einen Serverschrank in der Ecke und irgendeiner spielt eine CD mit einer neuen Software ein, ist schon seit Jahren, Jahrzehnten durch. Also, sollte durch sein. Der einzige Weg, den du haben kannst, ist, du gehst in die Cloud. Du hast agiles und mobiles Arbeiten. Du hast jederzeit die Möglichkeit, einen Dienstleister entsprechend deiner Qualifikation, deiner Kompetenzen zu nehmen. Du kannst Server-Rec skalieren. Du kannst die Cloud ganz an deine Bedürfnisse anpassen. Du kannst Speicherplätze zubuchen und machen. Das funktioniert alles nicht, wenn du es on-prem legst. Also, für mich ist Cloud-first das absolut Notwendige, was jedes Unternehmen für sich verfolgen muss. Da geht es gar nicht mehr weiter ohne.
René
00:24:13
Ja, aber ich kann auch meinen Server etwas größer auslegen. Dann habe ich auf jeden Fall zukunftssicher ein bisschen vorgesorgt. Da sehe ich jetzt nicht das Riesenproblem. Datenschutz, natürlich gibt es da Zertifikate. Am Ende des Tages, wenn ich das jetzt vergleichen müsste mit Administratoren, nehmen wir mal jetzt einen Dienstleister. Du hast einen Dienstleister, der hat Zugriff auf deinen M365. Und er sollte sich natürlich nur so granulare Rechte geben, dass er nur administrieren kann und nicht in die Daten reinschauen. Da ich aber technisch nicht versiert bin, kann ich das gar nicht nachvollziehen, ob er den Zugriff darauf hat oder nicht. Da muss ich ihm ja ein Stück weit vertrauen. Ähnlich ist es in der Cloud. Mir wird gesagt, es passiert nichts mit den Daten. Das weiß ich aber nicht.
Michael
00:25:05
Du weißt aber auch nicht, was mit deinen Daten auf deinem lokalen Rechner passiert. Ich gehe wieder zurück in die 20 Jahre. Unseren Server-Rack war da stand. Da waren wir in einer Zeit drin, wo nur sehr beschränkt Internetzugriff war. Du hast inzwischen jedes System sowieso nativ online. Und du willst mir hoffentlich nicht erklären, dass du mit deiner IT in deiner kleinen Firma und mit Firewalls und Sicherheitseinrichtungen besser aufgestellt bist oder auch nur gleichwertig gut aufgestellt bist wie ein Rechenzentrum, die das beruflich machen. Guck dir die großen Eins und Einser an, druck dir die etc. pp. Du hattest eben gesagt, guck dir Microsoft an. Du glaubst doch wohl, dass die Daten in einem Rechenzentrum wesentlich sicherer liegen im Angriffsmodus wie bei dir auf deinem System.
René
00:25:53
Und wenn ich meine Systeme losgelöst vom Internet betreibe, die Möglichkeit habe ich. Das heißt, ich könnte daraus ein VLAN machen, was komplett losgelöst vom Internet ist. Dann habe ich da gar keine Zugriffe von außen. Natürlich ist der Aufwand etwas höher, aber ich habe eine höhere Sicherheit da drin. Das sind ja alles Möglichkeiten, die ich habe. Und die habe ich nur, wenn es bei mir ist.
Michael
00:26:18
Die Möglichkeiten haben aber einen sehr hohen Kostenfaktor auf der einen Seite, der skaliert, der unverhältnismäßig ist im Vergleich zu einer Cloud-Strategie.
René
00:26:28
Den bin ich bereit zu zahlen.
Michael
00:26:30
Und dann hast du das Thema, dass du deine Mitarbeiter hast, die genau diese Dinge alle mitgehen müssen und genau alle Sicherheitswege mitgehen müssen und die diese Komplexität, die du brauchst, um dich auf Systeme einzulocken, VPN hier, zwei Faktor da, da nochmal Passworten, das wirst du, das wird den Mitarbeitern an Akzeptanz und für dich Effektivität im Unternehmen, das wird dich bremsen. Du kommst nur mit einer vernünftigen Cloud-Strategie im Unternehmen weiter, wenn du wirklich agil vorwärts arbeiten willst.
René
00:27:03
Ja, also bei uns läuft es. Deswegen muss ich nicht unbedingt jetzt nach vorne gucken. Es läuft und meine Mitarbeiter müssen den Weg mitgehen, den ich da vorgebe. Ich muss für die Sicherheit des Unternehmens sorgen und das mag jetzt ein bisschen arrogant klingen, aber mir ist die Sicherheit der Daten dann wichtiger als eine Einzelmeinung.
Michael
00:27:25
Jedoch ist die Sicherheit der Datenlage in der Cloud noch lange nicht unsicherer wie bei dir auf dem Server. Nach wie vor. Es ist, wenn du in die Cloud gehst, hast du nach wie vor sichere Datenablage. Du musst bewusst den Cloud-Anbieter wählen, brauchen wir nicht drüber reden, aber du bist in einer Cloud gleichwertig sicher. Je nach Internet-Anbindung, je nachdem, wie es konfiguriert ist, je nachdem, wie deine Server zu Hause aufgestellt sind, hast du weniger Kram. Und das Nächste ist, die meisten Software-Systeme oder aktuelle Software-Systeme gibt es ja nur noch in der Cloud als Software-SS-Service-Lösung. Wie viele Systeme hast du denn wirklich noch die On-Prem laufen und die du wirklich auch dann hast? Und es wird immer mehr in die Cloud verlagert, es gibt immer mehr Dienstleistungen, es wird immer agiler. Auch hier reden wir wieder von Software und Updates und du bist einfach mit einer Cloud-First-Strategie wesentlich näher am Zahn der Zeit und in meiner Sicht wesentlich geschützter und schneller mit Sicherheits-Updates wie bei dir im Unternehmen.
René
00:28:28
Ja, aber ich muss ja nicht zwingend auf die Sicherheits-Updates achten, weil meine Systeme sind ja vom Internet losgelöst. Wir können das hier an dieser Stelle deckeln, weil am Ende des Tages...
