„ANGRIFFSLUSTIG – IT-Sicherheit für DEIN Unternehmen“
00:00:00: Angriffslustig!
00:00:01: IT-Sicherheit für dein Unternehmen.
00:00:04: Der Security Podcast der Go Security.
00:00:07: Mein
00:00:07: Name ist Sandro Müller und mit mir am Mikrofon Andreas Wiesler.
00:00:11: Mit ihrer Firma Go Security sind sie die Firewall Fizikunternehmen.
00:00:15: Wir haben ja schon eine Lösung, wieso soll ich jetzt noch was dazu machen?
00:00:19: Sensibilisierung zum Beispiel.
00:00:21: Sandro und Andreas sind die IT Sicherheitsexperten in der Schweiz
00:00:26: seit
00:00:26: über zwanzig Jahren schon
00:00:28: Komm.
00:00:28: wir versuchen noch ein wenig auf zeigen,
00:00:30: wie geht es
00:00:30: dann besser?
00:00:31: Bist
00:00:31: du bereit für ein neues
00:00:33: Update?
00:00:34: Herzlich willkommen zu einer neuen Folge Angriffslustig.
00:00:39: Sandra und ich wollen heute ein spannendes Thema mit euch anschauen und zwar hat der Podcast ja den Titel Cyber Security ist mir doch egal!
00:00:49: Und das erleben wir halt immer wieder... Ich weiß nicht Sandra, wie erlebst Du das wenn man mit Kunden
00:00:56: spricht?!
00:00:58: Ja, vielleicht vorneweg noch.
00:01:00: Es ist natürlich schon nicht überall so.
00:01:02: nur damit wir das auch gesagt haben es gibt auch viele Firmen die sich toll um das Thema kümmern So aber es gibt leider in der Schweiz und um dies als heute eher gehen eben auch noch viele kamus Die sich nicht wirklich darum kümmern.
00:01:16: ja und das erlebe ich immer wieder im alltag dass Das eine der häufigsten aussagen dich immer noch höre von kamas ist security ja Aber ich habe ja ne it oder einen IT-Dienstleistungspartner, der macht das.
00:01:30: Ich habe einen Vertrag mit ihm – der macht es!
00:01:33: Ich denke, dass ist eine wichtige Ergänzung die wir noch machen müssen.
00:01:36: Diese Aussage kommt nicht von der IT selber sondern meistens von der Geschäftsleitung oder vom Verwaltungsrat?
00:01:42: Ja klar, danke Andreas, ja das stimmt.
00:01:44: Das war jetzt vielleicht gar nicht so klar...
00:01:46: Ja und genau das hören wir wirklich immer wieder.
00:01:49: ich hab ja eine IT, die machen alles aber die Aufsicht wo bleibt dann die?
00:01:55: Nicht umsonst hat ja die ISO-Sieberundzwanzigtausend ein ganzes Kapitel, das beginnt mit «die oberste Leitung muss» und dann hat es Punkte A bis H was sie alles machen muss.
00:02:07: Auch da ist es bereits adressiert.
00:02:10: Korrigier mich Andreas aber meines Wissens ist es ja so mal angenommen du hast einen ISO-siebenundzwantzigtausendeins Audit.
00:02:17: Der Auditor ist bei dir und fragt ja sag mal wie macht ihr denn das?
00:02:21: Und du antwortest Ja So und so.
00:02:24: Aber das ist nicht gut, ihr müsstet das so und so machen und sagt ja ich würde gerne aber ich kriege das Geld nicht.
00:02:30: Ich glaube das sagst du höchstens zweimal in einem Audit und dann ist fertig.
00:02:34: Dann steht er auf ihm muss gehen.
00:02:36: Keine Wahl!
00:02:39: Ja mindestens eine Nichtkomformität wird sein gehen weil es gibt ja auch das Kapitel Ressourcen und der ressourcen meint hier finanzielle Mittel aber auch zeitliche Mittel.
00:02:48: Das gehört unbedingt mit dazu.
00:02:51: Okay, also das eine ist mal das Grundverständnis.
00:02:54: Hey ich habe hier eine IT die macht auch Security und ist insofern aus meiner Sicht natürlich nicht ganz falsch weil die IT in einem KMU muss schon Security machen.
