Es vergeht kein Tag, an dem wir nicht irgendwo lesen, dass ein Unternehmen, eine Gemeinde, ein Landkreis, eine Organisation Opfer eines Cyberangriffs geworden ist. Und vielleicht warst du auch schon mal betroffen oder du wohnst in einem Landkreis, wo du schon mal betroffen gewesen bist. Das ist alles nicht lustig. Und die EU ist schon länger dabei, die Anforderungen in Bezug auf Cyberresilienz oder Resilienz für Cybersecurity zu vereinheitlichen. Unter dem Stichwort NIST ist das zusammengefasst und im Oktober tritt eine neue Richtlinie NIST 2 in Kraft, verpflichtend für alle Mitgliedstaaten. Und die Frage ist, ist dein Unternehmen betroffen? Bist du gut vorbereitet darauf und was bedeutet das eigentlich alles? Genau darüber spreche ich heute mit einer Expertin zu diesem Thema, nämlich Carolin Töpfer, die Cybersecurity-Expertin ist und auch als CISO-Team ist. Und ich hole sie mal auf die Bühne. Hallo Karin, schön, dass du da bist. Vielen Dank für die Einladung. Wollen wir gleich die große Frage als erstes klären, nämlich was NIST 2 eigentlich heißt? Genau, wir klären gleich mal, was NIST 2 heißt, wofür diese Abkürzung steht, was es bedeutet und ob das nicht wieder so ein EU-Bürokratie-Monster ist, von dem immer so viele reden. Ist es sicherlich. Es ist die Richtlinie des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. Und es gab auch schon NIS 1, beziehungsweise gibt gerade NIS 1 und NIS 2 ist jetzt quasi dann das Update. Und wir merken uns einfach NIS, also NIS 2, das ist auch das Stichwort, was man nutzen kann für Suche und wenn man Informationen finden möchte. Ich glaube, das ist einfacher. Und CISO vorgestellt. Wir hatten ja schon mal ein Interview, da kann man gerne reinhören, das werde ich auch noch mal verlinken, wo man so deinen ganzen Werdegang und was du alles so gemacht hast, sich anhören kann. Aber was hat dich zu diesem Thema Cyber Security gebracht und was macht eigentlich ein CISO? Das wäre auch noch mal wichtig für unsere Zuhörerinnen und Zuseherinnen zu klären. Also ganz kurz, was mich dann gebracht hat, ich mache seit tatsächlich 20 Jahren Digitalprojekte, weil ich als als Teenager angefangen habe mit Website-Programmierung, Netzwerken, Servern, Robotik und so weiter. Ich hatte damals unter anderem eine Music-Community für lokale Bands in Köln und habe die über eine Website, über eine Community vernetzt. Und ja, dann bin ich über, also habe ich das Digitale eigentlich lange als Hobby gehabt und habe dann irgendwann gemerkt in meinen Jobs schon zu Werkstudentenzeit und dann später auch vor allem in der Finanzbranche, dass ich so die digitalen Optimierungsprojekte bekommen habe. Habe dann 2016 angefangen, mich selbstständig gemacht, habe Unternehmen beraten zur digitalen Transformation, die ja immer noch ein Thema ist. Also damals dachte man, ja, in zehn Jahren ist das durch. Hm, vielleicht noch nicht. Und bin dann über eigene Projekte in diesem Bereich Datenschutz, Datenschutz-Grundverordnung 2018, und dann auch IT-Sicherheit gekommen und habe gemerkt, dass ich durch meine Erfahrung eben auch vor allem mit Netzwerken und Technologiethemen eher so im Bereich IT-Forensik angesiedelt bin. Und das rutscht mittlerweile auch durch meinen Newsletter. Ich beobachte ja täglich Sicherheitslücken. So ein bisschen zwischen der IT-Forensik und der, in Amerika ist es Vulnerability Research, also IT-Sicherheitslücken-Research-Forschung. Und ja, bin dann arbeitsmäßig, weil man ja die ganzen Hobbys auch irgendwie finanzieren muss. und auch das Startups Attraction ist ja auch Bootstrap. Da geht es darum, eine Lernplattform zu bauen, eine globale Lerninfrastruktur für Risikotrainings und Knowledge Management. Das möchte ja auch irgendwie finanziert werden und bin dann so ein bisschen in diese Chief Information Security Officer-Rolle gerutscht, weil ich Unternehmen erstmal unterstützt habe, Cyber Security Trainings durchzuführen, auch Management beschult habe, geholfen habe bei ISO-Zertifizierung. Also ich glaube, über die ISO 27001 insbesondere werden wir ja wahrscheinlich auch noch reden. und habe dann diese Rolle immer mehr angenommen und das ist quasi so ein holistischer Ansatz. Also ein CISO, ich habe eigentlich für jeden Kunden oder jedes Unternehmen, mit dem ich arbeite, eine Strategie, die meistens so aus zehn Punkten besteht und wo man sich so ein bisschen eine Lieferkette vorstellen kann. Also es ist nicht nur Awareness Training, es ist nicht nur das Management zu unterstützen, es ist nicht nur technisch, es sind auch Arbeitsprozesse, Dinge, die zusammenlaufen müssen. In ganz vielen Unternehmen gibt es natürlich schon irgendwas punktuell, was dann in einer Strategie zusammengefasst werden muss. Und meistens ist es auch so, dass es ein sogenanntes Informationssicherheitsmanagement-System entweder gibt oder dass es aufgesetzt werden muss. Das ist quasi so ein Framework, so eine Struktur, wonach man dann diese ganzen verschiedenen Dinge und Aufgaben, die zu erledigen sind, um ein hohes IT-Sicherheitslevel zu halten, die man danach organisiert und ja, Projektmanaged. Also viele CISOs beschreiben das tatsächlich auch eher als IT-Sicherheitsberater und Projektmanager. Ja, das heißt, die Verantwortung liegt darin, dafür zu sorgen, dass alle notwendigen Maßnahmen, um eben eine IT-Sicherheit zu gewährleisten von innen und außen, dass das umgesetzt wird. Dass das Unternehmen in Bezug auf IT-Sicherheit bestmöglich aufgestellt ist, oder? Kann man das so in einem Satz zusammenfassen? Die eigentliche CISO-Perspektive, also ich sage immer, ein CISO, also im Worst Case, wenn ein Unternehmen angegriffen wird, aktiv angegriffen wird, dann braucht eigentlich kein Mensch ein CISO, weil ein CISO arbeitet davor. Also da ist alles vorbereitet, die Prozesse stimmen, der Krisenstab, alles ist aufgesetzt, jeder weiß, wer wo Informationen und Daten herbekommt, auch aus dem System oder eben von Nutzern oder von außen. Und in der Situation brauchst du entweder beschultes Personal und oder IT-Forensiker und danach dann eben auch dieses Forensik-Thema, wenn es darum geht, das zu