digital.einfach.machen.
Transkript
00:00:00: Digital einfach machen. Der Podcast der digitalen Sparkasse der Zukunft.
00:00:08: Durch Datengiebstahl, Spionage, Sabotage entstehen der deutschen Wirtschaft rund 200 Milliarden Euro
00:00:18: Schaden pro Jahr. Die Gefährdungslage ist so hoch wie nie. Hallo und herzlich willkommen
00:00:23: zu unserem heutigen Podcast über Digitalisierung und Cybersicherheit. Ich bin Oliver Lauer und
00:00:28: freue mich heute ein spannendes Gespräch zu moderieren. An meiner Seite habe ich Dr.
00:00:33: Joachim Schmalzel, Geschäftsführer der SDSGV, der heute sowohl als Mitmoderator als auch als
00:00:39: Gesprächspartner dabei ist. Unser besonderer Gast und da freue ich mich besonders drüber ist
00:00:43: Claudia Platner, die Präsidentin des Bundesamts zur Sicherheit in der Informationstechnik.
00:00:47: Claudia, magst du unseren Zuhörer ein bisschen über dich erzählen und wie du zur Leitung des
00:00:52: BSI gekommen bist? Ja, hallo. Also erst mal Dankeschön für die Einladung. Ich freue mich riesig
00:00:57: hier zu sein. Claudia Platner ist mein Name und ja, du hast grad schon gesagt, sperrige Name,
00:01:01: aber Bundesamt für Sicherheit in der Informationstechnik, etwas leichter BSI. Das ist sozusagen mein
00:01:07: aktueller Job. Bin dort eingestellt als Präsidentin und versuche zusammen mit den Kolleginnen und
00:01:12: Kollegen, mit dem tollen Team dort das Thema Cyber-Sicherheit in Deutschland, prominent nach
00:01:16: vorne zu bringen. Und wenn es darum geht, wie ich zu diesem Job gekommen bin, ich will nicht sagen,
00:01:20: wie die Jungfrau zum Kinder, da kann man ja auch eine Meinung zu haben, sondern tatsächlich,
00:01:23: ich hatte das nicht auf dem Schirm. Ich mache seit 20 Jahren IT. Eigentlich komme ich aus der
00:01:28: CIO-Ecke, also Menschen, die IT bauen. Da gehört immer auch Cyber-Sicherheit dazu. Klar, das ist
00:01:33: wichtig. Dann kam da irgendwann ein Anruf. Als ich dann so drüber nachgedacht habe, habe ich mir
00:01:37: schon aufgefallen, ja, das passt schon auch zum Lebenslauf, öffentlicher Sektor. Ich war vorher
00:01:41: bei der Europäischen Zentralbank, habe dort die IT gemacht. Das passt schon alles ganz gut, aber
00:01:45: ich bin kein ausgewiesener Sicherheitsexpert. Ich weiß aber, was es braucht, um es in Organisationen
00:01:50: dann auch umzusetzen. Und dann kam irgendwann ein Anruf aus dem Innenministerium. Ich hatte das
00:01:55: nicht auf dem Schirm, gebe ich ganz offen zu. Ich habe einen Moment drüber nachgedacht, aber
00:01:58: bisher habe ich es noch keine Sekunde bereut. Es ist ein super spannender Job, sich hier um die
00:02:01: Cyber-Sicherheit in Deutschland kümmern zu dürfen. Ja, und wir freuen uns auch und vor allem, dass
00:02:06: du heute hier in Berlin dabei bist, bei wunderbarem Wetter. Joachim, ich weiß, du bist ein IT-Fan und
00:02:12: IT-Kennner und das kann ich nun mal mit fast zwei Jahrzehnten Beziehungen zu dir bestätigen. Schläge
00:02:17: dein Herz denn auch für Cyber und Security? Ja, gut. Sparkassenleben besteht ja aus Menschen und
00:02:24: Technik und da muss natürlich sowohl Verfügbarkeit, Ausfallsicherheit, Stabilität, aber auch Sicherheit
00:02:29: immer gewährleistet sein. Deshalb hat es schon immer einen sehr großen Stellenwert gehabt. Ich war
00:02:34: ja auch mal Orgelite einer Sparkasse und da muss man sich ja um alles kümmern, auch um solche Themen.
00:02:39: Und was uns halt immer wichtig ist, ist dieser Mehrfachklang zwischen Kunde, Mitarbeiter und
00:02:44: Technik und Prozesse, dass das alles zueinander passt und man muss natürlich auch die Technik stabil
00:02:51: und sicher sein. Also klar, Cyber, früher hieß es IT-Sicherheit, jetzt heißt es halt ein bisschen
00:02:56: moderner, aber es sind schon immer Themen, die einen sehr beschäftigen und wo man auch immer wissen
00:03:01: muss, dass man, wenn man nicht investiert, spart man Geld. Und wenn es aber dann passiert, fragen
00:03:06: alle, warum man Geld gespart hat und dafür die Motivation zu haben und immer die Erwährende zu
00:03:12: haben, da immer ausreichend zu investieren auf Eventualitäten, damit eben gar nichts passiert,
00:03:16: ist ein dauerndes Spannungsfeld, mit dem wir tagtäglich umgehen müssten.
00:03:20: Das klingt sehr umfassend, Claudia, lass uns doch über die aktuelle Bedrohungslage sprechen. Was
00:03:27: sind die größten Cyber-Bedrohungen, denen wir heute gegenüberstehen? Welche sind dabei sehr
00:03:32: konkret denn für uns Sparkassen? Wie siehst du das? Also ich bin natürlich jetzt nicht der Experte
00:03:36: für Sparkassen schlechthin, sondern eben halt für IT und für Cyber-Sicherheit, aber natürlich
00:03:41: kennen wir auch eure Spannungssituation da so ein Stück weit. Also zunächst mal gibt es grundsätzlich,
00:03:46: das haben alle Organisationen im Moment, wir haben alles rund um das Thema Ransomeer-Angriffe. Wenn
00:03:51: Angreifer versuchen, in Systeme einzudringen, wenn sie da erfolgreich sind, gerne Daten absaugen
00:03:56: und/oder dann im Prinzip die Systeme verschlüsseln und damit effektiv die Produktion lahm zu legen,
00:04:03: dann geht da gar nichts mehr. Ich meine, bei einer Bank könnt ihr euch gut vorstellen, das ist logisch,
00:04:06: wenn da die IT nicht funktioniert, dann steht auch die Bank still. Das ist mal so der eine Punkt,
00:04:10: das ist mal die Organisation an sich. Du hattest gerade auch schon Joachim von Technikprozessen
00:04:15: Mitarbeiterin gesprochen, das ist genau dieses Felter an der Stelle. Das zweite Feld ist natürlich
00:04:20: das eure Kunden. Eure Kunden stehen natürlich auch ganz klein im Fokus und nichts gefällt
00:04:25: einem Angreifer besser als im Prinzip einen Kunden dazu zu bringen, vielleicht mit einer Fishing-Seite
00:04:30: oder ähnlichem, also einer gefälschten Website oder einer gefälschten App, denen dazu zu kriegen,
00:04:33: seine Login-Daten preiszugeben und/oder vielleicht auch Geld zu überweisen an eine Stelle, wo er
00:04:39: das gar nicht hinüberweisen wollte, also quasi wirklich per Trickbetrug oder ähnlichem. Und das
00:04:43: ist natürlich eine Sache, die auch eure Kunden ganz arg umtreibt und damit vermutlich auch euch,
00:04:47: oder? Ich gebe mal gerade einen Dichter an der Stelle, glaube ich. Ja, wir haben das festgestellt,
00:04:53: als wir Versicherungsschutz für unser IT-Rechenzentrum gesucht haben, dass wir schon zu den 10, 15
00:04:59: größten IT-Riesigen sicherlich gehören, weil bei uns halt sehr viel Bankgeschäft gebündelt ist an
00:05:05: einem System und das wissen nicht nur, wie das wissen natürlich auch die, die da versuchen,
00:05:08: einzukommen. Deshalb sind die Sicherheitsthemen uns immer sehr hoch angesiedelt, weil wir
00:05:13: halt hinter uns 50 Millionen Bankkonten und Sparkassenkonten und sehr viele Kunden haben. Und
00:05:20: in der Tat zurzeit, und das wechselt natürlich auch immer, welche Themen sind jetzt gerade
00:05:23: besonders wichtig, zurzeit ist bei uns besonders unter Beobachtung das Thema, dass man Identitäten
00:05:30: sich nimmt, sich als Sparkassenmitarbeiter ausgibt, dadurch Vertrauen bei Kunden hat,
00:05:36: die dann zu Tätigkeiten anleitet, die sie vielleicht gar nicht wollen. Also das ist ein
00:05:40: großes Thema, was ja eine Mischung ist, das ist eigentlich kein Technikproblem, aber Technik
00:05:45: wird halt genutzt. Das ist eine der großen Herausforderungen, die wir haben. Und das
00:05:49: zweite ist eben diese gekaperten, sicheren Adressen, dass man sich irgendwie auf eine Booking kommen
00:05:54: oder sonst was Seite eigentlich sicher fühlt, die aber gekapert ist und man dann seine Bank Credentials,
00:06:00: sei es Kreditgarten oder sonst was eingibt und sich dann wundert, dass dann plötzlich 5.000
00:06:05: Euro abgebucht werden, obwohl man noch eigentlich 100 Euro zurückbekommen wollte. Also diese
00:06:09: zwei Themen sind gerade ad hoc bei uns, sehr unter Beobachtung, was wir da tun können.
00:06:13: Wir merken ja, wenn wir das dann sicher machen, dann kommt das bei anderen wieder hoch. Also
00:06:18: da ist sicherlich noch was an Austausch zu organisieren, die Kreativität nimmt gerade zu.