00:03:04: aber du hast es vor schön gesagt es geht ja um die Kontrolle.
00:03:07: wer kontrolliert
00:03:08: denn das überhaupt?
00:03:10: Eine weitere Aussage das sind so auch so das technische Missverständnis so.
00:03:14: Ja ne ich hab hier eine Firewall und die war ganz teuer und Backup machen wir auch, dann haben wir noch eine Versicherung.
00:03:25: Den finde ich eh am besten mit der Versicherung.
00:03:28: Ja klar!
00:03:29: Ich habe ja auch für den Fall Brande eine Versicherung aber auch die wird einmal auf die Finger schauen.
00:03:35: was ist passiert?
00:03:36: wie kam es überhaupt zu diesem Brand?
00:03:38: Mir hat er spannenderweise Gerade diese Woche ein neuer Kunde gesagt, sie haben noch wirklich viele Baustellen.
00:03:47: Sie seien ihm vielen ... hat das selber gesagt nicht ganz so gut und sie haben eine Versicherung.
00:03:53: Er hat selbst gesagt ja weißt du eigentlich würde ich dir am liebsten einfach künden und das Geld anders einsetzen weil im Moment wenn was passieren würde.
00:04:03: Würden die hinschauen, wie wir aufgestellt sind?
00:04:06: Die würden nicht bezahlen, die würden noch Geld fordern, weil wir so schlecht sind.
00:04:11: War sicherlich etwas überspitzt aber ja.
00:04:14: Ja richtig eine Versicherung, die bezahlt auch nicht einfach so locker den großen Schaden als die wird dann schon hinschauern.
00:04:22: sind die Sorgfaltspflichten erfüllt worden?
00:04:25: und das ist sicherlich auch ein ganz wichtiger Punkt, wo ist die Sogfaltspflicht?
00:04:30: und das sogar gesetzlich geregelt?
00:04:32: Ja da kommen wir sogar gleich darauf.
00:04:34: Ich habe noch einen Punkt den ich gerne auch noch ansprechen möchte weil ich den erlebe.
00:04:40: wirklich einige werden das gar nicht glauben aber dann erlebe ich tatsächlich so nach dem Motto man kann ja eh nichts dagegen tun.
00:04:47: irgendwann trifft sowieso jeden Und das kommt nicht einfach von der Kaffeeecke oder so, sondern das kommt von der obersten Führungsebene solche Aussagen.
00:05:01: Ja und da nehme ich auch meine Kolleginnen und Kollegen ein bisschen auf die Seite und sage jeweils diese dumme Aussage ist die Frage ob, sondern wann.
00:05:14: Die stimmt einfach nicht!
00:05:15: Das impliziert ja... Ich kann mich eh nicht schützen.
00:05:19: Und das ist schlicht falsch.
00:05:21: Ich glaube, diese Aussage habe ich schon mehrmals gemacht in diesem Poghast.
00:05:25: Nein!
00:05:25: Weil was machst du dann?
00:05:26: Wenn du weißt, ich kann ja eh nichts machen, dann mache ich nur noch das Minimo.
00:05:31: Endlich sind wir uns mal nicht einig Andreas.
00:05:33: Ich bin der Meinung dieser Aussage stimmt aber es ist stimmt nur dann wenn du nichts
00:05:37: tust.
00:05:38: Ja
00:05:39: also wenn du keine Maßnahmen triffst, ja dann trifft es dich irgendwann.
00:05:44: und man kann auch sagen auch wenn du Maßnahmen triffs kann es natürlich irgendwann sein, es gibt nicht Risikonull.
00:05:51: Aber ich sehe es genau gleich, obwohl jetzt vorhin anders eingestiegen bin.
00:05:55: aber ich seh's genau gleich wie du.
00:05:56: das Hauptproblem an der Aussage ist... Es entmutigt
00:06:02: dich
00:06:02: irgendwas zu tun und das ist schade weil du kannst was tun!
00:06:05: Du kannst das Risiko senken, du kannst es deutlich senken dass Cyberangriffe einfach einerseits mal viel weniger wahrscheinlich sind und andererseits wenn doch was passiert, dass die Auswirkungen wesentlich geringer sind.
