GRCbusters: Who You Gonna Call?

Meltem: Herzlich willkommen zu einer neuen InfoSec Theater Folge. Mein Name ist Meltem. Und zusammen mit Ben sind wir die Hosts dieses Podcasts. Sag mal Hallo Ben.

Ben: Hallo.

Meltem: Grüß dich. Und heute zu Gast haben wir Matthias. Matthias erklärt uns auch heute, was man unter GRC versteht. Vorab darf aber Matthias uns gerne drei Dinge über sich verraten, die interessant für die Zuhörer werden. Matthias, wer bist du und was zeichnet dich aus?

Matthias: Hi, herzlichen Dank für die Einladung. Ich freue mich sehr, dass ich hier bin. Ich bin Matthias. Ich arbeite bei der DeTeCon International GmbH und bin da verantwortlich für Cybersecurity, Governance, Risk und Compliance Themen. Deswegen darf ich auch das Thema GRC heute vorstellen. Ich gucke vor allem auf die Informationssicherheit und vor allem den Governance-Bereich, von dem meiner Meinung nach ganz viel ausgeht und meistens der Part, mit dem es losgeht. Aber ihr habt nach interessanten Sachen über mich gefragt. Ich bin eigentlich fachfremd. Ich habe mal Medienmanagement und Kommunikation studiert und habe da dann den Übergang zum IT-Projektmanagement geschafft. Ben und ich haben uns dann kennengelernt und dort durfte ich dann auch das erste Mal mit der Cybersecurity zusammenstoßen, was eine super interessante und spannende Zeit war, bei mir ganz viel Interesse geweckt hat, was es dann eigentlich für ein gigantischer Bereich ist, der vorher zumindest in meiner Welt eigentlich gar keine so große Rolle gespielt hat. Natürlich war das Datenschutzthema immer ganz groß, aber die harte Cybersecurity oder Informationssicherheit ist tatsächlich erst ein paar Jahre, nachdem ich im Studium fertig war, auf mich zugekommen. Die ersten Zusammenkünfte waren total interessant, was mich dann dazu geleitet hat, das auch als Berater machen zu wollen. Und da stehe ich heute, bin also quasi ein Quereinsteiger für das Thema Informationssicherheit, was auch dazu geführt hat, dass ich mich dann vor allem auf den eher weniger technischen Bereich dieses Themenfeldes kümmere und vor allem halt aus einer, ich möchte jetzt nicht sagen Vogelperspektive draufschau, aber eher aus einer strukturell organisatorischen Ebene.

Ben: Du kommst ja aus Frankfurt. Wie sagt ein Frankfurter zu Medienmanagement? Sagt man nicht Mädchenmanagement oder so?

Matthias: Mädchenmanagement? Das ist mir neu. Das hab ich noch nie gehört. Was ich dauernd höre, ist, du hast mal was mit Medien gemacht. Das ist ein mir unangenehmer Satz, weil das kann man ja auf alles übertragen. Du hast mal was mit BWL gemacht. Du hast mal was mit IT gemacht. Ja, und das mache ich auch heute noch.

Ben: Du hast mal was mit Medien gemacht. Klingt auch so, als hättest du einen TikTok-Account.

Matthias: Natürlich nicht, dafür bin ich viel zu alt. Ich bin auf Instagram, und das war das letzte neue soziale Medium, das ich adaptiert habe. Alles, was danach gekommen ist, Snapchat, Musikly war ja vorher noch TikTok. Das sind für mich Begriffe, Objekte, Sachen, von denen ich höre, die ich sehe, aber die ich nicht selber nutze.

Ben: Sind für mich auch alles böhmische Dörfer. Ich hab nicht mal einen Facebook-Account. Den hab ich 2005 schon getötet oder so.

Matthias: Dann hast du den getötet, bevor ich gejoint bin.

Ben: Siehst du mal, wie alt ich bin.

Matthias: Ich hab auch keinen mehr.

Ben: Ich hab schon studiert, vielleicht 2006 oder 2007, keine Ahnung. Aber am Anfang vom Studium. Nee, ich hab mein... Wann hab ich ihn gelöscht? Letztes Jahr? Vorletztes Jahr? Nachdem mir bei Facebook vorgeschlagen wurde, ich könnte einen digitalen Nachlassverwalter einrichten, hab ich mir Gedanken über meinen Social-Media-Konsum gemacht und entschieden, ach, guck mal, eigentlich nutzt du Facebook nur noch als Nachrichtenquelle. Da kannst du direkt auf die Seiten gehen.

Ben: Das war meine Entscheidung.

Matthias: Ja, das denke ich auch. Aber jetzt kommen wir zurück zum Thema. Wir wollen über GRC reden. Ich bin meine Oma oder mein Opa, das geht vielleicht leichter von der Vorstellung her so im Bild. Und ich lese jetzt GRC in der Zeitung und denk mir so, what the fuck? Nee, das denkt mein Opa nicht. Keine Ahnung, was der sich denken würde.

Ben: Was zum Henker oder Was zur Hölle?

Matthias: Was lesen meine Augen da?

Ben: Genau. GRC, GRC. Was würdest du denn jetzt quasi meinem Opa erzählen, was das ist? Wofür braucht man das? Kann man das essen? Oder hat das was mit Autos zu tun?

Matthias: Ich würde mich erst mal wundern, warum so ein Begriff so prominent in der Zeitung steht, dass der Superlust liest. Nist ist ein Artikel über Nist 2. Der war bei Zahnarzt und da liegt irgendwie die IT-GRC-Compliance-Zeitung von der ISAKA oder so.