00:06:22: Das ist definitiv so. Das beobachten wir auch. Und das nächste Thema, wo wir uns da auch ordentlich
00:06:26: Sorgen darum machen, ist natürlich alles rund um KI. Damit werden Fishing-Angriffe auch noch
00:06:30: mal sehr viel gezielter. Es ist sehr viel leichter, jemanden auch vielleicht mal am Telefon oder
00:06:34: per Video auch nochmal zu überreden, eine gewisse Aktion auszuführen und das trifft dann eure
00:06:39: Kunden natürlich auch eins zu eins. Das heißt, da müssen wir auch insgesamt schauen, wie kriegen
00:06:43: wir das für Deutschland auch nach vorne, weil ich glaube, das werden wir uns auf Dauer nicht
00:06:47: leisten können und ich kann mir ungefähr vorstellen, wie diese Diskussion mit den Versicherungen
00:06:51: verlaufen sind. Das ist nicht einfach. Also da brauchen wir eine gemeinsame Handhabe, um da
00:06:55: Stück für Stück auch als Folge zu erzielen, weil bis jetzt ist das ein lokalatives Geschäft
00:07:00: und das wird nicht von selber aufhören für die Angriffe. Aber zusammen ist gute Stichwort.
00:07:03: Wie arbeitet ihr denn als BSI mit dem Finanzsektor zusammen? Also welche Erwartungen habt ihr da?
00:07:09: An uns? Ich arbeite auch für die Institutionen, Sparkasse und vielleicht noch eine Frage hintendran
00:07:14: gehangen. Kann man Cyberkriminalität überhaupt einhegen, reduzieren, wirklich in den Griff bekommen?
00:07:19: Wie ist da deine Sicht? Die Situation ist jetzt nicht wirklich schön. Wir sagen immer,
00:07:23: die Lage ist besorgniserregend. Das ist das Wort, das wir ganz offiziell auch verwenden.
00:07:26: Aber und das sagen wir auch, wir sind dem keinesfalls schutzlos ausgeliefert. Also wir können da eine
00:07:30: ganze Menge tun. Und ich finde, der Bankensektor an sich ist da durchaus auch erst mal schon ein
00:07:34: gutes Beispiel für, der erleidet das Thema Regulierung ja auch schon eine ganze Weile. Das heißt,
00:07:40: schon sehr lange kümmern sich Banken auch um das Thema Sicherheit, IT-Sicherheit, Cyber-Sicherheit.
00:07:45: Und das sehen wir auch. Also der Bankensektor ist einer der sichersten Sektoren, die wir insgesamt
00:07:49: da haben. Da sehen wir auch ganz viel positive Entwicklung. Das ist auch erst mal gut. Wir
00:07:54: selber kümmern uns um den Finanzsektor, genauso wie um den Energiesektor, wie um den Medizinsen,
00:07:59: also den Gesundheitssektor, um viele sehr, sehr kritische Sektoren, die wir brauchen,
00:08:02: damit wir als Gesellschaft funktionieren. So und für uns an dieser Stelle wichtig, alles rund um,
00:08:08: wie kann man Systeme gut schützen? Also wirklich ganz tief an der Basis. Was muss ich tun, um
00:08:13: den Rechenzentrum vernünftig zu schützen? Was muss ich tun, um meine Anwendungen vernünftig
00:08:16: zu schützen? Wie sorge ich gegebenenfalls dafür, dass ich ein vernünftiges Monitoring über alle
00:08:19: Anwendungen habe? Siehe, wenn da irgendwer im Netz unterwegs ist. Wie sorge ich vielleicht auch für,
00:08:25: dass ich vernünftige Backups habe? Business continuity, also diese ganzen Themen. Das sind
00:08:29: die Themen, wo auch wir mithelfen in dem Sektor, ganz konkret auch mit Banken selber. Und jetzt
00:08:34: sind wir aber nicht die einzigen Player an der Stelle. Da gibt es dann auch noch eine Bafin,
00:08:38: da gibt es noch die Bundesbank, da gibt es noch, bestimmt irgendwie ein Vergessen, die EZB natürlich,
00:08:43: also sprich die ganzen Bankenaufsichten, die da auch mitspielen. Und das ist auch wichtig. Also für
00:08:48: mich mag das mal ganz kurz einen Moment erklären. Wir kümmern zum Cyber-Sicherheit. Wir sehen zum
00:08:53: Beispiel, wenn dort irgendwo jemand eingedrungen ist, dann haben wir ein Gefühl dafür, wie lange
00:08:57: dauert es, das wieder herzustellen. Diese Sicht auf eine Institution oder auf ein System. Eine Bafin
00:09:02: zum Beispiel, guckt da drauf und sagt, naja, wenn jetzt so ein Zahlungssystem von so einem systemischen
00:09:07: Player ausfällt, was heißt denn das für den Finanzplatz oder für im Prinzip das Zahlungssystem an
00:09:12: sich? Das heißt, die sehen verbund Risiken. Und das finde ich auch super wichtig mal zu unterscheiden,
00:09:17: damit man mal so sieht, also wir kümmern uns um Cyber-Sicherheit in einer ureigenen Form. Aber
00:09:22: hier gibt es auch noch ein Business-Risiko, das da hinten dran steht. Und unter Umständen geht
00:09:25: es aber eine Bank weit hinaus. Und da braucht es dann vielleicht auch ein Kenner, wie zum Beispiel
00:09:29: eine Barfin, wie zum Beispiel eine Bundesbank oder eine EZB, die das auch dann sehen, wo man dann
00:09:34: auch zusammenarbeiten muss und soll. Das heißt, also hier braucht es eigentlich ein Zusammenspiel,
00:09:38: damit wir im Zweifelsfall auch unterstützen können, wenn es darum geht, tatsächlich die
00:09:41: Dinge auch so aufzusetzen, dass wir als Gesellschaft sicher sein können, der Bankensektor, der
00:09:46: funktioniert. Weil das ist am Ende des Tages das Ziel. Jetzt hast du ja wieder das Wort zusammen erwähnt.
00:09:51: In der Presse, ich will nicht sagen Geister, aber das ist sehr populär der Begriff Cyber-Nation.
00:09:56: Das klingt so irgendwie nach Zusammenarbeit und auch nach uns. Kannst du den Begriff kurz erklären?
00:10:01: Und inwiefern hätte der was mit uns Sparkassen zu tun? Das kann ich gerne versuchen. Noch
00:10:06: schöner finde ich es dann, wenn ihr ihn ausfüllt, weil darum geht es nämlich eigentlich. Also was
00:10:10: ist die Idee? Die Idee ist, wir haben wirklich ein Thema mit dem grundsätzlichen Vorgehen
00:10:17: im Bereich Cyber-Sicherheit. Wir sind als Land verwundbar. Und ich habe es schon mal gesagt,
00:10:22: wir sind als Land aber auch sehr attraktiv für Angreifer. Es ist relativ einfach, es ist sehr
00:10:27: lokalitiv und die Angriffe sind im Zweifelsfall auch sehr, sehr weit weg, nämlich irgendwo in
00:10:32: Russland oder in Nordkorea oder ähnlichen Staaten. Damit wird das nicht aufhören. Das heißt, wir
00:10:37: müssen uns gemeinsam darum kümmern, dass wir dieses Problem lösen. Und das bedeutet insbesondere
00:10:41: auch, dass wir es schaffen, uns Resilienter aufzustellen. So, und jetzt können wir uns als
00:10:45: Behörde hinstellen und sagen, stelle dich mal alle Resilienter auf, deswegen passiert da noch mal
00:10:48: gar nichts. Wir brauchen einen gesamthaften Antritt, ein ganzes Land umzubauen. Ein ganzes Land,
00:10:53: so weit umzuheben, sich neu aufzustellen, um dem Bereich Cyber-Sicherheit auch Rechnung zu tragen.
00:10:58: Das heißt für uns, das muss erstmal in die Chef-Ettragen, Chefinnen- und Chef-Sache auf die
00:11:03: Agenda erheben. Das heißt für uns Resilienz an sich, dass diese harte Arbeit bis hin zu Business
00:11:08: Continuity bis zum Patching alles mögliche. Das heißt Technologiekompetenz nutzen, wir haben die.
00:11:14: Die habt ihr zum Beispiel auch hier in eurer Organisation. Ihr habt eine richtig, richtig
00:11:17: starke IT. Die kann man auch nutzen. Also da weiterzumachen und zu sagen, nicht per Zettel und
00:11:22: Stift, sondern per Technologie. Hohen Automatisierungskrad trifft dann auch sofort auf den nächsten
00:11:27: Punkt Digitalisierung voranbringen. Das müssen wir gemeinsam machen. In diesem halb digitalisierten
00:11:32: Zustand ist es ganz, ganz schwer. Das müssen wir machen konsequent nach vorne. Cyber-Sicherheit
00:11:37: gestalten im Sinne von auch Standards setzen, wie funktionieren Kommunikationsbeziehungen,
00:11:42: was, wie müssen Systeme abgesichert sein, wie sind von vornherein eine Security by Design
00:11:46: auch eingebaut. Das betrifft die Hersteller, also nicht nur die Nutzer, sondern auch die Hersteller
00:11:51: von IT. Und Last but not least, am Ende des Tages wird das nur über Marktargumente gehen. Das kriegt
00:11:56: man nicht aus der Politik heraus mal eben so diktiert, sondern irgendwann muss man einen Punkt
00:12:00: kommen, wo sichere Produkte, aber auch Sicherheitsprodukte, einen Preis haben, der auch bezahlt wird. Weil
00:12:05: man feststellt, hey, das ist das, was am Ende des Tages auch mich und mein Business weiter bringt.