Michael
00:28:41
Office 2010 läuft noch ziemlich stabil, gell? Jaja, aber jetzt würde ich natürlich mit Null-Argumenten kommen.
René
00:28:49
Das macht keinen Sinn. Nein, ich sehe das ja so wie du. Klar kann man für sich gewissermaßen sagen, ich möchte die Daten oder meine Systeme im Haus haben. Am Ende des Tages wirst du aber nie um eine Cloud-Trommel kommen. Und jeder, der das versucht, wird natürlich gerade seine Konkurrenz und sowas betrachtet, wird der einfach abgehangen. Alle anderen gehen ja den Schritt weiter. Und du bist natürlich flexibler. Ich meine, wenn ich mir heute einen Server kaufe, den stelle ich mir ins Haus und ich würde jetzt, wenn ich jetzt nicht schon langjährige Partnerschaften habe und sage, okay, mit dem bin ich so zufrieden, die werde ich sowieso weiter nutzen, aber ich bin dann nicht so flexibel, dann eben zu sagen, na ja gut, dann wechsle ich halt. Die Möglichkeiten hast du in der Cloud schon. Wir müssen dann natürlich ein bisschen unterscheiden. Bei einem Microsoft 365 ist die Entscheidungsfreiheit sicherlich nicht ganz so groß. Aber bei anderen Systemen, keine Ahnung, lass es jetzt meinetwegen Personal oder HR-Systeme oder Ähnliches sein. Wenn dir das ein wenig zusagt, okay, dann nimmst du dir ein Neues, überträgst deine Daten, entfernst die am alten Ort und dann geht es weiter. Und das ist halt etwas, dass diese Möglichkeiten, die hast du nur in der Cloud. Also zumindest so flexibel und so agil zu sein.
Michael
00:30:12
Genau, du musst aber nach wie vor immer mehr wählen und weise entscheiden, was du auslagerst und an wen du auslagerst. Und das musst du auch bewusst treffen. Wir machen ganz kurz nur Bashing. Das musst du ganz bewusst treffen und musst du für dich entscheiden und musst irgendeinen Kompromiss finden von mir doch egal wo es liegt zu ich muss alles in Deutschland liegen haben, weil ich Angst vor Cloud-Act habe. Also irgendwo dazwischen liegt die Wahrheit. Das muss man für sich klar machen. Das muss man auch an den Dienstleistern klar machen. Wir könnten jetzt Stunden über Cloud-Act, US-Transfer, Cloud-Infrastruktur, Deutschland, Amerika, etc. PP diskutieren, machen wir gar nicht. Ich sage nur, man muss sich bewusst für Systeme und Software entscheiden. Nicht blauäugig rein, aber auch nicht das ganze verteufeln.
René
00:31:08
Ja, ganz genau. Kosten sind natürlich auch immer ein Thema. Ich meine auch das. Ganz oft sagt man dann ja in der Cloud, das kostet mich x viel Euro im Monat. Ja, wenn ich das ganze lokal versuche abzubilden, wenn es jetzt keine Mischstellung ist, sondern wirklich rein on-prem. Was habe ich denn dann? Ich muss die Hardware deutlich größer ausstatten. Ich muss Lizenzen für Exchange oder was weiß ich was kaufen. Ich muss meine ganze Infrastruktur im Haus auch anders aufbauen. Das sind einfach so viele Dinge, wo man sagt, okay, der Punkt, ab wann die lokale Umgebung wirklich günstiger für dich ist, der ist sehr spät erreicht. Und dann bist du meistens schon an der Stelle, wo du sagen kannst, meine Hardware ist eigentlich alt, die müsste ich mal wieder tauschen.
Michael
00:32:04
Also das ist schwierig. Und ja, vor allen Dingen hast du dann, wir machen es gleich zu, nur weil ich gerade noch so ein Ding aus dem echten Leben wieder habe. Vor allen Dingen hast du dann das Thema, dass du in die Versuchung kommst, Hardware länger zu benutzen, wie es eigentlich gut wäre, nur weil sie funktioniert ja noch. Also wir hatten schon mal ein Thema mit Lifecycle von Hardware und sowas, haben wir schon mal drüber gesprochen. Aber wenn ich eine Hardware, eine Firewall nur weiter benutze, weil sie ja noch funktioniert, die aber schon aus dem Software, aus den Security-Updates raus ist und zum Beispiel keine Zwei-Faktor-Authentifizierung anbietet und ich mich da tanzen lasse und feiern lasse und sage, ich will aber noch nicht updaten, weil sie läuft ja noch, dann laufe ich ihr eine Falle rein, die ungesund für mein Unternehmen sein kann.
René
00:32:57
Ja, sehe ich ganz genauso. Deswegen, also da muss man einfach mit der Zeit gehen. Die Wahl hat man da nicht so ganz. Perfekto. So, wenn wir jetzt gerade über Cloud gesprochen haben, das schließt so ein bisschen daran an, sollten Unternehmen ihre komplette IT auslagern? Du Pro, ich Contra.
Michael
00:33:19
Natürlich. Wer will es denn im Unternehmen machen? Ich will in meinem Unternehmen Geld verdienen und ich will, dass es läuft. Natürlich hole ich mir eine komplett ausgelagerte IT von einem IT-Dienstleister, wo ich mich darauf verlassen kann, wo es läuft. Ich verstehe die Frage nicht.
René
00:33:36
Ja, also wir haben da einen Kollegen mit im Haus, der kann so ein bisschen IT. Warum soll ich jetzt einen externen dafür bezahlen, dass er das macht, was er auch kann? Und wenn er mal was nicht kann, dann liest er sich das durch, das ist okay. es ist ja auch einfach schwierig. Ich will nicht mein System außer Hand geben, weil wir das Wissen einfach dann nicht mehr im Haus haben. Ich will, dass meine Leute oder wir hier im Unternehmen wissen, wie das Ding funktioniert. Ich will das nicht komplett außer Hand geben.