00:06:19: Ich bin ganz bei dir!
00:06:21: Und wenn da mal etwas passiert ist das eine gute Ausreiter?
00:06:24: Weil der Experte auf der Bühne hat ja gesagt, es ist nicht die Frage ob sondern wann und jetzt hat's mich getroffen...
00:06:29: Genau, und jetzt hab ich auch getroffen und die waren so gemein, sie haben sogar meinen Backup verschlüsseln, da kommen wir noch drauf Genau, also diese Ausreden sind gefährlich.
00:06:39: und für alle die sagen ja ihr müsst dir das sagen.
00:06:41: Das ist ja euer Business.
00:06:43: Hey nee darum geht es jetzt in diesem Podcast überhaupt nicht weil jede Aktiengesellschaft in der Schweiz
00:06:50: braucht
00:06:51: einen Verwaltungsrat.
00:06:52: Ist zumindest mein Wissenstand vielleicht eine komische Ausnahme aber normalerweise Aktien-Gesellschaft gleich Verwaltung rat als neben der Generalversammlung, aber die oberste Ebene, die direkt irgendwas führt.
00:07:05: Strategisch?
00:07:05: Aber sie führt!
00:07:06: Und da gibt es den ganz, ganz bekannten und in jeder Verwaltungsrat Ausbildung X-Fach zitierten OR Artikel sevenhundertsechzehn A. Das sind die unübertragbaren Aufgaben für den Verwaltungrat.
00:07:22: Das darfst du gesetzlich nicht delegieren
00:07:27: Genau.
00:07:27: Also wirklich, dass der Hauptmerkmal ist unübertragbar.
00:07:31: Das heißt auch nicht telegierbar?
00:07:33: Nein!
00:07:34: Es bleibt bei dir und das sind ehrlich gesagt ... Boah wie lange ist dann das Gesetz dieser Artikel?
00:07:42: Da sind eben nicht viel drin.
00:07:44: es ist natürlich nicht spezifisch dann ganz genau ausgelegt aber steht eben zum Beispiel die Oberleitung der Gesellschaft.
00:07:53: Das ist ja noch nicht übertragbar.
00:07:55: Ist auch simpel!
00:07:56: Die Erteilung der nötigen Weisungen, aber beispielsweise die Festlegung der Organisation.
00:08:05: Da haben wir wieder Verantwortlichkeiten, Rechte und Pflichten.
00:08:09: D.h.,
00:08:10: der Verwaltungsrat verpflichtet seine Gesellschaft angemessen zu organisieren?
00:08:15: Und jetzt kommt es eben die Risiken zu überwachen – das gehört irgendwo auch dazu.
00:08:22: und zu den Risiken gehört dann die Cyber-Sicherheit.
00:08:25: Ihr findet meines Wissens, ihr dürft mich gerne korrigieren im Gesetz nicht direkt das der Verwaltungsrat für das Risikomanagement verantwortlich ist.
00:08:35: in diesem wording?
00:08:36: Nein!
00:08:37: Ich finde es aber beispielsweise Swiss Code of Best Practice von Economy Swiss.
00:08:43: Das ist kein Gesetz, aber steht dort relativ klar und ich habe so verstanden dass das auch die allgemeine Lehrmeinung ist.
00:08:50: der Verwaltungsrat ist verantwortlich unter anderem für Risikomanagement, für Compliance, für interne Kontrolle.
00:08:59: Wunderbar zusammengefasst ja!
00:09:02: Eigentlich dich ist der Podcast jetzt zu Ende oder?
00:09:07: Nein, wir gehen schon noch ein wenig darauf ein.
00:09:08: Aber hier steht es ganz klar Risikomanagement, Compliance und interne Kontrolle.
00:09:15: Und auch wenn im Gesetz das nicht so genau steht was wirklich im Gesetz steht ist das Thema der Haftung?
00:09:24: Ja, genau!
00:09:24: Mit der Haiftung ist natürlich das Risiko-Management sehr nahe verknüpft.
00:09:29: hat man sich im Vorfeld entsprechend Gedanken gemacht was für Risiken eintreten können?
00:09:36: Und Andreas, du weißt es.