00:12:09: Digitalisierung zusammen mit natürlich der Sicherheit, das ist ein Zwillingspärchen. Und das
00:12:15: kann uns schon auch im Business massiv nach vorne bringen. Und dann wird auch der Preis dafür bezahlt.
00:12:19: Jetzt haben wir ja die Situation, dass wir in Deutschland ja gar nicht den Ruf haben,
00:12:23: der Digitalisierung ganz weit vorne zu sein. Wir sind ja eher im hinteren Drittel in Europa,
00:12:30: Banken schwimmen da somit. Also ich würde uns auch ähnlich einsortieren insgesamt. Wieso
00:12:36: müssen wir uns besonders anstrengen? Weil die Cyberkriminellen gehen doch dahin, wo viel Cyber
00:12:41: ist. Bei uns ist ja gar nicht so viel Cyber. Was macht es eigentlich aus, dass wir besonders uns
00:12:46: anstrengen müssen? Und ich hätte eine These, weil wir viel Industrie haben, die schon weit ist. Und
00:12:50: wir deshalb sehr vulnerable sind. Aber gibt es noch andere Aspekte? Sind wir unter besonderer
00:12:54: Angriffsfläche? Also zunächst mal sind wir, glaube ich, einfach eine besondere Angriffsfläche,
00:12:57: weil wir attraktiv sind. Ja, das muss man sich auch irgendwo mal klar machen. Deutschland ist nach
00:13:01: wie vor ein relativ reiches Land. Und es gibt bei uns auch eine Menge zu holen an Know-how,
00:13:05: also nicht immer nur auch sozusagen monetär, sondern auch an Know-how. Damit sind wir insgesamt
00:13:09: als Land durchaus attraktiv. Und wenn es darum geht, Banken auch da in den Fokus zu nehmen,
00:13:14: also natürlich ist auch da was zu holen. Gar keine Frage. Und ganz ehrlich, gerade der Bankensektor,
00:13:19: ich glaube, da ist auch viel wirklich Gutes dabei. Klar, mir fehlen da noch ein paar Themen wie eine
00:13:25: EID. Irgendwas sagt mir, dass wir dazu noch kommen werden, aber es ist nur so ein Bauchgefühl. Aber
00:13:30: definitiv auch noch viele andere Themen, die dann eine Rolle spielen. Aber wir haben auch
00:13:34: viele Institutionen, gehört ihr auch mit dazu, die auch durchaus schon Lösungen haben, die uns da
00:13:40: auch wirklich weiterbringen. Und ganz ehrlich, wie viele Länder sind denn jetzt wirklich immer
00:13:44: weiter? Natürlich, ich bin auch der Meinung, wir müssen nochmal einen echtmutigen Schritt nach
00:13:47: vorne tun. Ganz ehrlich, runter von der Couch, auf geht's. Gar keine Frage. Aber es ist auch nicht
00:13:51: alles schlecht. Und gerade im Bankensektor sehen wir dadurch auch viel sehr positive Entwicklungen.
00:13:56: Also insofern kann man auch mal loben, was schon da ist. Ja, ich fand es immer bei unseren Gremien
00:14:02: wichtig zu erläutern, dass es natürlich auch bei Überweisungen, die klassisch mit der Hand
00:14:06: ausgefüllt werden, auch Bedrucksmöglichkeiten gibt. Und dass die auch schlimm sind. Die sind halt nicht
00:14:11: so leicht skalierbar, wie wenn ich es technisch mache. Aber wir investieren manchmal relativ viel
00:14:16: Geld in das Thema IT-Sicherheit, überwachen und vergessen die anderen Angriffsflächen,
00:14:20: die es natürlich auch gibt. Das hat man gerade jetzt auch gesehen, dass da eine Filiale eines
00:14:25: Wettbewerbs von uns gekapert wurde und dann dort plötzlich auch Schalterprozesse auch genutzt
00:14:30: werden könnten, wo man ja eigentlich dachte, das ist sehr sicher. Also dieses Thema IT, also
00:14:35: Sicherheit oben drüber. Und ich bin immer sehr dafür, dass man nicht IT besonders schwergewichtigt
00:14:43: behandelt, weil alle an Prozesse genauso wichtig sind. Bei IT ist halt aus meiner Sicht die große
00:14:47: Gefahr der riesigen Skalierbarkeit. Ich kann einfach mit Massen draufschieben und wenn ich dann von
00:14:53: 100.000 zwei Treffe, ist es gut. Das mache ich natürlich bei einer Filiale nicht. Da kann ich
00:14:58: nicht 100.000 hinschicken und hoffen, dass ich zwei durchbekomme. Das ist viel zu teuer, viel zu
00:15:02: aufwendig und viel zu schwer zu organisieren. Das macht halt die IT so angriffsfähig. Das
00:15:06: macht es für uns auch schwierig, genau für diese Intualitäten dann das Geld auch aufzubringen
00:15:11: und zu tun. Wir müssen es trotzdem machen. Klar, das glaube ich sofort. Die Skalierung hilft bei der
00:15:15: Businessentwicklung. Sie hilft aber blöderweise auch nur im Angreifer. Bin ich 100%ig bei dir.
00:15:19: Auf der anderen Seite ist nicht zu tun, ist ja nun auch keine Alternative. Weil wenn wir, ich bleib
00:15:24: bei deinem Beispiel, weiterhin Überweisungen sozusagen für Weisungsfettel machen würden, dann
00:15:28: würden vielleicht noch ein paar Menschen, die das lieb gewonnen haben, sich darüber freuen. Aber man
00:15:33: ist dann leider nicht mehr wettbewerbsfähig. Und das ist natürlich auch eine Gefahr. Das heißt,
00:15:37: hier ein gutes Maß zu finden, eine gute Balance zu finden. Da bin ich total dabei. Darum geht's.
00:15:40: Ich habe mal ausgerechnet, wenn wir alle noch den Zahlungsverkehr wie vor 50 Jahren machen würden.
00:15:46: Mit dem heutigen Volumen müsste die Hälfte der deutschen Bundesbürger im Zahlungsverkehr
00:15:50: halten. Also eine gewisse Menge Dekrisionseffekteneffizienz kommt doch schon. Das ist eine spannende
00:15:57: Vorstellung. Ja, man lernt in unserem Podcast immer wieder. Was dazu wusste ich auch noch nicht.
00:16:02: Also mein Vater gehört noch zu denjenigen, der die Überweisungen den Briefkasten wirft. Aber du
00:16:07: hast ja eben gesagt, Cyber Nation, das ist auch Chefsache. Deswegen freue ich mich, dass wir
00:16:11: euch beide hier auf der obersten Etage in Berlin im DSGV zusammenbringen können, zusammengebracht
00:16:16: haben. Aber noch mal zu dir zurück, Achim. Du hast gerade auch über Sparkassen gesprochen. Wir
00:16:21: erleben denn die Sparkasten, die aktuelle Sicherheitslage. Und welche Maßnahmen werden
00:16:24: ergriffen oder wurden auch ergriffen, um heute mit zunehmender Digitalisierung unsere Sparkassen
00:16:29: Kunden zu schützen? Ich glaube, wir haben schon eine sehr gute Grundausstattung und auch ein
00:16:33: Grundbewusstsein, dass wir uns darum kümmern müssen. Da gibt es auch Ango- und Saisons-
00:16:36: Einheiten bei uns, die spezialisiert dafür ausgestattet sind, die auch überwachen,
00:16:41: und tracken und das organisieren. Was wir halt erleben, sind immer so Wellen, so Angriffswellen.
00:16:46: Es gibt mal wieder eine neue Art und Methode, Betrug zu machen. Das müssen wir frühzeitig
00:16:53: erkennen, frühzeitig gegenarbeiten, dann sehr schnell die Informationen austauschen an die
00:16:57: anderen Sektoren oder von denen Informationen bekommen. Weil wenn man dann selber was abdichtet,
00:17:02: dann geht das sehr schnell weiter. Also ein typisches Beispiel war jahrelang, dass man eben nicht
00:17:08: geprüft hat, ob derjenige, der die Zahlung auslöst und das Sicherheitsverfahren nutzt, ob der am gleichen
00:17:13: Ort ist. Das sind so simple Sachen. Das kann man natürlich einfach machen, aber das muss man dann
00:17:18: halt auch mal tun. Und wenn man der erste feststellt, dass das die Bedrugsrate reduziert, dann tauschen
00:17:24: wir uns das aus und machen das natürlich alle ganz schnell. Aber die Zeit bis zum ersten Erkennen,
00:17:28: dass das ein neuer Bedrugsvorgang ist, dass man sich halt das Autifizierungsmodul kapert und
00:17:34: man dann jemanden überzeugt, etwas zu tun, kann selber dann authentifizieren, weil man an einem
00:17:40: anderen Ort ist. Diese Lösung, also diese Art von Kreativität, die man wirklich den zugestehen muss,
00:17:46: diesen Menschen, die das machen, manchmal würden wir von da auch mal einen einstellen, weil
00:17:51: ihr habt wirklich hohe kreative Energie und sehr viel Fantasie. Das geht halt immer schneller. Und
00:17:57: wir haben das gemerkt, dass wir digitale Karten eingeführt haben bei uns. Wir haben eine Chirokarte
00:18:01: digitalisiert in der Spackkassen-Garde. Und das sind schon neue Optionen, die erstmal toll sind,
00:18:07: weil man mehr machen kann. Aber man muss halt in gleichem Moment, die dadurch einen gehen,
00:18:12: den IT-Riesen sehr schnell möglichst parallel, möglichst vorher nachziehen, überwachen. Sonst fällt
00:18:18: man halt in so eine Lücke rein. Und diese Lücke A nicht entstehen zu lassen, das ist die wichtige
00:18:23: Aufgabe. Das was du auch sagst, wenn neue Möglichkeiten eingeführt werden, dass man sie
00:18:28: komplett schon mit IT durchdenkt, die Risiken bewertet und dann auch schon bereit ist, das
00:18:34: Geld dafür auszugeben, diese Verfahren abzusichern. Und das ist eine dauernde Herausforderung, weil
00:18:38: du ja immer in diesem Abwägungsfall bist. Wie viel Geld gibst du aus? Wird's von Kunden überhaupt
00:18:43: angenommen? Du probierst mal was aus. Wie schnell wird das Markt Erfolg haben? Und dann gleich immer
00:18:49: die komplette Kette zu Ende zu denken mit der IT-Sicherheit. Da macht der ein oder andere auch mal,
00:18:54: probiert mal lieber erst mal aus. Das müssen wir halt erkennen, das kann man mal machen,
00:19:00: aber da muss man es halt eng beobachten. Man muss auch schnell wieder zurücknehmen, wenn es nicht klappt.