evaluieren, aufzuarbeiten, das Level dann nochmal wieder höher zu setzen, weil jetzt vielleicht Angriffe sich verändert haben. Aber die primäre Aufgabe eines CISOs im Unternehmen ist natürlich immer unterschiedlich, je nachdem, wer welchen Hintergrund mitbringt und welche Erfahrungen, aber eigentlich ist die CISO-Arbeit vorgelagert und dann hofft man natürlich, dass nichts Schlimmes passiert, aber wenn, ist man vorbereitet. Ja, ich kann mir vorstellen, dass das so eine Rolle ist, so ein bisschen so wie auch diejenigen, die für Datenschutz zuständig sind und so weiter. Das ist nicht immer so eine ganz beliebte Rolle in Unternehmen. Kann ich mir zumindest vorstellen, kommen wir vielleicht nachher nochmal drauf. Ich würde gerne auf das NIST-Thema kommen. Du hast ja schon erklärt, was das ist, was das auch bedeutet. Und ich hatte ja so ketzerisch irgendwie diesen Talk angekündigt, so von wegen, naja, ist das irgendwie mal wieder eine neue EU-Richtlinie, also neu ist sie nicht, oder hat man da auch was davon? Vielleicht erklärst du uns ganz kurz, weshalb die EU eigentlich diese Richtlinie erlassen hat und was damit bezweckt werden soll. Ja, also erstmal, die steht eigentlich gar nicht so sehr alleine auf weiter Flur, wie man das manchmal denkt. Also wer jetzt hört, oh Gott, ich muss irgendwas mit NIST 2 umsetzen, ja. Aber die Unternehmen mussten auch schon die EU-Datenschutz-Grundverordnung, wie gesagt, aus 2018 umsetzen, die sich auch um Datenverarbeitung und Datensicherheit kümmert. Dann gibt es viele auch branchenspezifische Anforderungen, die in den Jahren dazugekommen sind, die Unternehmen auch hoffentlich auch schon umgesetzt haben, weil das für ihre Lieferkette, für Ihre oft ja Großkunden oder auch andere Mittelständler, mit denen Sie arbeiten, wichtig ist. Und jetzt kommt ja mit NIST 2 eigentlich nur ein Update obendrauf, was nochmal ein bisschen mehr einen Fokus legt darauf, dass im Bereich vor allem der kritischen Infrastrukturen es auch sowas wie Business Continuity mehr gibt. Also das heißt, das Thema IT-Sicherheit ist eins der Themen. Das ganze Thema Datenschutz, Datensicherheit fließt da auch mit ein und Business Continuity, also dass ich nicht nur zum Beispiel für eine wichtige Anwendung einen Server habe, sondern zwei und im Notfall umswitchen kann. Kann solche Überlegungen, die kommen jetzt noch zusätzlich damit rein. Und das ist natürlich, wenn man vorher schon gut vorgearbeitet hat, wie gesagt, Datenschutz umgesetzt, IT-Sicherheit eh schon umgesetzt, dann ist es jetzt noch ein bisschen mehr zu tun und nochmal abzudaten. Was wir aber sehen ist, und das sehen wir auch bei der Beobachtung der Bedrohungslage. Dass sich letztes Jahr zum Beispiel so ein bisschen die Angriffsszenarien gedreht haben. Also wir haben bis 2021 immer darüber gesprochen, dass so Überraschungsangriffe in Form von zum Beispiel, es kommt eine Phishing-E-Mail, ein Mitarbeiter klickt da drauf und das führt dann zu einem Eindringen im System und dann in der Folge zu einem Hackerangriff. Und da kann übrigens auch, da kann bis zu vier Jahre oft dazwischen liegen. Und das haben wir immer so beobachtet und uns sehr auf diese Phishing-E-Mails fokussiert und wie kann man da auch die Mitarbeiter schulen und sich darum kümmern. Und seit letztem Jahr ist immer mehr publik geworden, dass wir eigentlich das größte Problem haben im Bereich der IT-Administration. Also, dass die Basisarbeit gemacht wird, dass die Systeme up-to-date sind, dass auch neue Software kommt, wenn Software veraltet ist und dass die auch gepatcht wird. Also, dass genau das, was ich mit meinem Newsletter jeden Tag so rumschicke, dass dann, wenn jemand sieht, okay, das System nutzen wir jeden Tag, dass dann auch bei irgendwem die Alarmglocken angehen und so, okay, dann sollten wir das aktuelle Update uns zumindest mal angucken. Und manchmal kann man ja nicht sofort technisch daran gehen, sondern muss dann erst auch Business-Prozesse und Entscheidungen einholen, aber sich eben drum kümmern. Und das ist was, was immer wichtiger wird, sodass wir jetzt eigentlich im 2024 sehen, dass so ein bisschen so ein Back-to-Basic-Trend, also Back-to-IT-Administration, ein ganz, ganz großes Thema wird. Ja, und was bedeutet, also wer ist jetzt tatsächlich davon betroffen? Ja. Mit diesen Richtlinien ist ja in der Regel immer verbunden, dass man einen bestimmten Stichtag hat, zu dem man etwas umsetzen muss. Du hast das Wort Datenschutzgrundverordnung in den Mund genommen, da waren dann alle völlig aufgeregt. Ich kann mich gut erinnern, 2018, bis wann man was umsetzt, bevor dann eben Strafen oder sonst irgendetwas notwendig, nicht notwendig, sondern ergriffen werden oder ausgesprochen werden. Was ist das jetzt bei NIST 2? Weshalb starren alle irgendwie auf den Oktober 2024 und was bedeutet das konkret dann auch? Ja, also es gibt natürlich die Theorie dazu. Die aus dieser Richtlinie hervorgeht, wo wir dann erstmal uns Unternehmen anschauen mit 50 Mitarbeitern oder mehr, mit 10 Millionen Euro Jahresumsatz oder mehr und dann gibt es verschiedene Sektoren, nach denen es aufgeteilt ist und verschiedene Arten von Unternehmen. Wenn man anfängt, sich das anzuschauen, wir können den Link zu der Seite, wo das beschrieben ist, auch gerne mal teilen, wird man wahrscheinlich nicht schlauer, sondern die einen versuchen, sich dann auszureden, die anderen wissen schon, dass sie eh betroffen sind und arbeiten wahrscheinlich auch schon dran. Was ich immer versuche zu erklären, was das Ganze ein bisschen einfacher macht, ist, die EU geht, und das haben wir eigentlich bei sämtlichen Richtlinien gesehen zu dem Thema, immer an erster Stelle die Großkonzerne an, die ja auch das Budget haben, die eigentlich eh schon was hätten tun sollen. Und wir haben bei der Datenschutzgrundverordnung in der Herleitung, die am Anfang dieser 180 Seiten Richtlinie stehen, haben wir gesehen, an der Verordnung stehen, haben wir gesehen, dass sie vor allem sowas wie Google, wie Meta, wie Amazon im Kopf hatten oder im Blick hatten, als darum gegen diese Verordnung dann auch zu beschließen. Und bei