00:09:37: Wir sind ja unglücklicherweise im Verwaltungsrat unserer Firma.
00:09:42: Warum?
00:09:42: Unglücklicherweise nicht!
00:09:43: Das war ein kleiner Scherz aber Fakt ist dadurch haften wir mit dem Privatvermögen.
00:09:50: Das geht manchmal wirklich vergessen.
00:09:52: man hat immer das Gefühl Ja dann wird halt die Firma Konkurs angemeldet und die Sache ist erledigt und tschüss.
00:09:59: Nein so einfach ist
00:10:00: es doch nicht.
00:10:01: Einfach ist es nicht.
00:10:02: Es passiert zwar nicht immer etwas.
00:10:04: Grundsätzlich haftet der Verwaltungsrat übrigens auch Stiftungsräte und die staune immer wieder wie beliebt solche Mandate überhaupt sind, weil wenn du wirklich weißt wie die Haftung ist schwierig.
00:10:15: Klar es muss dir schon auch vorgeworfen werden können dass du ein Fehler gemacht
00:10:20: hast.
00:10:21: also wenn du nachweisen kannst was da passiert ist war komplett außerhalb deine Kontrolle als Verwaltung rat allsogan dann wirst du auch nicht irgendwie belangt oder vielleicht der Versuch, aber das wird nicht funktionieren.
00:10:35: Aber damit verbunden ist in der Regel jemand zeigt dich dann an wegen einer Pflichtverletzung und da musst Du wie beweisen Nein nein ich habe nach bestem Wissen gewissen gehandelt weil ich die Informationen gar nicht gehabt habe.
00:10:48: Und das ist ja dann das mühsame Dass Du in der Pflicht bist Deine Unschuld zu bewiesen.
00:10:54: Ja, genau.
00:10:55: Und meines Wissens steht das eben auch wieder im Gesetz genau das was du gesagt hast die Pflichtverletzung.
00:11:01: und ich muss auch hier sagen Ich bin ja kein Jurist und ich lasse mich gerne belieren.
00:11:08: Aus meiner Sicht ist aber wenn ich Verwaltungsrat einer Aktiengesellschaft bin um mich nicht um das Thema Risikomanagement kümmere Ist es eine Pflicht Verletzung Wenn ich ne Firma habe Die Einigermaßen abhängig ist von IT von Informationstechnologie und behandle keine Risiken in meinem Risikomanagement zu irgendwelchen Cyber-Themen oder IT-Sicherheitsthemen.
00:11:35: Also aus meiner Sicht ist das schon auch eine Pflichtverletzung, wie gesagt ich lasse mich gerne belehren meldet euch bei uns wenn ihr sagt das stimmt nicht.
00:11:44: aber aus meine Sicht ist es so.
00:11:45: wie siehst du das?
00:11:46: Ja die Grenze hier ist fließend.
00:11:48: was gehört dazu und was nicht?
00:11:52: Und gerade die IT, ohne IT geht heute praktisch nichts mehr.
00:11:56: In den meisten Firmen nicht?
00:11:57: Ja,
00:11:58: dass du irgendeine Software etc.
00:12:00: hast.
00:12:01: Es gab ja eine Firma in der Schweiz, die genau ransomware erwischt hatte und zwar noch produziert aber nicht mehr wusste wohin liefern wir das Ganze, konnte keine Rechnungen mehr stellen und das Unternehmen gibt es heute nicht mehr.
00:12:17: Das war auch ein ganz langer Prozess.
00:12:19: Heute haben sie wieder neue Firma gegründet.
00:12:22: Entsprechend, sie agieren wieder.
00:12:24: Aber das war dazu mal ein Riesenschock!
00:12:27: Bei uns ist der Blick bei euch in Deutschland die Bild was eine Front seite Schweizer Unternehmen gehackt.
00:12:35: Hundertseptzig Mitarbeiter entlassen.
00:12:37: ja
00:12:38: und es ist ja.
00:12:39: wenn ihr sucht nach welche Firmen pleite gingen nach cyber tacken werdet ihr gar nicht so viele finden.
00:12:45: Es ist tatsächlich meistens dann nur noch der Todesstoß.
00:12:48: fairerweise, es ist vielleicht vorhin schon nicht so gut und da kommt das einfach noch dazu.