00:19:03: Ich glaube, hier müssen wir gemeinsam schnell sein, uns austauschen, Informationen bündeln und
00:19:10: hinbekommen und halt aber auch Wege zulassen, dass man auch mal was ausprobiert. Weil nicht jede
00:19:15: neue Innovation, wo wir ja gleich dadurch töten, indem sie sofort 100 Prozent abgesichert ist,
00:19:20: weil dann findet sie vielleicht manchmal nicht statt, weil es dann insgesamt gar nicht mehr dazu kommt.
00:19:24: Danke. Jetzt sind wir ja hier im politischen Berlin und vielleicht ein kleiner Strömungsabriss zu
00:19:30: den vorherigen Themen, aber nicht so trotz. Claudia, welche Rolle spielen regulatorisch
00:19:34: Themen in der Cyber-Sicherheit? Helfen Initiativen wie Dora? Kaum einer kennt sie wirklich? Unternehmen
00:19:40: oder belasten sie eher zusätzlich? Wie siehst du das? Ich würde sagen beides, ne? Ist halt so,
00:19:44: also ganz konkret. Regulierung ist aus meiner Sicht immer ein Stück weit eingreifen in dem
00:19:51: Moment, wo man feststellt, dass etwas nicht funktioniert und sich nicht von selbst sozusagen
00:19:55: ins positive einstellt. Das heißt, wird immer dort, wo von hohen Bedrohungs- und Risikoszenarien
00:20:00: ausgegangen werden muss und sozusagen von sich aus der Markt dann auch nicht die Lösungen an sich
00:20:05: bringt und die Situation von sich aus nicht besser wird. Dann kommt Regulierung ins Spiel. Also
00:20:11: jedenfalls hoffe ich, dass sie nur dann ins Spiel kommt, muss man so. Weil mir ist schon klar, dass
00:20:15: das auch ganz ganz viel Aufwand ist. Ich hatte, ich habe es vorhin schon mal erzählt, ich war früher
00:20:19: bei der Europäischen Zentralbank. Ich habe das schon durchaus auch live mitbekommen, was das
00:20:23: bedeutet und ich war ja auch 20 Jahre auf der IT-Seite. Ich weiß schon, was es bedeutet, wenn
00:20:27: da eine Audit um die Ecke kommt und noch eine Revision hier und nochmal was da. Natürlich ist
00:20:31: das alles Aufwand. Und auf der anderen Seite werden wir einen gewissen Aufwand treiben müssen, um
00:20:36: sicherzustellen, dass wir entsprechend abgesichert sind, weil von selber hatte sich nicht eingestellt,
00:20:40: sonst hätten wir nicht 206 Milliarden Euro Schaden, wie ja Bitkom fürs letzte Jahr für die
00:20:45: Cyber-Sicherheit in Deutschland betitelt hat. So, das heißt, ich glaube, wir kommen nicht ganz drum
00:20:50: rum. Macht mich das jetzt uneingeschränkt glücklich? Nein, ich wünschte, wir bräuchten das nicht,
00:20:55: aber wir brauchen es. Also insofern bin ich ein Befürworter an dieser Stelle. Mir geht es um was
00:20:59: anderes. Hier geht es darum, dass wir versuchen, Regulierung so umzusetzen, dass sie möglichst
00:21:05: wenig bürokratisch ist. Das heißt, mit einem hohen Automatisierungsgrad. Ich habe früher mal
00:21:10: geschärzt, wenn auf der IT-Seite, wenn wir ein Auditor da haben und wir haben ihm gesagt, hier, da
00:21:15: ist es im System, doch hier, da ist es programmiert. Ja, dann wollten die aber ein Bericht und dann
00:21:20: sagt, ja, es ist doch programmiert, kannst du doch lesen. Und dann sagt er, ja, kann ich aber
00:21:23: nicht lesen. Und dann war mein scherzhafter Spruch immer, dann muss man eben halt auch an den Punkt
00:21:27: kommen, wo man das lesen kann. Jetzt bin ich auf der anderen Seite und muss mit unseren Leuten halt
00:21:31: auch dafür sorgen, dass wir auch an den Punkt kommen, wo wir es selber dann auch lesen können,
00:21:34: weil in der hohen Automatisierung liegt auch die Sicherheit. Die liegt nicht notwendig,
00:21:38: immer nur darin, dass man ein Bericht geschrieben hat. Das heißt, hier dafür zu sorgen,
00:21:41: dass es möglichst unbürokratisch, aber trotzdem immer nachweisfähig ist, darum geht es eigentlich.
00:21:47: Oder zumindest geht es mir darum und irgendwie sagt mir, wenn ich hier so nicken sehe, wenn auch
00:21:51: ein bisschen zweifel, dann ist die Richtung wahrscheinlich gut. Einzig die Frage ist, wie
00:21:55: lange brauchen wir, um an diesen Punkt zu kommen. Aber ich glaube schon, dass wir, dass wir dahin
00:21:59: müssen, in einem höheren Automatisierungskrat auch im Prinzip die bürokratischen Hürden zu senken.
00:22:04: Aber die Regulierung an sich brauchen wir. Da kommen wir nicht ganz drum herum. Aber mir geht es
00:22:10: halt darum, wie schaffen wir das auch, diesen Teil dann auch bis bei den Bürgern ankommen zu
00:22:14: lassen. Dora, du hast Dora erwähnt, Großes und der Fangen auch der EU. Da sind wir also gar nicht mehr
00:22:20: so tief drin bei den Banken, sondern da tatsächlich dann auch Barf in und ähnliche. Aber das betrifft
00:22:25: jetzt den Betreiber, also euch sozusagen. Spannende Frage ist, inwieweit nützt es denn jetzt eurem
00:22:31: Kunden, wenn der per Enkeltrick oder Ähnlichem an dieser Stelle abgezockt werden soll oder
00:22:35: aber eben halt über ein Fishingseite, über einen Anruf, über eine SMS und ähnliches,
00:22:40: die 5.000 Euro, die dann plötzlich irgendwo anders landen? Das liegt auch ein Stück weit
00:22:44: sogar außerhalb eures Einflussbereichs. Da könnt ihr kaum was tun. Na klar, macht ihr euren
00:22:48: Teil dafür, macht ganz klar, wir würden nie nach dem Passwort fragen, etc. PPI beratet in dem Moment,
00:22:54: stellt hoffentlich gute Informationen auf eure Webseite zur Verfügung und so weiter und so
00:22:58: weiter. Nichtsdestotrotz, davor dann wirklich auch deutschlandweit oder vielleicht auch europaweit
00:23:04: zu schützen, da müssen dann auch wir wieder mit rein, wenn es dann darum geht, auch Internetstrukturen
00:23:07: im Hintergrund sicherer zu machen. Deswegen ist mir nochmal dieses Thema zusammenarbeit so wichtig,
00:23:12: weil wenn es darum geht Material und auch Absender für euch ganz wichtig Absender verifizierbar zu
00:23:17: machen, dann reden wir noch von ganz anderen Dimensionen wie zum Beispiel Organisationskonten,
00:23:22: Organisationsidentitäten etc. PPI. Das liegt ein Stück weit auch hinter dem, was ihr als Firma
00:23:27: nur für euch machen könnt. Da müssen wir alle zusammen gucken, wie wir das zusammen hinkommen.
00:23:31: Ja bei Regulatorik, da bin ich immer so, muss ich sagen, ein bisschen sensibel, weil wir manchmal
00:23:37: auch das Gefühl haben, weil irgendein großer Börsenhändler, der soziätisch General 5 Milliarden
00:23:42: verzockt hat, müssen jetzt alle unsere Sparkasten-Rätzertifizierungsprozesse von
00:23:46: Axl-Scheats alle halbe Jahre machen und dann fragt man sich schon, also ist schon der Anlass
00:23:51: gewesen, dann gab es Regalregeln, am Schluss für die Sparkassen ist es dann am Schluss schon
00:23:56: sehr viel Bürokratie und sehr viel Aufwand, der dann gezogen wird und da fehlt uns manchmal ein
00:24:02: bisschen das Augenmaß, ob da wirklich so viel Risiko dahinter ist hinter dem jeweiligen Punkt,
00:24:06: aber auch das lässt sich organisieren und automatisieren und technisch, sie findet ja richtig,
00:24:11: was du sagst, es muss halt auch die Möglichkeit der Technik genutzt werden, um wiederum Risiken zu
00:24:15: reduzieren und da kommt eigentlich mein Lieblingsthema, dass wir halt mehr im Kontrollsystem denken
00:24:20: müssten und nicht nur in Einzelthemen und Einzelsicherheiten. Manchmal wird sich dann halt
00:24:25: ein Thema rausgenommen und es wird dann im Detail geregelt, jede Ausnahme ganz detailliert,
00:24:30: aber wenn man vielleicht ...