den NIST-Richtlinien ist es auch so, dass es in erster Linie um die kritischen Infrastrukturen geht. Jetzt ist aber die Frage, wer oder was ist kritische Infrastruktur? Es ist auch in den Mitgliedsländern unterschiedlich organisiert. Also es gibt auch verschiedene Gesellschaftsformen zum Beispiel, die es in Österreich wieder anders gibt als in Deutschland und andere Länder sind ganz anders unterwegs. Also wenn man da anfängt, dann kann man wirklich wahrscheinlich beim Anwalt-Inkurs besuchen. Ich versuche es immer von der anderen Seite anzugehen, auch von zwei anderen Seiten. Die erste Frage, die auch jedes mittelständische Unternehmen sich stellen kann und die jeder Geschäftsführer sich auch selber stellen kann, ist. Erstens habe ich Großkunden. Also habe ich Großkunden im Bereich kritische Infrastrukturen oder die eh schon auf mich zugekommen sind und das sind sie meistens jetzt auch schon, die mir schon mal einen Compliance-Fragebogen geschickt haben. Das fängt an mit einem Compliance-Fragebogen zum Thema Datenschutz, geht weiter mit einem Compliance-Fragebogen zum Thema IT-Sicherheit und in diesen IT-Sicherheits-Fragebögen oder auch manchmal laufen sie auch unter Datenschutz, ist mittlerweile eben dieses Thema Redundanzen und Business Continuity mehr drin. Wenn ich so ein Ding als PDF, Word-Dokument, Excel-Tabelle schon mal vor der Nase hatte und ausfüllen musste, weiß ich, okay, ich bin mindestens innerhalb der Lieferkette eines Anbieters von kritischen Infrastrukturen und muss mich darum kümmern, weil ich sonst potenziell meinen Großkunden verliere, der nicht mehr in dieser Lieferkette stattfinden kann und eben diese Anforderungen erfüllen muss. Das ist so erste Herangehensweise. Einfach mal überlegen, kam da vielleicht in den letzten zwölf Monaten und bei den meisten war es mehrfach der Fall, kam da was um die Ecke. Branchen wie Automobil, Flugzeugbau und so weiter wissen eh, dass sie auch mit TISAX nochmal eh anders zertifiziert sind, sich drum kümmern müssen. Und dann ist so die nächste Reihe, ist die derer, die so in dritter Linie betroffen sind oder sein könnten, zum Beispiel Webagenturen, ja, alle die Websites bauen, wo dann auch doch wieder Daten von Kunden und deren Kunden drüber laufen. Ich habe jetzt in letzter Zeit auf Content-Creators, Social-Media-Agencies, die fragen, inwieweit sind wir betroffen, weil das eine ist, arbeiten wir schon mit Großkunden, arbeiten wir auch mit großen Software-Konzernen zum Beispiel zusammen, ja, also die beauftragen ja auch Marketing-Agenturen und dann ist die Frage, wenn die jetzt mit ihrem Vendor-Management heißt es, anfangen, fallen wir mit rein oder sagen die, nee, ihr seid nur Marketing, ihr fallt raus, aber wenn sie mit reinfallen, riskieren sie den Auftrag, was natürlich dann auch monetär ist. Und auf der anderen Seite kommen da ja noch die dazu, die vielleicht noch keine Großkundenaufträge haben, aber auch Startups, vor allem Tech-Startups oder Software-Startups, die gerne Pilotprojekte mit Großkunden machen möchten oder auch im 3D-Druckbereich, haben wir das schon gesehen, die bekommen auch oft so diesen Standard-Fragebogen IT-Sicherheit gleich vorweg, bevor man überhaupt weiterspricht über ein Projekt oder über eine Beauftragung oder ein Investment und müssen quasi auch schon zumindest sich auf den Weg machen, diese hohen Corporate-Standards in dem Fall zu erfüllen. Damit sie eben nicht als kleines Startup oder als kleiner neuer Geschäftspartner dem großen Unternehmen die Sicherheitslieferkette zerschießen. Ja, das heißt also, dass es eigentlich so Abhängigkeiten gibt, die auf den ersten Blick gar nicht unbedingt sichtbar sind. Weil wenn man sich, du hast vorhin diese Seite erwähnt, wir werden die hier auch verlinken, also zum Beispiel für Österreich von der Wirtschaftskammer, gibt es eigentlich eine gute Seite, wo man auch dann die Branchen sieht, wer gehört eigentlich zur kritischen Infrastruktur. Dann gibt es noch so etwas wie wichtige, also ich glaube, das ist die nächste Stufe, wichtige Unternehmen. Und wenn man sich da selber nicht einordnet und ich habe da mal mit dem Blick aus der Softwareentwicklung drauf geguckt, weil das ist ja irgendwie so ein bisschen so meine alte Heimat und habe gedacht, okay, ich bin jetzt, ich habe jetzt ein Unternehmen mit vielleicht 20, 25 Mitarbeitern. Sieht so aus, als würde ich rausfallen, weil irgendwie denke ich immer auch erst ab 50 oder so etwas. Vielleicht ist auch meine Umsatzgröße oder meine Bilanzgröße noch nicht irgendwie über 50 Millionen oder so etwas. Wie kann ich dann irgendwie feststellen, erstens, ob ich betroffen bin? Du hast es gerade gesagt, klar, wenn ich schon mal von großen Konzernen solche Fragebögen bekomme. Aber es könnte ja durchaus sein, Gerade wenn ich zum Beispiel vielleicht für die öffentliche Hand arbeite oder so etwas oder durchaus eben auch für andere Anbieter, die im kritischen Bereich tätig sind, dass die noch gar nicht auch auf diese Dinge vorbereitet sind und vielleicht diese Fragebögen gar nicht rausschicken. Was mache ich dann? Werde ich jetzt einfach irgendwie hektisch und denke, okay, ich muss irgendwas machen, was mache ich eigentlich? Was ist konkret, was wäre konkret zu tun? Was würdest du mir, wenn ich jetzt zu dir kommen würde und dich fragen würde, das ist jetzt mein Unternehmen, was würdest du mir raten von der Vorgehensweise? Ja, also kurzer Punkt, auch wenn noch kein Fragebogen angekommen ist, ist das keine Garantie, dass er nicht kommt, weil natürlich, wir haben es jetzt geschafft, geschafft, die vier Millionen fehlenden Cyber Security Fachkräfte zu erreichen letztes Jahr. Also das heißt, kann auch sein, dass einfach noch drei Leute im Team fehlen, die das Vendor Management organisieren könnten für einen Konzern oder für die öffentliche Hand. Und es laufen eben auch noch die Diskussionen, weil diese Richtlinie muss ja auch nochmal national, ein nationales Umsetzungsgesetz und das passiert gerade alles gleichzeitig. Also das passiert gerade alles parallel. Das ist ein bisschen chaotisch, gilt dann aber trotzdem ab Oktober und