Michael
00:34:08
Es wäre eine Mindset-Frage. Jedoch ist bei einer IT an sich ist, wie es funktioniert und wie genau es konfiguriert ist, in der heutigen Zeit das Thema eh gelutscht. Also das kann keiner mehr nebenher mitmachen ab einer gewissen Größe und erst recht brauchst du auch das Wissen nicht in deinem Unternehmen. Du musst in deinem Unternehmen wissen, wie du deinen Job erfüllst und wie du das machst, damit du Geld verdienst. Du musst aber nicht zwingend wissen, wie die IT funktioniert und musst dich darauf verlassen, dass ein ausgelagerter IT-Dienstleister die ganzen Kompetenzen hat, der weiß, was er macht, weil das sein Tagesgeschäft ist. Damit verdient der sein Geld und der kann dir ganz genau sagen, was du brauchst. Und auch der ist in der Lage, nur über eine komplett ausgelagerte IT dir entsprechend Support zu bieten, wenn du mal ein Problem hast. Lagerst du nur teilweise aus oder lagerst du am besten gar nicht aus? Wen rufst du denn an, wenn mal was brennt? Und wenn dein Kumpel oder dein Bekannter oder der Sohn vom Hausmeister oder was auch immer dann gerade nicht greifbar ist in deinem Unternehmen, dann steht ein Laden. Und das ist tödlich für dein Geld.
René
00:35:13
Dafür kann ich ja immer noch jemanden anrufen. Das ist ja kein Problem.
Michael
00:35:16
Den du dann aber anrufst, wird niemals das Wissen haben, was er braucht, um effizient in deine Fehler so reinzugehen. Nur wenn du komplett auslagerst und gibst einem externen Dienstleister vernünftig Zugriff auf deine Systeme und eine Chance, das sauber zu warten, kannst du erwarten, dass ein Fehler relativ zeitnah, nein, nicht relativ zeitnah, behoben wird und du sehr schnell, effizient in deinem Unternehmen wieder Geld verdienen kannst. An der IT hängt heutzutage alles. Egal welches Unternehmen, bin ich jetzt mal ziemlich pauschal, egal welches Unternehmen, ohne eine laufende IT steht fast jedes Unternehmen oder fängt an und holpert. Deswegen ist IT ein essentieller Bestandteil und gehört in fachmännischen Händen und in Profis rein, die wissen, was sie tun und dich betreuen können.
René
00:36:06
Ja. Du hast recht, aber der Kollege, der macht das einfach jetzt schon seit 5 Jahren, der kennt unser System schon ganz gut, also ich brauche da keinen externen. Ich will auch nicht, wenn ich irgendwo anrufe, im schlechtesten Fall, dass die keine Zeit haben oder sonst irgendwas. Ich habe lieber direkt hier einen im Haus, das ist mein Kollege, ich weiß, dass der sich dann darum kümmert und dann läuft das schon. Geh mal davon aus,
Michael
00:36:30
das haben wir immer so gemacht, geh mal davon aus, dass wenn du einen vernünftigen IT-Dienst leistest, und da musst du Zeit investieren, indem du das dann empfindest, dass der sich schneller auf dein System aufschalten kann und kann dir dein Problem lösen oder dein Problem identifizieren, wie dein Bekannter sich ins Auto gesetzt hat, ist bei dir oder der Nachbar oder der Typ in deinem Unternehmen aufgehört hat mit seinem eigentlichen Job und ist rübergekommen zu dir und fängt an sich jetzt mal nebenher um IT zu kümmern. Es ist in der heutigen Zeit meiner Meinung nach nicht akzeptabel, die IT im Unternehmen zu haben, wenn es nicht mit ganz großen Abteilungen und mehreren Personen ist. Du hast ja auch die Größe nicht. Dein Unternehmen hat ja nur 20 Mann, die primär was arbeiten. Wo willst du denn da noch IT unterbringen?
René
00:37:17
Deswegen macht er das ja nebenbei. Er ist ja sonst noch im Lager tätig, aber IT macht er ganz gut. Scheint zumindest so, es läuft.
Michael
00:37:26
Er hat als Kind schon immer gegamed und sitzt den ganzen Tag am Rechner. Das wird laufen. Das wird nicht deine Lösung sein, wenn etwas passiert.
René
00:37:36
Lass uns das Thema auch beenden. Ich habe keine Argumente mehr. Das wäre auch jetzt einfach schlecht. Ganz ehrlich, wir sind Dienstleister. Ich weiß, warum wir das machen, welche Vorteile das hat. Du hast sie gerade sehr deutlich vorgebracht. Deswegen macht es keinen Sinn, da jetzt noch sich irgendwelche Kontraargumente zu suchen. Was ich verstehen kann, ist irgendwann ein Kostenpunkt, den muss ich jedem geben. Ab einer gewissen Größe und einem gewissen Aufwand, wenn man weiß, da ist jetzt wirklich jemand drei, vier, fünf Stunden am Tag mit meiner IT beschäftigt. Dann hast du irgendwo so einen Punkt erreicht, wo du darüber nachdenken kannst, dir jemanden selber anzustellen, weil das dann kostentechnisch ein Thema ist. Allerdings sollte auch der das dann nicht alleine machen, sondern dann in Zusammenarbeit mit dem externen Dienstleister, falls diese Person nicht im Haus ist, dass wir dann jemanden in der Hinterhand haben. Selbst wenn ich mir einen anstelle, der kann mal keine Zeit haben, warum auch immer. Der ist im Urlaub, der ist krank, der fällt jetzt wirklich lange aus. Es kann immer irgendwas sein und dafür braucht man halt gute Partner, damit das dann eben aufgefangen wird. Oder man hat dann nachher irgendwie ein Drei- bis Fünf-Mann-Team und man sagt, okay, dann verteilt sich das so ein bisschen, aber trotzdem. Also das ist so das Argument, wo ich sage, okay, da gebe ich recht. Allerdings muss man das auch ein bisschen unterscheiden, weil wenn du jetzt zum Beispiel Projekte hast, also interne Projekte, du möchtest irgendwie neue Systeme einführen und so, bin ich der Meinung, dass interne IT diese Projekte umsetzt und ein Externer die Standardaufgaben übernimmt, die einfach immer gleich sind. Das heißt, dann brauchen sich die interne IT nicht um das Tagewerk kümmern, so möchte ich es mal nennen, sondern kümmert sich wirklich um den Fortschritt an der Stelle. Und das kann dann ein guter Faktor sein, um dann wirklich auch effektiv voranzukommen und dann auch trotzdem nicht mit Geld um sich zu werfen, was einfach nicht nötig wäre. Das sind so die zwei Optionen, die ich sehe, aber ohne einen externen Dienstleister und ohne damit sagen zu wollen, es geht nicht ohne, es geht schon ohne. Es ist nur die Frage, wie gut. Und das ist halt, da würde ich halt empfehlen, zumindest irgendwie einen Partner zu haben. Gut, dann losen wir das nächste Thema. Thema ist, sollte ein Geschäftsführer IT-Verantwortung delegieren können? Ich Pro, du Kontra. Also ich bin der Meinung, ganz klar, sollte das delegiert werden können, dann ist es ein Geschäftsführer, der soll sich um die Geschäftsführung kümmern, der muss dafür sorgen, dass der Laden läuft. Der soll sich nicht mit IT noch rumschlagen. Dafür ist die Zeit dann hinten raus zu kostbar und es gibt Leute, die eben genau dafür da sind.