00:24:32: fünf, sechs Sachen zusammen betrachten würde, hätte man viel höhere Sicherheit und müsste
00:24:35: ihm nicht jedes Einzeltema so regeln. Und dass man vielleicht eher das Ergebnis misst und nicht
00:24:40: den Input. Also nicht was hast du getan, sondern hat es gewürgt. Diese Abwägung, die findet aus
00:24:45: meiner Sicht mitunter zu wenig statt, sondern stattdessen macht man halt was, was man abhaken
00:24:49: kann. Also hast du diese Vorschriften erfüllt, hast du die Gefährdungsanalyse gemacht, hast du
00:24:55: diese Standards alle abgefragt. Das ist eine schwierige Abwägung, weil das führt dann wieder zu einer
00:25:02: generellen Kritik. Also während bei uns bei Dora gerade, da haben wir mal ausgerechnet, das kostet
00:25:06: eine mittlere Sparkasse, 400 Personentage in der Abarbeitung, Riesenaufregung. Der Mehrwert von
00:25:13: Dora jetzt, den wir erkennen in der Sicherheitsarchitektur, den halten wir für überschaubar. Wir
00:25:18: sind auch gar nicht der eigentliche Adressat für Dora. Da sind eher die größeren Banken mit größeren
00:25:23: Risikofaktoren. Bei uns könnte vieles auf der Seite des Rechenzeiten ums Alleine gemacht werden.
00:25:29: Das ist aber nicht so. Durch unsere dezentrale Struktur muss jede Sparkasse, jedes Thema jetzt
00:25:33: bearbeiten. Und das führt schon so einer gewissen, wie soll ich das sagen, so eine Abwehrhaltung,
00:25:38: dass Regulatorik eben nicht als Hilfestellung erkannt wird, was ich eigentlich auch so finde.
00:25:42: Weil wenn man gute Regulatorik heißt ja auch, ich kann mich darauf verlassen. Der andere macht
00:25:46: es auch. Das finde ich ganz gut. So sagen, wenn ich mich jetzt anstrengen, weiß ich, der andere muss
00:25:51: es auch machen und das führt zur Sicherheit, erhöhten Sicherheit in den Gesamtsystem. Das ist
00:25:55: gut. Aber die Regulatorik ist halt manchmal ein bisschen übergriffig und zu detail orientiert und
00:26:02: sieht dieses Gesamtsystem Sicherheit nicht. Und da würde ich gerne mehr hinkommen. Also kann ich
00:26:06: erstmal super gut nachvollziehen. Verstehe ich, wie gesagt, 20 Jahre lang auf der anderen Seite,
00:26:10: die habe ich auch nicht vergessen. Und natürlich kenne auch ich diese Situation, wo man das Gefühl
00:26:14: hat, hey, das macht so einfach keinen Sinn. So. Und ich glaube aber, der entscheidende Punkt für uns
00:26:18: ist, dass wir zusammenlernen, was denn Sinn macht. Also ich bin für den Teil, für den wir zuständig
00:26:24: sind, auch erstmal super offen, da auch entsprechend Veränderungen herbeizuführen. Wir haben uns
00:26:28: darauf einen Weg gemacht. Also für uns oder für alle anderen Sektoren ist ja das NIST 2
00:26:31: Gesetzes spannende. Das ist das, was für euch Dora eher regelt. Das macht für alle anderen Sektoren
00:26:36: jetzt eher die NIST 2. Also wir bemühen uns da tatsächlich auch neue Wege zu gehen, um genau
00:26:41: solche Sachen auch progressiver und auch weniger bürokratisch und mehr am zielorientiert aufzusetzen.
00:26:47: Ich bin da auch für jede Art von Dialog echt offen und ich weiß auch, dass meine Leute das sind.
00:26:51: Auch die suchen Wege genau das zu tun. Das bei uns vor allen Dingen auch ganz spannend ist,
00:26:55: wir haben jetzt auch nicht die Ressourcen, um da jedes Mal in diese Details reinzugehen,
00:26:59: sondern uns geht es eher darum, wie können wir das organisieren, so dass im insgesamt auch das
00:27:03: Niveau gehoben wird und auch den gesetzlichen Vorgaben da jetzt Rechnung getragen. Ich glaube,
00:27:07: es liegt viel Kraft in einer intelligenten und smarten Umsetzung. Ja, aber wir haben ja auch
00:27:13: alle einen eigenen, der ist ja das gut zu machen. Man das Vertrauen, das Finanzsystem hängt davon
00:27:17: ab, dass das funktioniert. Ich war letztendlich auf so einer europäischen, in so einem European
00:27:22: repayment board, der ECB, und da haben die Kollegen Gaben in Amro vorgestellt, dass auch
00:27:27: hoch ausgebildete Mitarbeiter diesen Betrug erleben können. Also selber, die selber in den
00:27:32: Abteilungen arbeiten, sind selber diesen Betrugsfällen ausgesetzt. Dann selber dann berichtet das
00:27:36: jetzt seit sechs Monaten nicht mehr im E-Kommers eingekauft haben, weil sie immer Angst haben,
00:27:40: dass sie nie wissen, ist das jetzt eine echte Adresse oder eine falsche Adresse und man wird
00:27:44: da so ein bisschen paranoid. Und das wollen wir ja alle gerade vermeiden. Wir wollen ja gerade,
00:27:49: dass die Bequemlichkeit, die die Technik bietet, auch weiter genutzt werden kann und die Zahlungsmittel
00:27:54: auch genutzt werden und wir Effizienz ins System bekommen. Deshalb sind wir ja alle interessiert
00:27:58: daran, das System sicherer zu machen. Da muss man eben über intelligente Wege nachdenken,
00:28:02: wie man das abhält. Ich würde mir auch manchmal wünschen, dass man den einen oder anderen
00:28:05: Server in einem ausländischen Land einfach mal abstellen. Kappt die Leitung, kappt, dass man das
00:28:13: so hinnimmt, dass es angenügend Schurkenstaaten gibt, die quasi mit ihren Servern kontinuierlich bei
00:28:19: uns in die Infrastruktur reinbranken dürfen. Wir da keine Gegenmöglichkeit haben. Das ist
00:28:25: jetzt naiv, Bürger denke, aber da würde ich mir manchmal ein bisschen mehr Kampfeslust.
00:28:31: Lass mich an der Stelle nochmal einhaken. Darf ich, Olli? Super. Also weil das ist ja auch eine
00:28:36: große breite gesellschaftliche Diskussion, die du da ansprichst, gar keine Frage. Also zunächst
00:28:40: mal schlechte Nachricht. Ein nicht unwesentlicher Teil dieser Server, von denen du da gerade sprichst,
00:28:44: die sind gar nicht im Außenliege, die stehen hier. Die stehen hier in Europa, also die sogenannten
00:28:49: Command- and Control-Server, die da eine ganz große Rolle spielen, also quasi das Backend der
00:28:53: Angreifer. Das ist durchaus auch in Europa bei entsprechenden Hausten untergebracht. Also das
00:28:58: ist gar nicht immer nur Ausland. Und wir tun das. Das ist jetzt erstmal die gute Botschaft,
00:29:03: will ich etwas Gutes sagen. Wir tun das. Also insbesondere auch die Kollegen vom BKA sind da
00:29:07: sehr erfolgreich auch dabei. Also ich sage mal, man kann sich das ungefähr so vorstellen, wie wenn
00:29:11: jemand eine Stangedynamiet in dein Lagerhaus legt. Mit einer ganz, ganz, ganz, ganz, ganz langen
00:29:16: Lunte bis nach Russland oder nach Nordkorea oder nach Iran oder wohin auch immer. Und was da im
00:29:21: Prinzip passiert ist, dass, was wir tun können, sind zwei Sachen. Wir können zum einen die Lunte
00:29:26: einfach durchschneiden. Das tun wir. Das tut das BSI übrigens. Das heißt, wenn wir solche Sachen
00:29:31: haben, dann können wir quasi die Verbindung unterbrechen. Schlechte Nachricht dabei. Natürlich
00:29:36: gibt es dann noch eine Ersatzverbindung. Und natürlich ist das sehr viel schwieriger, als ich
00:29:39: das jetzt gerade sage. Aber das tun wir. Wir schalten die Verbindung ab. Und der zweite Punkt, das
00:29:44: machen dann die Kollegen vom BKA auch zusammen mit den Staatsanwaltschaften, die gehen dann quasi
00:29:48: auf diese Command and Control Server, die gerne auch mal, wie gesagt, hier in Europa stehen. Das ist
00:29:53: quasi das Feuerzeug, mit dem man die Lunte anzündet. Und die schalten die Dinge ab. Und das sehen wir
00:29:58: dann immer wieder, wenn dann hier große Meldungen kommen, das und das Spot-Netzwerk abgeschaltet.
00:30:03: Das ist im Prinzip das, was die tun. Die gehen an diese Command and Control Server und neben denen
00:30:07: quasi das Feuerzeug aus der Hand. Das klingt so verharmlosen. Eigentlich ist es eine Waffe.
00:30:10: So und damit wird dann sichergestellt, dass so ein Dynamit eben halt auch nicht explodiert. Und
00:30:15: worum es mir halt immer geht, gerade auch mit NIST 2 und Dora ist, sorgen wir dafür, dass die Tür bitte
00:30:20: zu ist. Dann wird es schon mal wieder schwieriger, so eine Stange Dynamit da rein zu platzieren. Das
00:30:23: ist eigentlich die Analogie an der Stelle. Ja, also beim Türen zu machen, wie ich auch voll da war.
00:30:28: Wollte nur kleine Türen und große Türen und unterschiedliche Arten. Das verstehe ich. Das verstehe ich total gut.