man muss sich eh drum kümmern. Und die beste Herangehensweise ist eigentlich, also Pranisch ist natürlich keine gute Herangehensweise. Was ich mit Kunden gerne mache, ist, dass wir vereinbaren, wir begeben uns auf dem Weg in Richtung NIST 2 oder in Richtung höheres IT-Sicherheitslevel, weil wir hatten es im Vorgespräch, es kommen noch ein paar andere Sachen auch von der EU, auch in den USA, aber das wird dann ein bisschen viel, aber generell höheres IT-Sicherheitslevel ist eine gute Idee. Und wenn man das jetzt noch relativ entspannt machen kann und sagen kann, ich starte dahin und ich kommuniziere auch alle meinen Bestandskunden, wir sind auf dem Weg, wir als euer Zulieferer bauen dieses Vertrauen nochmal mehr aus, investieren, da gehen wir hin. Da ist schon mal viel gewonnen und dann entlang des Geschäftsmodells, also was gerade viel passiert, weil natürlich, wir kennen das alle. Sobald irgendwo was Neues, Gesetzliches kommt, starten die Panikposts und die Werbeanzeigen, du musst das jetzt machen, sonst morgen geht die Welt unter und nicht wegen einer Bedrohungslage, sondern wegen einer Regulaturik. Und dann hat man Anwälte, die damit irgendwie Panikwerbung machen. Man hat IT-Dienstleister, die damit Panikwerbung machen. Da passieren gerade wilde Dinge. Und gerade bei kleineren Unternehmen muss ich ja gucken, dass ich ein Return on Invest habe. Also ich gehe ja nicht hin und die meisten denken, das kostet jetzt 50.000 Euro, gibt ja nicht 50.000 Euro aus dafür, dass ich dann irgendwie ein Zertifikat habe in ein paar Monaten oder ein höheres IT-Sicherheitslevel, sondern das sollte zum Geschäftsmodell passen. Und oft haben auch gerade die, die eh schon in dieser Lieferkette sind, die Möglichkeit, durch ein kleines Zusatzangebot für eben diese betroffenen Bestandskunden, denen das Leben zu erleichtern und sich selber das Geld wieder reinzuholen, was sie investieren. Und das müssen am Anfang auf gar keinen Fall 50.000 Euro sein. Also wenn mir ein Mittelständler sagt oder ein Startup, dass sie ein Angebot bekommen haben, wo quasi der Teil, den man outsourcen kann zum Thema IT-Sicherheit, extern erledigt wird und da ist gleich irgendwie eine 50.000 dahinter, dann haben die sich einen Corporate-Berater gesucht, der mit Corporate-Standards und Reporting-Strukturen, ja, wo dann eine sehr lange, sehr viele PowerPoint-Slides wahrscheinlich vorbereitet, auf ein kleines Unternehmen eindrischt. So, das passt nicht. Also ich habe selber ein Paket zusammengestellt, da sind wir bei 10.000 Euro. Das hat quasi einen Kickstart um zwölf Monate Rückfragen. Ja, und da kann man schon mal viel erreichen. Und wenn man dann sagt, ich möchte oder ich muss zertifizieren, dann kommen sicherlich noch ein paar tausend Euro dazu, die aber auch man sich von diesen Kunden, die das als Anforderung stellen, auch zurückgibt. Und das ist, glaube ich, ganz wichtig zu wissen, dass es zum Geschäftsmodell passen muss und dass per se, nur weil man Geld auf den Tisch legt, auch die Sicherheitsstandards zum Beispiel nicht höher werden oder die Business-Prozesse besser, weil die müssen auch im Team, das muss da so ein bisschen rein diffundieren, also auch die Mitarbeiter und die beteiligten Freelancer müssen das auch irgendwo noch annehmen, verarbeiten können und dann auch selber da mitmachen können. Ja, du sagst gerade irgendwie einen, finde ich, ganz wichtigen Punkt. Zertifizierung ist ja das eine. Ich habe vor Urzeiten mal auch eine Zertifizierung, nicht im Bereich IT-Sicherheit, aber Qualität in der Softwareentwicklung mitgemacht. Und wir haben innerlich echt gelacht vor diesem Audit, weil ja, man macht dann halt Dinge, die man sonst nicht macht für das Audit. Ich weiß, dass das im Bereich IT-Security nicht wirklich so ist, Aber was wäre da auch ein sinnvoller Weg, um eben, ja, um auch die Leute mitzunehmen und tatsächlich auch einen langfristigen, ich will mal sagen, langfristigen Return on Invest an dieser Stelle zu haben. Denn der Sinn dieser Richtlinie ist ja der, europaweit natürlich die Dinge zu harmonisieren, aber eigentlich geht es darum, die Sicherheitsstandards zu erhöhen und kritische Infrastruktur und auch andere wichtige Bereiche vor Hackerangriffen zu schützen, weil das ist ja das, was als Motivation dahintersteht. Ja, was man dafür stehen muss und wie gesagt, wer mag es eingeladen, sich da den Newsletter zu abonnieren, es finden täglich Hackerangriffe statt und so ein Audit findet meistens einmal im Jahr statt, wo man dann muss vortragen, dem Auditor, der eh extern ist, erklärt, wie es läuft und im besten Fall ist der aus einer passenden Branche und stellt kritische Nachfragen und das Wichtige ist natürlich, also was ich gerne mache, ist erstmal so das Why zu erklären, ne? Kennst du auch, Thema Purpose. Erstmal, warum machen wir das hier? Und eine Akzeptanz auch ein bisschen reinzubringen. Und eine Akzeptanz bekomme ich natürlich immer dann, wenn ich die Menschen irgendwo abhole, wo sie schon selber stehen oder aus ihrer Perspektive. Und das Why, zum Beispiel auch als Gegenargument gegen, ja, das ist ja alles Regulatorik und macht uns viel mehr Arbeit, ist natürlich ja, aber ich habe das, wenn ich mich einmal in diese Richtung bewege, dann bewege ich mich in ein Feld, wo wir über internationale Standards sprechen. Also ich habe ja im Vorgespräch schon erzählt, ich hatte gestern Abend einen ganz interessanten Call mit einer Anwältin aus Australien, die sagt, ja klar, Australien, High Alert, in den letzten Jahren, anderthalb Jahren waren sehr viele Hackerangriffe, andere Regulatorik, leicht anders als wieder in den USA und Europa, aber die Antwort. Womit ich als Unternehmen das beantworte und eben gegen diese Hackerangriffe vorgehe und dafür sorge, dass ich regulatorisch konform bin, ist immer ein etablierter Prozess und ein internationaler Standard. Also zum Beispiel die ISO-Standards oder die Branchen-Standards. Und damit begebe ich mich ein Feld, in ein Feld, wo ich auch sehr viel Hilfe bekommen kann und wir alle über das Gleiche reden. Also wir müssen nicht mehr, wenn sich jeder selbst was