00:12:53: Das war in diesem Fall auch so?
00:12:54: Es
00:12:55: kann aber auch umgekehrt halt sein du hast zuerst die Cyberattacke und dann kommen ein paar Dinge dazu.
00:12:59: Es gibt eben Firmen die nur wegen einer Cyberattache Konkurs gehen.
00:13:06: glaube ich gibt es nicht so viele soweit ich das einschätzen kann.
00:13:09: Aber wo das im Zusammenhang steht Ja, da gibt es einen großen Graubereich, den man eben nicht so benennt und nicht so kennt.
00:13:17: Gehen wir doch... Du hast das schon ein bisschen angesprochen.
00:13:20: auf einem Beispiel bei uns in der Nähe ein Unternehmen, dass Ransomware erwischt hat?
00:13:25: Ein KMU!
00:13:27: Und ganz lustig stand in der Zeitung dann noch ja eigentlich haben wir uns auch alles vorbereitet aber jetzt haben sie uns auch das Backup noch gelöscht.
00:13:39: Entschuldige, dass ich lache.
00:13:40: Aber ich krieg das heute noch nicht auf.
00:13:43: die Reise war im gleichen Satz Wir sind sehr gut aufgestellt was IT-Sicherheit betrifft.
00:13:48: wir haben sogar ein Backup aber sie haben es halt auch verschlüsselt.
00:13:54: Ja, die Hacker sind ja auch dumm.
00:13:57: Das letzte brauchbare Backup zumindest gemäß Medienberichtern War schon über drei Monate alt und deshalb eigentlich unbrauchbar für die Firma.
00:14:08: Und da muss ich schon sagen, hey wenn
00:14:10: es
00:14:10: möglich ist dass dein Backup verschlüsselt wird.
00:14:15: Hast du dann die Cyberrisik im Griff?
00:14:18: Das ist jetzt eine steile Frage die du dargestellt hast.
00:14:22: Wir müssen sie auch nicht abschließend beantworten können wir vielleicht auch nicht ob das jetzt schon ein Haftungsfall ist oder nicht das will ich nicht behaupten weiß ich nicht.
00:14:31: aber es ist zumindest mal ne frage die aufzuwerfen ist zumindest wenns Auswirkungen hat und auf diese firma hat des große Auswirkungen.
00:14:40: Ist eine Firma, die vom Saison-Geschäft abhängig ist?
00:14:47: Und wann ist das passiert?
00:14:49: natürlich zum Start des Saisons?
00:14:51: Es passiert immer zum dümmsten Zeitpunkt und ja eben wenn du im Verwaltungsrat offensichtlich ungenügendes Cyberrisiken hast haftest du dann irgendwann auch
00:15:03: Jetzt.
00:15:03: hier war ja noch speziell, es ist ein Familienunternehmen wie du erwähnt hast und da ist ja nicht einmal das direkt die Haftungsfrage durchgekommen.
00:15:12: Aber was ist mit Banken, die zum Beispiel einen Kredit gegeben haben?
00:15:16: Da können wir auch im neuen Umfeld von uns auch Personen, die dann im Nachhinein von einem Bank belangt werden.
00:15:22: Du hast da Fehler gemacht!
00:15:24: Sogar von Versicherungen von Banken und deren Rückversichern.
00:15:28: Also
00:15:29: das kann dann richtig übel werden, weil da geht es nur noch um juristischen Streit und nichts anderes mehr.
00:15:36: Und das ist schon gefährlich oder?
00:15:38: Klar jetzt eben Familienbetrieb kann man doch sagen ja, kann man sich untereinander sagen war jetzt blöd was wir gemacht haben aber wir machen sie zukunft besser.
00:15:46: Nur schon wenn das irgendwie zweite dritte Generation ist kann das problematischer werden Weil da gibt's noch andere Interessen vielleicht nicht alle direkt in der Firma Trendy beteiligt sind und eben anderes Stakeholder.
00:16:00: Also unterschätzt das nicht, dass wir zwar in vielen Fällen glimpflich ausgehen aber das Risiko ist einfach da.
00:16:09: Ja darum ist schon unser Appell ein Vertrag mit dem IT Partner.