Matthias: Also ganz grundsätzlich natürlich, was heißt GRC eigentlich? Governance, Risk und Compliance, also quasi Steuerung, Risiko und ja, wenn ich da mal frei übersetzen darf, Einhaltung von Themen. Was ist das? Grundsätzlich ist das ein Rahmenwerk, das in den Markt geworfen wurde, dem Unternehmen helfen soll, oder das Unternehmen helfen soll, geschäftliche Risiken einzuhalten oder Risiken zu minimieren, Ziele zu erreichen, generell sicherzustellen, dass man sich Vorgaben konform verhält. Ich habe immer das Gefühl, dass sich auch das immer noch sehr wischiwaschi anhört.

Ben: Ja und auch missverständlich und irgendwie ja gut also wir haben jetzt da ein Rahmenwerk. Ich bin Berater, wir sitzen da immer ganz gerne und sagen, wenn wir ein Problem haben, dann benutzen wir ein Framework, ein Rahmenwerk. Aber was heißt das eigentlich genau? Im Grunde kann man sich das so ein bisschen vorstellen wie beim Laufen. Also wenn ich jetzt Läufer bin, dann mache ich das vielleicht in einem Verein und dieser Verein gibt Regeln vor. Der Verein sagt, hey, wenn du bei uns laufen möchtest, dann musst du x-mal die Woche am Training teilnehmen, dann musst du x-mal im Jahr an einem Wettbewerb teilnehmen. Wir haben Grundanforderungen an deine Durchschnittsgeschwindigkeit. Ja, du musst deine 530 pro Kilometer laufen. Das sind ganz klare Vorgaben, die ein Sportverein an mich als Sportler stellen kann, wenn er möchte, muss er aber nicht. Und ich als Sportler akzeptiere das und sage, okay, ich möchte mich beim Laufen bei euch engagieren und möchte darin auch gut sein. Und ich möchte quasi ein Basislevel erreichen, das mich auch vielleicht zu anderen Leuten bei euch im Sportverein vergleichbar macht. Das ist quasi der Steuerungsaspekt. Das heißt, es gibt Anforderungen, und ich versuche, die zu erfüllen. Möchte sie erfüllen.

Ben: Find ich ein schönes Bild. Das ist jetzt quasi aus dem GRC, wie mein Opa, den's nicht mehr gibt, lesen würde. Der G-Teil, oder ist das schon alles?

Matthias: Das ist der G-Teil. Und beim Laufen wär das am liebsten der Laufteil. Gottes willen, den Joke schneidet ihr bitte raus, aber nein. Genau, das ist der Governance-Teil, also der Steuerungsteil. Wir haben Ansprüche, die werden gestellt. Wir haben oder Anforderungen, Ansprüche vielleicht ein bisschen hart, aber wir haben Anforderungen, die gestellt werden und die wir als jemand, der sich in diesem Bereich bewegen möchte, erfüllen will, möchte und vielleicht sogar muss. Also wenn ich jetzt da sitze und sage, hey, ich möchte zeigen, ich bin besonders gut in der Informationssicherheit oder das heißt besonders gut, aber ich erfülle ein Basislevel an Informationssicherheit, dann schnapp ich mir zum Beispiel den ISO 27001 Standard und versuche alles davon umzusetzen, was da so drin steht. Und dann hole ich mir jemanden, der sich dann anschaut und sagt, ah ja, guck mal, wunderbar. Da sind wir übrigens beim C-Bereich, beim Compliance-Bereich, also die Einhaltung eben dieser Sachen. Es kann ja sein, dass dieser Sportverein ganz tolle und ganz große und ganz wichtige Anforderungen hat. Und sich berüstet und sagt, guck mal, was wir alles von unseren Leuten verlangen und was wir anfordern. Weil wir so starke Anforderungen haben, haben wir nur die besten der besten und sind sowieso ganz toll.

Ben: Und wenn jetzt die Anforderung aus dem G-Teil ist, dass ich, keine Ahnung, zehn Kilometer in 20 Minuten laufen muss und ich dem Verein immer sage, ja, das mach ich, dann ist das für mich der R-Teil, weil ich das Risiko, dass die mich vielleicht kontrollieren, ob ich compliant bin oder nicht, überwachen? Oder hab ich das falsch verstanden?

Matthias: Das könnte Teil deiner Perspektive sein. Aber ja, genau. Also, Risiko in dem Kontext würde bedeuten, ich hätte es jetzt zum Beispiel so interpretiert. Ich begebe mich in diese Welt, in diesen Sportverein und fange an zu laufen. Und was ist ein Risiko für mich? Verletzungsrisiko. Es kann sein, dass ich den Fuß umknicke und merke, das ist aber ungünstig. Ich stelle fest, ich kann aber gar nicht die 10 Kilometer in 20 Minuten laufen. Ich bin viel zu langsam. Also ich erfülle grundsätzliche Anforderungen eigentlich nicht. Ich überanstrenge mich vielleicht. Ich dehydriere. Also ich habe auf einmal Themen in meinem Bereich, die ich vorher gar nicht gesehen habe. Und hier versuche ich dann halt, rauszufinden, okay, was ist das denn eigentlich? Man könnte sogar sagen, so, hey, da findet eigentlich ein ständiger Abgleich zwischen den Anforderungen des Sportvereins und mir als Sportler oder mir als Läufer statt. Und jedes Mal, wenn ich eine Anforderung nicht erreiche, müsste ich mich eigentlich für mich selber hinsetzen und sagen, ist das eigentlich was, worüber ich mir Gedanken machen sollte? Ist das ein Risiko? Und wie gehe ich damit um? Das ist jetzt beim Laufen, wird jetzt vielleicht ein bisschen abstrakt, aber in der Informationssicherheit redet man dann ja von den verschiedenen Arten, wie man mit Risiko umgeht und ob man es vermeidet, auslagert und was es sonst noch so alles gibt.