ausdenken würde, dann müssten wir alle irgendwie immer uns stundenlang abstimmen und so sagen wir zwei, drei Keywords, wenn wir in den Call gehen und wissen, okay, ja, und jetzt, wo ist das eigentliche Problem? Und das ist total hilfreich und natürlich auch, wenn ich entweder aufgrund der Standards oder dann später aufgrund der Standards und der Zertifizierung, weil auch die Zertifizierung wird von Auditoren oder von Kunden hinterfragt, einfach beschreiben kann, wie ich, was ich für einen Standard habe und wie ich ihn am Leben halte, wie ich ihn umsetze. Und damit erspare ich mir Rückfragen, Zusatzarbeit oder, dass ein Großkunde auch mal auf die Idee kommt, mir so Überraschungen, einen Auditor oder einen White Hat Hacker vorbeizuschicken, was auch durchaus passiert. Wo ich dann diesen Panikfaktor wieder ins Unternehmen kriege. Also das heißt, wenn ich proaktiv denke und wenn ich es auch ein bisschen aus der Serviceperspektive denke, dass ich quasi, bevor irgendjemand groß nachfragt oder bei mir groß Zusatzarbeit verursacht, ich schon sage, nein, wir sind auf dem Weg dahin, wir haben schon höhere Sicherheitslevel und wollen jetzt dahin und bieten das proaktiv an, bin ich natürlich besser unterwegs und habe auch, was das Arbeitsthema und Arbeitsaufwand angeht, da einen Vorteil. Und das ist der erste Schritt, das Mitarbeitern auch das Geschäftsführern zu erklären, dass es deshalb eben auch nicht gut ist, zu warten, bis was passiert, weil wir haben durchaus auch noch viele, die sagen, ja, ja, da gibt es so viele EU-Gesetze, die können wir eh nicht alle umsetzen, dann warten wir mal ab. Ja, aber was wir jetzt immer öfter sehen, ist, dass ein Hackerangriff nicht mehr bedeutet, wir können nur nicht mehr arbeiten, sondern es können Unternehmen teilweise oder auch Behörden hunderte Tage nicht mehr arbeiten. Und wir haben auch schon super viele Insolvenzen gerade im Mittelstand gesehen, weil dann der Energiepreis hochging, der Fachkräftemangel plus noch ein Hackerangriff obendrauf, ist halt dann irgendwann eine Zusammenstellung von Krisenkatastrophen, die nicht mehr ertragbar ist für ein Unternehmen. Das muss ja nicht sein. Das heißt, im Prinzip ist es so, dass ich idealerweise, wenn ich jetzt denke, okay, ich müsste da eigentlich was tun und mich auf den Weg mache, so wie du das beschreibst, in Schritt für Schritt und in einem Tempo, was zu mir, meinem Geschäftsmodell, auch meiner Mannschaft, will ich mal sagen, der Leute, die ich habe, passt, dass idealerweise noch aus diesem Prozess oder aus diesem Weg ein Service-Produkt für meine Kunden mache, um ihnen das vielleicht dann auch nahezubringen, um einfach darüber auch ein Return on Invest irgendwie zu generieren, dann schlage ich eigentlich zwei Fliegen mit einer Klappe. Das eine ist, dass ich tatsächlich diese Regulatorien oder diese Richtlinien einhalte. und das Zweite ist, dass ich mich selber aber resilienter, stabiler und sicherer aufstelle. Ja, auch zukunftssicher. Weil wie gesagt, also NIST 2 haben wir jetzt als Fokusthema gewählt, ist ja aber auch nicht die einzige EU-Richtlinie und gerade auch für Unternehmen, die nicht nur mit EU-Unternehmen, sondern auch mit US-Unternehmen zusammenarbeiten oder zusammenarbeiten möchten, um zu wachsen. Und das ist ja auch bei vielen Softwareanbietern der Fall. Da findet quasi gerade das Gleiche in Grün statt. Nur, dass in den Berichten, die die SEC, die die Börsenaufsicht fordert, mittlerweile die ganze Lieferkette drinsteht. Also, wenn ein Großkonzern betroffen ist von einem Hackerangriff, scheuen die nicht davor zurück, den Softwareanbieter, der es verursacht hat, auch eiskalt reinzuschreiben und zu sagen, die haben das Problem. Und auch wenn die nicht listet sind, dann sind die trotzdem in der Bedulde, dass sie irgendwas reporten müssen, dass sie sich kümmern müssen. Das ist so ein bisschen auch so ein Ping-Pong-Spiel, sich Haftungen und Zuständigkeiten zuzuschieben. Und da möchte man natürlich lieber proaktiv, auch kommunikativ, vielleicht sich auch mal externe Hilfe holen, nicht nur in diesem Bereich IT-Sicherheit, sondern auch wenn es um Krisenkommunikation geht oder auch um Führungsthemen oder so, um da immer schön proaktiv zu zeigen, wir haben das hier schon alles auf den Blick gehabt und wir kümmern uns drum und eben nicht irgendwo in den Medien oder in irgendwelchen Berichten auftauchen und dann nachher sagen, sagen, so, ups, da ist unser Geschäftsführer vielleicht nicht so sprechfähig und außerdem müssen wir gerade verstecken, dass wir vielleicht, auch wenn zertifiziert ist, nicht so hinterarbeitet haben. Ja, zumal, und daran erinnere ich mich gut, und das war für mich wirklich, waren gerade am Anfang schlaflose Nächte. Als Geschäftsführerin stehst du ja mit einem Bein, ich habe immer gesagt, als Geschäftsführerin stehe ich mit einem Bein immer im Gefängnis, so ungefähr, für Dinge, für die ich verantwortlich gemacht werden kann. Und das ist natürlich einer dieser Punkte, für die ich dann hinterher auch verantwortlich gemacht werden kann, wenn ich das richtig verstanden habe und dann hafte ich natürlich auch, wenn keine entsprechenden Maßnahmen getroffen wurden, mit einem großen Teil meines privaten Vermögens dafür, wenn ich denn welches habe. Ja, wobei, also ja, das ist das Thema, was gerade auch sehr oft besprochen wird, wo auch die quasi lokalen nationalen Umsetzungsgesetze nochmal interessant werden in Sachen NIST 2. Was wir jetzt aus den SEC-Reports sehen und auch aus den Anklagen, die die SEC veranlasst hat aufgrund von Hackerangriffen, ist es eher so, dass, also wenn jetzt wirklich da, ich sag mal, ein kleines mittelständisches Unternehmen wird gehackt von nachweislich russischen State-Sponsored-Hacker, also Menschen, die Vollzeit arbeiten und von der russischen Regierung bezahlt werden und da ist klar, da ist ein politisches Interesse dahinter. So, dann ist es, Wahrscheinlich nicht so, dass man dann der Geschäftsführung oder auf einem CISO, ist ja gerade auch Thema, wie bei CISOs belangt werden können, die in Unternehmen arbeiten, grobe Fahrlässigkeit vorgeworfen