00:16:13: Das reicht nicht aus?
00:16:15: Nein!
00:16:16: Wir wollen gar nicht die IT Partner schlecht reden.
00:16:18: Die machen einen super Job.
00:16:20: Aber man kann es nicht einfach den externen... ich sage jetzt in die Pflicht nehmen du bist verantwortlich für das
00:16:27: Nein.
00:16:28: Und wir sehen es ja selbst, alle unsere Mitarbeiter sind hochspezialisiert nur für den Bereich Security.
00:16:36: ein IT-Dienstleister hat üblicherweise gar nicht so hochspecialisierte Mitarbeitende und das ist wirklich Aufgabe von dir selbst dass auch die Arbeit des IT Dienstleisters zu kontrollieren.
00:16:49: Die Buchhaltung kontrollierst du ja auch?
00:16:51: Ja bis sogar gesetzlich verpflichtet als Aktiengesellschaft.
00:16:55: Genau, zumindest die, wie heißt das?
00:16:57: einfache Revision oder so.
00:16:59: Musst du ja machen und herumständen sogar eine ordentliche Revision?
00:17:04: Und da kommst du nicht drumherum!
00:17:06: Das macht ein externe Unabhängige.
00:17:09: Wenn du einen Treuhänder hast – das darf nicht dein Treuhender machen.
00:17:12: Das muss ein Dritter machen.
00:17:14: Unbedingt, ja.
00:17:14: Das ist
00:17:15: gesetzlich so.
00:17:16: Und das Gleiche gilt natürlich wenn ihr ein Produktionsbetrieb seid.
00:17:20: Ich werde kein Produkt draus geben, dass ihr mich noch kontrolliert habt...
00:17:23: Qualitätsmanagement.
00:17:25: Üblicherweise hast du, je nach Größe natürlich wieder, hast du eine eigene Abteilung sogar nur für Qualitäzmanagement.
00:17:31: Es wäre verheerend wenn die Leute, die die Qualitätzkontrollen machen Wenn sie in der Linie der Produktion angehängt werden Das wär verheerenst.
00:17:39: machst du nicht macht keiner kommt keine auf die Idee.
00:17:43: Nur bei der IT da kontrollier keiner
00:17:46: Gerade heute Morgen ein Gespräch gehabt und da ein bisschen erklärt was so diese enormen Beinhalten.
00:17:52: Und dann hat dieser Interessent Selber gesagt, oi am besten weißt du welchen einen Qualitätsmanager einstelle.
00:17:59: Ja genau weil das doch relativ viel zu tun gibt.
00:18:03: ja
00:18:04: und genau hier kommen halt wirklich Experten wie beispielsweise von uns kann natürlich auch von anderen Firmen, die sind nie so gut wie unsere.
00:18:13: Aber ja das muss
00:18:15: sie jetzt beim Vorbereiten gesagt haben, dass wir da nicht Eigenwerbung machen.
00:18:19: Ja habe
00:18:19: ich gesagt, ich kann nicht anders.
00:18:20: Wir sind einfach zu gut.
00:18:22: Nee aber da kommen unabhängige Experten ins Spiel und die können eben diese Kontrolle wahrnehmen und Transparenz bringen und so kannst du deine Verantwortung als Verwaltungsraten als Geschäftsleitung viel einfacher und transparenter und nachweislicher wahrnehmen.
00:18:42: Ist zumindest meine Meinung.
00:18:44: Sandra, ich freue mich schon wieder auf die Rückmeldung.
00:18:46: wir machen zuviel Werbung aber ist alles gut.
00:18:49: Go Security nur zweimal erwähnt.
00:18:51: Ja theoretisch könnte ja auch jemand anderes nehmen.
00:18:53: Definitiv.
00:18:54: Wenn ihr einfach nicht... Ich sage jetzt nichts mehr!
00:18:58: Also
00:18:59: eine wichtige Frage schon noch.
00:19:00: Ist das auch intern möglich?
00:19:03: Kann ich die Kontrolle intern machen?
00:19:04: Ja, ich bin schon der Meinung das das möglich ist.
00:19:07: Aber es gelten Bedingungen dafür.
00:19:10: Welche?