Michael
00:40:34
Ja, aber du hast das eben schön ausgedrückt. Ein Geschäftsführer führt das Geschäft und ein Teil des Geschäfts ist die IT. Er muss natürlich am Ende vom Tag für sein Geschäft die Gesamtverantwortung übernehmen. Nein, die hat er. Die übernimmt er nicht, muss übernehmen, sondern er hat die und da ist die IT ein Bereich der Gesamtverantwortung. Der kann gerne einzelne Tätigkeiten an vertraute Personen auslagern, aber er wird immer die Gesamtverantwortung haben und er kann nie die IT-Verantwortung an einen IT-Abteilungsleiter oder einen IT-Admin abdrehen. Die Gesamtverantwortung ist immer Teil des Geschäftsführers.
René
00:41:18
Okay, trennst du das tatsächlich in Haftung und ein Geschäftsführer kann nicht ins Detail irgendwie Sachen entscheiden. Entscheiden vielleicht schon, weil er es muss, aber er kann sie ja gar nicht bewerten. Dementsprechend macht das Delegieren ja nur Sinn, weil da sitzen Experten, egal wo, ob es der externe Dienstleister ist oder ob es einer bei mir im Haus ist.
Michael
00:41:43
Aus dem Grund gibt er in seiner Verantwortung an kompetente Personen im Unternehmen Fragen rein, bekommt Antworten, auf Basis dessen er in der Verantwortlichkeit als Geschäftsführer des Unternehmens Entscheidungen treffen darf, weil er kann ja nicht alles wissen, aber er hat Aufgaben, er kann IT delegieren, aber nicht IT-Verantwortung.
René
00:42:12
Und wenn ich in IT IT-Leiter habe am Ende des Tages, wozu habe ich den?
Michael
00:42:22
Du hast den IT-Leiter dafür, dass du in der IT-Abteilung eine Person sitzen hast, die sich primär um die IT kümmert und dir reportet, in dem Moment, wo es Fragen und Tätigkeiten gibt, die dich als Geschäftsführer in die Verantwortung nehmen.
René
00:42:43
Aber ich bin die Führungskräfte doch nur dafür, damit die mir auch solche Dinge erleichtern. Also auch wirklich Verantwortung in den Bereich übernehmen. Das trifft es eigentlich dann ja ganz gut. Weil sonst könnte ich mir die Ebene ja sparen. Nee, kannst du nicht.
Michael
00:43:04
Du kannst dir die Ebene nicht sparen. Weil am Ende bist du der Geschäftsführer. Du setzt eine Person ein, die partiell eine Verantwortung übernimmt, aber du bist dir wieder verantwortlich für die Person, die du nimmst. Das heißt, du wirst immer, am Ende ist der Geschäftsführer verantwortlich für die IT. Wenn es im Unternehmen crasht, wenn ein Datenschutz-Vorfall oder ein Security-Vorfall passiert, ich kürze es mal ganz klar, wer macht den Geldbeutel auf? Der Chef oder der IT-Leiter? Wer bezahlt? Ja gut, da brauchen wir nicht drüber diskutieren.
René
00:43:37
Alles klar, der Geschäftsführer, klar.
Michael
00:43:39
Also ist der Geschäftsführer dafür auch verantwortlich. Das ist eine ganz einfache Sache. Und deswegen kannst du die Arbeit nicht delegieren. Du kannst in der Eigenverantwortung als Geschäftsführer sagen, du scheinst mir ein guter Junge zu sein, pass mal auf, ich übertrage dir einen Teil von meiner Verantwortung, kümmere dich mal für den ganzen kleinen Kram, mach du das mal. Ich glaube, du machst das gut. Dann gebe ich ihm aber nicht die IT-Gesamtverantwortung, sondern ich gebe ihm einen Teil für den Kram. Am Ende trage ich das als Chef, weil ich als Chef den Geldbeutel aufmache, wenn es in die Binsen geht. Das ist mein Kontraargument zu ich kann die IT-Verantwortung nicht delegieren.
René
00:44:20
Wir haben zu oft drüber gesprochen, als dass ich jetzt noch Argumente hätte.
Michael
00:44:24
Es ist so.
René
00:44:25
Es fiel mir jetzt schon sofort schwer, weil es einfach so ist. Wir wissen beide, Verantwortung liegt immer in der Geschäftsführung. Zumindest immer das letzte Wort. Dementsprechend ist die Verantwortung ja da. Da habe ich nichts zu argumentieren. These 6. Braucht jedes Unternehmen ein IT-Sicherheitsbeauftragter? Du Pro, ich Kontra.
Michael
00:44:55
Ja, natürlich. Wie will es denn sonst funktionieren? Ohne IT-Sicherheitsbeauftragter im Unternehmen gibt es ja keine IT-Sicherheit, weil das sagt ja schon der Name. IT-Sicherheitsbeauftragter. Der ist beauftragt für die IT-Sicherheit. Hast du den nicht, hast du keine IT-Sicherheit.