Ben: Finde ich auf jeden Fall ein schönes gelungenes Beispiel.

Matthias: Dankeschön, es geht sogar noch weiter. Richtig, aber Ben, du hast es eben schon gut gesagt. Also, ich kann das ja in meiner kleinen Welt, die ich dann da habe, alles für mich selber abgleichen und sagen, guck mal, ich bin hier in meinem Verein und wir haben einen ganz tollen Austausch, wie wir das eigentlich machen und ich orientiere mich doch da dran und der Verein fragt mich ja und du läufst aber auch wirklich deine 10 Kilometer in 20 Minuten und ich sage, ja sicher, natürlich, ich meine, ich habe hier die 10 Kilometer stehen und daneben habe ich die Zeit stehen. Das ist ja ganz eindeutig, dass ich das geschafft habe. Und das fällt manchmal vielleicht ein bisschen schwer, das zu kontrollieren oder überhaupt zu sagen, okay, stimmt das denn so? Manchmal überlagern sich da ja auch vielleicht die Anforderungen, dass der Sportverein sagt, naja, okay, ich weiß, du bist jetzt nicht mein bestes Pferd im Stall, deswegen, naja, ja, mach du mal dein Ding und ich kümmere mich mal um die, die vielleicht ein bisschen wichtiger sind. Das ist natürlich unfair und auch ein bisschen gefährlich, weil das ja diese Anforderungen verwässert oder weil es vielleicht auch die Standards, die ich mir selber gesetzt habe, unseriös erscheinen lässt, möchte ich jetzt mal sagen. Und da kommt dann das C, die Compliance oder wie wir es eben übersetzt haben, die Einhaltung ins Spiel. Ich suche mir Leute, die mir das bestätigen. Ja, du kannst 20 Minuten in 10 Kilometern laufen. Das kann man beim Sport über kleine Sachen machen, wie zum Beispiel eine Apple Watch oder eine Garmin oder was es da gibt, die sagt, ja guck mal, du hast hier deine Fünfer-Pace auf x Kilometer und hiermit hast du eine Bestätigung auf deinem Handgelenk. Das wäre jetzt in meiner Welt schon fast ein interner Audit. Also ich bestätige mir selber, ich bin so schnell.

Ben: Meine Apple Watch hat das gemessen, das ist mein externer Auditor.

Matthias: Mein interner wäre das in dem Fall. Der externe Auditor wäre ja quasi dann beim Sportverein, oder nicht beim Sportverein, aber wäre ja quasi dann bei einer Veranstaltung jemand, der offiziell misst. Also ich starte beim Frankfurter Halbmarathon im März und renne los und ich habe vorher rumgeprallt, ja guck mal, ich renne den Halbmarathon in einer Stunde 45. Und jetzt an dem Tag, da zeige ich euch auch mal, dass das funktioniert. Da brauchst du dann natürlich offizielle Schiedsrichter und Pacemaker, die dir Rahmen geben, die dir auch sagen, guck mal, du bist jetzt hier übrigens an Kilometer zehn und du bist viel langsamer, als du gedacht hast. Also bist du da eigentlich dran gekommen, am Ende zu sagen, du kannst wirklich die 21 Kilometer in einer Stunde 45 laufen, was deine Anforderung war oder die Anforderung deines Sportvereins, damit du da halt mitmachen darfst. Oder eben nicht. Und wenn du das nicht machst, dann haben wir da einen Gap, über den wir uns mal unterhalten sollten. Warum das denn nicht der Fall ist. In dem Fall wäre die Konsequenz, ich kriege meine Medaille nicht oder meine Urkunde. Das wäre ja doof, weil ich habe vorher rumgeschrien, ich trete an, diese Medaille zu bekommen.

Ben: Also haben wir hier quasi eine externe Bestätigung oder die Konsequenz ist die externe Bestätigung, dass ich den Anforderungen, die mein Sportverein mir damals gestellt hat, damit ich mit dem Namen dieses Sportvereins auf meinem Trikot laufen darf, tatsächlich auch erfülle.

Meltem: Das ist echt ein sehr, sehr cooles Beispiel mit dem Sportverein. Das konnte ich mir auch vorab, ehrlich zu sein, nicht so verbildlichen, wenn ich an GRC denke. Aber für mich bzw. wahrscheinlich auch für die anderen Zuhörer oder auch für die Omis da draußen, klingt GRC auch nach sehr, sehr vielen Regeln und Anforderungen. Welche Herausforderungen gibt es denn deiner Meinung nach bei der Integration von GRC oder bei sämtlichen GRC-Ansätzen? Und wie können diese überwunden werden?