00:30:34: Ja, vielen Dank. Ich könnte euch beiden wirklich viel, viel länger zuhören. Und wir könnten
00:30:39: wahrscheinlich in zwei oder drei Stunden Podcasts rausmachen. Vor allem, wie man wo, welches Dynamit
00:30:43: hinlegt. Das hat jetzt mein Interesse geweckt. Aber wir haben ja über Regulatorik gesprochen.
00:30:48: Und Regulatorik hat jetzt auch mit meinem Lieblingsthema zu tun, zu dem wir jetzt endlich kommen
00:30:53: können. Hier versucht man oder unter anderem versucht man auch das Thema digital Identitäten mit
00:31:00: hoffentlich positiver Regulatorik. Final jetzt in Europa zum Erfolg zu machen. Aber gehen wir noch
00:31:04: einen Schritt zurück. Was ist überhaupt eine digitale Identität? Ich würde euch beide gerne
00:31:09: mal fragen, diesen Begriff zu definieren. Gucken, ob wir das gleich antworten. Das ist schon mal gut.
00:31:13: Dann lass ich mal den Vortritt. Also, digital Identität. Wir kennen das alle aus der Analogenwelt.
00:31:20: Was ist die Analogenidentität, mit der ich mich normalerweise ausweise? Das ist mein Personalausweis
00:31:24: oder wegen mir auch mein Reisepass. Aber nehmen wir den Personalausweis. Damit zeige ich normalerweise
00:31:28: hier. Ich bin es Claudia. Und damit komme ich eben halt auch zum Beispiel in den Bundestag rein,
00:31:32: wo ich heute Morgen war und eingeladen war oder sonst, wo wenn ich quasi nachweisen kann,
00:31:36: ich habe die Berechtigung hier zu sein. Und übrigens, ich bin auch ich. Digital Identitäten ist im
00:31:41: Prinzip das gleiche Thema. Wenn es darum geht zu sagen, wer bin ich, welche Services darf ich in der
00:31:47: digitalen Welt im Netz in Anspruch nehmen. Ganz banal. Also, wenn ich mich bei euch einloggen
00:31:52: möchte, dann muss ich auch danach weisen, dass ich ich bin und das nicht nur am Anfang in einem
00:31:56: KYC-Prozess, wo ich also quasi erstmal zeigen muss, wer ich bin, sondern tatsächlich auch bei
00:32:01: jedem Loginvorgang. Und darum geht es, diesen digital Identität heißt für uns die Möglichkeit
00:32:07: zu zeigen, wer man ist und darauf basierend dann im digitalen Raum eben halt auch zu zeigen. Was darf
00:32:14: ich denn, ich als ich im realen Leben darf ich ja auch nicht alles, auch wenn ich mir das vielleicht
00:32:19: manchmal wünschen würde. Ja, du, bei mir geht es auch um das Thema wer bin ich wirklich und
00:32:24: welche Attribute habe ich eben. Also, was kann man damit verbinden, sodass man Abfragen eben
00:32:30: sicherer, vollständiger und nachhaltiger auch durchführen kann. Und wir diese Hilfslösung,
00:32:36: die wir ja teilweise gefunden haben, weil wir die Digital Identität nicht eindeutig kennen,
00:32:40: dass wir diese Hilfslösung effizienter gestalten können. Und ich würde noch einen hinten drauf
00:32:45: setzen, ich glaube es ist in beide Richtungen super spannend. Also wenn ich bei euch ein Konto
00:32:49: habe und ich möchte mich einloggen, eine Beweisung tätigen muss ich nachweisen, dass ich ich bin.
00:32:53: Und wir hatten es gerade vorhin schon von Fishing. Super spannend wäre, wenn auch ihr nachweisen
00:32:57: könntet, dass ihr ihr seid, weil dann komme ich gar nicht mehr auf die Idee auf einer falschen
00:33:01: Website irgendwas einzugeben, weil ich mich ja darauf verlassen kann, dass quasi unsere Systeme
00:33:05: sich unterhalten haben und festgestellt haben, oh du bist so, ich bin ich, passt, wir dürfen
00:33:09: miteinander reden, wir können miteinander eine Beweisung tätigen. Also quasi nicht nur Identität
00:33:14: für mich, Digital Identität für mich, sondern auch Digital Identität für euch als Bank im
00:33:18: Zusammenspiel mit euren Kunden. Ja das Thema Organisations Identitäten, das ist in der Tat
00:33:24: natürlich auch für uns sehr spannend und vor allem kannst du dadurch diese bidirektionale
00:33:28: Verbindung aufbauen. Aber jetzt reden wir heute auch über das BSI, um die Abkürzung zu nutzen und
00:33:33: ganz ganz viele Menschen in Deutschland bringen digitale Identitäten mit dem BSI berechtigter
00:33:38: Weise in Verbindung. Welche Rolle spielt ihr da eigentlich? Was übernehmt ihr? Welche
00:33:42: Verantwortung habt ihr im Themenbereich Digital Identitäten? Also wir haben vor langer, langer,
00:33:47: langer Zeit, ich glaube 2008 oder so, haben wir uns schon die erste Version einer durchaus sehr
00:33:53: sicheren Lösung überlegt, wie funktioniert das? Wie schaffen wir es den Personalausweis sozusagen
00:33:59: digital verfügbar zu machen? So und da haben wir ganz, ganz viel auch an Technik für bereitgestellt,
00:34:05: unsere Rolle dabei ist im Prinzip uns zu belegen, wie kann man das sicher machen? Das ist mal der
00:34:09: einen Punkt. Wir sind jetzt nicht unbedingt die, in die das Projekt an sich durchführen, da gibt es
00:34:13: da noch ein paar andere Stellen, auch in der Bundesverwaltung, die da auch durchaus Wert drauf
00:34:16: legen, dass sie da entsprechend eine Rolle haben und da auch in Führung sind. Nichtsdestotrotz,
00:34:21: wir gucken immer aus der Brille Sicherheit da draus und wir können definitiv auch sagen,
00:34:25: dass viel von dieser Technik, die da angewandt wird und in diesem Entwurf da auch drin steckt,
00:34:28: auch von uns kommt. So und das ist Technik, sichere Technik ist das eine, das andere ist,
00:34:34: wir müssen sie auch in die Anwendung bringen. Das ist jetzt zu der Punkt, wo wir gerade auch
00:34:38: aktuell feststellen, wir haben zunächst mal einen Personalausweis, mit dem kann man sich
00:34:44: ausweisen. Dazu muss man ihn dabei hinten ans Handy dran halten, seinen Pin kennen,
00:34:48: dann kann man ihn eingeben und dann kann man auch was tun. Das ist jetzt natürlich so für den
00:34:52: alltäglichen Gebrauch nicht so richtig praxistauglich. Das heißt, wir müssen jetzt schauen, wie
00:34:56: schaffen wir es diesen Personalausweis auf dem Mobile Device, auf dem Handy immer verfügbar zu haben.
00:35:03: Und das ist jetzt quasi der nächste Schritt, den wir machen wollen. Da arbeiten wir auch schon
00:35:07: eine Weile dran, da haben wir auch schon ein paar gescheiterte Versuche hinter uns,
00:35:09: da geben wir aber nicht auf, weil wir echt glauben, dass es ein ganz ganz wichtiger Punkt ist,
00:35:13: an diesem Punkt zu kommen, dass quasi jeder seine eigene Digitale Identität auf seinem Handy mit
00:35:17: sich rumtragen kann, so wie man auch einen Personalausweis dabei hat. Und dann kann ich mich im Netz,
00:35:21: zum Beispiel wenn ich mich bei euch einlogge, damit auch ausweisen und sagen, ich bin ich und das
00:35:26: so beweisen und das wollen wir als BSI, da puschen wir auch ordentlich mit und dann merken wir auch
00:35:30: gerade wieder schwung in der Regierung, ich habe das Gefühl, da bewegt sich gerade richtig was.