René
00:45:13
Ja, wenn ich jetzt ein Einmannbetrieb bin, brauche ich das sicherlich nicht, weil dann sitze ich alleine vorm Rechner. Ich updatete den, ich brauche da keinen Sicherheitsbeauftragten. Und die Schwelle, bis das wirklich notwendig ist, ist doch wahrscheinlich recht hoch.
Michael
00:45:37
Das musst du für dich selbst entscheiden. Wir sind wieder kurz bei der Frage zurück bei der Gesamtverantwortung. In der Einzelperson bist du wahrscheinlich der Gesamtverantwortliche für alles. Dann bist du auch dein IT-Sicherheitsbeauftragter. Dann bist du aber auch deine ASIFA, dein Durchgangsarzt, dein Brandschutzbeauftragter. Also du hast ja für viele Themen im Unternehmen suchst du dir ja Spezialisten. Das heißt, du brauchst einen, der sich ums QM kümmert. Du brauchst auf jeden Fall einen, der sich um Brandschutz kümmert. Du hast Ersthelfer im Unternehmen. Du hast Sicherheitsfachkräfte, die sich um die Arbeitssicherheit kümmern. Und in diese Kette gehört natürlich dein IT-Sicherheitsbeauftragter.
René
00:46:18
Ja, aber wir sind so ein kleines Unternehmen und also aus meiner Sicht völlig übertrieben oder fiktiv sind wir ein kleines Unternehmen. Die Kosten, das ist so wie alles. Egal bei was. Immer wird es den Kleinen auch aufgedrückt. Die sollen dann immer die Kosten dafür übernehmen. Und ist es denn sinnvoll, dass so eine Verantwortung wieder auf eine einzelne Person abgeschoben wird? Ja, wir wissen am Ende des Tages trage ich die Verantwortung. Aber dennoch reicht es doch nicht, wenn eine Person Empfehlungen ausspricht oder dafür zuständig ist. Was ist, wenn die nicht mehr da ist? Also ist die ganze Maßnahme doch hinfällig?
Michael
00:46:57
Nein, weil diese Person kann dich adäquat beraten und kann Maßnahmen umsetzen, die das gesamte Unternehmen betreffen. Bleib beim Brandschutzbeauftragten ist glaube ich ein schönes Beispiel. Wenn der sagt, in jeden Raum gehört ein Feuerlöscher, dann steht der Feuerlöscher auch noch da, wenn der Brandschutzbeauftragte mal nicht da ist und kann das Feuer löschen, wenn es brennt. Das heißt, Personen oder solche Positionen sorgen im Unternehmen grundsätzlich für ein höheres Sicherheitslevel, ganz egal an welcher Stelle und sind dafür da, um auch ganz kurz ausschweifen, dem Geschäftsführer das Haftungsrisiko zu minimieren, indem sie halt proaktiv tätig sind, um Vorfälle zu vermeiden oder zu verringern oder abzuschwächen. An der Stelle gehört der Sicherheitsbeauftragte ganz klar mit dazu, weil er der Fachmann auf seinem Bereich ist, IT-Sicherheit und er entsprechend beraten und auf das Unternehmen einwirken kann. Ganz klar. Sagen wir mal selbst, ich bin ein Fünf-Mann-Betrieb.
René
00:48:00
Wir sind jetzt Maler, meinetwegen. Und dann soll ich jetzt aber noch eine Person bezahlen, die nur dafür da ist?
Michael
00:48:10
Brauchst du ja nicht. Du hast ja, wenn du es vernünftig gemacht hast, deine IT vernünftig ausgelagert und kriegst den ganzen Kram mit abgedeckt. In einem Fünf-Mann-Unternehmen als Malerbetrieb bist du in der Verhältnismäßigkeit an einer anderen Stelle. Aber bist du ein Fünf-Mann-Betrieb, was zum Beispiel eine Software-as-a-Service betreibt und irgendein Personal-HR-Software irgendwie bereitstellt oder im Finanzsektor tätig ist und hochsensible Daten verarbeitet und eine gewisse Angriffsfläche bietet, bist du sogar mit zwei Mann genau an der Stelle, dass du jemanden brauchst, der sich vernünftig um die IT-Sicherheit kümmert. Weil wir sind...
René
00:48:44
Ich habe versucht, dich in eine Ecke zu drängen, hat nicht geklappt. Ja, natürlich. Ja, nein, ich... Ja, das lagerst du natürlich aus. Ich habe jetzt gerade einfach nur versucht, irgendwie das dahin zu lenken, dass ich jemanden bei mir im Haus brauche. Ansonsten sehe ich kein Argument da.
Michael
00:49:04
Ich muss jetzt mal aufpassen, du brauchst natürlich formal keinen IT-Sicherheitsbeauftragten, aber du musst jemanden im Unternehmen haben, der da den Blick auf das Thema hat. Oder ein Extern. Ja, du musst halt einen haben, der drauf guckt. Es macht auch manchmal Sinn, auch bei einem guten IT-Dienstleister mal zwischendurch nochmal mit einem dritten Auge drauf zu gucken, ob das, was die so treiben, alles in Ordnung ist. Es sollte nie immer irgendwas mit Böswill und Kontrolle zu tun haben, sondern einfach ein Vier-Augen-Prinzip, einer wir prüfen uns mal gegenseitig und gucken, ob irgendeiner Lücken übersehen hat oder es irgendwas gibt, was noch besser werden kann, wo ein anderer nicht dran denkt.