Matthias: Oh, das ist eine Frage, die mich in meiner Berater-Ära jetzt angeht. Welche Herausforderungen gibt es nicht? Und welche können wir nicht schaffen? Oder können wir schaffen? So rum. Ich meine, die Beispiele sind plakativ. Es ist sehr vereinfacht dargestellt. Es geht ja schon los mit welchem Governance-Teil ich mich eigentlich richtig. Es gibt wahnsinnig viele, wahnsinnig viele Frameworks, wahnsinnig viele internationale Standards, nationale Standards, die wir da haben. Manche überschneiden sich, manche überschneiden sich nicht. Es ist natürlich ein ganz, ganz weites Feld, wo sich aber viele Sachen auch die gleichen Themen drehen. Also schlussendlich ist, glaube ich, die größte Herausforderung, überhaupt erst mal anzufangen und sich hinzusetzen und zu sagen, so guck mal, ich habe jetzt hier was, was ich angehen möchte. Und ich suche mir jetzt ein Standard, an dem ich mich orientieren kann. So aus der Erfahrung, die ich gemacht habe, muss das auch gar nicht sein, dass ich direkt anfange und sage, ich muss diesen Standard vollkommen erfüllen. Ich fange vielleicht mal an, mich daran zu orientieren und sage, ich steige mir jetzt mal hier die für mich wichtigsten Themen raus und fangen wir mit mal an. Das kann zum Beispiel ein vernünftiges Assetmanagement sein. Weiß ich eigentlich, was ich in meinem Unternehmen habe? Worum geht es ja eigentlich? Also ich möchte Informationssicherheit machen, ich möchte Cybersecurity vorantreiben. Ich habe jetzt hier ein großes Cyber Security Projekt ausgerufen, aber was heißt denn das? Worum geht es ja eigentlich? Was genau möchte ich eigentlich sichern? Reden wir über Prozesse, Organisationen, Assets. Ich glaube, das ist ein ganz grundlegender Faktor, sich mal hinzusetzen und zu sagen, okay, warum kümmern wir uns ja eigentlich? Was ist der Scope meiner ganzen Geschichte? Und wie finde ich dann einen vernünftigen Ansatz für meine Organisation loszulegen? Und ich glaube, die große Herausforderung da besteht tatsächlich darin zu sagen, den Scope vernünftig zu schneiden und zu sagen, das ist das Objekt, an dem ich das jetzt mal ausprobieren, nicht ausprobieren möchte, aber an dem ich das jetzt vollziehen möchte. Und darauf fokussiere ich mich jetzt erst mal.

Ben: Ja, das stimmt. Ich muss sagen, ich bin, was das Thema GRC angeht, immer ein bisschen, weiß ich nicht, zwiegespalten. Das ist so mein Hassthema in der Security, würde ich sagen. Hass ist vielleicht... Oh, so stark.

Matthias: Na ja, es ist halt nur Papierkram, gefühlt. Ich hab ganz viele Regeln, und irgendjemand muss die Regeln auch ständig updaten. Eigentlich müsste die jeder lesen. Ich muss irgendwas damit tun oder auch nicht. Auf der anderen Seite, wenn ich es nicht hab, kann ich dir auch nicht sagen, Matthias, du machst da was falsch. Wenn es nicht da steht, gibt es es nicht. Ich bin schon der Meinung, wir brauchen Anforderungen den G-Teil im Unternehmen. Aber halt so kurz wie nötig und so lesbar wie möglich. Also eigentlich jetzt für den normalen Mitarbeiter, der jetzt nicht irgendwie, keine Ahnung, Jurist ist oder so, sollte das halt vielleicht nicht in juristische Fachliteratur sein, sondern schon auch verständlich dastehen. Guck mal, dein Passwort muss bitte 15 Zeichen haben. Das kann ja auch in, sagen wir mal, leichter Sprache dastehen, wie die Behörden das sagen würden.

Matthias: Absolut, absolut richtig. Das ist das Nächste. Ich glaube immer, wenn wir über Informationssicherheit uns unterhalten und vor allem wenn es die, wie ich eben gesagt habe, schon strukturell organisatorischen Themen geht, das ist ja nicht anfassbar. Also man sitzt da und redet und redet und redet und überlegt sich Rollen und Verantwortlichkeiten, RACI-Matrizen und Organisationsmodelle und Reporting-Wege. Ja, das mag alles in der Welt einer Organisation meines Unternehmens wichtig und auch richtig sein. Wenn ich aber als normaler Mitarbeiter da sitze und ich kriege auf einmal eine Richtlinie zur Dokumentenlenkung, zur Informationsklassifizierung und sonst was vorgelegt, da frage ich mich natürlich auch, was heißt das jetzt eigentlich? Was bedeutet das für mich? Und da hast du recht Ben, ich finde auch, da sollte ein verständlicher und praktikabler Weg eigentlich gewählt werden. Und was zum Beispiel eine Lösung ist, zu sagen, so, wem interessiert was eigentlich? Klar, jetzt hast du das Beispiel Passwort genannt. Das sollte nicht nur im beruflichen Kontext die meisten Leute interessieren, was da passiert oder was da Wege sind, wie man sich ordentlich um seine Passwörter kümmern kann. Aber es geht ja auch darum, was muss ich eigentlich wissen. Ich fand es immer interessant oder ich fand es immer schön, wenn ich gesehen habe, dass wenn man jetzt zwar in einer Richtlinienpyramide ausgeht, also ganz oben steht dann das strategische Leitlicht oder den strategischen Nordstand dargestellt in Form einer Informationssicherheitsleitlinie zum Beispiel, die so praktikabel wie möglich zu halten. Oder so verständlich wie möglich zu halten. Warum machen wir das eigentlich? Und was bedeutet das für das Unternehmen? Es ist ja kein Bereich, wo man sich hinsetzt und sagt, wenn wir das machen, dann kriegen wir Exit und so ein. Nein, wir machen den Laden sicher. Oder wir versuchen, ihn reaktabel zu machen. Reaktanz, ne? Warte, ist das so ein richtiges Wort? Reaktanz? So ein blödes Wort. Aber wir versuchen, das Unternehmen in eine Position zu bringen, aus der sie heraus reagieren kann, wenn ihr was passiert. Ein Stück weit hat das nicht ganz viel mit Resilienz zu tun, hat ganz viel damit zu tun zu sagen und auch zu realisieren, vollkommen sicher, 100 prozentige Sicherheit ist eine Illusion. Das schaffen wir sowieso nicht. Wenn irgendjemand sich wirklich hinsetzt und sagt, ich möchte euch hacken, und wir reden richtig von hacken und nicht Passwort erraten und ihr habt jemand, keine Ahnung, password123 wieder benutzt oder so, sondern ihr wirklich hacken, dann kommt er auch irgendwie ins System rein. Ich glaube, das ist eine Sache, da braucht man sich keine Illusionen zu machen. Aber es geht darum, wie gehen wir damit um? Und wie können wir Einfalltore verkleinern? Vielleicht sogar ein Stück weit schließen, sodass noch ein Spälchen offen ist.