werden kann. Und was der Gesetzgeber natürlich möchte, der möchte diese grobe Fahrlässigkeit gerade für diese kritischen Infrastrukturen, aber generell einfach auch aus dem Markt raus haben. Weil wir haben so viel grobe Fahrlässigkeit gesehen in allen möglichen Bereichen, deshalb sind ja die Angriffe immer mehr, weil auch immer mehr persönliche Daten ja auch im Internet und im Darknet und überall verfügbar sind von Menschen. Und da will man raus, um überhaupt mal ein Sicherheitslevel gesamtgesellschaftlich oder im gesamten Internet hinzukriegen. Das heißt, was immer ein schwieriger Punkt ist, ist, wenn bekannt ist, intern oder oft dann ja auch extern, auch durch Cybersecurity-Forscher oder auch Hacker, die das publik machen, dass in einem Unternehmen. Sicherheitslücken da waren, bekannt waren und sich nicht darum gekümmert wurde. Das ist so der Faktor, der auf jeden Fall ausgeschlossen wäre Und das sieht man eben auch aktuell in diesen SEC-Berichten bei den Klagen. Und ich denke, das wird auch ein Riesenthema werden mit NIST 2. Wir haben es mit der Datenschutz-Grundverordnung gesehen. Da war erst mal Umsetzungspanik 2018. Dann wurde es so ein bisschen ruhiger. Und dann kamen die ersten Gerichtsverfahren, die ersten Strafzahlungen. Und dann konnten Unternehmen, die sich vielleicht vorher nicht so drum gekümmert haben, auch ein bisschen einschätzen, okay, wie teuer wird das wirklich? Wie viel Risikoappetit haben wir im Bereich Datenschutz? Und ich denke, das wird mit NIST 2 genauso werden. Ich glaube aber, dass aufgrund der aktuellen Bedrohungslage, dass keine fünf Jahre dauern wird, bis man da die ersten Gerichtsverfahren und Strafzahlungen sehen wird. Und wie gesagt, die SEC prescht da gerade in den USA sehr vor, wo man sich dann daran orientieren kann. Das heißt, das Beste, was man halt machen kann, ist, dass man strategisch eben sich auf den Weg macht und dass man aber auch eben diese Basisarbeit wirklich leistet. Und dass man die, auch wenn man da manchmal Frustrationstoleranz braucht, auch, dass man seine IT-Infrastruktur updatet und patcht und sich darum kümmert. Und auch wenn es mal ein bisschen dauert oder am Anfang ein bisschen hakt von den Prozessen oder so, dass man da gute Strukturen findet, dass das auch technisch möglich und erlaubt und gewollt ist. Und IT-Sicherheit eben auch im Vergleich zu vielen anderen Dingen, die ein Unternehmen eine Rolle spielen, einen höheren Stellenwert bekommt. Und dann ist natürlich ein Reporting-Thema, wenn was passiert, dann eben auch die Prozesse zu haben, um es zu bearbeiten und zu reporten. Und ich denke, wenn ein Unternehmen zeigen kann, kann aufgrund... Zum Beispiel dieses Informationssicherheitsmanagementsystems aufgrund der Dokumentation, dass die entsprechenden Meetings, die entsprechenden Maßnahmen stattgefunden haben, dass das Management Bescheid wusste, dass es an entsprechende Leute delegiert hat, dass es von den Ressourcen gepasst hat und so weiter. Dann glaube ich nicht, dass ein Gericht hingehen wird und sagen wird, ja, aber der Geschäftsführer hat das jetzt trotzdem komplett vernachlässigt. Sondern ich glaube, das wird vor allem die treffen, die halt eben wussten, okay, da liegt was im Argen, nicht so gut, nach außen vielleicht noch was anderes verkauft und sich nicht hinten drum gekümmert haben. Ich glaube, die wird das sehr betreffen. Immer mit an oberster Stelle, um einfach, also insbesondere, wenn es ein Teil meines Geschäftsmodells ist, ja, also wenn ich natürlich, wenn ich jetzt irgendwie Bäcker bin oder so und irgendwie da keinerlei Verbindungen nach außen habe oder sowas, ja, nun, na, aber wenn das ein Teil meines Geschäftsmodells ist und ich davon abhängig bin und der Umsatz und Ertrag meines Unternehmens davon abhängig ist, dann gehört es zum normalen Risikomanagement eigentlich mit dazu, sodass ich mich dort dann eben auch auf den Weg mache. Ich finde es gut, dass du diese schrittweise, vorgehensweise gerade eben auch nochmal erklärt und beleuchtet hast. Jetzt ist es ja so, du hast es irgendwie vorhin in so einem Nebensatz gesagt, und wir wissen das ja alle, dass insbesondere in diesem Bereich IT-Security, und sicher auch, wenn ich ich einen qualifizierten CISO oder jemanden einstellen möchte oder beauftragen möchte, der mich dabei begleitet und unterstützt. Findet man jetzt nicht auf der Straße, braucht man vielleicht auch kurzfristig nicht unbedingt selbst im eigenen Team. Was wäre da deine Empfehlung? Wo finde ich jetzt jemanden passenden, dem ich vertrauen kann und der mir jetzt nicht mit irgendwie so einer riesen, wie du schon gesagt hast, Corporate-Lösung kommt, sondern eben auch tatsächlich mich, mein Geschäftsmodell versteht und passende Maßnahmen mit begleitet und umsetzt? Ja, also was vielleicht ganz wichtig ist, es braucht nicht jedes kleine Unternehmen ein CISO. Also ein CISO ist jemand, vor allem wenn man sich den als Vollzeitkraft ins Team holt, der wirklich sich dann auch Vollzeit um das Thema kümmert und meistens ja auch ein CISO-Office aufbaut, also ein Team von vier, fünf oder mehr Leuten. Das ist für ein kleines Unternehmen viel zu viel. Das können die anderen Mitarbeiter von den Prozessen ja gar nicht abarbeiten. Also ich kann ja nicht jeden Tag irgendwie alle schulen und dann wartet man wieder auf Rückmeldung. Die sollen ja auch ihren eigenen Job noch machen. Also das darf man ja auch nicht vergessen. Das heißt, da sprechen wir eigentlich eher von den größeren Mittelständlern oder von den Konzernen tatsächlich, die diese Rolle besetzen. Und es wird auch, das ist auch so ein bisschen ein Trend, es wird immer weniger interne CISOs geben. Weil ein CISO ist ein Fake C-Level. Das heißt, wir haben das Management Board, das ist eigentlich C-Level. Wir haben den CISO darunter, oft unter dem CFO, der meistens nicht technisch ist. Da kann man dann schöne Budgetdiskussionen führen. Und es sind immer weniger, sage ich mal, Menschen mit diesem Cybersecurity-Hintergrund bereit, diese CISO-Rolle intern in den Unternehmen zu übernehmen. Also wir sind immer mehr, ich mache es als CISO as a