René
00:49:56
Aber dafür kannst du dir ja noch einen Extern holen, der mal eine Prüfung zwischendurch macht. Das musst du ja nicht durch eine eigene Person machen. Ja, genau. Gut, dann nächste These, ich denke, die können wir damit abdecken. Sollte jedes Unternehmen seine Mitarbeiter regelmäßig schulen und testen? Pro, du bist Contra. Also pro, wir haben oft genug drüber gesprochen, ich denke, das liegt auf der Hand. Klar, wenn man solche Fälle, ich sag mal Security oder ähnliches, diese Spam, Spoofing, die ganzen Angriffe, die da so reinkommen, wenn man das testet, sind Mitarbeiter sehr gut vorbereitet. Mitarbeiter sind auch einfach das erste Einfallstor, was sowas angeht. Und ohne das jetzt abwerten zu meinen oder negativ zu meinen, aber es ist nun mal so, Menschen sind die erste Schwachstelle und dementsprechend, ja, ganz klar, testen, okay, ob ich jetzt wirklich den Begriff so benutzen würde, das klingt nämlich negativ behaftet, aber mal wirklich so ein erbrennendes Training zu machen, wo meinetwegen auch mal Spam oder sowas verschickt wird als Kampagne, halte ich absolut für sinnvoll. Ganz klar.
Michael
00:51:16
Ach komm, bitte, net noch ein Test, net noch eine Schulung. Die Mitarbeiter sind dafür da, um Geld zu verdienen und ihre Dienstleistung zu erbringen. Wie viele Schulungen sollen sie denn noch machen? Jetzt kommt der mit der Arbeitssicherheit, dann hast du einen Ersthelfer, dann hast du eine Brandschutzübung, dann hast du die Führerscheinkontrolle, dann hast du den Staplerschein, dann hast du die Gehuntersuchung fürs Ohr und jetzt willst du mir noch mit einer Schulung kommen für IT-Security oder irgend so ein Kram, für was denn? Wie viele Schulungen soll ich denn noch machen? Ich will, dass meine Mitarbeiter Geld verdienen. Die sollen arbeiten und nicht auf irgendwelchen Schulungen malen. Permanent geht mir irgendeiner auf den Keks, weil er will, dass ich irgendwelche Schulungen und irgendwelchen Kram mache. Ich schule ja überhaupt nichts, weil das brauche ich nämlich nicht, weil ich nämlich bei mir in meinem Unternehmen einen vernünftigen IT-Dienstleister habe. Ich habe das alles sauber geregelt, da brauche ich keine Schulung und testen ist ja noch viel schlimmer. Testen ist ja das Schlimmste, was du machen kannst. Wenn die Mitarbeiter mitkriegen, dass du die regelmäßig testest, kannst du je nachdem, was du für ein Betriebsrat hast, ziemlich auf die Schnauze fallen und die checken ja irgendwann gar nicht mehr, ob es ein echter Angriff ist oder nicht. Die denken, das wäre jetzt wieder so ein lapidarer Test und fliegen da einfach drüber. Also auf gar keinen Fall regelmäßig testen und schulen. Hört mal auf mit Schulung. Geschult habe ich genug über das ganze Jahr.
René
00:52:37
Das Argument, was du gerade gebracht hast, die können nicht mehr unterscheiden, ob es echt oder falsch ist, finde ich perfekt. Genauso soll es ja auch sein. Sie blocken beides weg. Dann habe ich genau das erreicht, wo ich hin will. Also das ist eigentlich genau der Optimalfall, dass gar nicht erst geguckt wird, ist es ein Test oder ist es jetzt wirklich eine Awareness- Kampagne oder eben ist es jetzt wirklich ein Angriff? Es geht ja nur darum, dass das Bewusstsein dafür da ist und Schulungen sind so viele zu machen, wie notwendig sind, damit mein Unternehmen sicher ist. Ganz klar. Und ob der Mitarbeiter jetzt sagt, ich muss jetzt noch mehr Schulungen machen, das ist meine Anforderung. Das ist meine Verantwortung als Geschäftsführer, als egal wer. Das ist meine Verantwortung dafür, Sorge zu tragen, dass mein Geschäftsbetrieb so läuft, dass wir auch wirklich alle Geld verdienen können. Bei nur einem Angriff haben wir so einen finanziellen Schaden und Ausfall und was weiß ich was, dass sich das locker rechnet, dass alle Mitarbeiter wirklich diese Schulungen einmal im halben Jahr, im ganzen Jahr machen.
Michael
00:53:45
Super. Du bist ein toller Chef. Wir haben eben darüber diskutiert, dass du mit einer alten IT arbeitest und dass du ganzen Kram arbeitest und willst die Verantwortung für eine vernünftige IT Security an den Mitarbeiter auslagern. Bravo. Vielleicht wäre es doch als Geschäftsführer wesentlich sinnvoller und wesentlich intelligenter, sich mal über technische Maßnahmen im Unternehmen so Gedanken zu machen, dass eben die Mitarbeiter an sich nicht mehr das primäre Einfallstor sind und du entsprechend mit Schulungen eben nicht mehr den Effekt erwähnst, den du gerade haben willst, nämlich eine IT Security, sondern dass du die IT Security sauber über Technik regelst und sauber auch über Software-Systeme regelst. Kauf doch mal eine vernünftige Firewall, die funktioniert, dann musst du sie auch nicht einmal am Tag mit irgendwelchen Fake-Mails nerven und von der Arbeit abhalten, ob sie jetzt da draufklicken oder nicht. Die stumpfen irgendwann ab. Die drücken einfach nachher auf irgendwas drauf und die würden dir niemals etwas Echtes mehr melden. Also für mich absoluter Schwachsinn.
René
00:54:45
Ja, das kann wohl sein. Die Sache ist die, wir haben gerade gar nicht darüber gesprochen, ob es schon vorher technische Maßnahmen gab. Das geht natürlich nur im Einklang damit. Technische Maßnahmen sind auch nie zu 100%. Sonst würde es nicht technische und organisatorische Maßnahmen geben, sondern nur technische. Und dieses, ob das jetzt wirklich einmal am Tag sein muss, das ist mal dahingestellt. Am Ende des Tages ist das ja Ermessenssache. Wahrscheinlich ist es eher einmal im halben Jahr, einmal im Jahr, wo man eine Kampagne ausrollt und es ist auch kein Test. Deswegen habe ich das zu Anfang auch eingeschränkt. Es ist kein Test in dem Sinne, dass nachher jemand am Pranger gestellt wird und gesagt wird, du hast sie geöffnet. Alle können ihn sehen. Zeig mir den Finger drauf und schäm dich.