Ben: Das hat viel mit Awareness zu tun. Sehr schön. Wenn wir den Governance-Teil nehmen...

Matthias: Sorry, dass ich dich da unterbreche.

Ben: Aber dann sind das Anforderungen, die ich als Mitarbeiter oder als CISO von einem Unternehmen an das Unternehmen habe. Oder können die auch woanders herkommen?

Matthias: Also ganz grundsätzlich der Governance-Teil, wie möchte ich es eigentlich steuern? Wie möchte ich meine Organisation steuern? Und dann hast du natürlich externe Stakeholder, bzw. es kommt ja so ein bisschen darauf an, an wen du dich da wenden oder an wen du dich da orientieren möchtest. In Deutschland haben wir jetzt ein recht ausführliches Framework im BSI-Grundschutz, der sehr deutlich wird, wie wollen wir es eigentlich haben. Und du hast natürlich irgendwie irgendwo immer ein rechtliches Regelwerk, an dem man sich orientieren muss.

Ben: Aber ist das dann im Governance-Umfeld oder im Compliance-Umfeld? Wenn ich jetzt an die DSGVO denk, du als alter Datenschützer, dann würdest du jetzt sagen, dass ich als CISO die DSGVO im Governance-Feld umsetze? Oder werde ich als CISO in der Compliance gegen die DSGVO gemessen? Ich weiß, das ist eine blöde Frage.

Matthias: Ja, fremd ist noch jeder anders. Also ich persönlich komme ja aus der Perspektive, ich möchte reagieren können, ich möchte agieren können. Eigentlich möchte ich...

Ben: In die Phase...

Matthias: Richtig. Ich möchte die Macht über mein Narrativ haben. Würde für mich bedeuten, ich würde es in der Governance unterbringen. Zumindest organisatorisch. Und dann kommt natürlich irgendwann der Compliance-Teil, wo jemand vorbeikommt und sagt, zeig doch mal bitte, was ihr da gemacht habt und wie ihr das umsetzt. Also es greift ineinander über. Deswegen ist es ja auch ein Themenbereich, der zusammengefasst wird.

Ben: Das ist die Antwort, die ich hören wollte, weil ich würde das gar nicht trennen. Zu richtig.

Ben: Es gibt ja eine Governance-Abteilung, eine Risiko-Abteilung und eine Compliance-Abteilung. Zumindest nicht, wenn wir hier nur über Security reden. Macht vielleicht für andere Sachen Sinn?

Matthias: Richtig. Und Meltem fragte eben, was sind die großen Herausforderungen? Ja, dass das ineinander greift und wer ist hier eigentlich für was wirklich verantwortlich? Und auch wenn ich einen Head of Internal Audit habe oder auch wenn ich einen Compliance Officer oder einen internen Sicherheitsbeauftragten oder einen Security Officer habe und was wir da alles für offizielle Bezeichnungen haben, die auch berufen werden müssen und die wir uns in die Organisation setzen, da wird immer ein Streit um Verantwortlichkeit stattfinden, auch wenn es niedergesetzt ist. Genau aus dem Grund, den du sagst, man kann es nicht so richtig trennen. Ich finde auch, man sollte es nicht so richtig trennen. Ich brauche die Bestätigung, am besten die externe Bestätigung, dass das, was ich gerade mache, den Anforderungen entspricht. In dem Kontext, den ich mir rausgesucht habe. Absolut richtig. Das Risiko und dann noch das, das R wieder mit reinzuholen und im Risikomanagement, das ist ja auch ein Prozess der Selbstkontrolle. Also wenn ich das im Kontext eines Abgleichs sehe, also sage, hey, ich habe mir jetzt hier, so daraus besteht ein Großteil der Sicherheitsframeworks, über die wir uns kümmern, ist ja ein Abgleich zwischen den Kontrollen, die in diesen Frameworks genannt werden und dem, was ich im Unternehmen eigentlich implementiert habe. Und wenn ich feststelle, hey, eine bestimmte Kontrolle erfülle ich nicht, wie gehe ich damit um? Das muss nicht sofort heißen, dass die Nichterfüllung einer Kontrolle ein Risiko ist. Aber ich sollte mich damit auseinandersetzen und mich mit den Leuten unterhalten, die sich dahingesetzt haben. Kann ja sein, dass es eine Alternative gibt, die ein ähnliches Schutzlevel hat oder was Ähnliches bewirkt. Es ist halt noch nicht genau diese Kontrolle gewesen.