00:19:11: Eines ist natürlich das Fachwissen, dass das notwendig ist.
00:19:15: Nehmen wir wieder diese aus dem Jahr zwanzigtausendneinz mein Steckenpferd und da steht auch im Kapitel in der Kontrolle, dass entsprechende Fachwisse da sein muss!
00:19:27: Meistens in so Büchern findet ihr dann, dass eine entsprechende Ausbildung im Bereich Audit vorhanden sein muss.
00:19:32: Wie führe ich ein Audit?
00:19:33: Wie plane ich das?
00:19:35: Wie gehe ich mit Rückmeldungen um?
00:19:38: Prüf' ich das noch!
00:19:39: Nämlich einfach zu Kenntnis... Da gibt es ja mehrere Isonormen die sich nur um Audit kümmern wie man das sauber macht.
00:19:47: Ich bin eigentlich derselben Meinung.
00:19:49: Ich sage auch Fachwissen ist sehr, sehr wichtig.
00:19:52: wenn ich das habe kann ich es in den Machen.
00:19:54: für mich gibt's noch einen zweitigen wichtigen Punkt.
00:19:56: das ist glaube ich in der iso sogar auch gegeben dass die Unabhängigkeit soweit das irgendwie vernünftig möglich ist aber wenn das ein IT Mitarbeiter selbst ist der dann die Security Kontrollen macht Das ist nicht komplett falsch kannst du schon machen Aber dann brauchst du zwingend wirklich auch noch externe kontrollen ansonsten wird das schwierig.
00:20:17: Ja, eine Aussage die wir ab und zu hören ist ja mein IT Partner prüft ihr das schon.
00:20:23: Und dann haben wir halt diese Unabhängigkeit nicht.
00:20:27: Wenn ich mich selber kontrolliere sage ich schon das gut und wenn ich einen Fehler sehe korrigier' ich den einfach mal schnell was schonmal gut ist aber es ist nicht unabhängig.
00:20:36: Nein!
00:20:37: Ich sag immer kannst du schon machen?
00:20:38: Aber nur ergänzend.
00:20:42: Ja, Cyberrisiken sind einfach nicht komplett vermeidbar Aber sie sind...
00:20:48: Steuerbar.
00:20:49: Ja, ich kann die beeinflussen und das ist eben genau diese Aufgabe vom VR.
00:20:54: Er muss die Risikanalyse nicht selber durchführen da ist er ja auch meistens zu weit weg.
00:21:00: aber dass es sich mit den Resultaten auseinandersetzt, die Bewertung mal anschaut und schaut würde ich jetzt zum gleichen Resultat kommen.
00:21:08: Das ist eine ganz wichtige Aufgabe.
00:21:12: Schreibst dir auf die Festplatte.
00:21:16: Der Verwaltungsrat hat eine hohe Haftung in der Schweiz.
00:21:19: Das Steuern von Risiken gehört in die oberste Führungsebene.
00:21:23: Wer Cyberrisiken nicht systematisch behandelt, verletzt seine Pflichten.
00:21:27: Interne Kontrollen sind möglich.
00:21:29: Unabhängige Kontrollens sind Pflicht!
00:21:32: Ja und um Schluss bleibt immer ein Restrisiko.
00:21:35: Viele Kamos in der schweiz sind aber davon noch weit entfernt.
00:21:40: Ja, das war schon wieder mit Angriffslustig.
00:21:42: Herzlichen Dank warst du auch dieses Mal wieder dabei!
00:21:45: Wir freuen uns auf Kommentare auf eure Likes und auf das Weiterteilen bis zum nächsten mal.
00:21:52: Tschüss!
00:21:57: Der Security-Podcast der Go Security.
00:22:00: Man liest zwar immer wieder von Schwachstellen, ist selber aber nie davon betroffen gewesen... Wie
00:22:06: schütze ich mich vor Cyberkriminellen?
00:22:08: Welche Passwörter sind sicher und was kann passieren wenn ich gehackt werde?
00:22:12: Mehr Antworten gibt's in den nächsten Folgen mit Andreas Wiesler und Sandro Müller.
00:22:17: Abonniere jetzt den Podcast!
00:22:19: Weitere Updates & Tipps auf gosecurity.ch.