00:35:34: Toi toi toi, wir bleiben da auch dran, das jetzt wirklich endlich mal durch die Tür zu
00:35:38: kriegen, auf eine vernünftige Infrastruktur zu setzen, sodass es noch allen zur Verfügung
00:35:42: steht. Übrigens auch euren Business, weil irgendwas sagt mir, dass auch euer Leben echt leichter wird,
00:35:46: wenn eure Kunden das zur Verfügung hätten. Das ist ja wie abgesprochen eine perfekte Überleitung
00:35:51: zu der, Jörn. Warum ist für uns das Thema, also für uns Sparkassen das Thema Digitale Identitäten
00:35:56: so wichtig? Wir sind jetzt ja erstmal gar kein so großer Fan dieser Initiative gewesen vor drei
00:36:03: Jahren, weil wir haben ja eigene Identitätsmechanismen, die klappen auch ganz gut, die Kunden sind
00:36:07: bei uns eingelockt damit, wer wechselt ja dann, wenn man mal die Push dann installiert hat auf
00:36:12: seinem Handy und dann wechselt man lieber gar nicht mehr das Handy, weil man sich schon so dran
00:36:16: gewöhnt hat und will das gar nicht. Aber wir glauben schon, dass es A) für die Digitalisierung von
00:36:21: Deutschland wichtig ist, dass digital Identitäten oder das sind eben nicht Bank-Indetitäten, sondern
00:36:25: das sind die hoheitlichen Identitäten, dass die mehr genutzt werden und da brauchen wir, der Begriff
00:36:29: ist überstrapaziert, Ökosystem, ja aber wir hier brauchen, hier stimmt es mal wirklich, wir brauchen
00:36:33: die Anbieter und die Nachfrageseite und die müssen beide nach vorne kommen. Das Angebot muss
00:36:38: ergonomischer werden, also ich stimme dir völlig zu, das ist schon, also ich nutze den auch intensiv,
00:36:43: aber so viele Führungszeugnisse kann ich immer gar nicht abfragen oder schauen wie viele Punkte
00:36:47: in Flensburg haben. Es gibt zu wenig gute Anwendungsfälle, die häufig genutzt werden. Deshalb vergisst
00:36:53: man die PIN oder hat sie verlegt oder man hat sich gar nicht an das Verfahren gewöhnt. Und das zweite
00:36:57: Thema ist, es muss ergonomisch sein und wenn die Anwendungsfälle, die müssen halt auch praxistauglich
00:37:02: sein und es muss halt viele davon geben und eine der Hauptanwendungsfälle sind halt Zahnungsverkehr
00:37:06: oder Kontoabfragen, also bei uns ist sogar Kontoabfrage genauso wichtig und deshalb sagen wir, wir bieten
00:37:12: das mit an, ja wir bieten mit an, dass ich Konto neu anlegen oder Kredit beantragen oder Kontoabfragen,
00:37:19: dass ich mich darüber auch darüber legitimiere, damit ich in häufigen Nutzungsfälle komme,
00:37:24: damit Menschen sich daran gewöhnen und dann machen sie auch die Fälle damit in der öffentlichen
00:37:28: Verwaltung, in der kommunalen Familie, die wir ja auch haben, die dann die Effizienz wiederum fürs
00:37:34: Gesamtsystem bringen. Also ich sehe das wirklich als eine Gemeinschaftsaufgabe und wir als Sparkassen
00:37:38: sind halt auch wirklich in der Verpflichtung, damit zu helfen. Unsere Träger sind überwiegend die
00:37:44: Landkreise und die Städte, die halt selber auch wieder Interesse daran haben, dass sie die
00:37:49: Government nach vorne treiben. Dazu spielt die Digitalität der digitale Personalausse eine
00:37:54: wichtige Rolle. Deshalb helfen wir da gerne mit, mit unseren Anwendungsfällen das nach vorne zu
00:37:59: bringen und natürlich profitieren wir auch bei unseren eigenen Prozessen dann irgendwann davon.
00:38:03: Also heute ist ein Kredit auszufüllen und den genehmigen zu lassen, beantragen zu lassen,
00:38:07: schon auch kompliziert. Wir müssen da mit eigenen Authentifizierungsmaßnahmen arbeiten,
00:38:12: das geht alles viel einfacher und ich kann viele Sicherheitsmaßnahmen reduzieren, wenn ich weiß.
00:38:17: Denig ist das wirklich, der jetzt im e-commerce einkauft. Ich kann ihm die Sache wirklich liefern,
00:38:22: ich muss keine Sicherheitsverfahren mehr einmachen. Also ich hofft da sehr drauf, dass das funktioniert.
00:38:27: Ich ärgere mich heute noch, dass ich immer mein Geldbeutel mitnehmen muss, weil da mein Führerschein
00:38:32: drin ist. Ich kann alles andere mittlerweile mit dem Handy machen, aber ich muss immer noch wegen
00:38:36: dieses Führerscheins, den Personalausweis, den habe ich hinten reingeklemmt in mein Handy,
00:38:40: aber muss immer noch mein Geldbeutel mitnehmen. Also da brauchen wir dringend eine Verbesserung
00:38:45: und eine Weiterentwicklung, damit wir Prozesse bei uns in Deutschland einfach effizienter machen können.
00:38:51: Ich bin sowas von bei dir. Ich freue mich auch in dieser Stelle, möchte mich auch mal ganz
00:38:55: offiziell bedanken. Ich weiß, dass wir in dem Bereich auch uns viel austauschen, viel zusammenarbeiten
00:39:01: und ich finde das super, super wichtig und ich finde es ist auch eine tolle Zusammenarbeit.
00:39:06: Ich mag dir auch mal vorhelfen, wir schimpfen so viel, aber wir arbeiten auch mit vielen Banken
00:39:10: unter anderem mit euch genau in diesem Bereich, digital Identitäten und ihr Seitenschlüssel,
00:39:14: wenn es darum geht, das an die Verbreitung zu bringen. Aus genau dem Grund ist funktioniert dann und
00:39:18: nur dann, wenn man was hat, was als Lösung funktioniert, aber wenn es dann am Ende des Tages
00:39:22: auch wirklich Anwendungsfälle dafür gibt. Wenn wir sagen, wir wollen dieses Thema digital Identitäten
00:39:26: nach vorne bringen und ich glaube, es ist ein Eckfall, es ist ein Fundament für den Bereich
00:39:30: Cyber Sicherheit. Es ist eine absolute Voraussetzung, dass wir das hinbekommen, dann schaffen wir das dann
00:39:34: und nur dann, wenn wir genau diese beiden Seiten zusammenbringen. Also in dieser Stelle nochmal
00:39:37: auch vielen, vielen, vielen Dank auch für die Unterstützung. Das hilft uns allen. Ja, für uns
00:39:43: ist es halt wichtig, das gebe ich gerne noch zu, dass wir auch noch das Nebeninteresse haben,
00:39:47: dass Digital Identitäten in der Ruhe des Staates bleiben. Also wir möchten nicht, dass wir
00:39:53: abhängig sind von Big Techs, die das super schnell und einfach machen könnten und die wahrscheinlich
00:39:58: diese Dienstleistung auch gerne anbieten, damit sie dann wieder selbst aus Geschäftsmodelle
00:40:03: entwickeln können. Wir glauben auch nicht, dass es ein Geschäftsfeld für uns ist mit Digital
00:40:08: Identitäten. Also da gibt es andere Kollegen aus dem Bankenbereich, die sehen das so. Wir glauben,
00:40:13: das ist eine hoheitliche Aufgabe, Identitäten zu halten, zu generieren und auch zu bestätigen. Und
00:40:20: wir wollen sie aber gerne nutzen. Und da mitzuhelfen, das finden wir richtig. Ja, also Claudia, vielen
00:40:26: Dank für das Lob und das geben wir gerne zurück. Ich hätte nicht gedacht, dass ich nach 35 Berufsjahren
00:40:32: mal sagen würde, ich mag das BSI, aber ich mag sie wirklich und vor allem die Kompetenz, die man
00:40:36: unter anderem auch in Bonn vorfindet. Und was ich an dieser Stelle vielleicht dann noch mal sagen
00:40:40: möchte, ich mag auch die Plastikkarte. Ich glaube, dass wir sie auch erhalten sollten mit der
00:40:44: ERD. Es gibt sicherlich Use Cases, wo es sicherer ist für den Kunden zu sagen und jetzt halte bitte
00:40:48: mal deine Plastikkarte an das Handy. Wir haben gerade mit Schweden gesprochen, also mit Kollegen
00:40:52: aus Schweden aus der Bankenbranche, die sagen, wir sind so ein bisschen neidisch auf eure ERD,
00:40:57: Funktion der Plastikkarte, weil die sind ja ganz weit vorne digitalisiert und rudern jetzt
00:41:02: ein Stückchen zurück und sagen, es gibt gewisse Use Cases, wo die dann wieder jetzt extra eine
00:41:06: Plastikkarte herausbringen und sagen und jetzt beweisen wir die physischen Besitz. Also,
00:41:09: wir sind absoluter Freund von Identität auf dem Smartphone und wir glauben, es gibt ganz,
00:41:13: ganz viele Use Cases, aber es gibt auch diese Co-Existenz. Und deswegen freuen wir uns zusammen
00:41:17: auf die Zukunft, auf die Geschichte, sie jetzt erfolgreich zu machen und apropos Zukunft,
00:41:23: das eben KI auch noch mal erwähnt. Mit KI kommen ja viele Chancen und alle sind ganz,
00:41:27: ganz euphorisch unterwegs, aber mit Chancen, das ist einfach die Natur, kommen auch die
00:41:32: entsprechenden Risiken. Und wie siehst du diese Risiken im Kontext, digitale Identitäten? Wir haben
00:41:38: ja Video-Dent ist ja ein ganz populäres Medium bei uns bei der Kontoneueranlage. Wie ist da deine
00:41:43: Einschätzung der Zukunft? Also Video-Dent ist, ich bin ganz offen, durchaus ein schwieriges Thema.
00:41:48: Also Video-Dent, wir sind keine Fans davon. Das betrifft mich persönlich, das betrifft
00:41:52: vor allem auch mein Haus und die können das besser buttern als ich. Also wir haben dort immer wieder
00:41:57: Video-Dent selber ist relativ leicht zu überlisten. Das müssen wir einfach mal festhalten, das bringt
00:42:02: uns nicht auf die Art von Schutz, die wir uns eigentlich vorstellen. Und das wird mit KI
00:42:07: natürlich nochmal eine Spur härter, nämlich wenn man in dem Moment dann versucht im Prinzip den
00:42:13: Menschen, der dann nochmal drauf guckt, auch noch rein mit KI zu ersetzen, den schafft man dann auch
00:42:17: nochmal relativ leicht zu überlisten. Also spricht die KI dahinten dran. Das ist nicht das, was wir
00:42:22: uns wünschen. Müssen wir ganz klar sagen. Und ich glaube, je schneller wir Alternativen, gute
00:42:26: Alternativen zur Verfügung stellen können, wie zum Beispiel eine EID mit Personalausweis. Danke
00:42:30: übrigens, dass du den gut findest. Das gebe ich auch super gerne weiter, dass du besser sind,
00:42:35: wie damit alle bedient. Mir ist schon klar, dass man sich ein Stück weit an die Realität orientieren
00:42:38: muss. Es gibt jetzt auch gewisse, ich sage mal, Zwänge, die auch vorsehen, dass man an der einen
00:42:42: oder anderen Stelle noch mit Video-Dent weiter arbeitet. Aber ganz ehrlich, klug ist es nicht.