Michael
00:55:33
Der E-Mailöffner des Monats hängt am schwarzen Blatt.
René
00:55:37
Ja, so soll es ja gar nicht laufen, sondern die Erkenntnisse aus dieser Kampagne werden ja im Großen und Ganzen einfach nur mitgeteilt und da nochmal drauf aufmerksam gemacht. Das heißt, ohne Namen zu nennen, ohne XY. Es geht einfach darum, dass wir eben diesen Grundschutz drin haben, alle ein gewisses Verständnis dafür haben, dass es diese Angriffe gibt. Wir können uns technisch nicht zu 100 Prozent davor schützen und wir sprechen von einem ganz, also von einem ganz, ganz kleinen Anteil, wo wirklich solche Kampagnen kommen, um es zu testen oder zu üben. Und mehr als das ist es nicht. Also das Argument, dass das zu viel wird, das lasse ich nicht gelten. Das ist eine Mail und wenn man es richtig gemacht hat oder wenn es gut läuft, haben alle diese Mail weggeklickt, dann wird nur eine Info rausgeschickt, habt ihr super gemacht, hat gut geklappt, fertig. Dann gibt es da gar keinen Zeitaufwand mehr. Das Argument lasse ich nicht gelten.
Michael
00:56:34
Ich bleibe dabei. Für mich ist Regelmäßigkeit okay. Du schwächst es ja gerade selber ab. Du sagst regelmäßig einmal im halben Jahr. Du merkst ja gerade selber, dass eine Regelmäßigkeit von öfters schlecht wäre. Ich bin dabei, du brauchst die Mitarbeiter nicht regelmäßig zu schulen und zu testen. Die Mitarbeiter wissen, was sie tun. Das ist vollkommen normal. Die haben doch zu Hause auch ihren Computer. Du musst doch die Mitarbeiter im Unternehmen nicht auf dem Computer schulen und auf IT und wie man eine Mail öffnet, das machen die doch zu Hause eh jeden Tag. Warum um alles in der Welt sollst du sie in einem Unternehmen auch noch stören? Und wie gesagt, ich bin der Meinung, Mitarbeiter sollen arbeiten und sie sollen Geld verdienen. Und zum Geldverdienen gehört eben nicht, regelmäßig irgendwelche Schulungen und irgendwelche anderen Völlefanz zu machen.
René
00:57:22
Also wie gesagt, das Argument lasse ich nicht gelten, weil am Ende des Tages nochmal, es ist nur eine Mail, die kommt und entweder wird die geöffnet oder sie wird gelöscht. Und vielleicht gibt es noch einen Hinweis an die IT oder wen auch immer, der da verantwortlich ist, ey, da kam eine auffällige Mail. Das war's. Also das ist nicht so viel. Und eine Schulung ist immer die Frage, Schulung stellt man sich so umfangreich vor. Selbst wenn da ein Vorfall gewesen wäre, du würdest eingangs irgendwann mit allen Mitarbeitern sprechen und denen sagen, ey, wir machen das zyklisch im halben Jahr meinetwegen. Da kommt irgendwann eine Kampagne, ohne darauf hinzuweisen, dass sie jetzt kommt oder wann auch noch. Und dann würde man nachher nur noch informieren, ey, bitte pass damit ein bisschen mehr auf. Wir haben gesehen, da und da zieht es sich so durch. Da haben die meisten geöffnet oder, wie gesagt, oder auch mal Lob aussprechen, ey, hat keiner geöffnet oder wie auch immer. Und dieses, die öffnen zu Hause ihre Mails ja auch. Ja, was für ein Schaden wird auch entstehen, wenn es zu Hause passiert? Okay, da sind die Bilder weg. Gebe ich recht? Das ist ein persönlicher hoher Schaden. Aber das ist ein emotionaler Schaden. In der Firma hast du einen finanziellen Schaden. Und an diesen Finanzen, muss man fairerweise sagen, hängen sehr viele Leute. Wir haben einen 20-Mann-Betrieb, das hattest du zwischendurch schon mal gesagt. Diese 20 Leute, die hängen mit ihrem Gehalt natürlich auch an den Finanzen des Unternehmens. Das heißt, wenn ich einen Schaden habe, der nachher, was weiß ich, wie hoch ausfällt und ich habe noch eine Produktionsausfall, muss im schlechtesten Fall auch noch irgendwie einen Ausgleich zahlen, weil wir jetzt da nicht schnell genug liefern können und so weiter. Das ist ein so hoher Schaden, darunter könnte jeder im Unternehmen leiden. Und das gilt es abzuwenden. Und genau dafür sind diese Awareness-Maßnahmen aus meiner Sicht gar keine Option. Das ist ein Muss.
Michael
00:59:23
Wir deckeln, das waren gute Schlussworte, schulen und trainieren die Mitarbeiter.
René
00:59:33
Ja, Michael, ich würde sagen, eine machen wir noch.
Michael
00:59:38
Wir haben die Stunde voll, oder? Fast. Dann lass uns den neunten nehmen.
René
00:59:46
Ja, das ist ein spannendes Thema. Also, sollte IT-Sicherheit wichtiger sein, als die Benutzerfreundlichkeit? Ich pro, du kontra.
Michael
01:00:02
Sollte IT-Sicherheit wichtiger sein? Natürlich ist IT-Sicherheit nicht wichtiger als Benutzerfreundlichkeit. Die Benutzerfreundlichkeit steht an allererster Stelle.
René
01:00:16
Nein, das sehe ich nicht so. Also, was habe ich davon, wenn der Button toll aussieht, intuitiv ist und so weiter, aber die Daten einfach komplett an die falsche Adresse schickt, unverschlüsselt und, und, und? Nein, das ist ein hohes Sicherheitsrisiko, was uns ein riesen Problem bringen kann. Security first.