Ben: Es ist kein Risiko. Aber eine Abweichung auf jeden Fall.

Matthias: Aber eine Abweichung.

Ben: Da stimme ich dir zu, es ist eine Abweichung, und ich muss dann feststellen, hat die einen Einfluss auf mich? Vielleicht hat die Kontrolle auch keine Relevanz für mich. Wenn ich eine Kontrolle habe, die sagt, du musst deine On-Premise-Systeme sichern, ich bin voll in der Cloud, so what?

Matthias: Ja, und das sind ja die tollen Situationen, wenn du im Audit sitzt und du sagst, na ja, aber diese eine Kontrolle stimmt, die passt ja gar nicht auf das, was ich mache, und dann fängst du an zu diskutieren und zu argumentieren, warum das jetzt der Fall ist. Und vielleicht ist der Auditor deiner Meinung, vielleicht aber auch nicht. Aber es geht auch hier wieder darum, es rechtfertigen zu können. Die Nase ein wenig vorne zu haben, zu sagen, guck mal, ich hab mir darüber Gedanken gemacht und ich kann ihr darauf antworten. Und ich hab eine vernünftige Antwort und nicht eine, na ja, es passt halt nicht. Und deswegen machen wir es nicht so. Nee, ich hab was anderes, was genau den gleichen Sinn erfüllt und ein gleiches Schutzlevel hat. Und damit ist die Kontrolle für mich nicht irrelevant. Aber ich guck sie mir jetzt in diesem Kontext nicht an.

Meltem: Also wir halten fest, GRC-Ansatz besteht aus drei Komponenten, die Hand in Hand gehen, die man nicht separat betrachten sollte. Und darauf aufbauend vielleicht mal eine Frage, wie kann man denn sicherstellen oder nachweisen, dass GRC effektiv gewährleistet ist? Wie kann man das kontrollieren? Oder nachweisen?

Matthias: Ja, also du meinst jetzt...

Meltem: Oder messen. Genau. Vielleicht ist das so der richtige Ansatz.

Matthias: Ja, die Messbarkeit einer funktionierenden GRC-Organisation ist natürlich eine super interessante Frage.

Ben: Wie viel Prozent aller Mitarbeiter haben die Richtlinien bestätigt, dass sie die Richtlinien gelesen haben?

Matthias: Genau. Zum Beispiel? Wie viele... Ja, so was in die Richtung, genau. Aber ich find's immer so ein bisschen schwierig, da konkret drauf zu antworten.

Ben: Wie viele Abweichungen auf meine Anforderungen hab ich dieses Jahr und wie viele letztes Jahr? Also quasi da einen Trend zu zeigen. Genau, eine Rückmeldung über, ich hab eine Richtlinie gelesen, das kannst du ja auch zeichnen, der hat das wirklich geöffnet. Und der da, ja, mag sein, dass das ein Indikator dafür ist, dass ein bestimmtes Maß an Awareness da ist. Aber ob der jetzt auch wirklich verstanden hat, was da drin steht.

Ben: Naja, aber das ist halt auf jeden Fall eine arbeitsrechtliche Konsequenz. Wenn du bestätigst, dass du die Richtlinie gelesen hast und dich da nicht dran hältst, dann hab ich meinen Job richtig gemacht, du deinen aber nicht. Das hat im Zweifel eine Konsequenz für dich, aber nicht für mich. Das ist in dem Umfeld wahrscheinlich schon gar nicht so unwichtig. Das KPI-Thema ist halt wirklich schwierig. Stimme ich zu. Selbst wenn du eine funktionierende GRC-Funktion hast, heißt das nicht, dass du nicht gepreagt wirst.

Matthias: Einmal das, und das Nächstes halt auch... Ich mein, gerade die KPI, es ist ja immer noch die genommen, die mir gerade am besten gefallen.

Ben: Aber wäre nicht ein schönes KPI dafür, ob mein GRC funktioniert, wenn der externe Auditor wenig zu bemängeln hat? Der ja dann vielleicht vorbeikommt, wenn ich zertifiziert bin.

Matthias: Das ist richtig. Wobei viele Frameworks ja auf einem sehr... Ja, auf einem Basislevel unterwegs sind. Und wenn ich da dann bestätigt bekomme, dass du oder dass ich mich an alles halte, ja, dann ist das eine schöne Bestätigung, das stimmt. Aber es ist ja ein Basislevel, es ist ein Grundlevel.

Ben: Aber ich muss ja mal mit irgendwas anfangen, dass wir nicht gleich mit dem 1.5 starten, ist ja vielleicht auch klar. Aber gerade wo du das mit dem Basis-Level sagst, ist vielleicht auch schön, regelmäßige Reifegradbewertungen zu machen. Wo steh ich, und dann zu sagen, wir haben angefangen mit einer 1,2, vor drei Jahren, jetzt sind wir bei einer 1,5 gewesen. Leider ist jetzt wieder ein Stück zurückgegangen.

Matthias: Ja. Das kann man ja wunderbar mit dem Thema ständiges Verbessern kombinieren. Klar, wenn man jetzt noch mal über harte KPIs reden möchte, wie viele, wie ist denn die Rate der kritischen Risiken, die ich geschlossen habe? Oder wie viele Risiken sind in den letzten Jahren abgearbeitet worden, in den letzten Monaten abgearbeitet worden? Klar, auf das kann man sich natürlich immer beziehen. Ist auch sinnvoll, allein aus Reportinggründen, damit auch da beim Management klar ist, hey, wir kümmern uns und wir wissen, was gerade Sache ist und es bewegt sich was. Richtig. Stimmt, die Reifegrad-Geschichte ist eine super Nummer. Mag ich selber auch sehr gerne, wenn ich ehrlich bin, weil man da wunderbar in das Thema Selbstreflektion reinkommt. Welche Maßnahmen hat was gebracht? In welchem Bereich sind wir besser geworden? Wo müssen wir uns ehrlich in die Augen gucken und sagen, wir hätten noch mal ein Quäntchen mehr machen können? Ja. Cool.

Ben: Ich finde, das mit dem Beispiel am Anfang war sehr anschaulich. Ich finde, wir sind jetzt auch schön darüber gekommen, was man das vielleicht im beruflichen Kontext, was es für einen Einfluss hat oder auch nicht.

Matthias: Ich finde auch, dass du sehr deutlich gesagt hast, dass es natürlich nur eine cover-my-ass Geschichte ist, wenn ich dich was unterschreiben lasse, was du nicht gelesen hast. Und damit du dann vielleicht noch Nutzen daraus ziehst, sollte ich dich vielleicht auch schulen, dann sind wir wieder beim Thema Awareness. Und ich glaube, wir landen hier in jeder Folge beim Thema Awareness.

Matthias: Ich habe mich fast nicht getraut, das Wort zu nennen, weil es mir auch schon aufgefallen ist, aber es ist halt der Kern der ganzen Geschichte. Also alles, was wir hier machen, alles worauf auch ein GRC-Bereich abstellt, Leute, wir müssen Bewusstsein schaffen, für Transparenz sorgen, was wir hier veranstalten und warum wir das veranstalten. Und wie du am Anfang gesagt hast, ich kann eine Menge an Richtlinien und Leitlinien und Handbüchern schreiben, die im Unternehmen rumgeistern, die Wahrscheinlichkeit, dass die wirklich alle sorgfältig gelesen werden, relativ gering. Aber wenn die Leute wissen, ey, ich weiß, dass wir hier ein Handbuch zum Incident Response Prozess haben und mir ist jetzt heute aufgefallen, ganz simples Beispiel, ich bin hier einfach morgens ins Gebäude reingelaufen und ich wurde nicht kontrolliert. Eigentlich haben wir hier jemanden, der entweder meinen Ausweis kontrolliert oder ein Sicherheitsterminal, in dem ich mich einloggen muss, oder so. Es hat heute morgen alles nicht funktioniert. Da sollte ich doch irgendwo mal Bescheid sagen, wo mache ich das denn eigentlich? Also, hey, ich weiß, da haben wir doch irgendwo ein Handbuch, da gucke ich mal nach. Also, Awareness darüber schaffen, wo finde ich was und ja, wir kümmern uns Themen. Es gibt Anlaufstellen dafür, das halte ich für ganz wesentlich. Ein großer Schritt, das ist der wichtigste Schritt meiner Meinung nach, dass die Leute, die in einem Laden arbeiten, wissen, an wen kann ich mich wenden. Und tatsächlich, wenn ich da verallgemeinern darf, nicht nur im GRC-Bereich, sondern auch an allen anderen Ecken, die eine Organisation so beschäftigen.

Ben: Aber genau, es geht halt vor allem nicht nur darum, zu wissen, was soll ich melden, sondern auch, wohin. Oder auch die Ermutigung, darum zu melden. Einfach nur zu wissen, das ist schlechtes Verhalten, aber nicht zu sagen, du solltest was tun, und es ist gut, wenn du was tust, nicht böse. Nicht du bist derjenige, der auf die Nase kriegt, wenn du was meldest. Ich glaube, das ist noch eine wichtige Botschaft.

Meltem: Da stimme ich auf jeden Fall zu. Eine gesunde Fehlerkultur auch zu fördern. Also keine Angst zu haben, Sachen zu melden oder Sachen, die man falsch gemacht hat, generell zu melden.

Matthias: Absolut, ja. Total. Ja, klar, das... Gerade, wenn man über Datensicherheit oder Informationssicherheit redet, dann sind die Leute immer nervös, trauen sich nicht, Sachen zu machen. Ist das jetzt wirklich nicht im Bereich oder ist das jetzt wirklich was, was ich melden muss? Hab ich jetzt hier was falsch gemacht? Hat jemand anderes was falsch gemacht? Es gibt dieses wunderschöne Beispiel. Wir beide in der DeTeCon sitzen in einem relativ großen Gebäude und natürlich begegnen da eine Menschen, die man nicht kennt. Und es ist super unangenehm, Leute, die man nicht kennt, mal zu fragen, hey, kann ich dir helfen? Und das sind immer unangenehme Situationen. Also ich weiß halt nicht, ob die Leute hier, ob das Mitarbeiter sind und ob die Lieferanten sind oder ob es tatsächlich jemand ist, der hier eigentlich nichts zu suchen hat. Und natürlich hat man da wahnsinnig unangenehme Situationen, in denen man komisch angeschaut wird und sagt, ich arbeite seit 30 Jahren hier. Und warum werde ich jetzt von dir, wie jung du, angesprochen, was ich hier mache? Ich arbeite hier, und das auch schon seit einiger Zeit. Aber manchmal ist es vielleicht keine schlechte Idee, da auch mal aus sich selbst herauszugehen und sagen, ich traue mich, dass... Man ist überrascht, wie positiv so was auch mal ankommt. Man ist involviert, man kümmert sich, man ist engagiert, hier für Klarheit und Transparenz zu sorgen.

Ben: Auf jeden Fall. Ich hätte gar nicht gedacht, dass man das Thema GRC so interessant und kurzweilig beleuchten kann. Aus meiner Erfahrung raus, ist das eher normal nicht so der Fall. Ich hätte zum Abschluss aber noch mal eine Frage an dich. Und zwar, wenn Security für dich ein Tier wäre. Welches Tier wär's und warum?

Matthias: Ein Tier.

Meltem: Miau.

Matthias: Eine Katze, ja? Ah, Cybersecurity, welches Tier? Du, das ist eine wirklich gute Frage. Danke. Hm. Ich nehm jetzt mal die Zeit zum Nachdenken, das könnt ihr nachher rausschneiden. Wir können's drin lassen. Ich brauch locker eine Minute oder so. Mach ruhig. Alles gut.

Meltem: Wenn du magst, kennen wir auch ein paar Impressionen oder unsere...

Ben: Ich muss gerade dran denken. Spoiler nicht, Matthias soll schon anfangen.

Matthias: Genau, ohne die Negativ-Assoziation mit einer Krake, weil das sind ja sehr intelligente Tiere und super facettenreich und vielseitig. Ich finde schon, dass das einem vielarmigen Oktopus ähnelt. Man meint gar nicht, wo man überall hingreifen kann, wo man überall sein kann, wo man sich überall anpassen kann, wenn man sich mit diesem Thema auseinandersetzt. Wie vielseitig ist es eigentlich? Es ist eben nicht nur ein technisches Thema. Es geht eben nicht nur um Firewalls und Pen-Tests und Schwachstellen-Management und weiß ich nicht, sondern nein, wir reden hier auch über sehr menschliche Geschichten und sehr, ja, teilweise ja auch emotionale Geschichten. Also mal in einem Meeting zu sitzen, wo einem auffällt, oh mein Gott, wir wurden gehackt und jetzt sitzt da irgendeiner und will von mir x Millionen Euro Lösegeld haben. Das sind hoch emotionale Situationen. Und da fällt einem dann doch auf, das was wir hier machen und dieser ganze Themenbereich, der ist wahnsinnig vielseitig, greift eigentlich in alles, ineinander über, ja sogar aus dem Berufsleben heraus in das private Leben rein. Seit ich in diesem Bereich in der Informationssicherheit zuständig bin, gucke ich mit ganz anderen Augen auf, wo melde ich mich eigentlich wie an und wo hinterlasse ich eigentlich meine Telefonnummer und wie melde ich mich mit meiner E-Mail-Adresse irgendwo an. Und da glaube ich, wie ein Oktopus, wie eine Krake greift man sich, passt sich an. Manchmal ist man ein wenig versteckt. Manchmal ist man aber auch in seiner ganzen Größe da und kann zeigen, wie mächtig das Thema eigentlich ist.

Ben: Sehr cool. Dankeschön.

Meltem: Ich finde es auch sehr interessant. Ich glaube, ihr hattet mal eine Episode mit jemandem. Ich bin mir nicht mehr sicher. War das Johannes? Der hatte auch das Beispiel mit dem Oktopus gegeben oder mitgebracht. Und der hat tatsächlich genau das gesagt, was Matthias vorher gesagt hat.

Matthias: Diese Folge habe ich nicht gehört. Das habe ich mir selber ausgedacht.

Ben: Solange es gedauert hat, haben wir einen Beweis.

Meltem: Ich finde es nur interessant, also meistens hört man halt Sachen, die so neu sind, neue Tierarten. Und manchmal sind da auch Fabelwesen dabei. Aber genau, schön, dass man jetzt auch zweimal den Oktopus gehört. Find ich cool.

Ben: Ich glaub, wir machen am Ende auch eine Auswertung. Gucken, welche Tiere wir benannt haben, nachdem wir mit allen Buchstaben durch sind.

Matthias: Wir machen einen Link in die Umfrage. Die drei Leute, die am nächsten rankommen, kriegen Ideen. Hier jemand, der irgendwie an der vordersten Front ist und tatsächlich abwehrt und Threat Detection macht, da kommt auch ein bisschen, was ist das, ein Drache ist das oder...

Ben: Müssen wir mal gucken, ja. Ich mein, wenn ich dich jetzt fragen würde, welches Tier ist GRC, kommt ja eine ganz andere Antwort raus, oder?

Matthias: Ja, definitiv.

Ben: Das ist dann irgendwie so eine Brillenschlange oder so. Oder der Papiertiger.

Matthias: Oh, guck mal, der Papiertiger. Kann aber auch die Krallen ausfahren.

Meltem: Oder ein Drache mit drei Köpfen.

Matthias: Ja, GRC. Genau, richtig.

Ben: Sehr gut. Aber einer, der kein Feuer speien kann.

Meltem: Ja, genau.

Ben: So ein Kuscheltier.

Matthias: Ein Kuscheldrache mit drei Köpfen.

Meltem: So ein mutierter Drache.

Ben: Vielen lieben Dank für die schöne Folge.

Matthias: Sehr gerne, nochmal herzlichen Dank für die Einladung. Es hat mir sehr viel Spaß gemacht und freue mich, mir alle weiteren Folgen von euch anzuhören.