00:42:47: Und wenn man wissen will, warum es nicht klug ist, also mindestens mal mit Foto-ID gibt es eine
00:42:52: ganz, ganz spannende Geschichte, um diesen großen Ladsohls heißt, dem es da ja mal gab, den größten
00:42:58: Raub aller Zeiten, wenn ich das Richtige im Korb auf 650 Millionen oder irgendwie sowas aus einem
00:43:03: entsprechenden Raub. Und wenn man sich anschaut, wie das Geld danach gewaschen wurde, dann sieht man
00:43:08: sehr schnell, welche Rolle da zum Beispiel auch Foto-IDs gespielt haben. Und zwar durch KI, also
00:43:13: wirklich manipulierte Foto-IDs. Video-ID ist natürlich nochmal eine Spur härter, das ist gar
00:43:17: keine Frage, da muss man mehr für tun. Aber das wird mit KI natürlich auch nochmal leichter
00:43:21: zu überlisten. Und ganz ehrlich, das ist keine Zukunft an der Stelle, wir brauchen der sichere
00:43:25: Mechanismen. Und ich meine, ihr seid ja bei diesen Themen Geldwäsche und Ähnlichem natürlich auch
00:43:30: ganz vorne mit dabei. Und da spielt dann die Geldwäsche abwählen. Geldwäsche abwählen,
00:43:34: natürlich. Neulich mal jemand zu mir gesagt, wir müssen unsere Ransomware verbessern. Ne,
00:43:38: warte, genau das Entschuldige natürlich, weil der Geldwäsche abwählen natürlich. Ansonsten
00:43:43: würde ich mir jetzt echt Sorgen machen. Und da spielt aber die Frage, wie kann ich mich identifizieren,
00:43:47: wie schaffe ich es im Zweifelsfall auch Geld über Kanäle, die gar nicht existieren, weil es den
00:43:51: Menschen dazu gar nicht gibt, entsprechend auch abzusichern. Das ist super, super wichtig. Also
00:43:56: ich mein Gefühl, da auch da haben wir ein gemeinsames Interesse, das brauchen wir auf
00:44:00: einem verlässlicheren Niveau. Müssen wir aber erst mal hinkommen, das ist mir schon auch bewusst.
00:44:04: Also da sind wir auch sehr gesprächsbereit, zu sagen, wir können diese Brückentechnologie,
00:44:10: das ist ja nur eine Brückentechnologie mit der Videolegitimation, wir können wir die sicherer
00:44:15: machen, bis wir dann alle in der Lage sind, das eigentlich sinnvollere Verfahren, nämlich die
00:44:20: EID, dann zu nutzen, gerade für Onboardingprozesse. Da ist der Dialog auch von unserer Seite der
00:44:26: Kreditwirtschaft. Ich darf jetzt kurz mal in die Rolle springen. Ich bin ja gerade Sprecher der
00:44:30: Deutschen Kreditwirtschaft zu dem Thema und wir würden gerne mehr verstehen, welche Themen sind
00:44:34: da besonders relevant, die wir absichern müssen in der Videolegitimation, damit wir sie eben zwar
00:44:39: nutzbar, aber trotzdem sicherer gestalten, weil wir wollen auch keine Leute im System haben, mit
00:44:46: gefakten Konten, die wir dann hinterher mühevoll mit Geldwäsche, Mechanismen und Überprüfungsmechanismen
00:44:52: wieder raus sortieren müssen. Also das ist ja für uns auch eine Interesse, nur die richtigen
00:44:55: reinzubekommen. Wir hatten auch selber Fälle mit Banken, die die Legitimation aus Litauen oder
00:45:01: Estland genutzt hat und die dortigen Geldwäsche vorschriften und dann bei uns in den System
00:45:05: reinkommen, wo wir dann festgestellt haben, wir haben ganz viele von denen anhalten müssen, weil
00:45:10: da der Verdacht auf Geldwäsche einfach immer groß ist. Also da müssen wir, und das würden wir
00:45:14: gerne vorher verhindern. Ich bitte halt immer nur darum, dass wir nicht das nur in Deutschland gut
00:45:19: machen, sondern dass man das europaweit gut macht, weil es nutzt uns nichts, wenn wir bei uns den
00:45:23: Laden sauber halten, was wir ein großes Interesse daran haben und dann die Menschen über das
00:45:27: Passporting woanders hier reinkommen. Und das ist halt der Punkt, der immer wieder dann bei uns
00:45:32: trifft, dass wir das Gefühl haben, wir sind über vorsichtig, es nutzt aber nichts. Und das ist
00:45:39: halt sehr schön für die deutsche Statistik, aber für die Gefahrenabwehr brauchen wir eine
00:45:44: europaweite Koordination. Ich bin da 100% bei dir, absolut, sehen wir auch, wir kennen das Problem
00:45:48: auch. Deswegen sagen auch wir müssen uns an die Realität orientieren, ob wir das wollen oder
00:45:54: nicht. Deswegen sagen wir, selbst wenn wir keine Fans von Video-Dance sind aus wirklich guten Gründen,
00:45:59: haben wir trotzdem eine Liste von Mitigationsmaßnahmen, die man einfach mal aufrufen kann. Also wir sind
00:46:04: da nicht weltfremd. Wir haben die, kann ich auch gerne mal rüberschicken, könnt ihr ja mal mit euren
00:46:08: Abteilungen abgleichen, mal schauen, ob die die alle kennen. Aber wir wissen schon auch,
00:46:12: dass es eigentlich eine internationale Koordination braucht. Wir haben mit, ja das jetzt natürlich
00:46:17: auch im europäischen Raum eine Gesetzgebung, die uns da glaube ich auch echt weiterbringt. Am Ende
00:46:22: des Tages wird aber wirklich die Kraft von guten digitalen Lösungen den Unterschied machen,
00:46:28: wenn sie so eine Frage wollen wir Video-Dent ja oder nein gar nicht mehr stellen, weil wir feststellen,
00:46:32: wir brauchen es nicht mehr. Und das ist das einzige, was es uns wirklich ermöglichen wird,
00:46:35: das zu verhindern. Mir ist die Problematik europaweit, die ist mir durchaus bekannt,
00:46:39: sie wird sich auch nicht schnell lösen lassen, das ist leider so. Ja, also ich glaube auch der
00:46:44: schnelle Weg in die sichere, bessere technische Lösung ist glaube ich der richtige Ansatz und
00:46:48: die Brückenlösung so klein und so kurz wie möglich zu halten. Ja, vielen Dank. Die Stunde ist
00:46:55: fast rum und wir haben viele Themen angesprochen. Ich habe gerade verstanden Arbeitsauftrag,
00:46:59: haben wir auch schon mitgenommen. Nächstes zu trotz, wir haben über Cyber Nation gesprochen,
00:47:06: wir haben darüber gesprochen, dass wir zusammen mehr erreichen als einzeln. Ich glaube,
00:47:11: das ist vor allem etwas, was wir in den letzten drei Jahren wirklich gelernt haben und das glaube
00:47:15: ich ist auch ein positiver Trend und ist ja auch wahrscheinlich eine DNA der Cyber Nation. Wir haben
00:47:20: darüber gesprochen, dass Technologie sehr stark Europa und auch Deutschland verändern wird,
00:47:25: dass digitale Identitäten ein ganz wichtiges Thema ist, dass KI nicht nur Chancen mit sich bringt,
00:47:32: sondern Risiken. Und deswegen an dieser Stelle vielen Dank, vielleicht noch an euch beide ein
00:47:37: letzter Satz, was wünscht ihr euch in der Zukunft voneinander, miteinander und dann würde ich euch
00:47:42: das Schlusswort beiden überlassen. Ja, ich fände es super, diesen Dialog auch auf der inhaltlichen
00:47:47: Ebene auch noch fortzuführen, dass wir sagen, wir versuchen noch mehr zu begründen, was eure
00:47:52: Motivation ist für bestimmte Themen und dann vielleicht mit unserem Wissen, was kann man
00:47:56: vielleicht auch über alternative Wege das gleiche Ziel erreichen, da einen echten Dialog zu kommen.
00:48:01: Also auch von meiner Seite ist jetzt ein bisschen langweilig, natürlich mir leid,
00:48:04: aber tatsächlich geht es mir auch darum, dass wir das fortsetzen. Ich glaube, wir sind da auf einem
00:48:07: guten Weg, vor allen Dingen auch in der Zusammenarbeit wirklich uns mal kurz abzustimmen,
00:48:11: wie oft kriege ich von dir mal eine Nachricht, das ist gut so, bist auch nicht der Einzige und
00:48:15: auch das ist gut so, dass die Wege einfach kurz werden. Das halte ich für ganz wichtig. Mir ist
00:48:20: ein Anliegen, dass wir die Praxistauglichkeit hinbekommen für alles das, was wir im BSI tun,
00:48:24: weil wir fest davon überzeugt sind, dass wir Cyber-Sicherheit insgesamt nur erreichen, wenn wir es schaffen,
00:48:30: in die Organisationen reinzuwirken und das schafft man nicht mit einem theoretischen Konzept aus
00:48:35: dem Elfenbeinturm, das schafft man mit pragmatischen Lösungen, die wir auch gemeinsam angehen können
00:48:39: und ich glaube dafür ist Dialog die Voraussetzung, den haben wir und deswegen mag ich den noch fortsetzen.
00:48:44: Vielen Dank, danke schön euch beiden.
00:48:47: Digital einfach machen.
00:48:50: Digital einfach machen.
00:48:52: Der Podcast der digitalen Sparkasse der Zukunft.
00:48:56: [Musik]
00:48:59: LINZT WIR BAUCHEN!