Michael
01:00:38
Das ist die Devise. Genau, und weil du sagst Security first, musst du die Benutzerfreundlichkeit oben drüber stellen. Wenn du ein System hast, was nicht benutzerfreundlich arbeitet, hast du das Problem, dass die nachgelegte Sicherheit nicht sichergestellt ist. Ein System, was nicht benutzerfreundlich ist, hat die hohe Gefahr der Falschbedienung oder der Verweigerung und aus dem Grund ist das wichtigste und der oberste Grundsatz bei allen Dingen, dass die Software muss so sein, dass der Benutzer und der User damit klarkommt, die bedienen kann und die einfach und intuitiv sind. Thema IT-Sicherheit, ordnet sich dem unter. Das folgt dem logisch, aber IT-Sicherheit steht nicht davor.
René
01:01:22
Nein. Also, Security by Design, so war es, nicht Security first. Security by Design muss immer, also gerade heutzutage muss das der Hauptfaktor sein bei der Entwicklung von irgendetwas. Wenn wir ein Produkt haben, das eine sehr hohe Sicherheit hat, dafür aber nicht ganz so schön aussieht, oder ein Produkt, was super schön ist, aber Sicherheitslücken aufweist, liegt doch auf der Hand, welches man verwendet. Ganz klar das, was die Sicherheit an oberster Stelle hat, dass jedes System muss erstmal sicher aufgebaut werden. Die Web-Oberfläche ist ein ganz anderes Thema. Eine Falschbedienung führt nicht zu Sicherheitslücken, eine Falschbedienung führt maximal zu ich habe die Daten falsch eingepflegt, ich habe vielleicht eine Maschine falsch bedient, aber nicht dazu, dass jemand in mein System eindringen kann und Schaden anrichten kann. Doch.
Michael
01:02:20
Weil wenn die Software nicht sauber in der Benutzerfreundlichkeit ist und es nicht richtig funktioniert und die User-Journey nicht angemessen ist, wird das Ding sowieso nicht funktionieren. Dann ist das egal, ob die IT-Sicherheit okay ist oder nicht okay ist, weil das Ding wird eh crashen, weil es nicht benutzt wird und falsch bedient wird. Zuallererst muss das Ding schön aussehen. Du musst da reinkommen, die User-Experience und die Journey durch die Software, die muss super sein. Die Knöpfe müssen leuchten. Wie schlecht das wäre, wenn du in der Benutzerfreundlichkeit zum Beispiel zwei Knopffarben, rot und grün oder sowas, und das wäre nicht schön. Der User würde sich überhaupt nicht richtig abgeholt fühlen. Du musst schöne Buttons haben, es muss blinken, du brauchst Einhörner, die durch die Gegend fliegen, du musst eine vernünftige schöne Oberfläche haben, damit das funktioniert. Ohne das wird es nicht gehen.
René
01:03:18
Ja, nein. Also jetzt ist auch immer die Frage, aus welcher Sicht man das sieht. Der ITler wird sagen, okay, die Sicherheit geht vor, ganz klar. Der Benutzer wird sagen, okay, die Experience ist mir sicherlich wichtiger. Am Ende des Tages, ich übernehme gerade Pro und das heißt, ich bin eher so in der Rolle der Verantwortlichkeiten und da muss ich ganz klar Sicherheit nach vorne stellen. Und dann muss ich auch sagen, okay, lieber Benutzer, liebe Benutzerin, ist nicht pink, ist mir völlig egal. Du nimmst, was wir hier vertreten können und dann ist es so. Natürlich ist der Optimalfall, beides zu berücksichtigen, aber wenn wir uns entscheiden müssen, ist es ganz klar die Sicherheit. Michael, nehmen wir dein Lieblings Thema, die Ehepaar, dann würde ich sagen, die haben es so gemacht, wie du es jetzt gerade vertrittst und so sollte man es nicht machen. Selbst das war schlecht. Ich glaube, da haben wir auch die letzten Monate so oft drüber gesprochen, Sicherheit geht ganz klar vor. Ich finde, da gibt es auch kein Gegenargumentieren. Jetzt natürlich aufgrund dieses Formats mal gemacht, aber an sich, es darf gar keine Argumente dagegen geben, dass die Sicherheit nach vorne gestellt werden muss.
Michael
01:04:48
Security first. Natürlich muss das ganze Ding am Ende noch gut aussehen, da brauchen wir nicht drüber reden, dass du eine Akzeptanz im Unternehmen hast. Aber ja, erstmal muss es sicher sein. Wie du gesagt hast, ich glaube, das ist der Kern der ganzen Sache und das differenziert die Frage so ein Stückchen. Das eine schließt das andere ja nicht aus, weil du im Unterbau sicher sein musst und setzt dann ein schönes User-Interface oben drüber. Und das ist so, glaube ich, die Sache. Da müssen sich beide Seiten vernünftig Mühe geben. Du kriegst heute nicht mehr eine Software implementiert und eine Software glücklich gemacht im Unternehmen, die eben aussieht wie Windows 3.11 oder Windows 95. Aber auf der anderen Seite bringt es auch echt nichts, wenn irgendwelche lila Einhörner durch die Gegend hüpfen und das ganze Ding hat eine Lücke nach der anderen. Also das geht meiner Meinung nach Hand in Hand. Aber die Sicherheit überwiegt im Backend und die Benutzerfreundlichkeit im Frontend, wenn ich mich so ausdrücke. Genau treffend. Hätte ich nicht besser ausdrücken können. Dann würde ich sagen, Marvin sagt zu für heute.
René
01:05:51
Michael, jetzt haben wir wieder mal was Neues gemacht. Mal gucken, was wir uns fürs nächste Mal einfallen lassen. Ich wünsche auf jeden Fall allen ein schönes Wochenende. Genieß die Sonne. Solange sie dann auch bei euch da ist. Hoffe ich natürlich. Wir hören uns in 14 Tagen wieder. Bis dahin, so wie immer. Hört gerne überall rein, teilt. Gebt uns auch gerne ein paar Ideen rein, was euch noch interessieren würde, was ihr euch von uns wünscht. Damit ist eigentlich alles gesagt. Ich wünsche euch allen ein schönes Wochenende. Genießt es. Wir hören uns in 14 Tagen wieder. Bis dann. Von meiner Seite auch. Grüße aus Wetzlar. Macht's gut und tschüss.
Michael
01:06:33
Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts