#15 DIN SPEC 27076 Part 1

[Michael]

Hal­lo und her­zlich willkom­men zu unser­er aktuellen users lounge. Heute haben wir uns das The­ma der DIN SPEC 27076 vorgenom­men, wer­den heute ein wenig in die Ein­leitung reinge­hen, guck­en kurz was die Norm soll, was Sinn und Zweck der ganzen Sache ist und je nach­dem wie weit wir kom­men, schauen wir mal ob wir noch die ein, zwei Kapi­tel schon anfassen oder ob wir es in die The­men rein­pack­en für näch­ste Fol­gen. Das alles wird sich jet­zt im Laufe der Folge find­en, mal guck­en wie ich mich wieder verquatsche mit meinem Part­ner.

Hal­lo und willkom­men René.

[René]

Moin Michael.

[Michael]

Grüß dich. Hi.

[René]

Dies­mal ja sehr, sehr daten­schut­zlastig, so möchte ich es mal fast sagen.

[Michael]

Ja.

[René]

Also grund­sät­zlich erst­mal kommt natür­lich auch viel tech­nisch dazu, aber ja es ist Redebe­darf für dich da, ich glaube auch.

[Michael]

Ja und der Redebe­darf ergibt sich schon aus der Tat­sache, dass du sagst es ist daten­schut­zlastig, näm­lich genau das ist die DIN SPEC eben nicht.

[René]

Okay.

Michael

Von daher passt das super gut. Hol mal kurz, ich hol mal kurz aus, also wir haben, wenn wir uns so in Rich­tung Infor­ma­tion­ssicher­heit bewe­gen, dann reden immer viele von der ISO 27001 beziehungsweise ein­er DIS­AX-Zer­ti­fizierung. Das sind so diese großen Nor­men, die es gibt, wo sich die Indus­trie für zer­ti­fizieren lassen kann, um ein Infor­ma­tion­ssicher­heits­man­age­mentsys­tem nachzuweisen.

Daneben kann ich noch IT-Grund­schutz nach BSI machen und abge­speckt nach unten drunter kann ich noch eine VDS 10.000 machen, eine VDS 10.010, je nach­dem ob ich Daten­schutz und Infor­ma­tion­ssicher­heit machen will, aber alles das sind rel­a­tiv große und ich nenne es mal vor­sichtig aufgepumpte Sys­teme, wo sehr viel drin ist und da hat sich das BSI vor zwei Jahren unge­fähr gedacht, es muss irgend­was geben, was unten drunter ist.

Also irgend­was muss es an Schutzmech­a­nis­men geben oder an Möglichkeit­en geben für kleinere Unternehmen, da jet­zt mal unter 50 Mitar­beit­ern, um den Ein­stieg in das The­ma Infor­ma­tion­ssicher­heit so ger­ing wie möglich zu hal­ten und so ein­fach und so Trans­parenz wie möglich zu schaf­fen für wirk­lich kleine Unternehmen. Und da ist die Idee geboren für die 27076. Also das ist der Ansprung gewe­sen von der ganzen Sache.

Ist jet­zt raus, seit ein paar Monat­en ist die jet­zt raus oder seit einem Jahr schon kannst du die offiziell down­load­en, kannst dir das offiziell mal anguck­en und mal anle­sen.

[Michael]

Es ist vorne ein Ein­leitung­s­text drin, es wird in der Anhang 1 sind nach­her 27 Fra­gen. Ich glaube wir haben eben geguckt, es sind sechs Kat­e­gorien drin und das ist halt sehr run­der gekürzt, Fra­gen wie du sie halt auch oder The­men, wie sie halt auch in der 27 oder TSAGS BSI Grund­schutz behan­delt wer­den, aber halt eben sehr abge­speckt, wirk­lich run­der reduziert auf Kle­inst- und Klei­n­un­ternehmen und das ist so die Norm.

Also primär ent­ge­gen Daim erst mal gar nichts was was Daten­schutz ist, son­dern wirk­lich was was Infor­ma­tion­ssicher­heit bet­rifft.

[René]

Ja stimmt, die Fra­gen ziehen natür­lich nach­her eher auf die tech­nis­che Schiene ab. Der erste Part ist glaube ich sehr daten­schut­zlastig, beziehungsweise das sind ja die, die kön­nen wir auch kurz nen­nen, also ger­ade Organ­i­sa­tion und Sen­si­bil­isierung ist ja der erste Punkt. Der ist denke ich dann doch eher im Daten­schutzbere­ich, ist natür­lich voll auf die IT bezo­gen, aber sind dann eher noch nicht die tech­nis­chen Umset­zun­gen, son­dern da geht es dann eben um die IT Com­pli­ance.

Also da sind wir dann eher so doch noch in deinem Bere­ich und nach­her, das gehen wir ja gle­ich noch so all­ge­mein zumin­d­est schon mal durch, dann wer­den wir natür­lich eher wieder IT-lastig wer­den, das stimmt ja.

[Michael]

Ja also auch da noch mal, ich bin, wir haben jet­zt Anfang April, ich war Mitte März, sind die ersten Per­so­n­en geschult wor­den, auch vom BSI, auch näm­lich genau die Umset­zung von dieser SPEC. Und ich war in Bonn, ein­er der ersten 64 oder was, die auf dieses Ding offiziell geschult wor­den sind und da ist das The­ma halt auch besprochen wor­den. Was soll die Richtlin­ie über­haupt oder was soll die Norm über­haupt erfüllen, was ist die Auf­gabe der Norm und wie wende ich das richtig an?

Und da hat sich auch schon rauskristallisiert, auch das, was du gesagt hast, dass diese Norm zwar Man­age­ment-Ele­mente enthält, wie Schu­lung, Sen­si­bil­isierung, aber ganz ganz viel in die Tech­nik reinge­ht. Rechte-Man­age­ment, Organ­i­sa­tion, wie stelle ich Back­up sich­er, Fire­wall etc. pp.

Also in einem reduzierten Umfang mit nur 27 Fra­gen soll halt wirk­lich allum­fassend das gegrif­f­en wer­den und wo halt auch ein sehr großer Wert drauf gelegt wird und auch gelegt wurde während der Schu­lung ist, das ist halt kein Audit, also das ist keine Norm oder das ist kein Fra­genkat­a­log, wo du am Ende vom Tag sagen kannst, Häkchen dran, Häkchen dran, Häkchen dran, Häkchen dran, die Welt ist Bombe, son­dern das Ding ist wirk­lich dafür gedacht oder das ist halt ein­fach so, dass die Fra­gen am Ende nicht mit einem Ja oder Nein zu beant­worten sind, son­dern du immer beschreiben musst, was du tust und dann auch bew­erten musst, ob das, was du tust, ein gewiss­es Lev­el und einen gewis­sen Grad enthält, sprich ob es okay ist oder nicht okay ist.

[Michael]

Und da sind halt ein­fach Fach­män­ner gefragt, das ist halt so das The­ma.

Also die meis­ten, die so im The­ma Nor­men­welt, Audit etc. pp. unter­wegs sind, die gehen halt nach dem klas­sis­chen Fra­genkat­a­log runter, machen Häkchen dran und sagen sich sel­ber, oh cool, die SPEC liegt jet­zt frei verkäu­flich oder kosten­los zum Down­load bere­it bei Beuth.de oder bei BS-Icons, da gibt es auch einen Link, wo man sie run­ter­laden kann und ich gucke mal eben selb­st, wo ich ste­he und das ist gar nicht Sinn und Zweck dieser ganzen Num­mer, son­dern der Zweck ist klar, dass Fach­män­ner wie du und auch ich in die Unternehmen reinge­hen und Inter­views durch­führen bei den Unternehmen. Das heißt, der Gegenüber, der soll eigentlich gar nicht die Fra­gen lesen kön­nen und sehen kön­nen und auf dem Papi­er in seinem stillen Käm­merchen sich selb­st da was raus pal­dobern, son­dern, und das ist auch der Grund, warum es zer­ti­fizierte Berater gibt und das BS‑I jet­zt so nach und nach noch viel, viel andere Unternehmen mit durch­schult und auch da in die Zer­ti­fizierung rein­bringt, es soll halt ein­fach so sein, dass qual­i­fizierte Per­so­n­en, die nach Auf­fas­sung des BS-Is und nach ein­er Schu­lung auf die SPEC in der Lage sind, Inter­views so durchzuführen und dann die Sit­u­a­tion bew­erten zu kön­nen.

[René]

Ja, ich glaube, ich komme ja nicht so aus der Normwelt, aber ich glaube, was ich da ver­ste­he, ist, dass dieses Doku­ment oder dieser Kat­a­log, der da qua­si ent­standen ist, dass das Ganze ja nicht so ist wie so eine ISO 27001, also sprich, wo man wirk­lich gewisse Dinge bis ins Detail erfüllt haben muss, um dann eben diese Zer­ti­fizierung zu erlan­gen, son­dern es geht ja ein­fach in diesem Fall eher darum, dass es auch keine Vor­gaben sind. Es sind ja Leit­fra­gen drin.

Ich ver­ste­he es dann eher als Ori­en­tierung­shil­fe, so möchte ich es mal nen­nen. Und dementsprechend, ja, was man dann nach­her daraus macht, klar, ist nochmal was anderes, aber das soll einem ja ein­fach nur helfen auf dem Weg zu der per­fek­ten Lösung, um das run­terzubrechen, was du ger­ade auch gesagt hast.

[Michael]

Genau, also gehen wir mal ver­gle­ichsmäßig in den Annex der 27001 rein. Da sind ja ganz klare Anforderun­gen drin, die du erfüllt haben musst. Ein­mal anders aus­ge­drückt, in der 27 ste­ht drin, sie müssen ein Back­up-Konzept nach­weisen.

Und in der 27076 würde jet­zt zum Beispiel äquiv­a­lent die Frage drin­ste­hen, besitzen sie ein Back­up-Konzept oder wie stellen sie eine Daten­sicherung sich­er oder wie stellen sie die Ver­füg­barkeit von Dat­en sich­er. Das heißt, der Ansatz ist ein ander­er. Das bedeutet auch, dass du eine 27076 nicht audi­tieren kannst in dem Sinne und logis­cher­weise auch nicht zer­ti­fizieren kannst.

Also bei der 27001, wenn du einen Audit hast, hast du das Ganze durch bis durch das Zer­ti­fizierungs­faden durch, hast du ja irgend­wann mal ein Zer­ti­fikat an die Wand und kannst sagen, ein zer­ti­fiziertes Unternehmen nach ISO 27001, das gibt es halt für die 27076 in kein­ster Weise. Es wird niemals ein offizielles Zer­ti­fikat geben, wo dann drauf­ste­ht, dieses Unternehmen arbeit­et kon­form zur SPEC 27076. Es wird vielle­icht wahrschein­lich wieder inter­essierte Beratung­sun­ternehmen geben, die sich fir­menin­tern ein Stück Papi­er aus­denken, was dann so aussieht, als wäre es ein solch­es Zer­ti­fikat.

Aber es wird da nichts Offizielles geben, was wasserdicht ist und wo du nach draußen gehen kannst. Du kannst mit stolz­er Brust sagen, hier, ich bin kon­form zur DIN SPEC. Das ist halt ein grundle­gen­der Unter­schied zu ein­er 27-DESAX-BSI-Grund­schutz etc.

[Michael]

nd wie gesagt, Nähkästchen. Ich war ein­er von 64 dann beim BSI. War ziem­lich inter­es­sant.

Wir waren in Bonn. Also wirk­lich auch inter­es­sant, mal ein Gebäude zu sehen und zu guck­en, wie man so Sachen über­haupt ins Gebäude reinkommt und wie es da so aussieht und macht. Also echt super cool war.

Echt toll. Und vom Teil­nehmerkreis bunt gemis­cht. Aber sage ich mal, min­destens 60 Prozent ITler.

Also ganz, also die Daten­schützer, die Com­pli­ancer, die sich wirk­lich um die Nor­men­welt unter­wegs sind, zumin­d­est in den Gesprächen, die ich mit den Leuten geführt habe und die wollen sich so einen Aus­tausch machen, da haben doch mehr nach IT-Unternehmen gerufen. Also viel mehr, die wirk­lich sehr, sehr tech­niklastig waren, als die, die nur so man­age­ment­basierend waren. Also das war schon auch cool zu sehen, dass wirk­lich da auch Prak­tik­er und IT-Unternehmen dran sind an dieser Sache und sich auch für sowas qual­i­fizieren kön­nen.

[René]

Das kann ich mir auch erk­lären. Das ist für einen ITler dann natür­lich in der Form ja ein biss­chen ein­fach­er, wenn es diesen Fra­genkat­a­log gibt. Ich meine, ganz oft, auch bei der 27001, ist es ja ein­fach so, dass da einige Dinge drin ste­hen, die man, also es ist ja sehr umfan­gre­ich.

Und in der 27001, wenn wir jet­zt dieses Doku­ment nehmen oder diese Richtlin­ien oder Leitlin­ie, dann ist es ja ein­fach so, dass wir da sehr viel ein­fach­er erst mal so ein Grund­konzept auf­bauen kön­nen. Also ich glaube, das ist auch der Grund, warum es dann eher die IT oder ver­mehrt auch ITler anspricht als eben Daten­schützer. Bei der 27001 ist es halt logis­cher­weise genau ander­sherum, weil da viel mehr, wie soll ich das sagen, ist es halt viel mehr so diese Rich­tung, dass man was zu Papi­er bringt und es alles vernün­ftig nach­weist und so, was alles auch genau richtig so ist.

Aber ich glaube, ger­ade für einen ITler ist diese tech­nis­che oder prak­tis­che Umset­zung nach­her dann doch eher so das Steck­enpferd, wo man sich wirk­lich darauf konzen­tri­ert. Da ist dann diese Leitlin­ie auf jeden Fall ansprechen­der für ITler.

[Michael]

Ja, und was halt auch klar ist, also mal ganz kurz aus­holen, BSI bietet für die zer­ti­fizierten Berater auch eine Soft­ware­plat­tform, wo du das in der Soft­ware abbilden kannst. Und diese Soft­ware kann, wenn du alles fer­tig hast, hast dein Bericht fer­tig einge­häkelt, hast das beschrieben, hast das alles sauber fer­tig gemacht, hast du die Möglichkeit oder kommt dann ein Bericht hin­ten raus, der dann halt auch schon konkrete Hand­lungsempfehlun­gen gibt. Also der konkret den Sta­tus von deinem Unternehmen ein­mal darstellt und wo es Hand­lungs­be­darf gibt, du entsprechende Hand­lungsempfehlun­gen schon ganz konkret an der Hand kriegst.

Und das ist halt ein­fach auch das, mal ganz ehrlich, auch das ist für bei­de Seit­en ein Mehrw­ert. Der Berater kann oder der, der das Audit durch­führt, kann sehr gezielt guck­en, wo ist denn der Sta­tus bzw. wo ist der Hand­lungs­be­darf.

Der, der audi­tiert wird, sprich der Inhab­er, der Chef des Unternehmens, kriegt schon so erste Hand­lungsempfehlun­gen an die Hand nach dem Mot­to, hey, küm­mere dich mal um Back­up-Konzept oder hey, schule mal deine Mitar­beit­er oder was auch immer. Und als drittes ist dann natür­lich der Dien­stleis­ter da, der das dann nach­her umset­zen darf und dann schon mal eine Rich­tung kriegt, worum geht es denn. Ja, und dann haben alle was von.

Und wenn der IT-Dien­stleis­ter vorne das Audit vernün­ftig neu­tral macht, was man jet­zt voraus­set­zt bei einem Dien­stleis­tung­sun­ternehmen, was ser­iös unter­wegs ist, dann wer­den am Ende die, die, die Doings raus­purzeln, die dann der Dien­stleis­ter gemein­sam mit dem Kun­den dann bear­beit­en kann. Und auch alter­na­tiv, das ist so der Fall, wenn ich so, bei mir ist das so, wenn ich, wenn ich so ein Unternehmen reinge­he, für mich ist der Klas­sik­er, ich kann das alles bew­erten, ich kann mir das alles anguck­en, ich kann mir den Audit, Entschuldigung, den Bericht und Maß­nah­men, alles hin­ten raus ableit­en, aber ich werde es nicht umset­zen.

[Michael]

Also ich bin nicht der, der von der IT da nach­her die Fire­wall instal­liert oder ein Back­up-Konzept imple­men­tiert etc. pp. Ich kann in einem Nachcheck oder wenn ich das zweite Mal komme, wenn es gewün­scht ist, kann ich sagen, ah cool, so war es vor einem hal­ben Jahr, jet­zt hast du ein ITler im Haus gehabt, jet­zt sieht es so und so aus, also du hast deinen Sta­tus verbessert, du bist bess­er gewor­den, es hat sich was getan im Unternehmen, aber ich bin nicht der, der umset­zt. Und da ist halt ganz gut, dass das Unternehmen, was so einen Bericht an die Hand bekom­men hat, zum Beispiel jet­zt sagen kann, ich gehe zu drei, vier IT-Dien­stleis­tern, zeige denen genau diesen Bericht und auf Basis dieses Bericht­es hätte ich gerne mal ein Ange­bot zur Umset­zung.

Und dann hast du halt ein­fach jet­zt auch mal eine wirk­liche Chance, mit einem, nennst du es mal, mit einem Pflicht­en­heft zu Kun­den, zum Dien­stleis­ter zu gehen und dir ver­gle­ich­bare Ange­bote einzu­holen. Und kannst wirk­lich sagen, okay, auf Basis von dem emp­fiehlt der eine mir für 3.000 Euro eine Maß­nahme, der näch­ste will zweiein­halb dafür haben und der dritte will 15 haben, mal guck­en, wo es dran liegt. Aber du hast einen Ver­gle­ich, du hast eine Chance, ein ver­gle­ich­bares Ange­bot zu kriegen, auf Basis von ein­er Auswer­tung.

Und das, finde ich, ist ein riesen Ben­e­fit für Unternehmen.

[René]

Ja, defin­i­tiv.

[Michael]

Ja, und was man auch, ja, entschuldige mich, ich crashe, aber was halt auch The­ma war, was man auch noch mal deut­lich fair­erweise sagen muss, wenn ein ITler oder wenn jemand ein Daten­schützer oder ein Man­age­ment­ber­ater wie ich sowas durch­führen, natür­lich kostet die Beratung Geld und natür­lich kostet die Umset­zung auch Geld. Aber man muss schon so viel Ver­trauen in denen haben, der das umset­zt, dass er eben jet­zt nicht das Geld aus der Tasche ziehen will mit irgendwelchen Maß­nah­men, die hin­ten dran sitzen, son­dern, und das ist ja auch der Grund, warum es zer­ti­fizierte Berater gibt und das BSI eine Liste hat mit Fir­men, wo man sich dran wen­den kann, dann muss man schon davon aus­ge­hen oder man kann mit einem guten Gewis­sen davon aus­ge­hen, wenn ein ITler sagt, ja, pass auf, dein Back­up-Konzept ist jet­zt eher nicht so wun­der­bar, lass uns noch mal hier Betrag X in irgen­deinen NAS oder in irgen­deinen Serv­er oder in externe Cloud etc. pp steck­en, dann weißt du ja schon, was der tut und dann kann man dieser Sache auch ver­trauen. Sicher­lich kann man, wenn man das will, guck­en, ob man den Gap bei einem anderen Dien­stleis­ter zu einem anderen Kurs umge­set­zt kriegt, aber dass da ein grund­sät­zlich­er Hand­lungs­be­darf ist, das kann man halt damit sehr gut ermit­teln.

[René]

Das macht auf jeden Fall was aus, also es ist greif­bar­er und ich glaube, das bringt das Unternehmen selb­st in eine kom­fort­ablere Lage.

[Michael]

Und ich glaube halt, dass du diese kom­fort­able Lage und diese neu­trale Betra­ch­tung auf dein Unternehmen selb­st, das kriegst du halt in einem Self-Assess­ment, das heißt, ich set­ze mich mal zu Hause hin und gehe mal allein diese Dien­st­back durch, das kriegst du eben nicht neu­tral hin. Wer will es denn tun? Soll sich der Chef da hin­set­zen und soll jet­zt durchguck­en, ob ein Back­up-Konzept da ist oder soll der haus­in­terne ITler da durchge­hen und sagen, das wer­den wir wohl schon haben, das passt schon.

Ja, da bin ich noch nicht so ganz so, aber ich schreibe schon mal ja, weil es soll ja gut ausse­hen, der Chef soll ja denken, ich habe einen guten… Also du ver­stehst, wo ich hin will. Ich bin fest davon überzeugt, viele sagen, ja, wer braucht die Soft­ware, wer braucht das von BSI, es ist kosten­los bei Bolt, ich lade es mir runter und gehe mal eben selb­st durch die Liste durch.

Da bin ich halt ein Fre­und und ich sage, das hat nicht die Wer­tigkeit, als wenn ein Neu­traler draufguckt und bringt dir nicht den neu­tralen Blick und das wirk­liche Guck­en in einem Unternehmen von einem Fach­mann.

[René]

Das auf jeden Fall. Also neu­trale Per­so­n­en würde ich immer empfehlen, ger­ade bei solchen kri­tis­chen Din­gen. Kann ich auch aus dem Nähkästchen plaud­ern.

Wir haben einen Kun­den, der ist weltweit aktiv und da machen wir Audits. Aber eine IT-Audit jet­zt nicht auf Daten­schutzsicht, son­dern dass wir wirk­lich guck­en, auch welche Sys­teme sind umge­set­zt, wo müssen Verbesserun­gen vorgenom­men wer­den und so weit­er.

[René]

Und auch da, wir sind dort aber als neu­trale Partei unter­wegs, weil die Dien­stleis­ter vor Ort das immer noch sel­ber umset­zen.

Das Prob­lem ist näm­lich ganz klar und das hast du ja ger­ade auch gesagt, dass wenn jemand, ich sage mal, so eine Prü­fung sel­ber durch­führt. Nehmen wir mal an, wir wür­den jet­zt in den Betrieben ein­fach nur abfra­gen, diese Dinge und nicht sel­ber kon­trol­lieren. Dann führt das ja logis­cher­weise dazu, dass ein Dien­stleis­ter vor Ort sagen würde, wir stellen uns mal ein biss­chen bess­er dar, damit wir dann nicht nach­her irgend­wie einen auf den Deck­el kriegen.

Nicht falsch ver­ste­hen, ich hoffe, dass es nicht so ist, aber den Ein­druck hat man manch­mal schon, weil man dann vielle­icht seine eige­nen Schwächen auch nicht offen­le­gen möchte. Kann ein Grund sein, aber neu­trale Per­so­n­en bew­erten das natür­lich nochmal ganz anders. Und am Ende des Tages, es soll ja ein­fach ein Fortschritt sein für die Unternehmung.

Und es bringt halt nichts, da sich das irgend­wie, was weiß ich, da irgend­wie Gold anzu­malen und zu sagen, hier, das ist jet­zt das Gelbe vom Ei, son­dern es muss ja irgend­wie, wir soll­ten diese Umset­zung ja auch tat­säch­lich haben. Und da wird ein neu­traler Blick darauf auf jeden Fall einen größeren Fortschritt brin­gen, als wenn wir es jet­zt irgend­wie sel­ber irgend­wie zusam­men­brin­gen, zusam­men­schreiben und sagen, ja, ja, das passt schon alles. Und es bringt halt nie­man­den weit­er.

[Michael]

Und es ist ja ger­ade der Ben­e­fit für ein Unternehmen, wenn ein Neu­traler mal rein­guckt. Jed­er ist in seinem Unternehmen betrieb­s­blind. Die These stelle ich jet­zt ein­fach mal auf.

Jed­er ken­nt seinen Kos­mos, jed­er ken­nt sein Unternehmen und sich­er ist jed­er für sich in seinem Unternehmen der Mei­n­ung, es ist super toll. Aber der neu­trale Blick von einem neu­tralen Berater, der ein­fach mal von außen rein­guckt, der eben nicht einge­fahrene Wege ken­nt, der eben nicht nen­nt es mal dieses Gemauschel, son­dern wirk­lich mal neu­tral reinkommt, der ein­fach mal so zwei, drei Fra­gen out of the box stellt in so ein­er Rich­tung, der bringt ein Unternehmen in der Regel so viel weit­er und hat einen so großen Mehrw­ert für das Unternehmen, dass das halt ein­fach sin­nvoll ist. Und da ist halt ein­fach genau das, diese DIN SPEC, dieses 27076, ein super toller Ein­stieg. Das ist halt total nieder­schwellig ein­fach.

Aus­gelegt sind, das noch kurz, aus­gelegt sind diese Checks für ein bis drei Stun­den. Das heißt, diese reine Inter­viewsi­t­u­a­tion mit dem Geschäfts­führer und einem IT-Ver­ant­wortlichen mit dabei, sind für ein bis drei Stun­den aus­gelegt. Dann bist du durch.

Der Berater an sich, sprich ich an dieser Stelle, wir haben noch ein paar Stun­den Arbeit dann für die Nach­bere­itung, nochmal aufar­beit­en, nochmal guck­en, dass das alles in Ord­nung ist, nochmal ein paar Sätze ergänzen, nochmal Revue passieren lassen, nochmal Bemerkun­gen rein­schreiben und dann ist der Drops, wie man so salopp sagt, dann ist der Drop gelutscht. Also, das ist auf jeden Fall mit einem Beratertag abgedeckt und das ist auch der Sinn von der ganzen Sache und dann ist das The­ma durch. Und jet­zt, wenn wir einen Bogen rüber auf das Finanzielle mal machen, wo wir ja die ganze Zeit schon hin­s­teuern, du kannst das sub­ven­tion­ieren lassen.

Also, es gibt genau für diese SPEC gibt es Fördergelder und du kannst dir über GoDig­i­tal diese Beratun­gen zu bis zu 50 Prozent noch fördern lassen. Das bedeutet, wenn wir von einem Beratertag reden, reden von einem Beratertag GoDig­i­tal, sind wir irgend­wo so bei, nagel mich nicht fest, 11, 1200 Euro in dem IT-Bere­ich drin und wenn wir jet­zt von ein­er 50 Prozent Sub­ven­tion reden, dann sind wir irgend­wo bei 600 Euro, die für das Unternehmen hän­gen­bleiben, net­to, sage ich jet­zt ein­fach mal.

[Michael]

Und so einen neu­tralen Bericht mit ein­er Inter­viewsi­t­u­a­tion, ein­er Selb­stre­flex­ion und mit so einem Kram zu kriegen für mal eben 600 Euro, das ist auch für ein Kle­inst- oder Klei­n­un­ternehmen schaff­bar und bringt halt einen wirk­lich sin­nvollen Mehrw­ert.

[René]

Ja, sehe ich ganz genau­so.

[Michael]

Das teurere wird das Doing sein, was hin­ten dran hängt, wenn halt wenig gemacht wurde und du noch mal dir Gedanken machen musst mit Back­up, Serv­er, Infra­struk­tur, Schu­lun­gen, rechte Rol­lenkonzepte, Active Direc­to­ry, etc., pp. Also das Doing ist das wesentlich, wahrschein­lich in der Regel, das wesentlich teurere hin­ten dran, was aber auch sin­nvoll ist, um die Cyber Secu­ri­ty ein biss­chen nach oben zu treiben. Das geht halt nicht mehr ohne und wenn du nichts gemacht hast, fang damit an und guck dir das an.

[René]

Ich würde jet­zt abschließend zum all­ge­meinen Teil gerne ein­mal die einzel­nen Punk­te durchge­hen, nur kurz, um sie zu nen­nen. Das heißt, die ganze Geschichte begin­nt mit Organ­i­sa­tion und Sen­si­bil­isierung. Da geht es wirk­lich so um die IT-Com­pli­ance.

Daraus wer­den wir, denke ich, noch mal was ganz Eigenes machen, weil die Com­pli­ance als solche sehr, sehr umfan­gre­ich sein kann. Fällt jet­zt in der DIN SPEC nicht so riesig aus, aber da steckt schon einiges hin­ter. Der näch­ste Bere­ich wäre Iden­titäts- und Berech­ti­gungs­man­age­ment.

Hat­ten wir schon zuvor ein biss­chen darüber gesprochen, sprich Zugriffs‑, Zutritts- und Zugangskon­trolle. Würde ich jet­zt mal so zusam­men­fassen. Oder siehst du das anders?

Ne, passt. Ich bin bei dir. Wun­der­bar.

Also son­st gerne unter­brechen, wenn du ander­er Mei­n­ung bist.

[Michael]

Würde mir das nicht trauen.

[René]

Alles klar. Gut zu wis­sen. Näch­ster Bere­ich Daten­sicherung.

Ich denke, da brauchen wir jet­zt nicht so genau darauf einge­hen, was eine Daten­sicherung ist. Hat­ten wir schon mal darüber gesprochen. Ins Detail gehen wir dann später noch mal.

Dann Patch- und Änderungs­man­age­ment. Da geht es wirk­lich um Aktu­al­isierung von Sys­te­men, Wartun­gen und alles, was die Funk­tion­al­ität der Sys­teme ange­ht. Dann haben wir Schutz vor Schad­pro­gram­men.

Antivirus ist da, denke ich, nur ein Stich­punkt. Dann haben wir IT-Sys­teme und Net­zw­erke. Also da geht es dann wirk­lich noch mal um Sicher­heit, so wie zum Beispiel eine Fire­wall.

Das ist jet­zt ein­er der Stich­punk­te dazu. Und dann dürften wir durch sein. Genau, das waren jet­zt die all­ge­meinen Bere­iche.

Und wir wer­den in weit­eren Fol­gen auf diese Bere­iche einge­hen, sodass wir dann auch darüber noch mal gesprochen haben, dass wir ein­mal guck­en, was ist dann mit den einzel­nen Punk­ten gemeint und wie diese auch umge­set­zt wer­den kön­nen. Und ja, würde ich fast sagen, das ist schon so ziem­lich der Über­gang zur näch­sten Folge. Dementsprechend würde ich das jet­zt an dieser Stelle deck­eln.

Alles andere wäre dann schon zu tief in die näch­ste Episode. Und dementsprechend, ja. Michael, dann würde ich…

Bitte?

[Michael]

Ich wollte ger­ade sagen, was bleibt, ist der Hin­weis. Wollt ihr euch näher mit dem The­ma beschäfti­gen, habt ihr Fra­gen, Sorge, Äng­ste, Nöten, ruft uns an, schickt uns eine E‑Mail, kon­tak­tiert uns auf irgendwelchen Wegen. Wir kön­nen euch da mit Sicher­heit sehr, sehr gut unter­stützen und auch gerne mal bei euch ins Unternehmen rein­schauen und mal so einen Test und einen Check bei euch durch­führen.

[René]

Genau, sehr gerne sog­ar. Anson­sten bis zum näch­sten Mal. Besucht gerne unsere Inter­net­seite users-lounge.de oder fol­gt uns auf allen möglichen Social Media Kanälen oder Pod­cast Plat­tfor­men. Und dann würde ich sagen, wir hören uns beim näch­sten Mal. Von mir aus schon mal Tschüss und das let­zte Wort liegt bei Michael.

[Michael]

Danke. Auch von mir einen schö­nen Arbeit­stag, ein schönes kom­mendes Woch­enende und bis zum näch­sten Mal. Macht’s gut.

Tschüss.