Service, eben in diesen Paketen, es gibt Virtual CISOs, es gibt Fractional CISOs, alles mögliche, die halt eben für mehrere Unternehmen gleichzeitig arbeiten und das macht auch total Sinn, weil dadurch kriege ich viel mehr Expertise rein und dadurch habe ich zum Beispiel Zeit für meine Schwachstellenbeobachtung und die Forschung und die Startup-Arbeit, um das wieder mit reinzubringen, andere machen andere Themen im technischen Bereich, also da profitiert man davon. Und das ist für Unternehmen aber häufig das Problem, die denken halt noch sehr in diesem Festanstellungsthema. Also die denken, wir haben ein Thema, wir schaffen eine Stelle dafür, wir müssen jetzt jemanden finden, der zu uns passt und in unserer Branche die Erfahrung hat und sich hier Vollzeit anstellen lässt und sich dann darum kümmert. Das wird, glaube ich, gerade jetzt mit den steigenden Risiken und mit der bisschen Umdefinierung der CISO-Rolle eben in diese Berater und Projektmanager-Rolle, auch aufgrund der Haftung, wird das nicht mehr oft funktionieren. Also, das heißt, offen sein, auch für andere Themen. Und das hatte ich letztens mit einem IT-Leiter. Da hatten wir drüber gesprochen, den Kickstart zu machen, der ja bei mir sehr klar definiert ist, mit Status Quo und dann gibt es ein Booklet und To-Dos und alle laufen los. Und dann sagt er, ja, aber ich möchte dann auch das CISO as a Service Thema. Und dann sage ich, ja, das können wir nach dem Status Quo machen, wenn du als interner IT-Leiter mir sagen kannst, was ich für Aufgaben für dich übernehmen soll. Das ist nämlich auch ganz wichtig. Also auch diese Verbindung zum Geschäftsmodell und zum bestehenden Team funktioniert nur, wenn er sagt, da bin ich jetzt, da bin ich der Head of für das Projekt, in dem Fall Informationssicherheitsmanagement-System. Das kann ich, das mache ich und das ist in seinem Fall vor allem die IT-Administration und sein Teamleiten. Das kann ich nicht, das kann ich outsourcen. Also, dass da auch das interne Team einfach wirklich mündig wird, lernt, worum es geht, was wichtig ist und dann auch einem externen CISO oder auch anderen IT-Netzleistern genau sagen kann, das brauchen wir und das brauchen wir so lange von dir zuverlässig eben in dieser Patching-Routine oder in dieser Prozessroutine. Das ist super wichtig und wichtiger als jemanden zu finden, der Vollzeit auf so einen Job bleibt. Ja, das ist ja das gleiche Thema. Also, für mich klingt das genauso wie, wenn man als Unternehmen bestimmte IT-Services auslagert, die vorher vielleicht irgendwie bei einem selber waren, also meinetwegen Infrastruktur oder aber Desktop oder was auch immer. Du brauchst trotzdem jemanden im Unternehmen, der praktisch die, die Kommunikation auffällt, der die Prozesse kennt und der eben auch entscheiden kann, okay, wen nehmen wir, wie gut läuft das und da eben das Ganze auch überwacht. Und so hört sich das für mich in Bezug auf den CISO auch an. Dass du jetzt auch speziell auch nur dann Dinge in einem Unternehmen übernehmen und dafür die Verantwortung übernehmen kannst, wenn sichergestellt ist, dass erstens das genau definiert ist, wie sind eigentlich da die Abläufe, Welches ist deine Aufgabe? Welche Dinge liegen aber in der Verantwortung im Unternehmen? Und dass das dann ganz klar sowohl von der Kommunikation als auch von den Schnittstellen her definiert ist. Und dafür brauche ich immer sowas wie eine Erstanalyse. Also du hast es jetzt Kickstart genannt. Für mich ist das immer so etwas wie eine Bestandsaufnahmeanalyse, um zu gucken, okay, welche Dinge müssen wir verändern und wie verteilen wir die Aufgaben? Genau. Ich gucke natürlich auch technisch ein bisschen von außen. Also, ich habe auch dann einen relativ guten Blick für das Cybersecurity-Level, was ich mache. Ja, klar. Mit meinen kleinen Kameras. Das ist ja der Vorteil, dass du beiden mitbringst. Also sonst sitzt man oft dieses Thema CISO eher so etwas wie auch bei Datenschutzbeauftragter und so weiter, dass man eher so den etwas Überflugsblick hat. Aber dadurch, dass du natürlich irgendwie auch diesen technischen Background hast und dich da sehr gut auskennst, wäre es ja blöd, wenn du das nicht mit reinbringen würdest. Und das ist ja auch der Nutzen und Vorteil eben auch von Unternehmen, die dort eben einfach auch nochmal den Blick von außen zu bekommen, von jemandem, mit dem man das dann diskutieren kann, oder? Ja, was vielleicht auch ein wichtiger Punkt ist, die Diskussion haben wir auch in letzter Zeit öfter, also dadurch, dass die regulatorischen Anforderungen auch steigen, haben wir natürlich gerade ganz viele Leute, die von wo auch immer, vielleicht auch mit dem Datenschutzhintergrund, vielleicht auch mit dem rechtlichen Hintergrund, mit dem juristischen Hintergrund, in diese CISO-Rolle oder in eine Informationssicherheitsrolle gespült werden, weil man die einfach braucht. Man will zeigen, man hat den Job besetzt, man hat vielleicht extern jemanden gefunden und man möchte das ja auch nach außen signalisieren. Und ich bekomme immer mehr Anfragen von CISOs und IT-Sicherheitsexperten oder Leuten, die neu in der Rolle sind, denen so ein bisschen der Austausch fehlt, weil die sich sehr alleine fühlen. Und denen auch, also uns fehlt ja allen irgendein Puzzlestück immer. Also ich kann ja von A bis B vielleicht noch ein bisschen C-Experte sein. Nein, also frag mich, weck mich nachts, frag mich was zu IT-Sicherheit und Schwachstellen oder frag mich was zu Business-Themen wegen der Start-up-Seite, kann ich dir beantworten. Also Führungsthemen ist für mich zum Beispiel so ein bisschen böhmische Dörfer, wo ich immer sehr interessiert bei dir zuhören und bei anderen und wieder was lernen kann. Da werde ich mich sicherlich nicht auf eine Bühne stellen und über solche Themen reden. Und das geht uns ja allen so. Und das darf man auch nicht vergessen, dass man, ich sage mal, man muss sich so ein Potpourri zusammenstellen, sowohl von technischen Tools als auch von Business-Prozessen, als auch von dem Wissen, wo ich weiß, das muss ich jetzt lernen oder das will ich auch lernen, um da mein Profil zu entwickeln für das IT-Sicherheitsthema und das andere eben auch durch externe dann dauerhaft betreuen zu lassen. Da sollte man auch keine Angst vor haben. Und ganz wichtig, das sollte man als Führungskraft auch akzeptieren, wenn man jemanden hat in der Rolle, weil das Beste ist, in dieser IT-Sicherheitsrolle jemanden zu haben, der da Lust drauf hat. Also der vielleicht sagt, ich bin da neu oder ich habe das jetzt so noch nicht gemacht oder mit diesen ganzen regulatorischen Änderungen, da habe ich ein bisschen Angst vor oder irgendwas. ist ja okay, aber dann, hey, Haftung rausnehmen und Support dazugeben, dann kümmert sich wenigstens jemand drum. Weil wir sehen immer mehr, dass in den Unternehmen es ganz schwer wird, vor allem seit Corona, dass Menschen Verantwortung für solche Risikothemen übernehmen wollen. Dass jemand sagt, ja, ich kümmere mich da jetzt drum und zwar so, dass es auch erledigt wird und dass wir überhaupt in der Lage sind, zu dokumentieren, weil eine Aufgabe abgeschlossen wurde. Das wird eine immer größere Herausforderung gerade. Ja, spannender Aspekt. Perfekt. Ich mache mal Folgendes. Ich habe hier ja mal was vorbereitet. Ich klicke hier einfach mal deine Webseite rein, weil meine Frage, meine letzte Frage an dich ist, wir haben jetzt über dieses Thema gesprochen. Du hast schon ein bisschen auch erzählt, was du machst, wie deine Vorgehensweise ist und so weiter. Für welche Unternehmen kannst du jetzt in diesem Bereich speziell halt eben auch mit deiner Expertise weiterhelfen? Das eine hast du schon gesagt, dein Newsletter, wo du tagtäglich dann die Bedrohung oder ich habe mich für den wöchentlichen eingestellt. Du brauchst das nicht jeden Tag. Aber sag doch noch mal drei Worte dazu, falls jetzt jemand wirklich eben sagt, ja, ich brauche einfach in diesem Bereich Unterstützung. Mit welchen Angeboten kannst du insbesondere welche Unternehmen am besten unterstützen? Genau, also erstmal, meine Website ist tatsächlich noch in Arbeit, weil ich gerade mehr mit Sicherheitsregeln als mit Websites zu tun habe, aber es gibt unter dem Link den Link zum Newsletter täglich für die IT-Admins wöchentlich für Management und alle anderen. Und ich habe auch Workbooks geschrieben, wo nochmal auch die anderen regulatorischen Themen für die jeweiligen Märkte mit drin sind. Kann man sich auch mal anschauen. Und ich arbeite eigentlich am liebsten mit Unternehmen zusammen, die vielleicht schon wissen oder ahnen, dass sie ein Return on Invest rausholen können, auch von Bestandskunden. Also alle, die IT-Infrastruktur anbieten, Software an AI-Themen zum Beispiel auch arbeiten, auch Websites machen, Content Creator und so, die einfach wissen, ich kann da auch schnell das Geld wieder reinholen. Deep Tech, solche Sachen. Ich habe manchmal auch welche, die anfragen und sagen, ja, wir wissen nicht so oder wir wissen, wir können da jetzt kein Zusatzangebot so schnell machen, weil wir jetzt vielleicht IT-Infrastruktur noch nicht in-house haben. Die können sich auch gerne melden, da können wir gerne sprechen. Da schaue ich dann, ob das passt, ob ich da wirklich ein Mehrwert liefern kann. Und ab März, da arbeite ich gerade dran, wird es auch wieder neue Online-Kurse geben, weil ich mache jedes Jahr immer eine Generation neue Online-Kurse und habe letztes Jahr eben viel darüber gelernt, dass es auch da nochmal mehr Erklärungen, Guidance und so weiter braucht. Also es wird für Geschäftsführer einen Kurs geben, für Mitarbeiter einen Kurs geben und für die eben Projektmanager in den Unternehmen, was ein CISO sein kann oder ein Informationssicherheitsbeauftragter oder einfach jemand, der das Thema zugespielt bekommt, sodass da auch eine Community entsteht und so ein bisschen Guidance. Und ja, aus dem Newsletter wird dann demnächst ein AI-Tool, wo man auch nochmal ein bisschen Hintergrund-Support bekommt und eben das Wissen, was man braucht zum Patchen und auch die Entscheidungsvorlagen, wo man dann nicht mehr selbst sitzen muss und Präsentationen für Business-Meetings vorbereiten muss. Ich hoffe, dass das vor Oktober noch zumindest in die Beta-Phase geht, wenn es zwei helfen kann. Aber das werden ja die Newsletter-Abonnenten dann auch als erstes erfahren und testen. Ja, super. Wir werden alle diese Links, die wir heute und auch den, den wir vorhin erwähnt haben von der Wirtschaftskammer und du kennst mit Sicherheit auch einen passenden für eher Deutschland und vielleicht auch für die Schweiz, sodass wir denen dann, die dann eben auch nochmal in die Show Notes reinschreiben können, sodass man da eben einfach auch sich dann informieren kann. Das kommt tatsächlich, also die WKO hier in Österreich hat eine sehr gute Seite dazu gemacht und es kommt tatsächlich nur raus, ob man direkt betroffen ist oder in der Lieferkette betroffen. Also genau das, was wir besprochen haben. Aber auch da haben die dann nochmal ein paar Zusatzinfos bereit. Ja, super. Ich hoffe, es gibt ja auch die nationalen Cyber Security Center jetzt in den EU-Staaten und auch das EU-weite, die an Förderung arbeiten. Also das heißt auch da, ich werde es auch im Newsletter teilen, sobald ich da Info kriege, ich bin mit denen vernetzt. Es wird in Zukunft durchaus auch immer wieder Förderung geben, auch für die kleineren Unternehmen, so wie ich es verstanden habe, damit sie eben nicht mit den Kosten ganz alleine bleiben. Ja, super. Es lohnt sich also in jedem Fall, dein Newsletter zu abonnieren, damit man da dann eben auch entsprechend informiert wird. Ich werde alles teilen. Caroline, ich danke dir. Ich freue mich, dass das endlich stattgefunden hat, noch zu Anfang des Jahres. Wir wollten es ja eigentlich erst ganz am Anfang des Jahres machen. Jetzt haben wir es hier Anfang Februar gemacht. Danke, dass du bei mir warst, dass du dir die Zeit genommen hast dafür. Ich hoffe, dass alle gut aufgestellt sind und sich in den nächsten Wochen und Monaten auf den Weg machen, um letztendlich unser Gemeinsames und unser aller, Sicherheitslevel gegen Cyber-Attacken deutlich zu erhöhen. Viel Erfolg dabei. Also, bis dann. Ciao. Danke dir. Ciao, ciao.